Iso 19650-5 2020

Norma Española
UNE-EN ISO 19650-5

Noviembre 2020
Organización y digitalización de la información en

obras de edificación e ingeniería civil que utilizan BIM
(Building Information Modelling)
Gestión de la información al utilizar BIM
Parte 5: Enfoque de seguridad en la gestión de la
información
(ISO 19650-5:2020)
Esta norma ha sido elaborada por el comité técnico

CTN 41/SC 13 Organización de modelos de información
relativos a la edificación y la obra civil, cuya secretaría
desempeña IECA.
Asociación Española
de Normalización
Génova, 6 - 28004 Madrid
915 294 900
info@une.org
www.une.org
Este documento ha sido adquirido por UNIVERSIDAD INDUSTRIAL DE SANTANDER a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
UNE-EN ISO 19650-5
Organización y digitalización de la información en obras de edificación e ingeniería

civil que utilizan BIM (Building Information Modelling)
Parte 5: Enfoque de seguridad en la gestión de la información
(ISO 19650-5:2020)
Organization and digitization of information about buildings and civil engineering works, including
building information modelling (BIM). Information management using building information
modelling. Part 5: Security-minded approach to information management (ISO 19650-5:2020).
Organisation et numérisation des informations relatives aux bâtiments et ouvrages de génie civil, y
compris modélisation des informations de la construction (BIM). Gestion de l’information par la
modélisation des informations de la construction. Partie 5: Approche de la gestion de l’information
axée sur la sécurité (ISO 19650-5:2020).
Esta norma es la versión oficial, en español, de la Norma Europea EN ISO 19650-5:2020, que
a su vez adopta la Norma Internacional ISO 19650-5:2020.
Las observaciones a este documento han de dirigirse a:
Asociación Española de Normalización

Génova, 6
28004 MADRID-España
Tel.: 915 294 900
info@une.org
www.une.org
© UNE 2020
Prohibida la reproducción sin el consentimiento de UNE.
Todos los derechos de propiedad intelectual de la presente norma son titularidad de UNE.
NORMA EUROPEA
EUROPEAN STANDARD
EN ISO 19650-5
NORME EUROPÉENNE
EUROPÄISCHE NORM Julio 2020
ICS 35.240.67; 91.010.01
Versión en español
Organización y digitalización de la información en obras de edificación e ingeniería

civil que utilizan BIM (Building Information Modelling)
Parte 5: Enfoque de seguridad en la gestión de la información
(ISO 19650-5:2020)
Organization and digitization of Organisation et numérisation des Organisation von Daten zu Bauwerken -
information about buildings and civil informations relatives aux bâtiments et Informationsmanagement mit BIM.
engineering works, including building ouvrages de génie civil, y compris Teil 5: Spezifikation für
information modelling (BIM). modélisation des informations de la Sicherheitsbelange von BIM, der
Information management construction (BIM). Gestion de digitalisierten Bauwerke und des
using building information modelling. l'information par la modélisation des smarten Assetmanagements
Part 5: Security-minded approach to informations de la construction. (ISO 19650-5:2020).
information management Partie 5: Approche de la gestion de
(ISO 19650-5:2020) l'information axée sur la sécurité
(ISO 19650-5:2020)
Esta norma europea ha sido aprobada por CEN el 2020-06-15.
Los miembros de CEN están sometidos al Reglamento Interior de CEN/CENELEC que define las
condiciones dentro de las cuales debe adoptarse, sin modificación, la norma europea como norma
nacional. Las correspondientes listas actualizadas y las referencias bibliográficas relativas a estas
normas nacionales pueden obtenerse en el Centro de Gestión de CEN/CENELEC, o a través de sus
miembros.
Esta norma europea existe en tres versiones oficiales (alemán, francés e inglés). Una versión en otra
lengua realizada bajo la responsabilidad de un miembro de CEN en su idioma nacional, y notificada al
Centro de Gestión de CEN/CENELEC, tiene el mismo rango que aquéllas.
Los miembros de CEN son los organismos nacionales de normalización de los países siguientes:
Alemania, Austria, Bélgica, Bulgaria, Chipre, Croacia, Dinamarca, Eslovaquia, Eslovenia, España, Estonia,
Finlandia, Francia, Grecia, Hungría, Irlanda, Islandia, Italia, Letonia, Lituania, Luxemburgo, Malta,
Noruega, Países Bajos, Polonia, Portugal, Reino Unido, República Checa, República de Macedonia del
Norte, Rumanía, Serbia, Suecia, Suiza y Turquía.
COMITÉ EUROPEO DE NORMALIZACIÓN

European Committee for Standardization
Comité Européen de Normalisation
Europäisches Komitee für Normung
CENTRO DE GESTIÓN: Rue de la Science, 23, B-1040 Brussels, Belgium
© 2020 CEN. Derechos de reproducción reservados a los Miembros de CEN.
UNE-EN ISO 19650-5:2020 -4-
Índice
Prólogo europeo ........................................................................................................................... 6
Declaración ....................................................................................................................................6
Prólogo ............................................................................................................................................ 7
0 Introducción .................................................................................................................. 8
1 Objeto y campo de aplicación................................................................................. 11
2 Normas para consulta .............................................................................................. 11
3 Términos y Definiciones.......................................................................................... 12
4 Determinar la necesidad de un enfoque de seguridad mediante un

proceso de evaluación de la sensibilidad ........................................................... 14
4.1 Realización del proceso de evaluación de la sensibilidad ............................. 14
4.2 Comprensión del rango de riesgos de seguridad ............................................. 14
4.3 Identificación de las sensibilidades de la organización.................................. 14
4.4 Establecimiento de la sensibilidad de terceros ................................................ 15
4.5 Registro del resultado de la evaluación de la sensibilidad............................ 15
4.6 Revisión de la evaluación de la sensibilidad...................................................... 15
4.7 Determinación de la necesidad de un enfoque de seguridad........................ 16
4.8 Registro del resultado del proceso de triaje de seguridad ............................ 17
4.9 Se necesita un enfoque seguridad......................................................................... 17
4.10 No se necesita un enfoque de seguridad ............................................................. 18
5 Inicio de la estrategia de seguridad ..................................................................... 18

5.1 Establecer la gobernanza, las responsabilidades y las obligaciones
del enfoque de seguridad ........................................................................................ 18
5.2 Inicio del desarrollo del enfoque de seguridad ................................................ 20
6 Desarrollo de una estrategia de seguridad ........................................................ 20

6.1 Información general ................................................................................................. 20
6.2 Evaluación de los riesgos de seguridad ............................................................... 21
6.3 Desarrollo de medidas de mitigación de riesgos de seguridad .................... 21
6.4 Documentación de los riesgos de seguridad residuales y admisibles ........ 22
6.5 Revisión de la estrategia de seguridad ................................................................ 22
7 Desarrollo de un plan de gestión de la seguridad ............................................ 23

7.2 Suministro de información a terceros ................................................................. 24
7.3 Seguridad logística .................................................................................................... 25
7.4 Gestión de las obligaciones y responsabilidades en materia de
seguridad ..................................................................................................................... 25
7.5 Vigilancia y auditoría ............................................................................................... 25
7.6 Revisión del plan de gestión de la seguridad ..................................................... 26
8 Desarrollo de un plan de gestión de brechas e incidentes de

seguridad ..................................................................................................................... 26
-5- UNE-EN ISO 19650-5:2020
8.2 Detección de una brecha o incidente de seguridad ......................................... 27

8.3 Contención y recuperación ..................................................................................... 27
8.4 Revisión después de una brecha o incidente de seguridad ........................... 28
9 Colaboración con los adjudicatarios .................................................................... 28

9.1 Trabajo fuera de las adjudicaciones formales .................................................. 28
9.2 Medidas contenidas en la documentación de la adjudicación ...................... 29
9.3 Asignación después de la adjudicación ............................................................... 29
9.4 Fin de la adjudicación............................................................................................... 30
Anexo A (Informativo) Información sobre el contexto de seguridad ..................... 31
Anexo B (Informativo) Información sobre los tipos de controles de

seguridad del personal, de la seguridad física y
técnica, así como sobre la gestión de seguridad de
la información ............................................................................ 34
Anexo C (Informativo) Evaluaciones relativas al suministro de

información a terceros ............................................................ 39
Anexo D (Informativo) Acuerdos para el intercambio de información ................. 41
Bibliografía .................................................................................................................................. 43
UNE-EN ISO 19650-5:2020 -6-
Prólogo europeo
El texto de la Norma EN ISO 19650-5:2020 ha sido elaborado por el Comité Técnico ISO/TC 59
Edificación y obra civil en colaboración con el Comité Técnico CEN/TC 442 Modelos de información
relativos a la edificación, cuya Secretaría desempeña SN.
Esta norma europea debe recibir el rango de norma nacional mediante la publicación de un texto
idéntico a ella o mediante ratificación antes de finales de enero de 2021, y todas las normas nacionales
técnicamente divergentes deben anularse antes de finales de enero de 2021.
Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento estén
sujetos a derechos de patente. CEN no es responsable de la identificación de dichos derechos de patente.
De acuerdo con el Reglamento Interior de CEN/CENELEC, están obligados a adoptar esta norma europea
los organismos de normalización de los siguientes países: Alemania, Austria, Bélgica, Bulgaria, Chipre,
Croacia, Dinamarca, Eslovaquia, Eslovenia, España, Estonia, Finlandia, Francia, Grecia, Hungría, Irlanda,
Islandia, Italia, Letonia, Lituania, Luxemburgo, Malta, Noruega, Países Bajos, Polonia, Portugal, Reino
Unido, República Checa, República de Macedonia del Norte, Rumanía, Serbia, Suecia, Suiza y Turquía.
Declaración
El texto de la Norma ISO 19650-5:2020 ha sido aprobado por CEN como Norma EN ISO 19650-5:2020
sin ninguna modificación.
-7- UNE-EN ISO 19650-5:2020
Prólogo
ISO (Organización Internacional de Normalización) es una federación mundial de organismos

nacionales de normalización (organismos miembros de ISO). El trabajo de elaboración de las Normas
Internacionales se lleva a cabo normalmente a través de los comités técnicos de ISO. Cada organismo
miembro interesado en una materia para la cual se haya establecido un comité técnico, tiene el derecho
de estar representado en dicho comité. Las organizaciones internacionales, gubernamentales y no
gubernamentales, vinculadas con ISO, también participan en el trabajo. ISO colabora estrechamente con
la Comisión Electrotécnica Internacional (IEC) en todos los temas de normalización electrotécnica.
En la Parte 1 de las Directivas ISO/IEC se describen los procedimientos utilizados para desarrollar este
documento y aquellos previstos para su mantenimiento posterior. En particular debería tomarse nota
de los diferentes criterios de aprobación necesarios para los distintos tipos de documentos ISO. Este
documento ha sido redactado de acuerdo con las reglas editoriales de la Parte 2 de las Directivas ISO/IEC
(véase www.iso.org/directives).
Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento puedan
estar sujetos a derechos de patente. ISO no asume la responsabilidad por la identificación de alguno o
todos los derechos de patente. Los detalles sobre cualquier derecho de patente identificado durante el
desarrollo de este documento se indicarán en la Introducción y/o en la lista ISO de declaraciones de
patente recibidas (véase www.iso.org/patents).
Cualquier nombre comercial utilizado en este documento es información que se proporciona para
comodidad del usuario y no constituye una recomendación.
Para una explicación de la naturaleza voluntaria de las normas, el significado de los términos específicos
de ISO y las expresiones relacionadas con la evaluación de la conformidad, así como la información
acerca de la adhesión de ISO a los principios de la Organización Mundial del Comercio (OMC) respecto a
los Obstáculos Técnicos al Comercio (OTC), véase www.iso.org/iso/foreword.html.
La Norma ISO 19650-5 ha sido preparada por el Comité Técnico ISO/TC 59, Edificación y obra civil,
Subcomité SC 13, Organización y digitalización de la información de edificación y obra civil incluyendo la
modelización de la información de edificación (BIM), en colaboración con el Comité Europeo de
Normalización (CEN) Comité Técnico CEN/TC 442, Modelos de información relativos a la edificación,
conforme al acuerdo de cooperación técnica entre ISO y CEN (Acuerdo de Viena).
En el sitio web de ISO se puede encontrar un listado de todas las partes de la serie de Normas ISO 19650.
Cualquier comentario o pregunta sobre este documento deberían dirigirse al organismo nacional de
normalización del usuario. En www.iso.org/members.html se puede encontrar un listado completo de
estos organismos.
UNE-EN ISO 19650-5:2020 -8-
0 Introducción
El sector de la construcción está atravesando un período de evolución rápida. Se espera que la adopción
de Building Information Modelling (BIM) y el creciente uso de tecnologías digitales en el diseño, la cons-
trucción, la fabricación, la operación (funcionamiento) y mantenimiento de activos o productos, así
como la prestación de servicios en el sector de la construcción, tengan un efecto transformador para las
partes interesadas. Es probable que, para aumentar la eficacia y la eficiencia, las iniciativas o proyectos
que desarrollen nuevos activos o soluciones, o que modifiquen o gestionen los activos o soluciones
existentes, deban ser de naturaleza más colaborativa. Esa colaboración requiere métodos de trabajo más
transparentes y abiertos y, en la medida de lo posible, el intercambio y uso de la información digital de
forma apropiada.
La combinación del entorno construido, físico y digital, debería permitir el cumplimiento de los objeti-
vos futuros en materia fiscal, financiera, funcional, sostenibilidad y de crecimiento. Esto repercutirá en
los procesos de adquisición, desarrollo/entrega (delivery) y operación, incluyendo una mayor
colaboración entre disciplinas y sectores. También dará lugar a un mayor uso de herramientas digitales
y de disponibilidad de información. El uso de las tecnologías de la información ya está apoyando nuevas
formas de trabajo, como el desarrollo off-site, la construcción basada en elementos prefabricados y la
automatización on-site. Los sistemas ciberfísicos avanzados permiten, mediante sensores (el elemento
cibernético o informático) que controlan las partes físicas del sistema, trabajar en tiempo real para
producir resultados en el mundo real. Se espera que esos sistemas permitan beneficios tales como una
mayor eficiencia energética y una mejor gestión del ciclo de vida de los activos, mediante la captación
de información en tiempo real sobre su uso y estado. Estos sistemas ya se utilizan en el transporte, los
servicios públicos, las infraestructuras, los edificios, la industria, la sanidad y la defensa, así como en el
desarrollo de comunidades inteligentes cuando son capaces de interactuar como entornos ciberfísicos
integrados.
El uso creciente y la dependencia en las tecnologías de la información y la comunicación hacen necesario

abordar los problemas inherentes de vulnerabilidades y, por lo tanto, sus implicaciones de seguridad,
tanto para entornos construidos, activos, productos, servicios, personas o comunidades, como para
cualquier información relacionada.
Esta norma ofrece un marco para ayudar a las organizaciones a comprender las cuestiones fundamen-
tales sobre las vulnerabilidades y la naturaleza de los controles necesarios para gestionar los riesgos de
seguridad que se producen a un nivel tolerable para las partes interesadas. Su propósito no es, de
ninguna manera, socavar la colaboración o los beneficios que pueden generar el uso de BIM, los métodos
de trabajo colaborativos y las tecnologías digitales.
El término "organización" incluye no sólo los adjudicadores y los adjudicatarios, como se define en la
Norma ISO 19650-1, sino también a aquellas organizaciones que están del lado de la demanda pero que
no participan directamente en una adjudicación.
Los requisitos de seguridad de la información para una organización, un departamento o un sistema de

la organización individual se especifican en la norma ISO/IEC 27001 [6], pero no pueden aplicarse de
forma homogénea a varias organizaciones. El BIM, otros métodos de trabajo colaborativos y las tecnolo-
gías digitales implican, generalmente, el intercambio de información entre diversas organizaciones
independientes del sector de la construcción. Por ello, esta norma anima a adoptar un enfoque de segu-
ridad con un enfoque basado en los riesgos que pueda aplicarse tanto en un conjunto de organizaciones
como dentro de ellas. La idoneidad y proporcionalidad de la estrategia también tiene la ventaja de que
las medidas no impiden a las pequeñas y medianas empresas participar en el equipo de desarrollo.
-9- UNE-EN ISO 19650-5:2020
La estrategia basada en la seguridad puede aplicarse a lo largo del ciclo de vida de una iniciativa,
proyecto, activo, producto o servicio, ya sea planificado o existente, donde se obtiene, crea, procesa y/o
almacena información sensible.
La figura 1 muestra la integración de esta estrategia orientada a la seguridad junto a otras estrategias,
políticas, planes y requisitos de información de la organización para, mediante tecnología digital, llevar
a cabo el desarrollo proyectos, así como el mantenimiento y la operación, utilizando BIM.
Leyenda
A Estrategias y políticas coherentes y coordinadas
B Planes coherentes y coordinados
C Requisitos de información coherentes y coordinados
D Actividades realizadas durante la fase de operación de los activos
E Actividades realizadas durante la fase de desarrollo del activo (véase también la Norma ISO 19650-2)
1 Planes y objetivos organizativos
2 Plan/política de gestión estratégica de activos (véase la Norma ISO 55000)
3 Estrategia de seguridad
4 Otras estrategias y políticas de la organización
5 Plan de gestión de activos (véase la Norma ISO 55000)
6 Plan de gestión de la seguridad
7 Otros planes de la organización
8 Requisitos de información del activo (AIR)
9 Requisitos de información de seguridad (que forman parte del plan de gestión de la seguridad)
10 Requisitos de información de la organización (OIR)
11 Caso de negocio estratégico y programa estratégico
12 Uso operacional del activo
13 Medición del rendimiento y acciones de mejora
NOTA No hay un orden implícito en la numeración de A, B y C.
Figura 1 – Integración del enfoque de seguridad dentro del proceso más amplio de BIM
NOTA La Norma ISO 19650-1 contiene información sobre conceptos y principios, incluyendo OIR y AIR, para una mejor com-
prensión del enfoque de seguridad en el contexto de la serie de Normas ISO 19650.
UNE-EN ISO 19650-5:2020 - 10 -
La figura 2 resume el proceso de decisión sobre la necesidad y, en su caso, aplicación de del enfoque de
seguridad a la gestión de la información.
Leyenda
A Iniciar un enfoque de seguridad
B Desarrollar una estrategia de seguridad
C Desarrollar un plan de gestión de la seguridad
S Sí
N No
1 Mediante el proceso de triaje de seguridad (security triage), determinar si se requiere un enfoque de seguridad
2 Establecer acuerdos relativos a gobernanza, responsabilidad y rendición de cuentas del enfoque de seguridad
3 Comenzar el desarrollo del enfoque de seguridad
4 Evaluar los riesgos de seguridad
5 Desarrollar las medidas para reducir los riesgos de seguridad
6 Documentar los riesgos de seguridad admisibles
7 Desarrollar políticas y procesos para implantar las medidas de mitigación de riesgos de seguridad
8 Desarrollar los requisitos de información de seguridad
9 Elaborar los requisitos relativos al suministro de información a terceros (third parties)
10 Desarrollar de los requisitos de seguridad logística
11 Elaborar un plan de gestión de fallos e incidentes de seguridad
12 Trabajar con los adjudicatarios, haya o no un contrato formal, para integrar el enfoque de seguridad, incluida la
elaboración de acuerdos de intercambio de información cuando sea necesario
13 Vigilar, auditar y revisar
14 Proteger cualquier información comercial y personal sensible (no se requiere otro enfoque de seguridad)
15 Revisar si hay algún cambio en la iniciativa, proyecto, activo, producto o servicio que pueda afectar a su vulnerabilidad
Figura 2 – Proceso de implementación del enfoque de seguridad basado en esta norma
- 11 - UNE-EN ISO 19650-5:2020
La implantación de las medidas descritas en esta norma contribuirá a reducir el riesgo de pérdida, uso
indebido o alteración de información sensible que pueda tener un impacto en la protección, seguridad
y resiliencia de los activos, productos y el entorno construido, o de los servicios prestados por ellos.
También contribuirá a la protección frente a la pérdida, el robo o la divulgación de información comer-
cial, información personal y propiedad intelectual. Cualquier incidente de este tipo puede causar un
daño considerable a la reputación, dando lugar a la pérdida de oportunidades y al desvío de recursos
para llevar a cabo la investigación, resolución y acciones a través de los medios de comunicación, así
como interrumpir o retrasar las operaciones cotidianas. Además, cuando se producen incidentes y la
información se ha hecho pública, es virtualmente imposible recuperar toda esa información o impedir
que se siga difundiendo.
1 Objeto y campo de aplicación

Esta norma especifica los principios y requisitos para la gestión de la información enfocada a la
seguridad en una etapa de madurez descrita como "Building Information Modelling (BIM) según la serie
de Normas ISO 19650", conforme se define en la Norma ISO 19650-1, así como a la estrategia de seguri-
dad para la gestión de la información sensible que se obtiene, crea, procesa y almacena como parte o en
relación a cualquier iniciativa, proyecto, activo, producto o servicio.
Esta norma trata los pasos necesarios para crear y desarrollar una cultura y una mentalidad enfocadas
a la seguridad. adecuadas y proporcionadas en las organizaciones que tengan con acceso a información
sensible, incluyendo la necesidad de vigilar y auditar el cumplimiento.
El enfoque descrito es aplicable a lo largo del ciclo de vida de una actividad, proyecto, activo, producto
o servicio, tanto proyectado como existente, durante el cual se obtiene, crea, procesa o almacena
información sensible.
Esta norma está concebida para cualquier organización que emplee tecnologías y gestione la informa-
ción para en la creación, diseño, construcción, fabricación, operación, gestión, modificación, mejora,
demolición o reciclaje de activos o productos, así como la prestación de servicios, en el sector de la
construcción. También es de interés y relevancia para las organizaciones que deseen proteger su
información comercial, información personal y su propiedad intelectual.
2 Normas para consulta

En el texto se hace referencia a los siguientes documentos de manera que parte o la totalidad de su
contenido constituyen requisitos de este documento. Para las referencias con fecha, solo se aplica la
edición citada. Para las referencias sin fecha se aplica la última edición (incluida cualquier modificación
de esta).
ISO 19650-2, Organización y digitalización de la información en obras de edificación e ingeniería civil que
utilizan BIM (Building Information Modelling). Gestión de la información al utilizar BIM (Building
Information Modelling). Parte 2: Fase de desarrollo de los activos.
ISO 19650-3, Organización y digitalización de la información en obras de edificación e ingeniería civil que
utilizan BIM (Building Information Modelling). Gestión de la información al utilizar BIM. Parte 3: Fase de
explotación de los activos.
UNE-EN ISO 19650-5:2020 - 12 -
3 Términos y Definiciones
Para los fines de este documento, se aplican los términos y definiciones siguientes.
ISO e IEC mantienen bases de datos terminológicas para su utilización en normalización en las siguientes
direcciones:
– Plataforma de búsqueda en línea de ISO: disponible en http://www.iso.org/obp
– Electropedia de IEC: disponible en http://www.electropedia.org/
3.1 activo:
Elemento, objeto o entidad que tiene un valor real o potencial para una organización.
NOTA 1 Un activo puede ser fijo, móvil o desplazable. Puede ser un elemento individual de una instalación, un vehículo, un
sistema de equipos conectados, un espacio dentro de una estructura, una porción de terreno, una infraestructura
completa, un edificio entero o una cartera de activos, incluyendo el suelo o agua asociados. También puede incluir
información en formato digital o impreso.
NOTA 2 El valor de un activo puede cambiar a lo largo de su vida y un activo puede, todavía, tener valor al final de su vida. El
valor puede ser tangible, intangible, financiero o no financiero.
[FUENTE: ISO 55000:2014, 3.2.1, modificado. Se han eliminado las notas originales 1, 2 y 3; se han
añadido nuevas notas 1 y 2]
3.2 espacios multitudinarios:

Emplazamiento o área accesible al público, que puede considerarse de mayor riesgo de ataque terrorista
debido a la densidad población o a la naturaleza del lugar.
NOTA 1 Los espacios multitudinarios pueden incluir estadios y pabellones deportivos, festivales y salas de concierto; hoteles
y restaurantes; pubs, clubes, bares y casinos; calles comerciales, centros comerciales y mercados; atracciones
turísticas; cines y teatros; escuelas y universidades; hospitales y lugares de culto; centros de negocios y estaciones de
transporte. También pueden incluir espacios para eventos y de uso público como parques y plazas.
NOTA 2 Un espacio multitudinario no está necesariamente lleno de gente en todo momento, ya que la densidad de gente puede
variar y ser temporal, como en el caso de los eventos deportivos o los festivales al aire libre.
3.3 metadatos:
Datos que describen a los datos.
3.4 necesidad de saber:

Requisito legítimo de un posible receptor de información de conocer, acceder o poseer información
sensible (3.11).
3.5 apetito de riesgo:

Cantidad y tipo de riesgo que una organización está dispuesta a asumir o mantener.
[FUENTE: ISO 22300:2018, 3.202]
3.6 protección (safety)

Estado de ausencia relativa de amenaza (3.13) o de daño causado por actos o acontecimientos aleatorios
e involuntarios.
- 13 - UNE-EN ISO 19650-5:2020
3.7 seguridad (security):

Estado de ausencia relativa de amenaza (3.13) o de daño causado por actos deliberados, no deseados,
hostiles o malintencionados
3.8 brecha de seguridad:

Infracción o violación de la seguridad (3.7)
[FUENTE: ISO 14298:2013, 3.30]
3.9 incidente de seguridad:

Acto sospechoso o circunstancia que amenacen la seguridad (3.7).
3.10 estrategia de seguridad:

Comprensión y aplicación sistemática de medidas de seguridad (3.7) apropiadas y proporcionadas en
cualquier situación comercial para disuadir o interrumpir comportamientos o actividades hostiles, mali-
ciosos, fraudulentos y delictivos.
3.11 información sensible:

Información cuya pérdida, uso indebido, alteración o acceso no autorizado puede:
– afectar negativamente a la privacidad, la seguridad (security, 3.7) o la protección (safety, 3.6) de una
o más personas;
– comprometer la propiedad intelectual o los secretos comerciales de una organización;
– causar daños comerciales o económicos a una organización o país; y/o
– amenazar la seguridad y los asuntos internos y exteriores de una nación
3.12 riesgo residual:

Riesgo que permanece después de la aplicación de las medidas de control.
[FUENTE: ISO 16530-1:2017, 3.52]
3.13 amenaza:
Causa potencial de un incidente que podría producir un daño.
3.14 alta dirección:

Persona o grupo de personas que dirige y controla una organización al más alto nivel.
NOTA 1 La alta dirección tiene el poder para delegar autoridad y proporcionar recursos dentro de la organización.
NOTA 2 En el contexto de esta norma, la gestión debe considerarse como la función y no como la actividad.
FUENTE: ISO 9000:2015, 3.1.1, modificado - Las notas originales 2 y 3 han sido eliminadas; se ha
añadido una nueva nota 2]
3.15 vulnerabilidad:
Debilidad que puede ser explotada para causar daño.
UNE-EN ISO 19650-5:2020 - 14 -
4 Determinar la necesidad de un enfoque de seguridad mediante un proceso de

evaluación de la sensibilidad
4.1 Realización del proceso de evaluación de la sensibilidad

El proceso para llevar a cabo una evaluación de la sensibilidad se describe en los apartados 4.2 a 4.4.
4.2 Comprensión del rango de riesgos de seguridad
4.2.1 La alta dirección de una organización que participa en:
a) el lanzamiento de un proyecto de desarrollo de uno o más activos, productos o servicios nuevos, o

la modificación/mejora de un activo, producto o servicio existente;
b) la gestión, explotación, reutilización o enajenación de uno o más activos; y/o
c) la prestación de servicios relacionados con los activos;
debe identificar el rango de riesgos de seguridad provocados por una mayor disponibilidad de
información, la integración de servicios y sistemas y el aumento de la dependencia de los sistemas
tecnológicos.
4.2.2 El anexo A proporciona información sobre los tipos de riesgos para la seguridad que se deben
considerados.
Si intervienen dos o más organizaciones, la alta dirección de cada una de ellas debe seguir las instruccio-
nes del apartado 4.2.1 de manera coordinada.
NOTA La intervención de varias organizaciones puede darse en una ciudad/comunidad, en un desarrollo grande y multifun-
cional, o en el desarrollo de un sistema de transporte.
4.3 Identificación de las sensibilidades de la organización
4.3.1 Teniendo en cuenta el rango de riesgos de seguridad existentes, las organizaciones menciona-
das en los apartados 4.2.1 y 4.2.3 deben determinar si una iniciativa, proyecto, activo, producto o
servicio, tanto planificados como existentes, así como toda o parte de la información asociada, debe ser
considerada sensible.
NOTA Siempre que se utilice el término "organización” u “organizaciones”" en este documento, se refiere a las organizaciones
mencionadas en los apartados 4.2.1 y 4.2.3.
4.3.2 Un activo construido debe considerarse sensible, en su totalidad o en parte, si:
a) incluye una infraestructura crítica nacional, identificada por la administración local o nacional;
b) desempeña una función de defensa, de mantenimiento del orden público, de seguridad nacional o
diplomática;
- 15 - UNE-EN ISO 19650-5:2020
c) se trata de un emplazamiento comercial empleado para la creación, el procesado, el comercio o el alma-

cenamiento de materiales valiosos, de dinero, de productos farmacéuticos, químicos, petroquímicos o
gases, o para el suministro fabricación de catalizadores para la fabricación de dichos materiales;
d) es un lugar de interés, un espacio de importancia nacional o un lugar de gran afluencia de público;
e) se utiliza, o se pretende utilizar, para acoger acontecimientos importantes para la seguridad.
NOTA El hecho de que un activo construido no se ajuste a los criterios descritos no impide la aplicación de un nivel de
seguridad más alto si las organizaciones así lo estiman.
4.3.3 Un activo, producto o servicio debe considerarse sensible si existe un riesgo suficiente de sea,
o pueda ser, utilizado para comprometer significativamente la integridad, protección, seguridad o la
resiliencia de un activo, producto o servicio, o su capacidad de funcionamiento.
4.3.4 Un activo, producto o servicio también debe considerarse sensible si el riesgo para la
protección, seguridad o la privacidad de los individuos o comunidades, o para su información personal,
supera el apetito de riesgo de las organizaciones.
4.3.5 En caso de incertidumbre sobre si una iniciativa, proyecto, activo, producto o servicio es o no
sensible, las organizaciones deben solicitar asesoramiento con los expertos en seguridad apropiados,
capaces de demostrar competencia en los campos requeridos.
NOTA El anexo A proporciona información sobre la forma de obtener asesoramiento adecuado en materia de seguridad.
4.4 Establecimiento de la sensibilidad de terceros
4.4.1 Se debe considerar también, en la evaluación de una iniciativa, proyecto, activo, producto o
servicio, si será o ya es posible acceder a la información no disponible al público de otro modo sobre
otras organizaciones, sus activos, productos o servicios.
NOTA Por ejemplo, los estudios físicos de estructuras subterráneas, redes de infraestructura y sistemas en terrenos privados
pueden ser información sensible no disponible públicamente.
4.4.2 La organización u organizaciones deben consultar con las organizaciones interesadas, a menos
que sea inviable por motivos comerciales o de sensibilidad local, para determinar si alguna de esa
información es sensible y, en caso afirmativo, las medidas que deben aplicarse para su recogida, proce-
sado, almacenamiento, intercambio, eliminación y destrucción.
4.5 Registro del resultado de la evaluación de la sensibilidad

La organización u organizaciones deben registrar y conservar el resultado de cada proceso de evalua-
ción de la sensibilidad, incluso cuando no se haya identificado ninguna sensibilidad, y reconocer que el
resultado puede ser en sí mismo sensible.
4.6 Revisión de la evaluación de la sensibilidad
4.6.1 La organización u organizaciones deben establecer un mecanismo adecuado para llevar a cabo
revisiones periódicas y puntuales (desencadenadas por eventos) para comprobar si la sensibilidad de
una iniciativa, proyecto, activo, producto o servicio ha cambiado por razones políticas, económicas,
sociales, tecnológicas, jurídicas o ambientales.
UNE-EN ISO 19650-5:2020 - 16 -
4.6.2 También debe realizarse una revisión en caso de que se produzca un cambio significativo en la
iniciativa, el proyecto, el activo, el producto o el servicio, incluyendo:
a) la propiedad, el uso o la ocupación de un activo construido;
b) los procesos o sistemas utilizados para la gestión de un activo construido o la fabricación de un

activo o producto;
c) la información recogida, procesada o almacenada;
d) el servicio prestado; o
e) el entorno de seguridad.
4.6.3 Deben realizarse revisiones adicionales desencadenadas por eventos cuando se produzcan
hechos que revelen vulnerabilidades no consideradas previamente.
4.7 Determinación de la necesidad de un enfoque de seguridad

La organización u organizaciones deben aplicar el proceso de triaje de seguridad descrito en la figura 3
para determinar si se requiere un enfoque de seguridad para la iniciativa, el proyecto, el activo, el
producto o el servicio.
- 17 - UNE-EN ISO 19650-5:2020
Leyenda
A ¿Se considera sensible la iniciativa, el proyecto, el activo, el producto o el servicio y la información asociada, tanto
planificados como existentes, así como toda o parte de la información asociada (véase 4.3)?
B ¿Será, o ya es posible, acceder a información no disponible al público de otro modo sobre otra organización, sus activos,
productos o servicios (véase 4.4.1)?
C ¿Se considera confidencial la información sobre otra organización, sus activos, productos o servicios (véase 4.4.2)?
S Sí
N No
ST1 Proteger la información sensible relativa a la iniciativa, el proyecto, el activo, el producto o el servicio, así como la
información sensible de terceros, aplicando los capítulos 5 a 9
ST2 Proteger la información sensible relativa a la iniciativa, proyecto, activo, producto o servicio aplicando los capítulos 5 a 9
ST3 Proteger la información sensible de terceros aplicando los capítulos 5 a 9. Proteger cualquier información comercial y
personal sensible
ST4 Proteger cualquier información comercial y personal sensible
NOTA ST es el acrónimo de security triage (triaje de seguridad).
Figura 3 – Proceso de triaje de seguridad
4.8 Registro del resultado del proceso de triaje de seguridad

La organización u organizaciones deben registrar el resultado (ST1, ST2, ST3 o ST4) de la aplicación del
proceso de triaje de seguridad para cada iniciativa, proyecto, activo, producto o servicio al que se
aplique, incluso cuando no se haya identificado la necesidad de un enfoque de seguridad más allá de la
protección de la información comercial y personal sensible.
4.9 Se necesita un enfoque seguridad

Cuando una iniciativa, proyecto, activo, producto o servicio:
UNE-EN ISO 19650-5:2020 - 18 -
a) se ha determinado que es sensible, en todo o en parte; y/o
b) contendrá información de terceros que se ha identificado como sensible;
la alta dirección de la organización (u organizaciones) debe, de acuerdo con los requisitos de esta norma,
desarrollar y aplicar un enfoque de seguridad adecuado y proporcionado.
4.10 No se necesita un enfoque de seguridad

Cuando una iniciativa, un proyecto, un activo, un producto o un servicio no se considera sensible y no
tiene acceso a información sensible de otros terceros, las organizaciones deben determinar si existen
beneficios comerciales de la aplicación de un enfoque de seguridad.
NOTA 1 Es prudente que las organizaciones adopten las medidas adecuadas para minimizar las amenazas derivadas del fraude
y otras actividades delictivas e incidentes de ciberseguridad.
NOTA 2 Es probable que las medidas de seguridad básicas relativas a la información personal y comercial sea necesario por
los requisitos de la designación o de la legislación.
NOTA 3 A menos que las organizaciones deseen adoptar un mayor nivel de seguridad, no es necesario aplicar los requisitos
de los capítulos 5 a 9 a la iniciativa, proyecto, activo, producto o servicio que está siendo evaluada.
5 Inicio de la estrategia de seguridad
5.1 Establecer la gobernanza, las responsabilidades y las obligaciones del enfoque de

seguridad
5.1.1 Cuando una organización desarrolla un enfoque de seguridad, la alta dirección debe definir la
persona de la alta dirección responsable del enfoque de seguridad que se adopte.
5.1.2 Cuando dos o más organizaciones desarrollan colaborativamente un enfoque de seguridad, la

dirección de cada organización debe establecer un mecanismo formal para:
a) crear la estructura de gobierno necesaria, asegurando que esté formada legalmente y que las
relaciones de esta estructura con las organizaciones pertinentes estén formalmente documentadas
y acordadas;
b) acordar que una o más partes dirigirán el desarrollo de la estrategia y, si esta función de liderazgo
se comparte entre los organismos, asegurar que las responsabilidades y obligaciones están clara-
mente definidas;
c) designar a las personas que deben ser responsables del enfoque de seguridad que se adopte; y
NOTA 1 Las personas son designadas para ejercer los derechos legales y cumplir las obligaciones de sus respectivas
organizaciones.
d) revisar y, cuando proceda, actualizar la estructura de gestión y las designaciones.
NOTA 2 Contar con un enfoque de seguridad acordado de forma colaborativa es más robusto que cuando estos organis-
mos trabajan por separado.
- 19 - UNE-EN ISO 19650-5:2020
5.1.3 Las organizaciones que apliquen un enfoque de seguridad deben definir a la persona o
personas responsables de:
a) proporcionar una visión holística de las amenazas a la seguridad y las vulnerabilidades derivadas
de la utilización de las tecnologías de la información y la comunicación pertinentes para la iniciativa,
el proyecto, activo, producto o servicio, así como de la dependencia en estas tecnologías;
b) ofrecer recomendaciones y orientación sobre la forma de gestionar los riesgos de seguridad resultantes;
c) gestionar el desarrollo de una estrategia de seguridad o, cuando la organización ya disponga de ella,

gestionar la integración en un registro de los riesgos adicionales para la seguridad y las medidas de
mitigación de riesgos derivados del uso de las tecnologías de la información y la comunicación
pertinentes para la iniciativa, el proyecto, el activo, el producto o el servicio, así como de la
dependencia en estas tecnologías (véase el capítulo 6);
d) gestionar la elaboración de un plan de gestión de la seguridad y ayudar a su implantación o, si la

organización ya tiene un plan de gestión de la seguridad, gestionar la integración de políticas y
procesos adicionales pertinentes para este plan (véase el capítulo 7);
e) ayudar a incorporar los requisitos de seguridad necesarios en todos los documentos de contra-
tación y designación;
f) promover una cultura de seguridad, de modo que todo el personal comprenda sus responsa-
bilidades y se comporte de forma segura;
g) informar a los terceros pertinentes de los aspectos apropiados de las políticas y procesos de
seguridad;
h) asesorar sobre la necesidad de revisar y auditar las políticas y procesos pertinentes en el área de la
seguridad, así como llevar a cabo estas revisiones y auditorías;
i) asesorar sobre la necesidad de probar las medidas de seguridad pertinentes y, de ser necesario
cuando proceda, realizar o encargar esas pruebas; y
j) cuando sea adecuado y necesario, solicitar el asesoramiento de expertos en seguridad apropiados,

que puedan demostrar competencia en las áreas requeridas, a fin de obtener recomendaciones
adicionales.
5.1.4 La persona o personas que realicen las actividades enumeradas en el apartado 5.1.3 deben
tener una línea jerárquica clara para la comunicación con la persona responsable de la seguridad en su
organización.
NOTA Estas funciones pueden ser desempeñadas por una persona debidamente calificada y experimentada que pueda asumir
o ser responsable de la seguridad y otras funciones dentro de la organización o que pueda ser un experto adecuado
empleado por la organización.
5.1.5 Debe considerarse aceptable que determinadas tareas o funciones de seguridad sean delega-
das em el día a día a otras personas (por ejemplo, la seguridad del personal para los recursos humanos,
la ciberseguridad para el responsable de tecnologías de la información y la seguridad física de los activos
para el gestor del activo o de las instalaciones). Sin embargo, la persona o personas identificadas para
realizar las actividades enumeradas en el apartado 5.1.3 deben seguir siendo responsables de la eficacia
de las operaciones de cada uno de esos aspectos de la seguridad.
UNE-EN ISO 19650-5:2020 - 20 -
5.2 Inicio del desarrollo del enfoque de seguridad
5.2.1 En el caso de una iniciativa, proyecto, activo, producto o servicio planificado, la estrategia de
seguridad debe desarrollarse lo antes posible durante las etapas de planificación.
NOTA La información sobre el desarrollo que se hace pública puede ser de interés para el reconocimiento hostil en las
primeras etapas del proceso de diseño.
5.2.2 Cuando ya existe una iniciativa, proyecto, activo, producto o servicio sensible, la estrategia de
seguridad debe desarrollarse lo antes posible y debe tener en cuenta la qué información ya se ha hecho
pública.
5.2.3 Cuando la actividad esté en la etapa de desarrollo de un activo, utilizando BIM, la estrategia de
seguridad debe desarrollarse de acuerdo con los requisitos descritos en la Norma ISO 19650-2.
5.2.4 Cuando la actividad esté en la etapa de funcionamiento (operación) de un activo, utilizando

BIM, la estrategia de seguridad debe desarrollarse de acuerdo con los requisitos descritos en la Norma
ISO 19650-3.
6 Desarrollo de una estrategia de seguridad
6.1 Información general
6.1.1 La organización u organizaciones deben desarrollar y mantener una estrategia de seguridad

que debe incluir:
a) un registro del resultado de la aplicación del proceso de triaje de seguridad;
b) las disposiciones relativas a la gobernanza, las responsabilidades y las obligaciones en materia de

seguridad;
c) la evaluación de los riesgos de seguridad específicos para la organización u organizaciones,

derivados de mayor disponibilidad de información, la integración de servicios y sistemas, así como
de la mayor dependencia de los sistemas tecnológicos (véase 6.2);
d) las medidas de mitigación de riesgos potenciales para hacer frente a esos riesgos de seguridad y las
medidas de mitigación a aplicar (véase 6.3);
e) un resumen de los riesgos de seguridad admisibles y de los riesgos residuales de seguridad

admisibles (véase 6.4); y
f) los mecanismos de revisión y actualización de la estrategia de seguridad (véase 6.5).
NOTA Los principios, el marco y el proceso para la gestión de riesgos a nivel general están definidos en la Norma ISO 31000
[7].
6.1.2 La estrategia de seguridad debe tener en cuenta los requisitos legales y las normas técnicas
que se hayan identificado como pertinentes para la iniciativa, proyecto, activo, producto o servicio.
6.1.3 La estrategia de seguridad debe ser aprobada por la alta dirección de la organización u organi-
zaciones.
- 21 - UNE-EN ISO 19650-5:2020
6.1.4 El acceso a cualquier parte del enfoque de seguridad que identifique aspectos sensibles de la
iniciativa, del proyecto, activo, producto o servicio, o que detalle los riesgos de seguridad identificados,
debe gestionarse sobre la base de la estricta necesidad de saber, y toda esa información está sujeta a
medidas de seguridad adecuadas al nivel de riesgo respecto a su creación, procesado y almacenamiento.
6.2 Evaluación de los riesgos de seguridad
6.2.1 La organización u organizaciones deben evaluar los riesgos específicos para la seguridad
derivados de una mayor disponibilidad de información, la integración de servicios y sistemas, así como
la dependencia de los sistemas tecnológicos, mediante la evaluación de:
a) las amenazas potenciales;
b) las posibles vulnerabilidades;
c) la naturaleza del daño que pueda causarse a la iniciativa, proyecto, activo, producto o servicio, así
como al personal, a los ciudadanos y al entorno cercano; y
d) la probabilidad de que una vulnerabilidad sea explotada y provoque ese impacto.
NOTA Al evaluar los riesgos de seguridad, puede ser apropiado utilizar la misma metodología de puntuación riesgos que esté
implementada en otras partes de la organización.
6.2.2 Cuando la información ya se haya publicado, la evaluación de los riesgos de seguridad debe
tener en cuenta el hecho de que, una vez que la información se ha publicado en Internet o se ha hecho
pública de otro modo, es prácticamente imposible borrar, destruir, eliminar o asegurar todas las copias.
6.2.3 Cuando proceda, la evaluación de los riesgos de seguridad debe incluir los riesgos para la
seguridad asociados con el acceso a la información de otras organizaciones que, de otra manera, no está
disponible públicamente.
6.3 Desarrollo de medidas de mitigación de riesgos de seguridad
6.3.1 La organización u organizaciones deben identificar y registrar las posibles medidas de

mitigación para cada riesgo de seguridad identificado o combinación de ellos.
6.3.2 Para identificar y registrar las posibles medidas de mitigación, las organizaciones deben tener
en cuenta los controles y requisitos relativos a la seguridad del personal, la seguridad física y la
seguridad técnica, así como los requisitos de gestión de la información.
NOTA 1 La interacción entre los controles de personal, los controles físicos y los controles técnicos puede ser explotados por
agentes hostiles si no se han analizado los vínculos entre estas áreas.
NOTA 2 Las medidas de mitigación desarrolladas también pueden tener por objeto preservar o proteger el valor comercial,
económico y social.
NOTA 3 El anexo B proporciona información sobre los tipos de medidas de control de seguridad y de los factores de gestión
de la información.
6.3.3 Al evaluar cada posible medida de mitigación, las organizaciones deben tener en cuenta:
UNE-EN ISO 19650-5:2020 - 22 -
a) el coste de la medida de mitigación y de su implantación;
b) la mitigación del riesgo que puede lograrse y el nivel de riesgo residual;
c) el impacto previsto en los costes de la medida de mitigación;
d) otros efectos que la medida de mitigación pueda tener en el activo (por ejemplo, la usabilidad, la
eficiencia y el aspecto);
e) la posibilidad de que la medida cree nuevas vulnerabilidades; y
f) si la medida proporciona otros beneficios empresariales.
NOTA Los beneficios empresariales pueden incluir la mitigación del riesgo empresarial general y garantizar el valor de los
activos, incluida la información.
6.3.4 La organización u organizaciones deben utilizar el resultado de la evaluación para determinar

qué medidas, si procede, se ponen en marcha.
NOTA Una medida de mitigación proporcionada es pragmática, apropiada y eficaz en costes.
6.4 Documentación de los riesgos de seguridad residuales y admisibles
6.4.1 Tras la elaboración de medidas de mitigación de los riesgos de seguridad, las organizaciones
deben identificar y registrar cualquier riesgo residual para la seguridad.
6.4.2 La organización u organizaciones deben mantener los procesos de evaluación de riesgos de

seguridad y el desarrollo de medidas de mitigación para esos riesgos de seguridad asociadas, siempre y
hasta que se alcance un punto en que no se supere el apetito de riesgo de la organización individual o el
conjunto de organizaciones.
6.4.3 La organización u organizaciones deben documentar los riesgos de seguridad admisibles.
6.5 Revisión de la estrategia de seguridad
6.5.1 La organización u organizaciones deben establecer un mecanismo apropiado para llevar a cabo
revisiones, periódicas y puntuales (desencadenadas por eventos), de la estrategia de seguridad,
incluyendo la eficacia de las medidas de mitigación puestas en marcha, a fin de comprobar que sigue
siendo apropiada para los objetivos previstos.
6.5.2 Las revisiones desencadenadas por eventos deben realizarse cuando se produzcan cambios
políticos, económicos, sociales, organizativos, tecnológicos, legales o medioambientales, que puedan
tener un impacto significativo en la iniciativa, proyecto, activo, producto o servicio, así como cuando la
información asociada o los eventos revelen vulnerabilidades que no se hayan identificado previamente.
6.5.3 Las revisiones deben considerar el posible impacto en las designaciones existentes que puedan
verse afectadas por cambios significativos en las medidas de mitigación, en particular cuando se trate
de un cambio del alcance.
- 23 - UNE-EN ISO 19650-5:2020
6.5.4 Tras una revisión, la estrategia de seguridad debe actualizarse para tener en cuenta cualquier
cambio en las amenazas, vulnerabilidades, riesgos de seguridad resultantes o medidas de mitigación de
los riesgos de seguridad.
6.5.5 La realización de cada revisión se debe registrar y conservar como parte de la estrategia de
seguridad.
6.5.6 El acceso a cualquier parte de la revisión que identifique aspectos sensibles de la iniciativa,
proyecto, activo, producto o servicio, o que detalle los riesgos de seguridad identificados, debe
gestionarse de acuerdo con el principio estricto de la necesidad de conocer, con toda esa información
sujeta a medidas de seguridad adaptadas al nivel de riesgo en lo que respecta a su creación, distribución,
uso, almacenamiento, eliminación y destrucción.
7 Desarrollo de un plan de gestión de la seguridad
7.1.1 La organización u organizaciones deben desarrollar, mantener y aplicar un plan de gestión de

la seguridad que permita la aplicación coherente y holística de las medidas de mitigación acordadas y
establecidas en la estrategia de seguridad.
7.1.2 Cuando proceda, la gestión de la seguridad debe relacionarse con otras políticas y procesos de
seguridad establecidos por las organizaciones.
7.1.3 El plan de gestión de la seguridad debe contener, con respecto a las organizaciones y sus
equipos de desarrollo:
a) las políticas que establecen las normas de la empresa relacionadas con la seguridad derivadas de
las medidas de mitigación acordadas;
b) los procesos derivados de las políticas de seguridad y las recomendaciones para su aplicación de
forma coherente;
c) los requisitos de información de seguridad que detallan qué información debe considerarse
sensible, así como las políticas y procesos de creación, distribución, uso, almacenamiento,
eliminación y destrucción de esa información;
d) los requisitos relativos al suministro de información a terceros (véase 7.2);
e) cuando proceda, los requisitos de seguridad logística (véase 7.3);
f) un plan de gestión para las brechas e incidentes de seguridad (véase el capítulo 8);
g) los detalles de las obligaciones y la responsabilidad de la aplicación de los diferentes aspectos del
plan de gestión de la seguridad (véase 7.4);
h) los requisitos de vigilancia y auditoría, incluyendo las pruebas de las medidas de seguridad en vigor
(véase 7.5); y
UNE-EN ISO 19650-5:2020 - 24 -
i) los mecanismos de revisión y actualización del plan de gestión de la seguridad (véase 7.6).
NOTA Cualquier deficiencia u omisión en el plan de gestión de la seguridad reducirá la eficacia de la estrategia de seguridad y
aumentará el riesgo de una brecha o incidente de seguridad.
7.1.4 El plan de gestión de la seguridad se debe utilizar para informar de los requisitos de seguridad
contenidos en todos los documentos de contratación y designación (véase el capítulo 9).
7.2 Suministro de información a terceros
7.2.1 El plan de gestión de la seguridad debe establecer los requisitos de la organización u organiza-
ciones para realizar una evaluación previa a compartir o publicar la información o modelo de infor-
mación, ya sea nueva, modificada o existente, tanto en su totalidad como de forma parcial.
7.2.2 La evaluación previa debe ser capaz de responder, cuando proceda, a:
a) la necesidad de cumplir con el proceso reglamentario y legislativo;
b) las solicitudes de información recibidas por una organización sujeta a las disposiciones de la
legislación sobre acceso público o transparencia; y
c) la necesidad de disponer de documentos que puedan utilizarse en actos públicos y profesionales,

en publicaciones comerciales, técnicas, académicas o de otro tipo, así como en sitios web.
7.2.3 En la medida de lo posible, la evaluación debe determinar si la información o el modelo de

información, en su totalidad o en parte:
a) contiene o permite deducir información sensible acerca de una iniciativa, proyecto, activo,
producto, servicio, individuo o grupo/comunidad, incluida la información sobre vulnerabilidades;
b) cuando se agrega al material compartido o publicado existente, permite deducir información

sensible; y
c) cuando sea el caso, ayuda a determinar la forma de utilización de uno o más activos o el estilo de
vida de individuos o grupos/comunidades que no se hayan públicos de otro modo.
NOTA El anexo C muestra recomendaciones sobre las áreas cubiertas por este tipo de evaluación.
7.2.4 Cuando la evaluación determine que se da alguna de esas circunstancias, las organizaciones
deben adoptar un enfoque apropiado y proporcionado, basado en los riesgos de que esa información se
publique o comparta.
NOTA El anexo C muestra recomendaciones sobre las medidas que pueden tomarse para reducir los riesgos de seguridad.
7.2.5 El acceso a cualquier parte de la evaluación que detalle información sensible debe gestionarse
de acuerdo con el principio estricto de necesidad de conocer, con la información que contiene sujeta a
medidas de seguridad adecuadas relativas a su creación, distribución, uso, almacenamiento, eliminación
y destrucción.
- 25 - UNE-EN ISO 19650-5:2020
7.3 Seguridad logística
7.3.1 Cuando proceda, el plan de gestión de la seguridad debe establecer las medidas de seguridad
adecuadas y proporcionales en relación a la definición, adquisición, diseño, fabricación, transporte,
instalación y puesta en marcha de cualquier activo sensible.
NOTA Al desarrolla estas medidas, se puede solicitar el asesoramiento de especialistas.
7.3.2 La organización u organizaciones deben considerar:
a) el calendario de instalación de cualquier activo o sistema sensible respecto a la seguridad debe

permitir el acceso a esos activos o zonas, cuando sea posible, exclusivamente a quienes que tengan
una necesidad justificada;
b) la implantación de medidas de seguridad apropiadas y proporcionadas en torno a todos los activos

y sistemas sensibles que, por razones logísticas, deban instalarse antes de lo que sería deseable; y
c) la implantación de medidas apropiadas y proporcionadas para limitar o perturbar el éxito de un

reconocimiento físico hostil.
7.4 Gestión de las obligaciones y responsabilidades en materia de seguridad

Cada política del plan de gestión de la seguridad debe identificar a la persona o personas que ejercen las
funciones de gestión de la seguridad, de las que son responsables respecto a su implantación, gestión,
vigilancia y evaluación.
7.5 Vigilancia y auditoría
7.5.1 En el plan de gestión de la seguridad se deben especificar las medidas apropiadas y proporcio-
nadas para la vigilancia, la auditoría y para las pruebas que se llevarán a cabo durante todo el ciclo de
vida de la iniciativa, proyecto, activo, producto o servicio, y que debe incluir, como mínimo y según lo
determinado por un método de muestreo basado en los riesgos, una evaluación de:
a) la implantación de todos los aspectos del plan de gestión de la seguridad; y
b) el cumplimiento, por parte de cualquier equipo de desarrollo, de todos los aspectos pertinentes del
plan de gestión de la seguridad.
NOTA 1 Es necesario lograr un equilibrio entre una verificación formal que incluya auditorías de los adjudicatarios y un
sistema de verificación basado en los principios de honor y confianza.
NOTA 2 Cuando proceda, el cumplimiento, por parte del equipo de desarrollo, de todos los aspectos pertinentes del plan de
gestión de seguridad, puede formar parte de su evaluación de la idoneidad y la capacidad, como se define en la Norma
ISO 19650-1.
NOTA 3 La vigilancia y auditoría del plan de gestión de la seguridad puede basarse en normas como la ISO 19011 [3].
7.5.2 El plan de gestión de la seguridad debe exigir que sólo las personas calificadas y con expe-
riencia puedan realizar esta labor de vigilancia y auditoría.
UNE-EN ISO 19650-5:2020 - 26 -
7.5.3 La organización u organizaciones pueden delegar parte de la responsabilidad de la verificación

del cumplimiento dentro del equipo de desarrollo al adjudicatario principal, pero deben mantener la
responsabilidad de la eficacia general de los controles de seguridad.
7.6 Revisión del plan de gestión de la seguridad
7.6.1 La organización u organizaciones deben establecer el procedimiento apropiado para llevar a

cabo revisiones del plan de gestión de la seguridad, las periódicas y las desencadenadas por eventos,
incluyendo los requisitos de información sobre seguridad y el plan de gestión de las brechas e incidentes
de seguridad, para verificar que sigue siendo apto para el propósito.
7.6.2 Las revisiones desencadenadas por eventos deben llevarse a cabo después de una evaluación
de la estrategia de seguridad, en caso de una brecha o incidente de seguridad o si se produce un cambio
político, económico, social, organizativo, tecnológico, legal o medioambiental que puede tener un
impacto significativo en:
a) los tipos de brechas e incidentes de seguridad que pueden ocurrir;
b) el proceso a seguir, incluyendo la necesidad de reunir pruebas forenses; y
c) las medidas de continuidad de negocio y las acciones de recuperación.
7.6.3 Las revisiones deben tener en cuenta el posible impacto de cualquier cambio en las políticas y
procesos en las designaciones existentes, en particular cuando se trate de un cambio del alcance.
7.6.4 Tras una revisión, el plan de gestión de la seguridad debe actualizarse para reflejar cualquier
cambio, así como para abordar cualquier carencia o deficiencia identificada que reduzca la capacidad
del plan para lograr el nivel requerido de mitigación de los riesgos de seguridad.
7.6.5 Los cambios en el plan de gestión de la seguridad deben comunicarse dentro de las organiza-
ciones y a los adjudicatarios.
7.6.6 La realización de cada revisión se debe registrar y conservar como parte del plan de gestión de
la seguridad.
8 Desarrollo de un plan de gestión de brechas e incidentes de seguridad
8.1.1 La organización u organizaciones deben crear y mantener un plan de gestión de brechas e

incidentes de seguridad como parte del plan de gestión de la seguridad, que debe incluir:
a) una evaluación de los tipos de brechas e incidentes de seguridad que pueden producirse y los
posibles riesgos que pueden derivarse de ellos que afecten a las organizaciones, sus operaciones,
activos y su reputación, a su personal y a terceros;
b) el proceso que se seguirá en caso de que se descubra una brecha o un incidente de seguridad,
incluyendo los cuasi-incidentes que hayan estado próximos a producirse (ver 8.2);
- 27 - UNE-EN ISO 19650-5:2020
c) medidas de continuidad de negocio y acciones de recuperación que proporcionen el mismo nivel

de seguridad que los sistemas de uso cotidiano, incluyendo, cuando proceda, la recolección de
evidencias que puedan ser utilizadas ante la ley (véase 8.3);
d) el proceso de revisión a realizar tras una brecha o incidente de seguridad (véase 8.4); y
e) los mecanismos para revisar y actualizar el plan de gestión de brechas e incidentes de seguridad
(véase 8.5).
8.1.2 Algunas partes del plan de gestión de las brechas e incidentes de seguridad pueden estar
cubiertas por otros planes existentes o por medidas específicas de cada país, en cuyo caso se deben
existir referencia cruzadas con estos planes o medidas.
8.1.3 Las partes del plan de gestión de las brechas e incidentes de seguridad que registran los riesgos
para las organizaciones deben gestionarse de acuerdo con el principio estricto de necesidad de saber,
con la información contenida en esas partes sujeta a las medidas de seguridad apropiadas relativas a su
creación, distribución, uso, almacenamiento, eliminación y destrucción.
8.2 Detección de una brecha o incidente de seguridad

La organización u organizaciones deben establecer las medidas a adoptar en caso de que se detecte una
brecha o incidente de seguridad, las cuales deben incluir:
a) las personas o funciones con las que hay que ponerse en contacto inmediatamente y sus datos de
contacto;
b) los procesos utilizados para identificar a las partes afectadas (concerned parties);
c) los procedimientos de notificación a las partes afectadas y la información a facilitar; y
d) la gestión con cualquier tercero, organismo regulador, medios de comunicación o interés público,
en el caso de una brecha o incidente de seguridad.
8.3 Contención y recuperación

La organización u organizaciones deben establecer las medidas de contención y recuperación a adoptar
en caso de una brecha o incidente de seguridad, que deben incluir:
a) medidas para reducir posteriores daños o pérdidas;
b) una evaluación de lo que se ha perdido, comprometido, dañado o corrompido;
c) las circunstancias y el enfoque necesario para la recogida de evidencias que puedan ser utilizadas
ante la ley; y
d) las medidas de preparación forense necesarias para permitir, cuando sea necesario, la recogida de
información forense sobre el incidente para su uso por parte de las fuerzas del orden y/o un análisis
detallado de las causas fundamentales de los incidentes.
UNE-EN ISO 19650-5:2020 - 28 -
En los casos en que sea necesario reunir evidencias que puedan usarse legalmente, todas las evidencias
(es decir, tanto físicas como digitales) que puedan servir para identificar la causa del evento y sus
autores deben ser preservadas y recogidas antes de adoptar las medidas de recuperación, a menos que
tomar estas medidas de forma inmediata sea necesaria para proteger la integridad física de las personas.
NOTA Es importante recoger pruebas forenses antes de adoptar las medidas de recuperación, ya que estas medidas pueden
destruir o contaminar las evidencias digitales.
8.4 Revisión después de una brecha o incidente de seguridad
8.4.1 Tras las medidas iniciales de contención y recuperación, la organización u organizaciones

deben realizar una evaluación del riesgo que se mantiene. En esta evaluación, deben evaluarse las causas
del evento, identificar las posibles contramedidas y evaluar el riesgo residual, así como cualquier posible
riesgo nuevo o agravado debido al evento.
8.4.2 Las políticas y procesos pertinentes deben actualizarse para reflejar los hallazgos de la
evaluación y para prevenir o reducir el riesgo de que vuelvan a ocurrir.
8.4.3 La organización u organizaciones deben exigir, cuando proceda, que los miembros pertinentes
de su equipo de desarrollo colaboren con ellas para llevar a cabo una evaluación apropiada y
proporcionada del evento y de la respuesta al mismo.
9 Colaboración con los adjudicatarios
9.1 Trabajo fuera de las adjudicaciones1 formales
9.1.1 La organización u organizaciones deben establecer acuerdos de intercambio de información, o

su equivalente, cuando trabajen al margen de las adjudicaciones formales (por ejemplo, durante la fase
de oferta), si se va a conceder acceso a información sensible.
NOTA En el anexo D figura más información sobre los acuerdos de intercambio de información.
9.1.2 El acuerdo de intercambio de información, o su equivalente, debe incluir los requisitos de las
organizaciones para la conservación, eliminación y destrucción de la información sensible,
9.1.3 Cuando el proceso de licitación para la designación requiera la entrega de información sensible,
la organización u organizaciones deben aplicar medidas de protección apropiadas y proporcionadas y/o
procesos separados, asegurando al mismo tiempo que se disponga de información suficiente.
9.1.4 La organización u organizaciones deben evaluar, como parte del proceso de selección del
adjudicatario, todas las ofertas para determinar cómo se pretende que se cumplan los requisitos de
seguridad establecidos en el Plan de Gestión de Seguridad.
9.1.5 La organización u organizaciones deben evaluar la comprensión, capacidad, aptitud y expe-

riencia en materia de seguridad de las organizaciones para su adjudicación, así como los requisitos de
capacitación, formación y soporte en materia de seguridad.
1) NOTA NACIONAL En esta serie de normas, se traduce appointment por adjudicación, appointed party como adjudicatario y
appointing party como adjudicador. En la primera versión de la traducción de las partes 1 y 2 se emplearon los términos
contratación, parte contratante y parte contratada, respectivamente.
- 29 - UNE-EN ISO 19650-5:2020
9.2 Medidas contenidas en la documentación de la adjudicación
9.2.1 La organización u organizaciones deben gestionar los riesgos de seguridad para el equipo de
desarrollo estableciendo, en la documentación de la adjudicación, disposiciones que respalden todas las
políticas y procesos de seguridad pertinentes contenidos en el plan de gestión de la seguridad, inclu-
yendo los requisitos aplicables a un miembro del equipo de desarrollo una vez finalizada la adjudicación.
9.2.2 La organización u organizaciones deben describir detalladamente la asignación de la función de

seguridad de la información al equipo de desarrollo, incluyendo el requisito de que la seguridad debe
mantenerse en un nivel razonable dentro del equipo de desarrollo, con responsabilidades debidamente
delegadas para que pueda haber una gestión eficaz y eficiente.
9.2.3 Cuando proceda, las disposiciones deben aplicar los mismos requisitos que los contenidos en
la documentación de la adjudicación para los adjudicatarios, que se adjudican directamente a una o
varias organizaciones mediante las distintas capas de adjudicaciones adicionales (sub-appointments).
9.2.4 Si se exige el cumplimiento de normas específicas de seguridad (por ejemplo, la aplicación de

medidas específicas de seguridad física o ciberseguridad conforme a una norma concreta), éstas deben
estar claramente identificadas en la documentación de la adjudicación, así como cualquier inspección o
verificación independiente por tercera parte (terceros) que se haya previsto.
9.2.5 Para gestionar las brechas e incidentes de seguridad causadas por un asesor, un contratista o
un adjudicatario, deben incluirse disposiciones claras en la documentación de la adjudicación relativas
a la notificación de la brecha o incidente de seguridad a las organizaciones y para la prestación de
asistencia en la investigación y las medidas de seguimiento.
9.2.6 Las medidas incluidas en la documentación de la adjudicación deben incluir disposiciones que
permitan a las organizaciones revisar las medidas de seguridad y el cumplimiento de las políticas y
procesos de seguridad pertinentes en todos los niveles del equipo de desarrollo en cuestión.
9.2.7 La organización u organizaciones deben incluir una cláusula en la documentación de la adjudi-

cación para permitir ajustes en respuesta a los cambios en el entorno político, legislativo o reglamentario.
9.2.8 La organización u organizaciones deben exigir, al término de una adjudicación, que toda la
información pertinente, incluida la que el adjudicatario haya compartido con otros miembros de su
equipo de desarrollo, sea entregada, almacenada de forma segura, eliminada o destruida de confor-
midad con los requisitos de la organización y relativos a la adjudicación.
9.2.9 Cuando proceda, la organización u organizaciones deben exigir al adjudicatario que verifique
que se han seguido los procedimientos definidos para la entrega, eliminación o destrucción de la infor-
mación sensible, y que verifique las disposiciones de seguridad establecidas para la información
sensible que conserve.
9.2.10 La organización u organizaciones deben exigir que se establezcan suficientes procesos de

clausura y cierre y para garantizar la seguridad de la información de los activos.
9.3 Asignación después de la adjudicación
9.3.1 La organización u organizaciones deben vigilar y hacer cumplir todas las disposiciones de segu-
ridad de la documentación de la adjudicación a sus adjudicatarios, para garantizar que adopten un
enfoque de seguridad en cumplimiento de sus obligaciones de adjudicación.
UNE-EN ISO 19650-5:2020 - 30 -
9.3.2 La organización u organizaciones deben colaborar con su equipo de desarrollo para ayudar a
comprender los requisitos de seguridad y para resolver cualquier cuestión de seguridad pendientes.
9.4 Fin de la adjudicación

La organización u organizaciones deben aplicar medidas apropiadas y proporcionadas para verificar
que todo equipo de desarrollo cumple con los requisitos de entrega, almacenamiento seguro, elimi-
nación o destrucción de la información sensible.
- 31 - UNE-EN ISO 19650-5:2020
Anexo A (Informativo)
Información sobre el contexto de seguridad
A.1 Comprensión de los posibles problemas de seguridad

La organización u organizaciones deberían, basándose en las orientaciones sobre seguridad disponibles,
ser capaces de comprender:
a) el rango de amenazas que pueden tratar de explotar las vulnerabilidades a fin de:
1) comprometer el valor y la vida útil (longevidad) de las iniciativas y proyectos;
2) comprometer el valor, la vida útil (longevidad) y el uso continuado de los activos, productos o
servicios de la organización;
3) causar daños, perjuicios, dificultades o poner en peligro al personal de la organización o a otros

usuarios de los activos o de los servicios;
4) alterar o dañar la información o los sistemas;
5) dañar la reputación; o
6) adquirir datos personales, propiedad intelectual o información comercialmente sensible;
NOTA 1 Las amenazas incluyen el terrorismo, los actos hostiles de un país, el espionaje industrial, el crimen organi-
zado, activistas, actores individuales, piratas informáticos y los informantes (insiders) malintencionados.
b) el rango de técnicas hostiles de reconocimiento -habituales o en desarrollo- al que pueden ser

vulnerables las iniciativas, los proyectos, los activos, los productos, los servicios y la información
personal;
NOTA 2 Durante un reconocimiento hostil, el atacante busca información:
1) sobre seguridad, que pueda explotar (por ejemplo, vulnerabilidades físicas o la configuración del sistema);
2) para identificar la forma de proceder (modus operandi);
3) sobre el nivel de seguridad (es decir, la probabilidad de ser detectado y la probabilidad de éxito);
4) sobre el estilo de vida de un individuo, un grupo de individuos o de cómo se utiliza un activo.
NOTA 3 Desde la perspectiva del atacante, el éxito de la planificación de un ataque depende de la fiabilidad de esta
información y de la capacidad de explotarla antes de que se puedan aplicar medidas preventivas.
c) la posibilidad de que los componentes, los activos o los productos individuales que se integran en
un activo, producto o sistema mayor, sean falsificados de forma maliciosa o fraudulenta, o
contaminados;
UNE-EN ISO 19650-5:2020 - 32 -
d) la posibilidad e impacto de actos malintencionados, producidos por una serie de amenazas internas
y externas que malware, piratas informáticos o personal descontento, que puede comprometer:
1) la propiedad intelectual o la información comercialmente sensible;
2) la información personal;
3) la integridad de los metadatos; o
4) la integridad de los datos maestros de referencia;
NOTA 4 Los actos malintencionados pueden provocar la pérdida, divulgación o daño, accesos no autorizado o la
modificación no autorizada de la información.
e) la posibilidad de que sistemas inseguros o con un mantenimiento deficiente puedan exponer o

permitir el acceso no autorizado a información sensible;
f) la posibilidad de que la información se utilice para realizar un análisis de los estilos de vida que
faciliten la explotación malintencionada o delictiva de los hábitos, rutinas y preferencias;
g) la posibilidad de agregar la información para:
1) identificar individuos o grupos de individuos;
2) revelar información sensible sobre iniciativas, proyectos, activos, productos, servicios,

personas o comunidades; o
3) revelar información sobre la configuración de los activos, productos, componentes y/o

software de un sistema;
NOTA 5 Pueden surgir riesgos de agregación en los casos siguientes:
1) agregación por acumulación: el volumen de información almacenada conjuntamente aumenta el

nivel de impacto que se produciría si la información se ve comprometida;
2) agregación por asociación: la asociación de diferentes tipos de información que, individualmente,

tienen poco o ningún impacto cuando se ven comprometidas pero que, combinadas, tienen un mayor
nivel de impacto; o
3) una combinación de acumulación y asociación.
h) los riesgos para la reputación que se derivan de los aspectos enumerados anteriormente.
A.2 Consejos de seguridad
A.2.1 Para contribuir al desarrollo de la estrategia de seguridad, las organizaciones deberían contar
con asesoramiento apropiado sobre los riesgos de seguridad que surgen del aumento de disponibilidad
de información, la integración de los servicios y sistemas, y el aumento de la dependencia de los sistemas
tecnológicos.
- 33 - UNE-EN ISO 19650-5:2020
A.2.2 Si La organización u organizaciones ya está enfocada a la seguridad, pueden contar con personas
que estén debidamente calificadas y con experiencia suficiente sobre gobernanza, seguridad física,
seguridad tecnológica, seguridad del personal y de las personas, así como sobre las relaciones e
interdependencias entre ellas, de forma que puedan proporcionar asesoramiento y asistencia completos
para comprender el contexto de seguridad. Si no es así, se debería buscar asesoramiento especializado
externo en materia de seguridad.
UNE-EN ISO 19650-5:2020 - 34 -
Anexo B (Informativo)
Información sobre los tipos de controles de seguridad del personal, de la

seguridad física y técnica, así como sobre la gestión de seguridad de la
información
B.1 Aspectos vinculados al personal

Al elaborar políticas y procesos relacionados con la seguridad del personal, la organización u organi-
zaciones deberían incluir:
a) la identificación de las funciones de alto riesgo dentro cada organización y de cualquier organi-
zación empleada como parte de una adjudicación o una prestación de servicios;
NOTA Las funciones de alto riesgo incluyen, por ejemplo, las que tienen acceso a los detalles de la estrategia de seguridad,
la información sobre activos sensibles o las que desempeñan una función clave en la administración de los
sistemas informáticos o en la gestión de la información.
b) los requisitos de control de seguridad y autorización para toda persona que esté en contacto con
activos sensibles, incluyendo la información, tanto en funciones generales como específicas;
c) los requisitos de las competencias en materia de seguridad de las personas que desempeñan
funciones específicas;
d) la formación de todo el personal nuevo y de las organizaciones que prestan servicios a las
organizaciones para asegurar que estén debidamente informados de sus responsabilidades y de la
cultura de seguridad requerida, incluyendo:
1) la necesidad de proporcionar y registrar la formación para concienciar en materia de

seguridad, como parte de un proyecto u operación en curso, junto con otra formación sobre
protección y salud, la familiarización con el proyecto, el emplazamiento u otra formación
similar;
2) los temas obligatorios que deben tratarse en esas sesiones de concienciación y los resultados
del aprendizaje requeridos para cada una de ellas;
e) los requisitos generales de concienciación y formación en materia de seguridad, a fin de desarrollar

y promover una mentalidad de seguridad, incluyendo la formación de refresco;
f) los requisitos para la formación en materia de seguridad, para cada función (rol), que garanticen la
adopción y el mantenimiento de una cultura de la seguridad;
g) los requisitos para la formación y la concienciación en curso sobre seguridad;
h) los requisitos de acceso y autorización a la información y a los modelos de información; y
i) la desmovilización de la organización u organizaciones y del personal.
- 35 - UNE-EN ISO 19650-5:2020
B.2 Aspectos físicos

Al elaborar políticas y procesos relacionados con la seguridad física, la organización u organizaciones
deberían incluir:
a) las medidas de seguridad física necesarias en los emplazamientos donde se guarda la información
sensible o desde los que se tiene acceso remoto a los sistemas de cualquier parte de un activo
sensible;
b) cuando proceda, las medidas de seguridad física necesarias en el emplazamiento de un activo

construido nuevo o existente;
c) cuando proceda, la protección de los bienes inmuebles vecinos que no sean generalmente visibles
o accesibles de otro modo; y
NOTA Los bienes inmuebles vecinos son activos construidos (junto con los servicios que los abastecen) que comparten
un límite con el activo construido en cuestión (incluyendo el subsuelo o el espacio sobre el activo), o que están en
sus proximidades, pero separados físicamente por una carretera o calle, un espacio público o privado abierto o un
elemento similar.
d) las medidas de protección necesarias para los dispositivos y equipos informáticos y electrónicos.
B.3 Aspectos tecnológicos
B.3.1 Al elaborar políticas y procesos relacionados con la seguridad tecnológica, la organización u

organizaciones deberían incluir:
a) medidas relacionadas con la ciberseguridad de los sistemas de obtención, procesado y almacena-

miento de información sensible, incluyendo la exigencia de realizar evaluaciones periódicas de
vulnerabilidades y realizar test de penetración (pentesting);
b) la seguridad de las interconexiones e interacciones entre esos sistemas;
c) la seguridad en torno a los sistemas de control de los activos físicos;
d) la interoperabilidad admisible de los sistemas y la resiliencia de cada sistema a los fallos;
e) los procesos y procedimientos para la gestión de la configuración y el control de cambios de los

sistemas de procesado y almacenamiento de la información relativa a los proyectos y activos y al
entorno técnico en que se encuentran;
f) la eliminación o destrucción en condiciones de seguridad de la información en poder de las

organizaciones que ya no participan en la iniciativa, el proyecto, el activo, el producto o el servicio,
o como la retirada del acceso a dicha información; y
g) en el caso de que la información se conserva durante un período de tiempo establecido para cumplir
con requisitos legales, reglamentarios u organizativos (el mayor de ellos): las medidas que se
aplicarán con respecto a la seguridad de la información conservada y las medidas que se aplicarán
después de ese período para garantizar su eliminación o destrucción en condiciones de seguridad,
o la retirada del acceso a dicha información.
UNE-EN ISO 19650-5:2020 - 36 -
B.3.2 Siempre que sea posible, los sistemas utilizados para obtener, procesar o almacenar información
sensible deberían ser seguros por defecto (es decir, todas las funciones están disponibles sin
comprometer la seguridad y la configuración de seguridad por defecto está establecida a su nivel más
alto) o los parámetros del sistema deberían estar configurados para optimizar la protección de esta
información.
B.3.3 Como parte del proceso de selección, los sistemas de software utilizados para obtener, procesar
o almacenar información sensible deberían evaluarse en función de su capacidad para proporcionar
cada uno de los aspectos que se enumeran a continuación, con un nivel apropiado y proporcional a la
sensibilidad de la información:
a) confidencialidad: controlar e impedir el acceso no autorizado a la información que, de forma

individual o agregada, puede ser sensible o suponer una brecha para la privacidad;
b) disponibilidad (incluyendo la fiabilidad): garantizar que la información, los sistemas y los procesos
asociados sean localizables, accesibles y utilizables de forma coherente, y, cuando proceda, puedan
divulgarse de manera apropiada y oportuna;
NOTA Una adjudicación puede especificar la disponibilidad en términos de porcentaje (por ejemplo, 99,999% anual),
con un tiempo especificado máximo para restablecer servicio normal (por ejemplo, 30 min), pudiendo variar
según el activo, productos y servicio.
c) protección (safety): los sistemas y los procesos asociados se diseñan, implementan, operan y
mantienen de forma que se limiten situaciones peligrosas que puedan producir lesiones o pérdidas
de vidas, daños ambientales involuntarios, o daños a los activos;
d) resiliencia: la capacidad de la información, los servicios y los sistemas para transformarse, reno-
varse y recuperarse de manera oportuna en respuesta a eventos adversos;
e) posesión: los sistemas y procesos asociados se diseñan, aplican, implantan y mantienen de modo
que se impida el control, la manipulación o la interferencia no autorizados y que se garantice que la
información se utiliza únicamente conforme a las condiciones de cumplimiento normativo
(compliance) y los derechos y obligaciones especificados en la documentación de la adjudicación;
f) autenticidad: garantizar la información introducida en los sistemas y extraída de ellos, así como la
situación del sistema y todos los procesos e información asociados, son auténticos;
g) utilidad: garantizar que la información sobre los activos y sistemas siga siendo útil durante el
período en que pueda ser necesario el acceso a la información; y
h) integridad: mantener la completitud, exactitud, coherencia y configuración de la información y los

sistemas.
B.3.4 Antes de la puesta en marcha de cualquier sistema basado en el Internet de las Cosas (Internet
of Things) u otras tecnologías distribuidas, la organización u organizaciones deberían:
a) comprender la arquitectura de seguridad de las tecnologías propuestas;
b) determinar en qué medida la arquitectura cumple los requisitos de seguridad de las organizaciones;
- 37 - UNE-EN ISO 19650-5:2020
c) evaluar todos los riesgos de seguridad, incluido el posible impacto de un fallo técnico, en relación
con el apetito de riesgo de las organizaciones y los beneficios que se puedan obtener; y
d) establecer medidas apropiadas y proporcionadas de mitigación de los riesgos de seguridad para

gestionar cualquier riesgo inaceptable para la seguridad.
B.4 Seguridad de la información
B.4.1 Al elaborar políticas y procesos relativos a la seguridad de la información, la organización u

organizaciones deberían incluir:
a) los requisitos para la realización de inspecciones y estudios que puedan dar lugar a la recopilación
de información sensible que, de otro modo, no estaría disponible públicamente;
b) la gestión y supervisión del almacenamiento, el acceso y, en última instancia, la eliminación y

destrucción seguras de la información, incluyendo la información conservada durante un período
de tiempo establecido para cumplir con requisitos legales, reglamentarios y cualquier requisito de
las organizaciones (el mayor de ellos);
NOTA 1 Es importante gestionar el acceso a la información sensible sobre la base de la necesidad de conocer, de modo
que las organizaciones y el personal sólo tengan acceso a la información sensible que sea pertinente y necesaria
para el desempeño de sus funciones.
c) la cantidad máxima de información relativa a los activos/productos o sistemas sensibles que se

incluirá en las bases de datos, los intercambios de información y, cuando proceda, los modelos de
información;
d) la inclusión de cualquier requisito relativo al manejo o protección particular de la información que

sea sensible desde el punto de vista de la seguridad y que haya sido facilitada a la organización por
un tercero;
e) la protección contra la pérdida, la divulgación, la corrupción, la pérdida de acceso o los cambios no

autorizados de la información, los metadatos y los principales datos de referencia; y
NOTA 2 Los datos maestros de referencia comprenden un conjunto de valores permitidos para ser utilizados en otros
campos de datos en modelos de información compartidos.
f) la vigilancia y el registro de los cambios en los procesos y tecnologías utilizados para la obtención,
el procesado -incluida la integración de información- y el almacenamiento.
B.4.2 Las políticas y procesos deberían ser aplicables durante todo el ciclo de vida de la información
que, de forma genérica, incluye:
a) obtención (capture): actividad asociada con la creación y el almacenamiento inicial de una unidad
de información, incluyendo sus metadatos;
b) adquisición (acquisition): la compra o transferencia de información de otras partes;
UNE-EN ISO 19650-5:2020 - 38 -
c) mantenimiento: actividades que sirven para entregar la información lista para su síntesis o utili-
zación de forma y manera apropiadas para esos fines, entre ellas: validación y verificación; depura-
ción; reformateo; enriquecimiento; traslado; integración desde múltiples sistemas; y actualización
de la información publicada;
d) síntesis (synthesis): creación de información derivada;
e) uso: aplicación de la información a actividades, funciones o tareas;
f) archivo: réplica o traslado de información a un archivo en el que se almacene, pero en el que no se

produce ningún tipo de mantenimiento, uso o publicación;
g) publicación: proceso de hacer que la información esté disponible dentro o fuera de una orga-
nización; y
h) purga (purging): la eliminación de toda copia conocida de una unidad de información de una
organización.
- 39 - UNE-EN ISO 19650-5:2020
Anexo C (Informativo)
Evaluaciones relativas al suministro de información a terceros
C.1 Evaluación de la información
C.1.1 Una evaluación debería incluir el establecimiento de:
a) quién tendrá acceso a la información que se está compartiendo;
b) si se consultará a otras partes e interesados antes de compartir o publicar;
c) la justificación para compartir o publicar, en particular:
1) el objetivo;
2) los beneficios potenciales y cómo se obtendrán;
3) los riesgos si la información no se comparte o publica;
4) la demostración de que la distribución propuesta es proporcionada al objetivo y a los

beneficios potenciales; y
5) si el objetivo o los beneficios puede alcanzarse sin compartir o publicar la información;
d) la autoridad para compartir o publicar la información, en particular:
1) si la organización que compartirá o publicará la información es el controlador de esta o tiene

el derecho, la autoridad legal y la facultad de hacerlo;
2) si existen obligaciones legales de compartir o publicar (por ejemplo, una ley o una orden
judicial); y
3) si se ha facilitado de forma confidencial;
e) cualquier cuestión relativa a la protección de la información;
f) los riesgos de seguridad asociados a la distribución o publicación y si esos riesgos superan el apetito
de riesgo de la organización u organizaciones;
g) medidas, apropiadas y proporcionadas, de mitigación de los riesgos de seguridad para gestionar

cualquier problema de protección de la información o riesgos de seguridad inaceptables;
h) la voluntad y la capacidad de la parte que recibe la información de gestionarla adecuadamente; y
i) los riesgos residuales para la seguridad y los problemas persistentes de protección de la infor-
mación.
UNE-EN ISO 19650-5:2020 - 40 -
C.1.2 Cuando se identifiquen posibles violaciones/incidentes de seguridad de la información personal

o riesgos para la seguridad que no sean tolerables para las organizaciones, debería prohibirse el
intercambio o la publicación hasta que se establezcan medidas apropiadas y proporcionadas para
eliminar la sensibilidad o reducir los riesgos asociados a un nivel tolerable para las organizaciones.
C.2 Procesos regulatorios y legales
C.2.1 El plan de gestión de la seguridad debería detallar el enfoque del suministro e intercambio de
información con terceros al cumplir con los procesos reglamentarios y legales.
C.2.2 El plan de gestión de la seguridad debería exigir que la información confidencial se separe y
protege adecuadamente. Esto puede incluir la purga o eliminación de información confidencial relativa
a características sensibles, usos particulares de las zonas de un activo y el uso de medidas de protección.
También puede incluir el suministro de información no estructurada en formatos como copias en papel,
imágenes o formatos PDF no interactivos, en lugar de dar acceso, por ejemplo, a modelos de información
interactivos.
C.2.3 Cuando no se pueda excluir la información confidencial de una presentación, las organizaciones
deberían contactar con un tercero (tercera parte), antes de la presentación de la información, para
acordar las medidas de protección apropiadas que se puedan establecer. Cuando el tercero esté sujeto
a las disposiciones de la legislación sobre acceso público o transparencia, dicha medidas deben ser
suficientes para gestionar el riesgo hasta un nivel tolerable para las organizaciones.
C.3 Acceso público a la información

El plan de gestión de la seguridad debería describir en detalle el método de protección de la información
confidencial que debe adoptarse cuando una organización, sujeta a disposiciones legales sobre acceso
público o transparencia, reciba una solicitud de información. Se debería tener en cuenta el impacto de
los posibles problemas derivados de la agregación.
C.4 Presentaciones públicas

El plan de gestión de la seguridad debería establecer los requisitos para la aprobación de cualquier
documento relacionado con la iniciativa, el proyecto, el activo, el producto o el servicio que va a ser
discutido o publicado en actos públicos, se coloque en lugares accesibles al público o a otros terceros, o
se haga público en sitios web, en publicaciones técnicas o académicas o en material comercial o de
promoción.
- 41 - UNE-EN ISO 19650-5:2020
Anexo D (Informativo)
Acuerdos para el intercambio de información
D.1.1 Se debería establecer un acuerdo para el intercambio de información, o equivalente, a dispo-

sición de todas las partes pertinentes, antes de compartir información sensible y, cuando proceda,
modelos de información que puedan utilizarse para perjudicar una iniciativa, proyecto, activo, producto,
servicio, persona o grupo/comunidad.
D.1.2 El acuerdo debería detallar, como mínimo:
a) el propósito o los propósitos de compartir la información;
b) los posibles destinatarios, o tipos de destinatarios, y las circunstancias en que tienen acceso;
c) el tipo de información que se va a compartir;
d) la calidad de la información que se va a compartir, en particular su autenticidad, alcance y exactitud,

relevancia y usabilidad;
e) los requisitos, en relación con:
1) la protección de la información, cuando sea pertinente;
2) los derechos de autorización o prohibición del uso de la información;
3) la cascada de obligaciones contenidas en el acuerdo de intercambio de información, mediante

las distintas capas de adjudicaciones adicionales autorizadas; y
4) la obligación, coherente con los requisitos del plan de gestión de seguridad sobre las brechas y
los incidentes de seguridad, de notificar los eventos, potenciales o conocidos de brechas o
incidentes de seguridad al propietario de la información y/o al responsable de la información;
f) la gestión de los usuarios;
g) el mantenimiento de la información, incluyendo la respuesta a una solicitud de eliminación o

rectificación;
h) los requisitos de seguridad de la información;
i) las disposiciones para la conservación o purga de la información compartida;
j) los procedimientos para la gestión de los derechos de los interesados, incluidas las solicitudes de
acceso a, las consultas y las quejas, así como las transferencias entre organizaciones, territorios y
jurisdicciones;
k) la vigilancia y la auditoría de la aplicación del acuerdo de intercambio de información; y
UNE-EN ISO 19650-5:2020 - 42 -
l) las sanciones en caso de incumplimiento del acuerdo de intercambio de información o si se

producen brechas o incidentes de seguridad por parte de un miembro de la plantilla.
NOTA Un asesoramiento legal adecuado es parte de la elaboración de un acuerdo de intercambio de información robusto.
D.1.3 En caso de una brecha o incidente de seguridad, potencial o real, o si hay evidencia de que la
información no se está gestionando y manejando de conformidad con el acuerdo de intercambio de
información, la organización u organizaciones deberían:
a) suspender tanto el acuerdo de intercambio de información como el intercambio de información

hasta que se haya investigado el evento o los problemas y se haya acordado e implantado medidas
correctivas; o
NOTA En estas circunstancias, es importante que la investigación y la implantación de las medidas de mitigación de
riesgos investigar se realicen sin demoras innecesarias.
b) finalizar el acuerdo de intercambio de información, interrumpir el intercambio de información y,

cuando proceda, exigir la purga de la información compartida, si no se puede solventar el problema
satisfactoriamente.
D.1.4 Los acuerdos de intercambio de información deberían revisarse con la frecuencia definida en el
plan de gestión de la seguridad, para establecer la eficacia del intercambio y garantizar que:
a) sigue existiendo un propósito legítimo para mantener el intercambio de información con cada desti-
natario y, si no lo hay, retirar el acceso correspondiente;
b) la calidad y el mantenimiento de la información se ajustan a las normas acordadas; y
c) las disposiciones sobre la seguridad de la información sigan siendo adecuadas y proporcionadas, y

que se haya resuelto satisfactoriamente cualquier brecha o incidente de seguridad.
- 43 - UNE-EN ISO 19650-5:2020
Bibliografía
[1] ISO 14298:2013, Graphic technology. Management of security printing processes.
[2] ISO 16530-1:2017, Petroleum and natural gas industries. Well integrity. Part 1: Life cycle
governance.
[3] ISO 19011, Guidelines for auditing management systems.
[4] ISO 19650-1, Organization and digitization of information about buildings and civil engineering
works, including building information modelling (BIM). Information management using building
information modelling. Part 1: Concepts and principles.
[5] ISO 22300:2018, Security and resilience. Vocabulary.
[6] ISO/IEC 27001, Information technology. Security techniques. Information security management
systems. Requirements.
[7] ISO 31000, Risk management. Guidelines.
[8] ISO 55000:2014, Asset management. Overview, principles and terminology.
Para información relacionada con el desarrollo de las normas contacte con:
Asociación Española de Normalización
Génova, 6
28004 MADRID-España
Tel.: 915 294 900
info@une.org
www.une.org
Para información relacionada con la venta y distribución de las normas contacte con:
AENOR INTERNACIONAL S.A.U.
Tel.: 914 326 000
normas@aenor.com
www.aenor.com
organismo de normalización español en:

Iso 19650-5 2020

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Iso 19650-5 2020

Cargado por

Copyright:

Formatos disponibles

Norma Española

UNE-EN ISO 19650-5

Organización y digitalización de la información en

Esta norma ha sido elaborada por el comité técnico

Organización y digitalización de la información en obras de edificación e ingeniería

Las observaciones a este documento han de dirigirse a:

Asociación Española de Normalización

ICS 35.240.67; 91.010.01

Organización y digitalización de la información en obras de edificación e ingeniería

Esta norma europea ha sido aprobada por CEN el 2020-06-15.

COMITÉ EUROPEO DE NORMALIZACIÓN

© 2020 CEN. Derechos de reproducción reservados a los Miembros de CEN.

Prólogo europeo ........................................................................................................................... 6

1 Objeto y campo de aplicación................................................................................. 11

2 Normas para consulta .............................................................................................. 11

4 Determinar la necesidad de un enfoque de seguridad mediante un

5 Inicio de la estrategia de seguridad ..................................................................... 18

6 Desarrollo de una estrategia de seguridad ........................................................ 20

7 Desarrollo de un plan de gestión de la seguridad ............................................ 23

8 Desarrollo de un plan de gestión de brechas e incidentes de

8.2 Detección de una brecha o incidente de seguridad ......................................... 27

9 Colaboración con los adjudicatarios .................................................................... 28

Anexo A (Informativo) Información sobre el contexto de seguridad ..................... 31

Anexo B (Informativo) Información sobre los tipos de controles de

Anexo C (Informativo) Evaluaciones relativas al suministro de

Anexo D (Informativo) Acuerdos para el intercambio de información ................. 41

ISO (Organización Internacional de Normalización) es una federación mundial de organismos

El uso creciente y la dependencia en las tecnologías de la información y la comunicación hacen necesario

Los requisitos de seguridad de la información para una organización, un departamento o un sistema de

Figura 2 – Proceso de implementación del enfoque de seguridad basado en esta norma

1 Objeto y campo de aplicación

2 Normas para consulta

– Plataforma de búsqueda en línea de ISO: disponible en http://www.iso.org/obp

– Electropedia de IEC: disponible en http://www.electropedia.org/

3.2 espacios multitudinarios:

3.4 necesidad de saber:

3.5 apetito de riesgo:

[FUENTE: ISO 22300:2018, 3.202]

3.6 protección (safety)

3.7 seguridad (security):

3.8 brecha de seguridad:

[FUENTE: ISO 14298:2013, 3.30]

3.9 incidente de seguridad:

3.10 estrategia de seguridad:

3.11 información sensible:

– comprometer la propiedad intelectual o los secretos comerciales de una organización;

– causar daños comerciales o económicos a una organización o país; y/o

– amenazar la seguridad y los asuntos internos y exteriores de una nación

3.12 riesgo residual:

[FUENTE: ISO 16530-1:2017, 3.52]

3.14 alta dirección:

4 Determinar la necesidad de un enfoque de seguridad mediante un proceso de

4.1 Realización del proceso de evaluación de la sensibilidad

4.2 Comprensión del rango de riesgos de seguridad

4.2.1 La alta dirección de una organización que participa en:

a) el lanzamiento de un proyecto de desarrollo de uno o más activos, productos o servicios nuevos, o

b) la gestión, explotación, reutilización o enajenación de uno o más activos; y/o

c) la prestación de servicios relacionados con los activos;

4.3 Identificación de las sensibilidades de la organización

4.3.2 Un activo construido debe considerarse sensible, en su totalidad o en parte, si:

c) se trata de un emplazamiento comercial empleado para la creación, el procesado, el comercio o el alma-

d) es un lugar de interés, un espacio de importancia nacional o un lugar de gran afluencia de público;

e) se utiliza, o se pretende utilizar, para acoger acontecimientos importantes para la seguridad.