Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Asociación Española
de Normalización
Génova, 6 - 28004 Madrid
915 294 900
info@une.org
www.une.org
Este documento ha sido adquirido por UNIVERSIDAD INDUSTRIAL DE SANTANDER a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
UNE-EN ISO 19650-5
Organization and digitization of information about buildings and civil engineering works, including
building information modelling (BIM). Information management using building information
modelling. Part 5: Security-minded approach to information management (ISO 19650-5:2020).
Organisation et numérisation des informations relatives aux bâtiments et ouvrages de génie civil, y
compris modélisation des informations de la construction (BIM). Gestion de l’information par la
modélisation des informations de la construction. Partie 5: Approche de la gestion de l’information
axée sur la sécurité (ISO 19650-5:2020).
Esta norma es la versión oficial, en español, de la Norma Europea EN ISO 19650-5:2020, que
a su vez adopta la Norma Internacional ISO 19650-5:2020.
© UNE 2020
Prohibida la reproducción sin el consentimiento de UNE.
Todos los derechos de propiedad intelectual de la presente norma son titularidad de UNE.
Este documento ha sido adquirido por UNIVERSIDAD INDUSTRIAL DE SANTANDER a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
NORMA EUROPEA
EUROPEAN STANDARD
EN ISO 19650-5
NORME EUROPÉENNE
EUROPÄISCHE NORM Julio 2020
Versión en español
Los miembros de CEN están sometidos al Reglamento Interior de CEN/CENELEC que define las
condiciones dentro de las cuales debe adoptarse, sin modificación, la norma europea como norma
nacional. Las correspondientes listas actualizadas y las referencias bibliográficas relativas a estas
normas nacionales pueden obtenerse en el Centro de Gestión de CEN/CENELEC, o a través de sus
miembros.
Esta norma europea existe en tres versiones oficiales (alemán, francés e inglés). Una versión en otra
lengua realizada bajo la responsabilidad de un miembro de CEN en su idioma nacional, y notificada al
Centro de Gestión de CEN/CENELEC, tiene el mismo rango que aquéllas.
Los miembros de CEN son los organismos nacionales de normalización de los países siguientes:
Alemania, Austria, Bélgica, Bulgaria, Chipre, Croacia, Dinamarca, Eslovaquia, Eslovenia, España, Estonia,
Finlandia, Francia, Grecia, Hungría, Irlanda, Islandia, Italia, Letonia, Lituania, Luxemburgo, Malta,
Noruega, Países Bajos, Polonia, Portugal, Reino Unido, República Checa, República de Macedonia del
Norte, Rumanía, Serbia, Suecia, Suiza y Turquía.
Este documento ha sido adquirido por UNIVERSIDAD INDUSTRIAL DE SANTANDER a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
UNE-EN ISO 19650-5:2020 -4-
Índice
Declaración ....................................................................................................................................6
Prólogo ............................................................................................................................................ 7
0 Introducción .................................................................................................................. 8
3 Términos y Definiciones.......................................................................................... 12
Este documento ha sido adquirido por UNIVERSIDAD INDUSTRIAL DE SANTANDER a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
-5- UNE-EN ISO 19650-5:2020
Bibliografía .................................................................................................................................. 43
Este documento ha sido adquirido por UNIVERSIDAD INDUSTRIAL DE SANTANDER a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
UNE-EN ISO 19650-5:2020 -6-
Prólogo europeo
El texto de la Norma EN ISO 19650-5:2020 ha sido elaborado por el Comité Técnico ISO/TC 59
Edificación y obra civil en colaboración con el Comité Técnico CEN/TC 442 Modelos de información
relativos a la edificación, cuya Secretaría desempeña SN.
Esta norma europea debe recibir el rango de norma nacional mediante la publicación de un texto
idéntico a ella o mediante ratificación antes de finales de enero de 2021, y todas las normas nacionales
técnicamente divergentes deben anularse antes de finales de enero de 2021.
Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento estén
sujetos a derechos de patente. CEN no es responsable de la identificación de dichos derechos de patente.
De acuerdo con el Reglamento Interior de CEN/CENELEC, están obligados a adoptar esta norma europea
los organismos de normalización de los siguientes países: Alemania, Austria, Bélgica, Bulgaria, Chipre,
Croacia, Dinamarca, Eslovaquia, Eslovenia, España, Estonia, Finlandia, Francia, Grecia, Hungría, Irlanda,
Islandia, Italia, Letonia, Lituania, Luxemburgo, Malta, Noruega, Países Bajos, Polonia, Portugal, Reino
Unido, República Checa, República de Macedonia del Norte, Rumanía, Serbia, Suecia, Suiza y Turquía.
Declaración
El texto de la Norma ISO 19650-5:2020 ha sido aprobado por CEN como Norma EN ISO 19650-5:2020
sin ninguna modificación.
Este documento ha sido adquirido por UNIVERSIDAD INDUSTRIAL DE SANTANDER a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
-7- UNE-EN ISO 19650-5:2020
Prólogo
En la Parte 1 de las Directivas ISO/IEC se describen los procedimientos utilizados para desarrollar este
documento y aquellos previstos para su mantenimiento posterior. En particular debería tomarse nota
de los diferentes criterios de aprobación necesarios para los distintos tipos de documentos ISO. Este
documento ha sido redactado de acuerdo con las reglas editoriales de la Parte 2 de las Directivas ISO/IEC
(véase www.iso.org/directives).
Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento puedan
estar sujetos a derechos de patente. ISO no asume la responsabilidad por la identificación de alguno o
todos los derechos de patente. Los detalles sobre cualquier derecho de patente identificado durante el
desarrollo de este documento se indicarán en la Introducción y/o en la lista ISO de declaraciones de
patente recibidas (véase www.iso.org/patents).
Cualquier nombre comercial utilizado en este documento es información que se proporciona para
comodidad del usuario y no constituye una recomendación.
Para una explicación de la naturaleza voluntaria de las normas, el significado de los términos específicos
de ISO y las expresiones relacionadas con la evaluación de la conformidad, así como la información
acerca de la adhesión de ISO a los principios de la Organización Mundial del Comercio (OMC) respecto a
los Obstáculos Técnicos al Comercio (OTC), véase www.iso.org/iso/foreword.html.
La Norma ISO 19650-5 ha sido preparada por el Comité Técnico ISO/TC 59, Edificación y obra civil,
Subcomité SC 13, Organización y digitalización de la información de edificación y obra civil incluyendo la
modelización de la información de edificación (BIM), en colaboración con el Comité Europeo de
Normalización (CEN) Comité Técnico CEN/TC 442, Modelos de información relativos a la edificación,
conforme al acuerdo de cooperación técnica entre ISO y CEN (Acuerdo de Viena).
En el sitio web de ISO se puede encontrar un listado de todas las partes de la serie de Normas ISO 19650.
Cualquier comentario o pregunta sobre este documento deberían dirigirse al organismo nacional de
normalización del usuario. En www.iso.org/members.html se puede encontrar un listado completo de
estos organismos.
Este documento ha sido adquirido por UNIVERSIDAD INDUSTRIAL DE SANTANDER a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
UNE-EN ISO 19650-5:2020 -8-
0 Introducción
El sector de la construcción está atravesando un período de evolución rápida. Se espera que la adopción
de Building Information Modelling (BIM) y el creciente uso de tecnologías digitales en el diseño, la cons-
trucción, la fabricación, la operación (funcionamiento) y mantenimiento de activos o productos, así
como la prestación de servicios en el sector de la construcción, tengan un efecto transformador para las
partes interesadas. Es probable que, para aumentar la eficacia y la eficiencia, las iniciativas o proyectos
que desarrollen nuevos activos o soluciones, o que modifiquen o gestionen los activos o soluciones
existentes, deban ser de naturaleza más colaborativa. Esa colaboración requiere métodos de trabajo más
transparentes y abiertos y, en la medida de lo posible, el intercambio y uso de la información digital de
forma apropiada.
La combinación del entorno construido, físico y digital, debería permitir el cumplimiento de los objeti-
vos futuros en materia fiscal, financiera, funcional, sostenibilidad y de crecimiento. Esto repercutirá en
los procesos de adquisición, desarrollo/entrega (delivery) y operación, incluyendo una mayor
colaboración entre disciplinas y sectores. También dará lugar a un mayor uso de herramientas digitales
y de disponibilidad de información. El uso de las tecnologías de la información ya está apoyando nuevas
formas de trabajo, como el desarrollo off-site, la construcción basada en elementos prefabricados y la
automatización on-site. Los sistemas ciberfísicos avanzados permiten, mediante sensores (el elemento
cibernético o informático) que controlan las partes físicas del sistema, trabajar en tiempo real para
producir resultados en el mundo real. Se espera que esos sistemas permitan beneficios tales como una
mayor eficiencia energética y una mejor gestión del ciclo de vida de los activos, mediante la captación
de información en tiempo real sobre su uso y estado. Estos sistemas ya se utilizan en el transporte, los
servicios públicos, las infraestructuras, los edificios, la industria, la sanidad y la defensa, así como en el
desarrollo de comunidades inteligentes cuando son capaces de interactuar como entornos ciberfísicos
integrados.
Esta norma ofrece un marco para ayudar a las organizaciones a comprender las cuestiones fundamen-
tales sobre las vulnerabilidades y la naturaleza de los controles necesarios para gestionar los riesgos de
seguridad que se producen a un nivel tolerable para las partes interesadas. Su propósito no es, de
ninguna manera, socavar la colaboración o los beneficios que pueden generar el uso de BIM, los métodos
de trabajo colaborativos y las tecnologías digitales.
El término "organización" incluye no sólo los adjudicadores y los adjudicatarios, como se define en la
Norma ISO 19650-1, sino también a aquellas organizaciones que están del lado de la demanda pero que
no participan directamente en una adjudicación.
Este documento ha sido adquirido por UNIVERSIDAD INDUSTRIAL DE SANTANDER a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
-9- UNE-EN ISO 19650-5:2020
La estrategia basada en la seguridad puede aplicarse a lo largo del ciclo de vida de una iniciativa,
proyecto, activo, producto o servicio, ya sea planificado o existente, donde se obtiene, crea, procesa y/o
almacena información sensible.
La figura 1 muestra la integración de esta estrategia orientada a la seguridad junto a otras estrategias,
políticas, planes y requisitos de información de la organización para, mediante tecnología digital, llevar
a cabo el desarrollo proyectos, así como el mantenimiento y la operación, utilizando BIM.
Leyenda
A Estrategias y políticas coherentes y coordinadas
B Planes coherentes y coordinados
C Requisitos de información coherentes y coordinados
D Actividades realizadas durante la fase de operación de los activos
E Actividades realizadas durante la fase de desarrollo del activo (véase también la Norma ISO 19650-2)
1 Planes y objetivos organizativos
2 Plan/política de gestión estratégica de activos (véase la Norma ISO 55000)
3 Estrategia de seguridad
4 Otras estrategias y políticas de la organización
5 Plan de gestión de activos (véase la Norma ISO 55000)
6 Plan de gestión de la seguridad
7 Otros planes de la organización
8 Requisitos de información del activo (AIR)
9 Requisitos de información de seguridad (que forman parte del plan de gestión de la seguridad)
10 Requisitos de información de la organización (OIR)
11 Caso de negocio estratégico y programa estratégico
12 Uso operacional del activo
13 Medición del rendimiento y acciones de mejora
NOTA No hay un orden implícito en la numeración de A, B y C.
Figura 1 – Integración del enfoque de seguridad dentro del proceso más amplio de BIM
NOTA La Norma ISO 19650-1 contiene información sobre conceptos y principios, incluyendo OIR y AIR, para una mejor com-
prensión del enfoque de seguridad en el contexto de la serie de Normas ISO 19650.
Este documento ha sido adquirido por UNIVERSIDAD INDUSTRIAL DE SANTANDER a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
UNE-EN ISO 19650-5:2020 - 10 -
La figura 2 resume el proceso de decisión sobre la necesidad y, en su caso, aplicación de del enfoque de
seguridad a la gestión de la información.
Leyenda
A Iniciar un enfoque de seguridad
B Desarrollar una estrategia de seguridad
C Desarrollar un plan de gestión de la seguridad
S Sí
N No
1 Mediante el proceso de triaje de seguridad (security triage), determinar si se requiere un enfoque de seguridad
2 Establecer acuerdos relativos a gobernanza, responsabilidad y rendición de cuentas del enfoque de seguridad
3 Comenzar el desarrollo del enfoque de seguridad
4 Evaluar los riesgos de seguridad
5 Desarrollar las medidas para reducir los riesgos de seguridad
6 Documentar los riesgos de seguridad admisibles
7 Desarrollar políticas y procesos para implantar las medidas de mitigación de riesgos de seguridad
8 Desarrollar los requisitos de información de seguridad
9 Elaborar los requisitos relativos al suministro de información a terceros (third parties)
10 Desarrollar de los requisitos de seguridad logística
11 Elaborar un plan de gestión de fallos e incidentes de seguridad
12 Trabajar con los adjudicatarios, haya o no un contrato formal, para integrar el enfoque de seguridad, incluida la
elaboración de acuerdos de intercambio de información cuando sea necesario
13 Vigilar, auditar y revisar
14 Proteger cualquier información comercial y personal sensible (no se requiere otro enfoque de seguridad)
15 Revisar si hay algún cambio en la iniciativa, proyecto, activo, producto o servicio que pueda afectar a su vulnerabilidad
Este documento ha sido adquirido por UNIVERSIDAD INDUSTRIAL DE SANTANDER a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
- 11 - UNE-EN ISO 19650-5:2020
La implantación de las medidas descritas en esta norma contribuirá a reducir el riesgo de pérdida, uso
indebido o alteración de información sensible que pueda tener un impacto en la protección, seguridad
y resiliencia de los activos, productos y el entorno construido, o de los servicios prestados por ellos.
También contribuirá a la protección frente a la pérdida, el robo o la divulgación de información comer-
cial, información personal y propiedad intelectual. Cualquier incidente de este tipo puede causar un
daño considerable a la reputación, dando lugar a la pérdida de oportunidades y al desvío de recursos
para llevar a cabo la investigación, resolución y acciones a través de los medios de comunicación, así
como interrumpir o retrasar las operaciones cotidianas. Además, cuando se producen incidentes y la
información se ha hecho pública, es virtualmente imposible recuperar toda esa información o impedir
que se siga difundiendo.
Esta norma trata los pasos necesarios para crear y desarrollar una cultura y una mentalidad enfocadas
a la seguridad. adecuadas y proporcionadas en las organizaciones que tengan con acceso a información
sensible, incluyendo la necesidad de vigilar y auditar el cumplimiento.
El enfoque descrito es aplicable a lo largo del ciclo de vida de una actividad, proyecto, activo, producto
o servicio, tanto proyectado como existente, durante el cual se obtiene, crea, procesa o almacena
información sensible.
Esta norma está concebida para cualquier organización que emplee tecnologías y gestione la informa-
ción para en la creación, diseño, construcción, fabricación, operación, gestión, modificación, mejora,
demolición o reciclaje de activos o productos, así como la prestación de servicios, en el sector de la
construcción. También es de interés y relevancia para las organizaciones que deseen proteger su
información comercial, información personal y su propiedad intelectual.
ISO 19650-2, Organización y digitalización de la información en obras de edificación e ingeniería civil que
utilizan BIM (Building Information Modelling). Gestión de la información al utilizar BIM (Building
Information Modelling). Parte 2: Fase de desarrollo de los activos.
ISO 19650-3, Organización y digitalización de la información en obras de edificación e ingeniería civil que
utilizan BIM (Building Information Modelling). Gestión de la información al utilizar BIM. Parte 3: Fase de
explotación de los activos.
Este documento ha sido adquirido por UNIVERSIDAD INDUSTRIAL DE SANTANDER a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
UNE-EN ISO 19650-5:2020 - 12 -
3 Términos y Definiciones
Para los fines de este documento, se aplican los términos y definiciones siguientes.
ISO e IEC mantienen bases de datos terminológicas para su utilización en normalización en las siguientes
direcciones:
3.1 activo:
Elemento, objeto o entidad que tiene un valor real o potencial para una organización.
NOTA 1 Un activo puede ser fijo, móvil o desplazable. Puede ser un elemento individual de una instalación, un vehículo, un
sistema de equipos conectados, un espacio dentro de una estructura, una porción de terreno, una infraestructura
completa, un edificio entero o una cartera de activos, incluyendo el suelo o agua asociados. También puede incluir
información en formato digital o impreso.
NOTA 2 El valor de un activo puede cambiar a lo largo de su vida y un activo puede, todavía, tener valor al final de su vida. El
valor puede ser tangible, intangible, financiero o no financiero.
[FUENTE: ISO 55000:2014, 3.2.1, modificado. Se han eliminado las notas originales 1, 2 y 3; se han
añadido nuevas notas 1 y 2]
NOTA 1 Los espacios multitudinarios pueden incluir estadios y pabellones deportivos, festivales y salas de concierto; hoteles
y restaurantes; pubs, clubes, bares y casinos; calles comerciales, centros comerciales y mercados; atracciones
turísticas; cines y teatros; escuelas y universidades; hospitales y lugares de culto; centros de negocios y estaciones de
transporte. También pueden incluir espacios para eventos y de uso público como parques y plazas.
NOTA 2 Un espacio multitudinario no está necesariamente lleno de gente en todo momento, ya que la densidad de gente puede
variar y ser temporal, como en el caso de los eventos deportivos o los festivales al aire libre.
3.3 metadatos:
Datos que describen a los datos.
Este documento ha sido adquirido por UNIVERSIDAD INDUSTRIAL DE SANTANDER a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
- 13 - UNE-EN ISO 19650-5:2020
– afectar negativamente a la privacidad, la seguridad (security, 3.7) o la protección (safety, 3.6) de una
o más personas;
3.13 amenaza:
Causa potencial de un incidente que podría producir un daño.
NOTA 1 La alta dirección tiene el poder para delegar autoridad y proporcionar recursos dentro de la organización.
NOTA 2 En el contexto de esta norma, la gestión debe considerarse como la función y no como la actividad.
FUENTE: ISO 9000:2015, 3.1.1, modificado - Las notas originales 2 y 3 han sido eliminadas; se ha
añadido una nueva nota 2]
3.15 vulnerabilidad:
Debilidad que puede ser explotada para causar daño.
Este documento ha sido adquirido por UNIVERSIDAD INDUSTRIAL DE SANTANDER a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
UNE-EN ISO 19650-5:2020 - 14 -
debe identificar el rango de riesgos de seguridad provocados por una mayor disponibilidad de
información, la integración de servicios y sistemas y el aumento de la dependencia de los sistemas
tecnológicos.
4.2.2 El anexo A proporciona información sobre los tipos de riesgos para la seguridad que se deben
considerados.
Si intervienen dos o más organizaciones, la alta dirección de cada una de ellas debe seguir las instruccio-
nes del apartado 4.2.1 de manera coordinada.
NOTA La intervención de varias organizaciones puede darse en una ciudad/comunidad, en un desarrollo grande y multifun-
cional, o en el desarrollo de un sistema de transporte.
4.3.1 Teniendo en cuenta el rango de riesgos de seguridad existentes, las organizaciones menciona-
das en los apartados 4.2.1 y 4.2.3 deben determinar si una iniciativa, proyecto, activo, producto o
servicio, tanto planificados como existentes, así como toda o parte de la información asociada, debe ser
considerada sensible.
NOTA Siempre que se utilice el término "organización” u “organizaciones”" en este documento, se refiere a las organizaciones
mencionadas en los apartados 4.2.1 y 4.2.3.
a) incluye una infraestructura crítica nacional, identificada por la administración local o nacional;
b) desempeña una función de defensa, de mantenimiento del orden público, de seguridad nacional o
diplomática;
Este documento ha sido adquirido por UNIVERSIDAD INDUSTRIAL DE SANTANDER a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
- 15 - UNE-EN ISO 19650-5:2020
NOTA El hecho de que un activo construido no se ajuste a los criterios descritos no impide la aplicación de un nivel de
seguridad más alto si las organizaciones así lo estiman.
4.3.3 Un activo, producto o servicio debe considerarse sensible si existe un riesgo suficiente de sea,
o pueda ser, utilizado para comprometer significativamente la integridad, protección, seguridad o la
resiliencia de un activo, producto o servicio, o su capacidad de funcionamiento.
4.3.4 Un activo, producto o servicio también debe considerarse sensible si el riesgo para la
protección, seguridad o la privacidad de los individuos o comunidades, o para su información personal,
supera el apetito de riesgo de las organizaciones.
4.3.5 En caso de incertidumbre sobre si una iniciativa, proyecto, activo, producto o servicio es o no
sensible, las organizaciones deben solicitar asesoramiento con los expertos en seguridad apropiados,
capaces de demostrar competencia en los campos requeridos.
NOTA El anexo A proporciona información sobre la forma de obtener asesoramiento adecuado en materia de seguridad.
4.4.1 Se debe considerar también, en la evaluación de una iniciativa, proyecto, activo, producto o
servicio, si será o ya es posible acceder a la información no disponible al público de otro modo sobre
otras organizaciones, sus activos, productos o servicios.
NOTA Por ejemplo, los estudios físicos de estructuras subterráneas, redes de infraestructura y sistemas en terrenos privados
pueden ser información sensible no disponible públicamente.
4.4.2 La organización u organizaciones deben consultar con las organizaciones interesadas, a menos
que sea inviable por motivos comerciales o de sensibilidad local, para determinar si alguna de esa
información es sensible y, en caso afirmativo, las medidas que deben aplicarse para su recogida, proce-
sado, almacenamiento, intercambio, eliminación y destrucción.
4.6.1 La organización u organizaciones deben establecer un mecanismo adecuado para llevar a cabo
revisiones periódicas y puntuales (desencadenadas por eventos) para comprobar si la sensibilidad de
una iniciativa, proyecto, activo, producto o servicio ha cambiado por razones políticas, económicas,
sociales, tecnológicas, jurídicas o ambientales.
Este documento ha sido adquirido por UNIVERSIDAD INDUSTRIAL DE SANTANDER a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
UNE-EN ISO 19650-5:2020 - 16 -
4.6.2 También debe realizarse una revisión en caso de que se produzca un cambio significativo en la
iniciativa, el proyecto, el activo, el producto o el servicio, incluyendo:
d) el servicio prestado; o
e) el entorno de seguridad.
4.6.3 Deben realizarse revisiones adicionales desencadenadas por eventos cuando se produzcan
hechos que revelen vulnerabilidades no consideradas previamente.
Este documento ha sido adquirido por UNIVERSIDAD INDUSTRIAL DE SANTANDER a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
- 17 - UNE-EN ISO 19650-5:2020
Leyenda
A ¿Se considera sensible la iniciativa, el proyecto, el activo, el producto o el servicio y la información asociada, tanto
planificados como existentes, así como toda o parte de la información asociada (véase 4.3)?
B ¿Será, o ya es posible, acceder a información no disponible al público de otro modo sobre otra organización, sus activos,
productos o servicios (véase 4.4.1)?
C ¿Se considera confidencial la información sobre otra organización, sus activos, productos o servicios (véase 4.4.2)?
S Sí
N No
ST1 Proteger la información sensible relativa a la iniciativa, el proyecto, el activo, el producto o el servicio, así como la
información sensible de terceros, aplicando los capítulos 5 a 9
ST2 Proteger la información sensible relativa a la iniciativa, proyecto, activo, producto o servicio aplicando los capítulos 5 a 9
ST3 Proteger la información sensible de terceros aplicando los capítulos 5 a 9. Proteger cualquier información comercial y
personal sensible
ST4 Proteger cualquier información comercial y personal sensible
NOTA ST es el acrónimo de security triage (triaje de seguridad).
Este documento ha sido adquirido por UNIVERSIDAD INDUSTRIAL DE SANTANDER a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
UNE-EN ISO 19650-5:2020 - 18 -
la alta dirección de la organización (u organizaciones) debe, de acuerdo con los requisitos de esta norma,
desarrollar y aplicar un enfoque de seguridad adecuado y proporcionado.
NOTA 1 Es prudente que las organizaciones adopten las medidas adecuadas para minimizar las amenazas derivadas del fraude
y otras actividades delictivas e incidentes de ciberseguridad.
NOTA 2 Es probable que las medidas de seguridad básicas relativas a la información personal y comercial sea necesario por
los requisitos de la designación o de la legislación.
NOTA 3 A menos que las organizaciones deseen adoptar un mayor nivel de seguridad, no es necesario aplicar los requisitos
de los capítulos 5 a 9 a la iniciativa, proyecto, activo, producto o servicio que está siendo evaluada.
5.1.1 Cuando una organización desarrolla un enfoque de seguridad, la alta dirección debe definir la
persona de la alta dirección responsable del enfoque de seguridad que se adopte.
a) crear la estructura de gobierno necesaria, asegurando que esté formada legalmente y que las
relaciones de esta estructura con las organizaciones pertinentes estén formalmente documentadas
y acordadas;
b) acordar que una o más partes dirigirán el desarrollo de la estrategia y, si esta función de liderazgo
se comparte entre los organismos, asegurar que las responsabilidades y obligaciones están clara-
mente definidas;
c) designar a las personas que deben ser responsables del enfoque de seguridad que se adopte; y
NOTA 1 Las personas son designadas para ejercer los derechos legales y cumplir las obligaciones de sus respectivas
organizaciones.
NOTA 2 Contar con un enfoque de seguridad acordado de forma colaborativa es más robusto que cuando estos organis-
mos trabajan por separado.
Este documento ha sido adquirido por UNIVERSIDAD INDUSTRIAL DE SANTANDER a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
- 19 - UNE-EN ISO 19650-5:2020
5.1.3 Las organizaciones que apliquen un enfoque de seguridad deben definir a la persona o
personas responsables de:
a) proporcionar una visión holística de las amenazas a la seguridad y las vulnerabilidades derivadas
de la utilización de las tecnologías de la información y la comunicación pertinentes para la iniciativa,
el proyecto, activo, producto o servicio, así como de la dependencia en estas tecnologías;
b) ofrecer recomendaciones y orientación sobre la forma de gestionar los riesgos de seguridad resultantes;
e) ayudar a incorporar los requisitos de seguridad necesarios en todos los documentos de contra-
tación y designación;
f) promover una cultura de seguridad, de modo que todo el personal comprenda sus responsa-
bilidades y se comporte de forma segura;
g) informar a los terceros pertinentes de los aspectos apropiados de las políticas y procesos de
seguridad;
h) asesorar sobre la necesidad de revisar y auditar las políticas y procesos pertinentes en el área de la
seguridad, así como llevar a cabo estas revisiones y auditorías;
i) asesorar sobre la necesidad de probar las medidas de seguridad pertinentes y, de ser necesario
cuando proceda, realizar o encargar esas pruebas; y
5.1.4 La persona o personas que realicen las actividades enumeradas en el apartado 5.1.3 deben
tener una línea jerárquica clara para la comunicación con la persona responsable de la seguridad en su
organización.
NOTA Estas funciones pueden ser desempeñadas por una persona debidamente calificada y experimentada que pueda asumir
o ser responsable de la seguridad y otras funciones dentro de la organización o que pueda ser un experto adecuado
empleado por la organización.
5.1.5 Debe considerarse aceptable que determinadas tareas o funciones de seguridad sean delega-
das em el día a día a otras personas (por ejemplo, la seguridad del personal para los recursos humanos,
la ciberseguridad para el responsable de tecnologías de la información y la seguridad física de los activos
para el gestor del activo o de las instalaciones). Sin embargo, la persona o personas identificadas para
realizar las actividades enumeradas en el apartado 5.1.3 deben seguir siendo responsables de la eficacia
de las operaciones de cada uno de esos aspectos de la seguridad.
Este documento ha sido adquirido por UNIVERSIDAD INDUSTRIAL DE SANTANDER a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
UNE-EN ISO 19650-5:2020 - 20 -
5.2.1 En el caso de una iniciativa, proyecto, activo, producto o servicio planificado, la estrategia de
seguridad debe desarrollarse lo antes posible durante las etapas de planificación.
NOTA La información sobre el desarrollo que se hace pública puede ser de interés para el reconocimiento hostil en las
primeras etapas del proceso de diseño.
5.2.2 Cuando ya existe una iniciativa, proyecto, activo, producto o servicio sensible, la estrategia de
seguridad debe desarrollarse lo antes posible y debe tener en cuenta la qué información ya se ha hecho
pública.
5.2.3 Cuando la actividad esté en la etapa de desarrollo de un activo, utilizando BIM, la estrategia de
seguridad debe desarrollarse de acuerdo con los requisitos descritos en la Norma ISO 19650-2.
d) las medidas de mitigación de riesgos potenciales para hacer frente a esos riesgos de seguridad y las
medidas de mitigación a aplicar (véase 6.3);
NOTA Los principios, el marco y el proceso para la gestión de riesgos a nivel general están definidos en la Norma ISO 31000
[7].
6.1.2 La estrategia de seguridad debe tener en cuenta los requisitos legales y las normas técnicas
que se hayan identificado como pertinentes para la iniciativa, proyecto, activo, producto o servicio.
6.1.3 La estrategia de seguridad debe ser aprobada por la alta dirección de la organización u organi-
zaciones.
Este documento ha sido adquirido por UNIVERSIDAD INDUSTRIAL DE SANTANDER a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
- 21 - UNE-EN ISO 19650-5:2020
6.1.4 El acceso a cualquier parte del enfoque de seguridad que identifique aspectos sensibles de la
iniciativa, del proyecto, activo, producto o servicio, o que detalle los riesgos de seguridad identificados,
debe gestionarse sobre la base de la estricta necesidad de saber, y toda esa información está sujeta a
medidas de seguridad adecuadas al nivel de riesgo respecto a su creación, procesado y almacenamiento.
6.2.1 La organización u organizaciones deben evaluar los riesgos específicos para la seguridad
derivados de una mayor disponibilidad de información, la integración de servicios y sistemas, así como
la dependencia de los sistemas tecnológicos, mediante la evaluación de:
c) la naturaleza del daño que pueda causarse a la iniciativa, proyecto, activo, producto o servicio, así
como al personal, a los ciudadanos y al entorno cercano; y
NOTA Al evaluar los riesgos de seguridad, puede ser apropiado utilizar la misma metodología de puntuación riesgos que esté
implementada en otras partes de la organización.
6.2.2 Cuando la información ya se haya publicado, la evaluación de los riesgos de seguridad debe
tener en cuenta el hecho de que, una vez que la información se ha publicado en Internet o se ha hecho
pública de otro modo, es prácticamente imposible borrar, destruir, eliminar o asegurar todas las copias.
6.2.3 Cuando proceda, la evaluación de los riesgos de seguridad debe incluir los riesgos para la
seguridad asociados con el acceso a la información de otras organizaciones que, de otra manera, no está
disponible públicamente.
6.3.2 Para identificar y registrar las posibles medidas de mitigación, las organizaciones deben tener
en cuenta los controles y requisitos relativos a la seguridad del personal, la seguridad física y la
seguridad técnica, así como los requisitos de gestión de la información.
NOTA 1 La interacción entre los controles de personal, los controles físicos y los controles técnicos puede ser explotados por
agentes hostiles si no se han analizado los vínculos entre estas áreas.
NOTA 2 Las medidas de mitigación desarrolladas también pueden tener por objeto preservar o proteger el valor comercial,
económico y social.
NOTA 3 El anexo B proporciona información sobre los tipos de medidas de control de seguridad y de los factores de gestión
de la información.
6.3.3 Al evaluar cada posible medida de mitigación, las organizaciones deben tener en cuenta:
Este documento ha sido adquirido por UNIVERSIDAD INDUSTRIAL DE SANTANDER a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
UNE-EN ISO 19650-5:2020 - 22 -
d) otros efectos que la medida de mitigación pueda tener en el activo (por ejemplo, la usabilidad, la
eficiencia y el aspecto);
NOTA Los beneficios empresariales pueden incluir la mitigación del riesgo empresarial general y garantizar el valor de los
activos, incluida la información.
6.4.1 Tras la elaboración de medidas de mitigación de los riesgos de seguridad, las organizaciones
deben identificar y registrar cualquier riesgo residual para la seguridad.
6.5.1 La organización u organizaciones deben establecer un mecanismo apropiado para llevar a cabo
revisiones, periódicas y puntuales (desencadenadas por eventos), de la estrategia de seguridad,
incluyendo la eficacia de las medidas de mitigación puestas en marcha, a fin de comprobar que sigue
siendo apropiada para los objetivos previstos.
6.5.2 Las revisiones desencadenadas por eventos deben realizarse cuando se produzcan cambios
políticos, económicos, sociales, organizativos, tecnológicos, legales o medioambientales, que puedan
tener un impacto significativo en la iniciativa, proyecto, activo, producto o servicio, así como cuando la
información asociada o los eventos revelen vulnerabilidades que no se hayan identificado previamente.
6.5.3 Las revisiones deben considerar el posible impacto en las designaciones existentes que puedan
verse afectadas por cambios significativos en las medidas de mitigación, en particular cuando se trate
de un cambio del alcance.
Este documento ha sido adquirido por UNIVERSIDAD INDUSTRIAL DE SANTANDER a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
- 23 - UNE-EN ISO 19650-5:2020
6.5.4 Tras una revisión, la estrategia de seguridad debe actualizarse para tener en cuenta cualquier
cambio en las amenazas, vulnerabilidades, riesgos de seguridad resultantes o medidas de mitigación de
los riesgos de seguridad.
6.5.5 La realización de cada revisión se debe registrar y conservar como parte de la estrategia de
seguridad.
6.5.6 El acceso a cualquier parte de la revisión que identifique aspectos sensibles de la iniciativa,
proyecto, activo, producto o servicio, o que detalle los riesgos de seguridad identificados, debe
gestionarse de acuerdo con el principio estricto de la necesidad de conocer, con toda esa información
sujeta a medidas de seguridad adaptadas al nivel de riesgo en lo que respecta a su creación, distribución,
uso, almacenamiento, eliminación y destrucción.
7.1.2 Cuando proceda, la gestión de la seguridad debe relacionarse con otras políticas y procesos de
seguridad establecidos por las organizaciones.
7.1.3 El plan de gestión de la seguridad debe contener, con respecto a las organizaciones y sus
equipos de desarrollo:
a) las políticas que establecen las normas de la empresa relacionadas con la seguridad derivadas de
las medidas de mitigación acordadas;
b) los procesos derivados de las políticas de seguridad y las recomendaciones para su aplicación de
forma coherente;
c) los requisitos de información de seguridad que detallan qué información debe considerarse
sensible, así como las políticas y procesos de creación, distribución, uso, almacenamiento,
eliminación y destrucción de esa información;
f) un plan de gestión para las brechas e incidentes de seguridad (véase el capítulo 8);
g) los detalles de las obligaciones y la responsabilidad de la aplicación de los diferentes aspectos del
plan de gestión de la seguridad (véase 7.4);
h) los requisitos de vigilancia y auditoría, incluyendo las pruebas de las medidas de seguridad en vigor
(véase 7.5); y
Este documento ha sido adquirido por UNIVERSIDAD INDUSTRIAL DE SANTANDER a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
UNE-EN ISO 19650-5:2020 - 24 -
i) los mecanismos de revisión y actualización del plan de gestión de la seguridad (véase 7.6).
NOTA Cualquier deficiencia u omisión en el plan de gestión de la seguridad reducirá la eficacia de la estrategia de seguridad y
aumentará el riesgo de una brecha o incidente de seguridad.
7.1.4 El plan de gestión de la seguridad se debe utilizar para informar de los requisitos de seguridad
contenidos en todos los documentos de contratación y designación (véase el capítulo 9).
7.2.1 El plan de gestión de la seguridad debe establecer los requisitos de la organización u organiza-
ciones para realizar una evaluación previa a compartir o publicar la información o modelo de infor-
mación, ya sea nueva, modificada o existente, tanto en su totalidad como de forma parcial.
b) las solicitudes de información recibidas por una organización sujeta a las disposiciones de la
legislación sobre acceso público o transparencia; y
a) contiene o permite deducir información sensible acerca de una iniciativa, proyecto, activo,
producto, servicio, individuo o grupo/comunidad, incluida la información sobre vulnerabilidades;
c) cuando sea el caso, ayuda a determinar la forma de utilización de uno o más activos o el estilo de
vida de individuos o grupos/comunidades que no se hayan públicos de otro modo.
NOTA El anexo C muestra recomendaciones sobre las áreas cubiertas por este tipo de evaluación.
7.2.4 Cuando la evaluación determine que se da alguna de esas circunstancias, las organizaciones
deben adoptar un enfoque apropiado y proporcionado, basado en los riesgos de que esa información se
publique o comparta.
NOTA El anexo C muestra recomendaciones sobre las medidas que pueden tomarse para reducir los riesgos de seguridad.
7.2.5 El acceso a cualquier parte de la evaluación que detalle información sensible debe gestionarse
de acuerdo con el principio estricto de necesidad de conocer, con la información que contiene sujeta a
medidas de seguridad adecuadas relativas a su creación, distribución, uso, almacenamiento, eliminación
y destrucción.
Este documento ha sido adquirido por UNIVERSIDAD INDUSTRIAL DE SANTANDER a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
- 25 - UNE-EN ISO 19650-5:2020
7.3.1 Cuando proceda, el plan de gestión de la seguridad debe establecer las medidas de seguridad
adecuadas y proporcionales en relación a la definición, adquisición, diseño, fabricación, transporte,
instalación y puesta en marcha de cualquier activo sensible.
7.5.1 En el plan de gestión de la seguridad se deben especificar las medidas apropiadas y proporcio-
nadas para la vigilancia, la auditoría y para las pruebas que se llevarán a cabo durante todo el ciclo de
vida de la iniciativa, proyecto, activo, producto o servicio, y que debe incluir, como mínimo y según lo
determinado por un método de muestreo basado en los riesgos, una evaluación de:
b) el cumplimiento, por parte de cualquier equipo de desarrollo, de todos los aspectos pertinentes del
plan de gestión de la seguridad.
NOTA 1 Es necesario lograr un equilibrio entre una verificación formal que incluya auditorías de los adjudicatarios y un
sistema de verificación basado en los principios de honor y confianza.
NOTA 2 Cuando proceda, el cumplimiento, por parte del equipo de desarrollo, de todos los aspectos pertinentes del plan de
gestión de seguridad, puede formar parte de su evaluación de la idoneidad y la capacidad, como se define en la Norma
ISO 19650-1.
NOTA 3 La vigilancia y auditoría del plan de gestión de la seguridad puede basarse en normas como la ISO 19011 [3].
7.5.2 El plan de gestión de la seguridad debe exigir que sólo las personas calificadas y con expe-
riencia puedan realizar esta labor de vigilancia y auditoría.
Este documento ha sido adquirido por UNIVERSIDAD INDUSTRIAL DE SANTANDER a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
UNE-EN ISO 19650-5:2020 - 26 -
7.6.2 Las revisiones desencadenadas por eventos deben llevarse a cabo después de una evaluación
de la estrategia de seguridad, en caso de una brecha o incidente de seguridad o si se produce un cambio
político, económico, social, organizativo, tecnológico, legal o medioambiental que puede tener un
impacto significativo en:
7.6.3 Las revisiones deben tener en cuenta el posible impacto de cualquier cambio en las políticas y
procesos en las designaciones existentes, en particular cuando se trate de un cambio del alcance.
7.6.4 Tras una revisión, el plan de gestión de la seguridad debe actualizarse para reflejar cualquier
cambio, así como para abordar cualquier carencia o deficiencia identificada que reduzca la capacidad
del plan para lograr el nivel requerido de mitigación de los riesgos de seguridad.
7.6.5 Los cambios en el plan de gestión de la seguridad deben comunicarse dentro de las organiza-
ciones y a los adjudicatarios.
7.6.6 La realización de cada revisión se debe registrar y conservar como parte del plan de gestión de
la seguridad.
a) una evaluación de los tipos de brechas e incidentes de seguridad que pueden producirse y los
posibles riesgos que pueden derivarse de ellos que afecten a las organizaciones, sus operaciones,
activos y su reputación, a su personal y a terceros;
b) el proceso que se seguirá en caso de que se descubra una brecha o un incidente de seguridad,
incluyendo los cuasi-incidentes que hayan estado próximos a producirse (ver 8.2);
Este documento ha sido adquirido por UNIVERSIDAD INDUSTRIAL DE SANTANDER a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
- 27 - UNE-EN ISO 19650-5:2020
d) el proceso de revisión a realizar tras una brecha o incidente de seguridad (véase 8.4); y
e) los mecanismos para revisar y actualizar el plan de gestión de brechas e incidentes de seguridad
(véase 8.5).
8.1.2 Algunas partes del plan de gestión de las brechas e incidentes de seguridad pueden estar
cubiertas por otros planes existentes o por medidas específicas de cada país, en cuyo caso se deben
existir referencia cruzadas con estos planes o medidas.
8.1.3 Las partes del plan de gestión de las brechas e incidentes de seguridad que registran los riesgos
para las organizaciones deben gestionarse de acuerdo con el principio estricto de necesidad de saber,
con la información contenida en esas partes sujeta a las medidas de seguridad apropiadas relativas a su
creación, distribución, uso, almacenamiento, eliminación y destrucción.
a) las personas o funciones con las que hay que ponerse en contacto inmediatamente y sus datos de
contacto;
b) los procesos utilizados para identificar a las partes afectadas (concerned parties);
d) la gestión con cualquier tercero, organismo regulador, medios de comunicación o interés público,
en el caso de una brecha o incidente de seguridad.
c) las circunstancias y el enfoque necesario para la recogida de evidencias que puedan ser utilizadas
ante la ley; y
d) las medidas de preparación forense necesarias para permitir, cuando sea necesario, la recogida de
información forense sobre el incidente para su uso por parte de las fuerzas del orden y/o un análisis
detallado de las causas fundamentales de los incidentes.
Este documento ha sido adquirido por UNIVERSIDAD INDUSTRIAL DE SANTANDER a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
UNE-EN ISO 19650-5:2020 - 28 -
En los casos en que sea necesario reunir evidencias que puedan usarse legalmente, todas las evidencias
(es decir, tanto físicas como digitales) que puedan servir para identificar la causa del evento y sus
autores deben ser preservadas y recogidas antes de adoptar las medidas de recuperación, a menos que
tomar estas medidas de forma inmediata sea necesaria para proteger la integridad física de las personas.
NOTA Es importante recoger pruebas forenses antes de adoptar las medidas de recuperación, ya que estas medidas pueden
destruir o contaminar las evidencias digitales.
8.4.2 Las políticas y procesos pertinentes deben actualizarse para reflejar los hallazgos de la
evaluación y para prevenir o reducir el riesgo de que vuelvan a ocurrir.
8.4.3 La organización u organizaciones deben exigir, cuando proceda, que los miembros pertinentes
de su equipo de desarrollo colaboren con ellas para llevar a cabo una evaluación apropiada y
proporcionada del evento y de la respuesta al mismo.
NOTA En el anexo D figura más información sobre los acuerdos de intercambio de información.
9.1.2 El acuerdo de intercambio de información, o su equivalente, debe incluir los requisitos de las
organizaciones para la conservación, eliminación y destrucción de la información sensible,
9.1.3 Cuando el proceso de licitación para la designación requiera la entrega de información sensible,
la organización u organizaciones deben aplicar medidas de protección apropiadas y proporcionadas y/o
procesos separados, asegurando al mismo tiempo que se disponga de información suficiente.
9.1.4 La organización u organizaciones deben evaluar, como parte del proceso de selección del
adjudicatario, todas las ofertas para determinar cómo se pretende que se cumplan los requisitos de
seguridad establecidos en el Plan de Gestión de Seguridad.
1) NOTA NACIONAL En esta serie de normas, se traduce appointment por adjudicación, appointed party como adjudicatario y
appointing party como adjudicador. En la primera versión de la traducción de las partes 1 y 2 se emplearon los términos
contratación, parte contratante y parte contratada, respectivamente.
Este documento ha sido adquirido por UNIVERSIDAD INDUSTRIAL DE SANTANDER a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
- 29 - UNE-EN ISO 19650-5:2020
9.2.1 La organización u organizaciones deben gestionar los riesgos de seguridad para el equipo de
desarrollo estableciendo, en la documentación de la adjudicación, disposiciones que respalden todas las
políticas y procesos de seguridad pertinentes contenidos en el plan de gestión de la seguridad, inclu-
yendo los requisitos aplicables a un miembro del equipo de desarrollo una vez finalizada la adjudicación.
9.2.3 Cuando proceda, las disposiciones deben aplicar los mismos requisitos que los contenidos en
la documentación de la adjudicación para los adjudicatarios, que se adjudican directamente a una o
varias organizaciones mediante las distintas capas de adjudicaciones adicionales (sub-appointments).
9.2.5 Para gestionar las brechas e incidentes de seguridad causadas por un asesor, un contratista o
un adjudicatario, deben incluirse disposiciones claras en la documentación de la adjudicación relativas
a la notificación de la brecha o incidente de seguridad a las organizaciones y para la prestación de
asistencia en la investigación y las medidas de seguimiento.
9.2.6 Las medidas incluidas en la documentación de la adjudicación deben incluir disposiciones que
permitan a las organizaciones revisar las medidas de seguridad y el cumplimiento de las políticas y
procesos de seguridad pertinentes en todos los niveles del equipo de desarrollo en cuestión.
9.2.8 La organización u organizaciones deben exigir, al término de una adjudicación, que toda la
información pertinente, incluida la que el adjudicatario haya compartido con otros miembros de su
equipo de desarrollo, sea entregada, almacenada de forma segura, eliminada o destruida de confor-
midad con los requisitos de la organización y relativos a la adjudicación.
9.2.9 Cuando proceda, la organización u organizaciones deben exigir al adjudicatario que verifique
que se han seguido los procedimientos definidos para la entrega, eliminación o destrucción de la infor-
mación sensible, y que verifique las disposiciones de seguridad establecidas para la información
sensible que conserve.
9.3.1 La organización u organizaciones deben vigilar y hacer cumplir todas las disposiciones de segu-
ridad de la documentación de la adjudicación a sus adjudicatarios, para garantizar que adopten un
enfoque de seguridad en cumplimiento de sus obligaciones de adjudicación.
Este documento ha sido adquirido por UNIVERSIDAD INDUSTRIAL DE SANTANDER a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
UNE-EN ISO 19650-5:2020 - 30 -
9.3.2 La organización u organizaciones deben colaborar con su equipo de desarrollo para ayudar a
comprender los requisitos de seguridad y para resolver cualquier cuestión de seguridad pendientes.
Este documento ha sido adquirido por UNIVERSIDAD INDUSTRIAL DE SANTANDER a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
- 31 - UNE-EN ISO 19650-5:2020
Anexo A (Informativo)
a) el rango de amenazas que pueden tratar de explotar las vulnerabilidades a fin de:
2) comprometer el valor, la vida útil (longevidad) y el uso continuado de los activos, productos o
servicios de la organización;
5) dañar la reputación; o
NOTA 1 Las amenazas incluyen el terrorismo, los actos hostiles de un país, el espionaje industrial, el crimen organi-
zado, activistas, actores individuales, piratas informáticos y los informantes (insiders) malintencionados.
1) sobre seguridad, que pueda explotar (por ejemplo, vulnerabilidades físicas o la configuración del sistema);
3) sobre el nivel de seguridad (es decir, la probabilidad de ser detectado y la probabilidad de éxito);
NOTA 3 Desde la perspectiva del atacante, el éxito de la planificación de un ataque depende de la fiabilidad de esta
información y de la capacidad de explotarla antes de que se puedan aplicar medidas preventivas.
c) la posibilidad de que los componentes, los activos o los productos individuales que se integran en
un activo, producto o sistema mayor, sean falsificados de forma maliciosa o fraudulenta, o
contaminados;
Este documento ha sido adquirido por UNIVERSIDAD INDUSTRIAL DE SANTANDER a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
UNE-EN ISO 19650-5:2020 - 32 -
d) la posibilidad e impacto de actos malintencionados, producidos por una serie de amenazas internas
y externas que malware, piratas informáticos o personal descontento, que puede comprometer:
2) la información personal;
NOTA 4 Los actos malintencionados pueden provocar la pérdida, divulgación o daño, accesos no autorizado o la
modificación no autorizada de la información.
f) la posibilidad de que la información se utilice para realizar un análisis de los estilos de vida que
faciliten la explotación malintencionada o delictiva de los hábitos, rutinas y preferencias;
h) los riesgos para la reputación que se derivan de los aspectos enumerados anteriormente.
A.2.1 Para contribuir al desarrollo de la estrategia de seguridad, las organizaciones deberían contar
con asesoramiento apropiado sobre los riesgos de seguridad que surgen del aumento de disponibilidad
de información, la integración de los servicios y sistemas, y el aumento de la dependencia de los sistemas
tecnológicos.
Este documento ha sido adquirido por UNIVERSIDAD INDUSTRIAL DE SANTANDER a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
- 33 - UNE-EN ISO 19650-5:2020
A.2.2 Si La organización u organizaciones ya está enfocada a la seguridad, pueden contar con personas
que estén debidamente calificadas y con experiencia suficiente sobre gobernanza, seguridad física,
seguridad tecnológica, seguridad del personal y de las personas, así como sobre las relaciones e
interdependencias entre ellas, de forma que puedan proporcionar asesoramiento y asistencia completos
para comprender el contexto de seguridad. Si no es así, se debería buscar asesoramiento especializado
externo en materia de seguridad.
Este documento ha sido adquirido por UNIVERSIDAD INDUSTRIAL DE SANTANDER a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
UNE-EN ISO 19650-5:2020 - 34 -
Anexo B (Informativo)
a) la identificación de las funciones de alto riesgo dentro cada organización y de cualquier organi-
zación empleada como parte de una adjudicación o una prestación de servicios;
NOTA Las funciones de alto riesgo incluyen, por ejemplo, las que tienen acceso a los detalles de la estrategia de seguridad,
la información sobre activos sensibles o las que desempeñan una función clave en la administración de los
sistemas informáticos o en la gestión de la información.
b) los requisitos de control de seguridad y autorización para toda persona que esté en contacto con
activos sensibles, incluyendo la información, tanto en funciones generales como específicas;
c) los requisitos de las competencias en materia de seguridad de las personas que desempeñan
funciones específicas;
d) la formación de todo el personal nuevo y de las organizaciones que prestan servicios a las
organizaciones para asegurar que estén debidamente informados de sus responsabilidades y de la
cultura de seguridad requerida, incluyendo:
2) los temas obligatorios que deben tratarse en esas sesiones de concienciación y los resultados
del aprendizaje requeridos para cada una de ellas;
f) los requisitos para la formación en materia de seguridad, para cada función (rol), que garanticen la
adopción y el mantenimiento de una cultura de la seguridad;
Este documento ha sido adquirido por UNIVERSIDAD INDUSTRIAL DE SANTANDER a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
- 35 - UNE-EN ISO 19650-5:2020
a) las medidas de seguridad física necesarias en los emplazamientos donde se guarda la información
sensible o desde los que se tiene acceso remoto a los sistemas de cualquier parte de un activo
sensible;
c) cuando proceda, la protección de los bienes inmuebles vecinos que no sean generalmente visibles
o accesibles de otro modo; y
NOTA Los bienes inmuebles vecinos son activos construidos (junto con los servicios que los abastecen) que comparten
un límite con el activo construido en cuestión (incluyendo el subsuelo o el espacio sobre el activo), o que están en
sus proximidades, pero separados físicamente por una carretera o calle, un espacio público o privado abierto o un
elemento similar.
d) las medidas de protección necesarias para los dispositivos y equipos informáticos y electrónicos.
g) en el caso de que la información se conserva durante un período de tiempo establecido para cumplir
con requisitos legales, reglamentarios u organizativos (el mayor de ellos): las medidas que se
aplicarán con respecto a la seguridad de la información conservada y las medidas que se aplicarán
después de ese período para garantizar su eliminación o destrucción en condiciones de seguridad,
o la retirada del acceso a dicha información.
Este documento ha sido adquirido por UNIVERSIDAD INDUSTRIAL DE SANTANDER a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
UNE-EN ISO 19650-5:2020 - 36 -
B.3.2 Siempre que sea posible, los sistemas utilizados para obtener, procesar o almacenar información
sensible deberían ser seguros por defecto (es decir, todas las funciones están disponibles sin
comprometer la seguridad y la configuración de seguridad por defecto está establecida a su nivel más
alto) o los parámetros del sistema deberían estar configurados para optimizar la protección de esta
información.
B.3.3 Como parte del proceso de selección, los sistemas de software utilizados para obtener, procesar
o almacenar información sensible deberían evaluarse en función de su capacidad para proporcionar
cada uno de los aspectos que se enumeran a continuación, con un nivel apropiado y proporcional a la
sensibilidad de la información:
b) disponibilidad (incluyendo la fiabilidad): garantizar que la información, los sistemas y los procesos
asociados sean localizables, accesibles y utilizables de forma coherente, y, cuando proceda, puedan
divulgarse de manera apropiada y oportuna;
NOTA Una adjudicación puede especificar la disponibilidad en términos de porcentaje (por ejemplo, 99,999% anual),
con un tiempo especificado máximo para restablecer servicio normal (por ejemplo, 30 min), pudiendo variar
según el activo, productos y servicio.
c) protección (safety): los sistemas y los procesos asociados se diseñan, implementan, operan y
mantienen de forma que se limiten situaciones peligrosas que puedan producir lesiones o pérdidas
de vidas, daños ambientales involuntarios, o daños a los activos;
d) resiliencia: la capacidad de la información, los servicios y los sistemas para transformarse, reno-
varse y recuperarse de manera oportuna en respuesta a eventos adversos;
e) posesión: los sistemas y procesos asociados se diseñan, aplican, implantan y mantienen de modo
que se impida el control, la manipulación o la interferencia no autorizados y que se garantice que la
información se utiliza únicamente conforme a las condiciones de cumplimiento normativo
(compliance) y los derechos y obligaciones especificados en la documentación de la adjudicación;
f) autenticidad: garantizar la información introducida en los sistemas y extraída de ellos, así como la
situación del sistema y todos los procesos e información asociados, son auténticos;
g) utilidad: garantizar que la información sobre los activos y sistemas siga siendo útil durante el
período en que pueda ser necesario el acceso a la información; y
B.3.4 Antes de la puesta en marcha de cualquier sistema basado en el Internet de las Cosas (Internet
of Things) u otras tecnologías distribuidas, la organización u organizaciones deberían:
b) determinar en qué medida la arquitectura cumple los requisitos de seguridad de las organizaciones;
Este documento ha sido adquirido por UNIVERSIDAD INDUSTRIAL DE SANTANDER a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
- 37 - UNE-EN ISO 19650-5:2020
c) evaluar todos los riesgos de seguridad, incluido el posible impacto de un fallo técnico, en relación
con el apetito de riesgo de las organizaciones y los beneficios que se puedan obtener; y
a) los requisitos para la realización de inspecciones y estudios que puedan dar lugar a la recopilación
de información sensible que, de otro modo, no estaría disponible públicamente;
NOTA 1 Es importante gestionar el acceso a la información sensible sobre la base de la necesidad de conocer, de modo
que las organizaciones y el personal sólo tengan acceso a la información sensible que sea pertinente y necesaria
para el desempeño de sus funciones.
NOTA 2 Los datos maestros de referencia comprenden un conjunto de valores permitidos para ser utilizados en otros
campos de datos en modelos de información compartidos.
f) la vigilancia y el registro de los cambios en los procesos y tecnologías utilizados para la obtención,
el procesado -incluida la integración de información- y el almacenamiento.
B.4.2 Las políticas y procesos deberían ser aplicables durante todo el ciclo de vida de la información
que, de forma genérica, incluye:
a) obtención (capture): actividad asociada con la creación y el almacenamiento inicial de una unidad
de información, incluyendo sus metadatos;
Este documento ha sido adquirido por UNIVERSIDAD INDUSTRIAL DE SANTANDER a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
UNE-EN ISO 19650-5:2020 - 38 -
c) mantenimiento: actividades que sirven para entregar la información lista para su síntesis o utili-
zación de forma y manera apropiadas para esos fines, entre ellas: validación y verificación; depura-
ción; reformateo; enriquecimiento; traslado; integración desde múltiples sistemas; y actualización
de la información publicada;
g) publicación: proceso de hacer que la información esté disponible dentro o fuera de una orga-
nización; y
h) purga (purging): la eliminación de toda copia conocida de una unidad de información de una
organización.
Este documento ha sido adquirido por UNIVERSIDAD INDUSTRIAL DE SANTANDER a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
- 39 - UNE-EN ISO 19650-5:2020
Anexo C (Informativo)
1) el objetivo;
2) si existen obligaciones legales de compartir o publicar (por ejemplo, una ley o una orden
judicial); y
f) los riesgos de seguridad asociados a la distribución o publicación y si esos riesgos superan el apetito
de riesgo de la organización u organizaciones;
i) los riesgos residuales para la seguridad y los problemas persistentes de protección de la infor-
mación.
Este documento ha sido adquirido por UNIVERSIDAD INDUSTRIAL DE SANTANDER a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
UNE-EN ISO 19650-5:2020 - 40 -
C.2.1 El plan de gestión de la seguridad debería detallar el enfoque del suministro e intercambio de
información con terceros al cumplir con los procesos reglamentarios y legales.
C.2.2 El plan de gestión de la seguridad debería exigir que la información confidencial se separe y
protege adecuadamente. Esto puede incluir la purga o eliminación de información confidencial relativa
a características sensibles, usos particulares de las zonas de un activo y el uso de medidas de protección.
También puede incluir el suministro de información no estructurada en formatos como copias en papel,
imágenes o formatos PDF no interactivos, en lugar de dar acceso, por ejemplo, a modelos de información
interactivos.
C.2.3 Cuando no se pueda excluir la información confidencial de una presentación, las organizaciones
deberían contactar con un tercero (tercera parte), antes de la presentación de la información, para
acordar las medidas de protección apropiadas que se puedan establecer. Cuando el tercero esté sujeto
a las disposiciones de la legislación sobre acceso público o transparencia, dicha medidas deben ser
suficientes para gestionar el riesgo hasta un nivel tolerable para las organizaciones.
Este documento ha sido adquirido por UNIVERSIDAD INDUSTRIAL DE SANTANDER a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
- 41 - UNE-EN ISO 19650-5:2020
Anexo D (Informativo)
b) los posibles destinatarios, o tipos de destinatarios, y las circunstancias en que tienen acceso;
4) la obligación, coherente con los requisitos del plan de gestión de seguridad sobre las brechas y
los incidentes de seguridad, de notificar los eventos, potenciales o conocidos de brechas o
incidentes de seguridad al propietario de la información y/o al responsable de la información;
j) los procedimientos para la gestión de los derechos de los interesados, incluidas las solicitudes de
acceso a, las consultas y las quejas, así como las transferencias entre organizaciones, territorios y
jurisdicciones;
Este documento ha sido adquirido por UNIVERSIDAD INDUSTRIAL DE SANTANDER a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
UNE-EN ISO 19650-5:2020 - 42 -
NOTA Un asesoramiento legal adecuado es parte de la elaboración de un acuerdo de intercambio de información robusto.
D.1.3 En caso de una brecha o incidente de seguridad, potencial o real, o si hay evidencia de que la
información no se está gestionando y manejando de conformidad con el acuerdo de intercambio de
información, la organización u organizaciones deberían:
NOTA En estas circunstancias, es importante que la investigación y la implantación de las medidas de mitigación de
riesgos investigar se realicen sin demoras innecesarias.
D.1.4 Los acuerdos de intercambio de información deberían revisarse con la frecuencia definida en el
plan de gestión de la seguridad, para establecer la eficacia del intercambio y garantizar que:
a) sigue existiendo un propósito legítimo para mantener el intercambio de información con cada desti-
natario y, si no lo hay, retirar el acceso correspondiente;
Este documento ha sido adquirido por UNIVERSIDAD INDUSTRIAL DE SANTANDER a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
- 43 - UNE-EN ISO 19650-5:2020
Bibliografía
[2] ISO 16530-1:2017, Petroleum and natural gas industries. Well integrity. Part 1: Life cycle
governance.
[4] ISO 19650-1, Organization and digitization of information about buildings and civil engineering
works, including building information modelling (BIM). Information management using building
information modelling. Part 1: Concepts and principles.
[6] ISO/IEC 27001, Information technology. Security techniques. Information security management
systems. Requirements.
Este documento ha sido adquirido por UNIVERSIDAD INDUSTRIAL DE SANTANDER a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.
Para información relacionada con el desarrollo de las normas contacte con:
Asociación Española de Normalización
Génova, 6
28004 MADRID-España
Tel.: 915 294 900
info@une.org
www.une.org
Para información relacionada con la venta y distribución de las normas contacte con:
AENOR INTERNACIONAL S.A.U.
Tel.: 914 326 000
normas@aenor.com
www.aenor.com
Este documento ha sido adquirido por UNIVERSIDAD INDUSTRIAL DE SANTANDER a través de la suscripción a AENORmás.
Para uso en red interna se requiere de autorización previa de AENOR.