La aplicación de la metodología BIM para la digitalización del entorno construido conlleva el uso y dependencia de las tecnologías de la información y las comunicaciones en los procesos de producción, gestión y uso de la información, más si cabe cuando dicha información puede estar accesible para diferentes organizaciones en un Entorno Común de Datos (CDE), tal y como promueve la norma UNE-EN ISO 19650.
Es por tanto necesario tener en cuenta los problemas de vulnerabilidad y los riesgos de seguridad, así como la existencia de información sensible en el modelo de información o en la documentación relacionada.
La norma UNE-EN ISO 19650-5 ofrece un marco para comprender diferentes aspectos relacionados con la seguridad de la información cuando se está utilizando BIM, animando a adoptar un enfoque de seguridad por parte del conjunto de organizaciones que colaboran e intercambian información durante cualquiera de las fases del ciclo de vida del activo construido.
Información sensible
La organización que inicia el desarrollo o mejora de un activo, o aquella que se encarga de la gestión de un activo, deberá determinar si la información asociada al mismo, ya sea en su totalidad o una parte de ella, debe ser considerada como sensible.
Hay una serie de activos que, por su naturaleza, contienen información sensible, como es el caso de infraestructuras críticas o los considerados como espacios multitudinarios, tales como estadios, pabellones deportivos, hoteles, calles comerciales, mercados, plazas, parques, estaciones de transporte, hospitales, etc.
La pérdida, alteración, uso indebido o acceso no autorizado a esta información sensible puede tener una serie de repercusiones graves que hay que tener en cuenta:
- Afectar a la privacidad, protección o seguridad de personas.
- Comprometer la propiedad intelectual o secretos comerciales de una organización.
- Causar daños comerciales o económicos a una organización.
Estrategia y plan de gestión de la seguridad
En el caso de que exista información sensible en el proyecto o activo, será necesario definir una estrategia de seguridad en la que:
- Realizar una evaluación de los riesgos de seguridad: amenazas potenciales, posibles vulnerabilidades y la probabilidad de que sean explotadas y la naturaleza del daño que pueda causarse.
- Definir las medidas de mitigación de los riesgos de seguridad, evaluando principalmente el coste de la medida y el resultado esperado.
- Documentar aquellos riesgos de seguridad que se consideren residuales y admisibles.
La aplicación de las medidas establecidas en la estrategia de seguridad se llevará a cabo mediante un plan de gestión de la seguridad, cuyo principal objetivo es garantizar la fiabilidad, integridad, confidencialidad y autenticidad de la información.
Este plan de gestión de la seguridad, que debe tener en cuenta el espíritu de proporcionalidad de la EN-ISO 19650, contendrá:
- Las políticas de seguridad de las organizaciones.
- Los requisitos de seguridad de la información que detallan qué información se considera sensible, así como los procesos de producción, almacenamiento, uso e intercambio de dicha información.
- Quién va a tener acceso a la información y si podrá compartirla o publicarla.
- Los diferentes controles de seguridad necesarios y que afectan al personal, a aspectos físicos y a aspectos tecnológicos.
- Un plan frente a brechas e incidentes de seguridad.
- Las obligaciones y responsabilidades asociadas a la aplicación del plan de gestión de la seguridad.
Conclusiones
La existencia de información sensible en el modelo de información de un activo, que es accesible por parte de diferentes organizaciones, requiere la elaboración de un plan de gestión de la seguridad que permita mitigar los riesgos y hacer frente a posibles brechas e incidentes de seguridad.
La norma UNE-EN ISO 19650-5 establece un marco para decidir cuándo es necesario definir y aplicar un plan de gestión de la seguridad durante el ciclo de vida del activo digital, y qué aspectos deben ser tenidos en cuenta.
Autor
Sergio Muñoz es Ingeniero de Telecomunicaciones.
CEO y cofundador de Laurentia Technologies, y socio co-fundador de bim+partners, donde desarrolla servicios de consultoría BIM.
Desempeña los cargos de secretario de buildingSMART Spain y de presidente del comité de normalización UNE-CT41-SC13, y participa de forma activa en diferentes grupos de trabajo para impulsar la estandarización en la aplicación de la metodología BIM.
Ha realizado la traducción al español de las diferentes normas que componen la serie EN-ISO 19650 y es coautor de diferentes guías sobre BIM, como la Guía BIM para Propietarios y Gestores de Activos, la Guía BIM para la arquitectura técnica o la Guía de apoyo a contrataciones con requisitos BIM.
Además, participa como docente en diferentes Masters y Postgrados sobre BIM.
Escribir comentario