SlideShare una empresa de Scribd logo

Gobierno de las TIC ISO/IEC 38500

Nicolas Benjamin Cruz Carpio
Nicolas Benjamin Cruz Carpio

Journal Online

Ingeniería
1 de 4
Descargar para leer sin conexión
1 ISACA JOURNAL VOLUME 1, 2010 Journal Online Antecedentes Gobierno de las TIC (IT governance) ya tiene una norma ISO asociada, la ISO/ IEC 38500:2008 “Corporate governance of information technology” que viene a complementar el conjunto de estándares ISO que afectan a los sistemas y tecnologías de la información (ISO/IEC 27000, ISO/IEC 20000, ISO/IEC 15504, ISO/IEC 24762, etc.). Esta nueva norma fija los estándares para un buen gobierno de los procesos y decisiones empresariales relacionados con los servicios de información y comunicación que, suelen estar gestionados tanto por especialistas en TIC internos o ubicados en otras unidades de negocio de la organización, como por proveedores de servicios externos. En esencia, todo lo que esta norma propone puede resumirse en tres propósitos fundamentales: • Asegurar que, si la norma es seguida de manera adecuada, las partes implicadas (directivos, consultores, ingenieros, proveedores de hardware, auditores, etc.), puedan confiar en el gobierno corporativo de TIC. • Informar y orientar a los directores que controlan el uso de las TIC en su organización. • Proporcionar una base para la evaluación objetiva por parte de la alta dirección en el gobierno de las TIC. La norma ISO/IEC 38500:2008 se publicó en junio de 2008 en base a la norma australiana AS8015:2005. Es la primera de una serie sobre normas de gobierno de TIC. Su objetivo es proporcionar un marco de principios para que la dirección de las organizaciones lo utilicen al evaluar, dirigir y monitorizar el uso de las tecnologías de la información y comunicaciones (TICs). Está alineada con los principios de gobierno corporativo recogidos en el “Informe Cadbury” y en los “Principios de Gobierno Corporativo de la OCDE.” Alcance, Aplicación y Objetivos La norma se aplica al gobierno de los procesos de gestión de las TICs en todo tipo de organizaciones que utilicen (hoy todas) las tecnologías de la información, facilitando unas bases para la evaluación objetiva del gobierno de TIC. Dentro de los beneficios de un buen gobierno de TIC estaría la conformidad de la organización con: • Los estándares de seguridad • Legislación de privacidad • Legislación sobre el spam • Legislación sobre prácticas comerciales • Derechos de propiedad intelectual, incluyendo acuerdos de licencia de software • Regulación medioambiental • Normativa de seguridad y salud laboral • Legislación sobre accesibilidad • Estándares de responsabilidad social También la búsqueda de un buen rendimiento de las TIC mediante:• apropiada implementación y operación de los activos de TIC • Clarificación de las responsabilidades y rendición de cuentas en lograr los objetivos de la organización • Continuidad y sostenibilidad del negocio • Alineamiento de las TICs con las necesidades del negocio • Asignación eficiente de los recursos • Innovación en servicios, mercados y negocios • Buenas prácticas en las relaciones con los interesados (stakeholders) • Reducción de costes • Materialización efectiva de los beneficios esperados de cada inversión en TIC Definiciones La norma incluye 19 definiciones de términos, entre los que se pueden destacar los siguientes: • Gobierno corporativo de TIC (corporate governance of IT)—El sistema mediante el cual se dirige y controla el uso actual y futuro de las Gobierno de las TIC ISO/IEC 38500 Manuel Ballester, Ph.D., CISA, CISM, CGEIT, IEEE, tiene más de 30 años en empresas del sector TIC y académico, incluyendo: Director Cátedra Buen Gobierno Universidad Deusto, Director Máster Buen Gobierno Universidad Deusto, Socio de TEMANOVA/ ALINTEC, miembro de ISO JTC1/WG6. Él actualmente está dirigiendo el proyecto de implantación de ISO 38500 en una entidad financiera española.
2 ISACA JOURNAL VOLUME 1, 2010 tecnologías de la información • Gestión (management)—El sistema de controles y procesos requeridos para lograr los objetivos estratégicos establecidos por la dirección de la organización. Está sujeta a la guía y monitorización establecida mediante el gobierno corporativo. • Interesado (stakeholder)—Individuo, grupo u organización que puede afectar, ser afectado, o percibir que va a ser afectado, por una decisión o una actividad • Uso de TIC (use of IT)—Planificación, diseño, desarrollo, despliegue, operación, gestión y aplicación de TI para cumplir con las necesidades del negocio. Incluye tanto la demanda como la oferta de servicios de TIC por unidades de negocio internas, unidades especializadas de TI, proveedores externos y “utility services” (como los que se proveen de software como servicio). • Factor humano (human behavior)—La comprensión de las interacciones entre personas y otros elementos de un sistema con la intención de asegurar el bienestar de las personas y el buen rendimiento del sistema. Incluye la cultura, necesidades y aspiraciones de las personas como individuos y como grupo. Principios La norma define seis principios de un buen gobierno corporativo de TIC: • Responsabilidad—Todo el mundo debe comprender y aceptar sus responsabilidades en la oferta o demanda de TI. La responsabilidad sobre una acción lleva aparejada la autoridad para su realización. • Estrategia—La estrategia de negocio de la organización tiene en cuenta las capacidades actuales y futuras de las TIC. Los planes estratégicos de TIC satisfacen las necesidades actuales y previstas derivadas de la estrategia de negocio. • Adquisición—Las adquisiciones de TI se hacen por razones válidas, en base a un análisis apropiado y continuo, con decisiones claras y transparentes. Hay un equilibrio adecuado entre beneficios, oportunidades, costes y riesgos tanto a corto como a largo plazo. • Rendimiento—La TI está dimensionada para dar soporte a la organización, proporcionando los servicios con la calidad adecuada para cumplir con las necesidades actuales y futuras. • Conformidad—La función de TI cumple todas las legislaciones y normas aplicables. Las políticas y prácticas al respecto están claramente definidas, implementadas y exigidas. • Factor humano—Las políticas de TIC, prácticas y decisiones demuestran respeto al factor humano, incluyendo las necesidades actuales y emergentes de toda la gente involucrada. Modelo La dirección ha de gobernar la TIC mediante tres tareas principales (figura 1): • Evaluar—Examinar y juzgar el uso actual y futuro de las TIC, incluyendo estrategias, propuestas y acuerdos de aprovisionamiento (internos y externos). • Dirigir—Dirigir la preparación y ejecución de los planes y políticas, asignando las responsabilidades al efecto. Asegurar la correcta transición de los proyectos a la producción, considerando los impactos en la operación, el negocio y la infraestructura. Impulsar una cultura de buen gobierno de TIC en la organización. • Monitorizar—Mediante sistemas de medición, vigilar el rendimiento de la TIC, asegurando que se ajusta a lo planificado. Figura 1—Modelo de Gobierno Corporativo de TIC Presiones de Negocio Necesidades de Negocio Procesos de Negocio Proyectos TIC EVALUAR DIRIGIR Propuestas Rendimiento Conformidad MONITORIZAR Operaciones TIC
3 ISACA JOURNAL VOLUME 1, 2010 Orientaciones y Prácticas Para cada uno de los principios, la norma proporciona una breve guía u orientación sobre como evaluar, dirigir y monitorizar la función de TIC (figura 2). Son orientaciones muy generales que no incluyen mecanismos, técnicas o herramientas concretas a utilizar. Conclusiones La importancia de un Sistema de Gobierno de ISO 38500 viene dado por las características propias del mundo actual, el gobierno de las TIC constituyen el componente esencial para el logro de la excelencia y competitividad requerida por la empresa moderna y esto es posible sólo mediante la profesionalidad de sus gobernantes, gestores y resto del personal. Es muy importante tener presente que el gobierno de TIC, implica el manejo los recursos más preciados de una organización y como sistema su gestión no es responsabilidad exclusiva de una unidad organizativa especializada, sino que implica a los administradores a todos los niveles. Objetivos de la implantación de la ISO 38500: 1. Garantizar la excelencia en los procesos de negocio y/o servicio como factor esencial del desarrollo de la actividad empresarial, mediante el empleo de administradores y trabajadores Idóneos y debidamente calificados. 2. Garantizar la elaboración y puesta en práctica de las políticas de gobernabilidad de la empresa. 3. Diagnosticar los cambios organizativos y estructurales que se requieran en la empresa y contribuir a perfeccionar los métodos y estilos de administración en función de propiciar una mayor participación, compromiso, espíritu creativo e innovador y motivación de todos los dirigentes y trabajadores para la formación de una cultura organizativa propia de la empresa. 4. Preparar a la empresa para que sea capaz de reaccionar con rapidez y eficiencia ante los cambios del entorno y las demandas cuantitativas y cualitativas. 5. Cumplir con las leyes y regulaciones de la actividad en que se desempeñe. 6. Gestionar los riesgos de forma eficiente. Referencias International Organization for Standardization (ISO) and the International Electrotechnical Commission (IEC), ISO/IEC 38500, “Corporate governance of IT,” 2008 International Organization for Standardization, ISO 31000, “Risk management,” 2009 International Organization for Standardization, ISO 9000, family of standards for quality management systems International Organization for Standardization (ISO) and the International Electrotechnical Commission (IEC), ISO/IEC 15504, “Information Technology—Process Assessment” IT Governance Institute, CobiT 4.1, 2007, www.isaca.org/cobit IT Governance Institute, Val IT, 2008, www.isaca.org/valit Figura 2—Guín Sobre Como Evaluar, Dirgir y Monitorizar la Función de TIC Principios Dirigir Monitorizar Evaluar Responsabilidad Planes con responsabilidad asignada Mecanismos establecidos gobierno de TIC Asignación responsabilidades Recibir información y rendir cuentas Asignación responsabilidades (entendimiento) Competencias de responsables Desempeño responsables gobierno TIC
4 ISACA JOURNAL VOLUME 1, 2010 The ISACA Journal is published by ISACA. Membership in the association, a voluntary organization serving IT governance professionals, entitles one to receive an annual subscription to the ISACA Journal. Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and/or the IT Governance Institute® and their committees, and from opinions endorsed by authors’ employers, or the editors of this Journal. ISACA Journal does not attest to the originality of authors’ content. © 2010 ISACA. All rights reserved. Instructors are permitted to photocopy isolated articles for noncommercial classroom use without fee. For other copying, reprint or republication, permission must be obtained in writing from the association. Where necessary, permission is granted by the copyright owners for those registered with the Copyright Clearance Center (CCC), 27 Congress St., Salem, MA 01970, to photocopy articles owned by ISACA, for a flat fee of US $2.50 per article plus 25¢ per page. Send payment to the CCC stating the ISSN (1526-7407), date, volume, and first and last page number of each article. Copying for other than personal use or internal reference, or of articles or columns not owned by the association without express permission of the association or the copyright owner is expressly prohibited. www.isaca.org Figura 2—Guín Sobre Como Evaluar, Dirgir y Monitorizar la Función de TIC Principios Dirigir Monitorizar Evaluar Estrategia Creación y uso de planes y políticas Progreso propuestas aprobadas Desarrollo de TIC y procesos negocio Asegurarse beneficios TI en el Negocio Alcanzar objetivos en plazos establecidos Evaluar actividades de TIC y alineamiento Alentar propuestas innovadoras Utilizar recursos asignados Mejores prácticas Uso de TIC, alcanzando beneficios esperados Satisfacción interesados Valoración y evaluación de riesgos Adquisición Activos TI adquieren manera apropiada Inversiones y capacidades requeridas Alternativas propuestas Documentos capacidad requerida Entendimiento interno/externo necesidad negocio Propuestas aprobadas Acuerdos de provisión respalden nec. negocio Análisis de riesgo/valor Inversiones Rendimiento Asignación recursos suficientes Grado TIC sustenta negocio TIC sustenta procesos de negocio dimensionado y capacidad Asignar prioridades y restricciones Recursos e inversiones priorizados nec. neg. Riesgos: continuidad de operaciones Satisfacer nec. negocio Políticas precisión datos Riesgos : integridad de información, protección de activos Datos correctos, actualizados, protegidos Políticas uso eficiente TIC Decisiones uso TIC apoyo al negocio Eficacia y desempeño gobierno de TIC Cumplimiento TI cumple obligaciones, normas y directrices Cumplimiento y conformidad (auditorias/informes) TIC cumple obligaciones, normas y directrices Establecer y aplicar políticas (uso TI interno) Oportunos, completos, adecuados (nec. negocio) Conformidad gobierno de TIC Personal TIC cumple directrices desarrollo y conducta Actividades de TIC Ética rija acciones relacionadas TIC Factor Humano Actividades TI compatibles factor humano Actividades de TIC, identificar, prestar atención Actividades de TIC, identificar Informar cualquier individuo (riesgos, problemas) Prácticas de trabajo consistente uso apropiado de TIC Actividades de TIC, considera debidamente Administración riesgos según políticas y proced. Escalado a los decisores

Recomendados

ISO IEC 38500
ISO IEC 38500ISO IEC 38500
ISO IEC 38500Edison Isla A
 
Cobit5 and-grc español
Cobit5 and-grc españolCobit5 and-grc español
Cobit5 and-grc españolKary Barahona
 
Marcos de gobierno de ti
Marcos de gobierno de tiMarcos de gobierno de ti
Marcos de gobierno de tiRosmery Banr
 
Departamento o área de sistemas en las organizaciones
Departamento o área de sistemas en las organizacionesDepartamento o área de sistemas en las organizaciones
Departamento o área de sistemas en las organizacionesjefer
 
Ventajas y desventajas de cmmi
Ventajas y desventajas de cmmiVentajas y desventajas de cmmi
Ventajas y desventajas de cmmiSandrea Rodriguez
 
Norma ISO 38500
Norma ISO 38500Norma ISO 38500
Norma ISO 38500arnoldvq16
 
Auditoria ITIL
Auditoria ITILAuditoria ITIL
Auditoria ITILOsvaldo Gonzalez Guardia
 
Solucion de problemas empresariales con sistemas de informacion
Solucion de problemas empresariales con sistemas de informacionSolucion de problemas empresariales con sistemas de informacion
Solucion de problemas empresariales con sistemas de informacionmarlongarcia13
 

Recomendados

ISO IEC 38500
ISO IEC 38500ISO IEC 38500
ISO IEC 38500Edison Isla A
 
Cobit5 and-grc español
Cobit5 and-grc españolCobit5 and-grc español
Cobit5 and-grc españolKary Barahona
 
Marcos de gobierno de ti
Marcos de gobierno de tiMarcos de gobierno de ti
Marcos de gobierno de tiRosmery Banr
 
Departamento o área de sistemas en las organizaciones
Departamento o área de sistemas en las organizacionesDepartamento o área de sistemas en las organizaciones
Departamento o área de sistemas en las organizacionesjefer
 
Ventajas y desventajas de cmmi
Ventajas y desventajas de cmmiVentajas y desventajas de cmmi
Ventajas y desventajas de cmmiSandrea Rodriguez
 
Norma ISO 38500
Norma ISO 38500Norma ISO 38500
Norma ISO 38500arnoldvq16
 
Auditoria ITIL
Auditoria ITILAuditoria ITIL
Auditoria ITILOsvaldo Gonzalez Guardia
 
Solucion de problemas empresariales con sistemas de informacion
Solucion de problemas empresariales con sistemas de informacionSolucion de problemas empresariales con sistemas de informacion
Solucion de problemas empresariales con sistemas de informacionmarlongarcia13
 
Ventajas y desventajas de itil
Ventajas y desventajas de itilVentajas y desventajas de itil
Ventajas y desventajas de itilNena Patraca
 
Técnicas para la Obtención de Requerimientos
Técnicas para la Obtención de RequerimientosTécnicas para la Obtención de Requerimientos
Técnicas para la Obtención de RequerimientosJuan Carlos Olivares Rojas
 
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOS
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOSDEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOS
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOSMaria Consuelo Taris Naranjo
 
Auditoria de sistemas ok
Auditoria de sistemas okAuditoria de sistemas ok
Auditoria de sistemas okXimena Huechacona
 
Tema 1 -T2: La ingeniería de requisitos de software
Tema 1 -T2: La ingeniería de requisitos de softwareTema 1 -T2: La ingeniería de requisitos de software
Tema 1 -T2: La ingeniería de requisitos de softwareMagemyl Egana
 
SOA para Novatos
SOA para NovatosSOA para Novatos
SOA para NovatosMauricio Caceres
 
Gobierno Corporativo de TI - ISO 38500
Gobierno Corporativo de TI - ISO 38500Gobierno Corporativo de TI - ISO 38500
Gobierno Corporativo de TI - ISO 38500Carlos Francavilla
 
IEEE 1471-2000: Documento de arquitectura de software
IEEE 1471-2000: Documento de arquitectura de softwareIEEE 1471-2000: Documento de arquitectura de software
IEEE 1471-2000: Documento de arquitectura de softwareJesús Navarro
 
Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de tiLeo Gomez
 
Trabajo cuadro comparativo
Trabajo cuadro comparativoTrabajo cuadro comparativo
Trabajo cuadro comparativoJuan Carlos Gonzalez
 
Iso 27005-espanol
Iso 27005-espanolIso 27005-espanol
Iso 27005-espanolDaniel Arevalo
 
Ingenieria de software - Unidad 3 arquitecturas de software
Ingenieria de software - Unidad 3 arquitecturas de softwareIngenieria de software - Unidad 3 arquitecturas de software
Ingenieria de software - Unidad 3 arquitecturas de softwareJosé Antonio Sandoval Acosta
 
CUADRO COMPARATIVO DE BUENAS PRACTICAS DE GOBIERNO DE TI
CUADRO COMPARATIVO DE BUENAS PRACTICAS DE GOBIERNO DE TICUADRO COMPARATIVO DE BUENAS PRACTICAS DE GOBIERNO DE TI
CUADRO COMPARATIVO DE BUENAS PRACTICAS DE GOBIERNO DE TIINSTITUTO TÉCNICO PROFESIONAL DE TOLUCA
 
Ciclo de vida del software
Ciclo de vida del softwareCiclo de vida del software
Ciclo de vida del softwareArturo Magaña Arias
 
Metodologia del rup
Metodologia del rupMetodologia del rup
Metodologia del ruportizrichard
 
Metodologia de desarrollo de software
Metodologia de desarrollo de softwareMetodologia de desarrollo de software
Metodologia de desarrollo de softwareVictor Varela
 
4 Clase Metodologia De Desarrolo De Software
4 Clase Metodologia De Desarrolo De Software4 Clase Metodologia De Desarrolo De Software
4 Clase Metodologia De Desarrolo De SoftwareJulio Pari
 
Sqa ejemplo
Sqa ejemploSqa ejemplo
Sqa ejemploJose Limon
 
Deontologia del auditor
Deontologia del auditorDeontologia del auditor
Deontologia del auditorGiovani Roberto Gómez Millán
 
Modelos de Procesos del Software
Modelos de Procesos del SoftwareModelos de Procesos del Software
Modelos de Procesos del SoftwareJaneth Jimenez
 
ISO38500
ISO38500ISO38500
ISO38500ITSM
 
Itsm
ItsmItsm
ItsmVero Gonzalez
 

Más contenido relacionado

La actualidad más candente

Ventajas y desventajas de itil
Ventajas y desventajas de itilVentajas y desventajas de itil
Ventajas y desventajas de itilNena Patraca
 
Técnicas para la Obtención de Requerimientos
Técnicas para la Obtención de RequerimientosTécnicas para la Obtención de Requerimientos
Técnicas para la Obtención de RequerimientosJuan Carlos Olivares Rojas
 
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOS
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOSDEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOS
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOSMaria Consuelo Taris Naranjo
 
Tema 1 -T2: La ingeniería de requisitos de software
Tema 1 -T2: La ingeniería de requisitos de softwareTema 1 -T2: La ingeniería de requisitos de software
Tema 1 -T2: La ingeniería de requisitos de softwareMagemyl Egana
 
Gobierno Corporativo de TI - ISO 38500
Gobierno Corporativo de TI - ISO 38500Gobierno Corporativo de TI - ISO 38500
Gobierno Corporativo de TI - ISO 38500Carlos Francavilla
 
IEEE 1471-2000: Documento de arquitectura de software
IEEE 1471-2000: Documento de arquitectura de softwareIEEE 1471-2000: Documento de arquitectura de software
IEEE 1471-2000: Documento de arquitectura de softwareJesús Navarro
 
Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de tiLeo Gomez
 
Ingenieria de software - Unidad 3 arquitecturas de software
Ingenieria de software - Unidad 3 arquitecturas de softwareIngenieria de software - Unidad 3 arquitecturas de software
Ingenieria de software - Unidad 3 arquitecturas de softwareJosé Antonio Sandoval Acosta
 
Metodologia del rup
Metodologia del rupMetodologia del rup
Metodologia del ruportizrichard
 
Metodologia de desarrollo de software
Metodologia de desarrollo de softwareMetodologia de desarrollo de software
Metodologia de desarrollo de softwareVictor Varela
 
4 Clase Metodologia De Desarrolo De Software
4 Clase Metodologia De Desarrolo De Software4 Clase Metodologia De Desarrolo De Software
4 Clase Metodologia De Desarrolo De SoftwareJulio Pari
 
Modelos de Procesos del Software
Modelos de Procesos del SoftwareModelos de Procesos del Software
Modelos de Procesos del SoftwareJaneth Jimenez
 

La actualidad más candente (20)

Ventajas y desventajas de itil
Ventajas y desventajas de itilVentajas y desventajas de itil
Ventajas y desventajas de itil
 
Técnicas para la Obtención de Requerimientos
Técnicas para la Obtención de RequerimientosTécnicas para la Obtención de Requerimientos
Técnicas para la Obtención de Requerimientos
 
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOS
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOSDEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOS
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOS
 
Auditoria de sistemas ok
Auditoria de sistemas okAuditoria de sistemas ok
Auditoria de sistemas ok
 
Tema 1 -T2: La ingeniería de requisitos de software
Tema 1 -T2: La ingeniería de requisitos de softwareTema 1 -T2: La ingeniería de requisitos de software
Tema 1 -T2: La ingeniería de requisitos de software
 
SOA para Novatos
SOA para NovatosSOA para Novatos
SOA para Novatos
 
Gobierno Corporativo de TI - ISO 38500
Gobierno Corporativo de TI - ISO 38500Gobierno Corporativo de TI - ISO 38500
Gobierno Corporativo de TI - ISO 38500
 
IEEE 1471-2000: Documento de arquitectura de software
IEEE 1471-2000: Documento de arquitectura de softwareIEEE 1471-2000: Documento de arquitectura de software
IEEE 1471-2000: Documento de arquitectura de software
 
Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de ti
 
Trabajo cuadro comparativo
Trabajo cuadro comparativoTrabajo cuadro comparativo
Trabajo cuadro comparativo
 
Iso 27005-espanol
Iso 27005-espanolIso 27005-espanol
Iso 27005-espanol
 
Ingenieria de software - Unidad 3 arquitecturas de software
Ingenieria de software - Unidad 3 arquitecturas de softwareIngenieria de software - Unidad 3 arquitecturas de software
Ingenieria de software - Unidad 3 arquitecturas de software
 
CUADRO COMPARATIVO DE BUENAS PRACTICAS DE GOBIERNO DE TI
CUADRO COMPARATIVO DE BUENAS PRACTICAS DE GOBIERNO DE TICUADRO COMPARATIVO DE BUENAS PRACTICAS DE GOBIERNO DE TI
CUADRO COMPARATIVO DE BUENAS PRACTICAS DE GOBIERNO DE TI
 
Ciclo de vida del software
Ciclo de vida del softwareCiclo de vida del software
Ciclo de vida del software
 
Metodologia del rup
Metodologia del rupMetodologia del rup
Metodologia del rup
 
Metodologia de desarrollo de software
Metodologia de desarrollo de softwareMetodologia de desarrollo de software
Metodologia de desarrollo de software
 
4 Clase Metodologia De Desarrolo De Software
4 Clase Metodologia De Desarrolo De Software4 Clase Metodologia De Desarrolo De Software
4 Clase Metodologia De Desarrolo De Software
 
Sqa ejemplo
Sqa ejemploSqa ejemplo
Sqa ejemplo
 
Deontologia del auditor
Deontologia del auditorDeontologia del auditor
Deontologia del auditor
 
Modelos de Procesos del Software
Modelos de Procesos del SoftwareModelos de Procesos del Software
Modelos de Procesos del Software
 

Similar a Gobierno de las TIC ISO/IEC 38500

ISO38500
ISO38500ISO38500
ISO38500ITSM
 
Instituto tecnológico superior de la montañ1
Instituto tecnológico superior de la montañ1Instituto tecnológico superior de la montañ1
Instituto tecnológico superior de la montañ1Vero Gonzalez
 
Instituto tecnológico superior de la montañ1
Instituto tecnológico superior de la montañ1Instituto tecnológico superior de la montañ1
Instituto tecnológico superior de la montañ1Vero Gonzalez
 
MODELOS COBIT Y ITIL (generalidades)
MODELOS COBIT Y ITIL (generalidades)MODELOS COBIT Y ITIL (generalidades)
MODELOS COBIT Y ITIL (generalidades)Jairo Márquez
 
F:\Tecnologia De La Informacion\Gobernanza De It
F:\Tecnologia De La Informacion\Gobernanza De ItF:\Tecnologia De La Informacion\Gobernanza De It
F:\Tecnologia De La Informacion\Gobernanza De ItTECNOLOGIA DE INFORMACION
 
Auditoria informatica cobit 4.0
Auditoria informatica cobit 4.0Auditoria informatica cobit 4.0
Auditoria informatica cobit 4.0Pame Andrade
 
3.2. gobierno de tecnologías de la información.
3.2. gobierno de tecnologías de la información.3.2. gobierno de tecnologías de la información.
3.2. gobierno de tecnologías de la información.Alexis Gils
 
Mejores Practicas para el manejo de Tecnología de Información en la organizac...
Mejores Practicas para el manejo de Tecnología de Información en la organizac...Mejores Practicas para el manejo de Tecnología de Información en la organizac...
Mejores Practicas para el manejo de Tecnología de Información en la organizac...Rosmelys Ponce
 
Organizaciones y Sistemas de Informacion y Aspectos Eticos y socailes
Organizaciones y Sistemas de Informacion y Aspectos Eticos y socailes Organizaciones y Sistemas de Informacion y Aspectos Eticos y socailes
Organizaciones y Sistemas de Informacion y Aspectos Eticos y socailes Belkis777
 
Marcos de gobierno de ti
Marcos de gobierno de tiMarcos de gobierno de ti
Marcos de gobierno de tiRosmery Banr
 

Similar a Gobierno de las TIC ISO/IEC 38500 (20)

ISO38500
ISO38500ISO38500
ISO38500
 
Itsm
ItsmItsm
Itsm
 
Instituto tecnológico superior de la montañ1
Instituto tecnológico superior de la montañ1Instituto tecnológico superior de la montañ1
Instituto tecnológico superior de la montañ1
 
Instituto tecnológico superior de la montañ1
Instituto tecnológico superior de la montañ1Instituto tecnológico superior de la montañ1
Instituto tecnológico superior de la montañ1
 
MODELOS COBIT Y ITIL (generalidades)
MODELOS COBIT Y ITIL (generalidades)MODELOS COBIT Y ITIL (generalidades)
MODELOS COBIT Y ITIL (generalidades)
 
Cobit
CobitCobit
Cobit
 
Software de control de proceso
Software de control de procesoSoftware de control de proceso
Software de control de proceso
 
Gobierno ti
Gobierno tiGobierno ti
Gobierno ti
 
F:\Tecnologia De La Informacion\Gobernanza De It
F:\Tecnologia De La Informacion\Gobernanza De ItF:\Tecnologia De La Informacion\Gobernanza De It
F:\Tecnologia De La Informacion\Gobernanza De It
 
Trabajo de auditoria
Trabajo de auditoria Trabajo de auditoria
Trabajo de auditoria
 
Modelo cobit
Modelo cobitModelo cobit
Modelo cobit
 
Auditoria informatica cobit 4.0
Auditoria informatica cobit 4.0Auditoria informatica cobit 4.0
Auditoria informatica cobit 4.0
 
3.2. gobierno de tecnologías de la información.
3.2. gobierno de tecnologías de la información.3.2. gobierno de tecnologías de la información.
3.2. gobierno de tecnologías de la información.
 
Mejores Practicas para el manejo de Tecnología de Información en la organizac...
Mejores Practicas para el manejo de Tecnología de Información en la organizac...Mejores Practicas para el manejo de Tecnología de Información en la organizac...
Mejores Practicas para el manejo de Tecnología de Información en la organizac...
 
Tarea-SGC
Tarea-SGCTarea-SGC
Tarea-SGC
 
Organizaciones y Sistemas de Informacion y Aspectos Eticos y socailes
Organizaciones y Sistemas de Informacion y Aspectos Eticos y socailes Organizaciones y Sistemas de Informacion y Aspectos Eticos y socailes
Organizaciones y Sistemas de Informacion y Aspectos Eticos y socailes
 
Cobit 5
Cobit 5 Cobit 5
Cobit 5
 
mapa conceptual iso 38500.pptx
mapa conceptual iso 38500.pptxmapa conceptual iso 38500.pptx
mapa conceptual iso 38500.pptx
 
ANALISIS COBIT
ANALISIS COBITANALISIS COBIT
ANALISIS COBIT
 
Marcos de gobierno de ti
Marcos de gobierno de tiMarcos de gobierno de ti
Marcos de gobierno de ti
 

Más de Nicolas Benjamin Cruz Carpio

Curso de Introducción al Despliegue de Aplicaciones
Curso de Introducción al Despliegue de AplicacionesCurso de Introducción al Despliegue de Aplicaciones
Curso de Introducción al Despliegue de AplicacionesNicolas Benjamin Cruz Carpio
 
Master en docker y networking de principiante a experto
Master en docker y networking de principiante a expertoMaster en docker y networking de principiante a experto
Master en docker y networking de principiante a expertoNicolas Benjamin Cruz Carpio
 

Más de Nicolas Benjamin Cruz Carpio (20)

Curso de Azure DevOps: Flujos de CI/CD
Curso de Azure DevOps: Flujos de CI/CDCurso de Azure DevOps: Flujos de CI/CD
Curso de Azure DevOps: Flujos de CI/CD
 
Curso de Angular: Componentes y Servicios
Curso de Angular: Componentes y ServiciosCurso de Angular: Componentes y Servicios
Curso de Angular: Componentes y Servicios
 
Curso de Fundamentos de Angular
Curso de Fundamentos de AngularCurso de Fundamentos de Angular
Curso de Fundamentos de Angular
 
Curso de Introducción al Despliegue de Aplicaciones
Curso de Introducción al Despliegue de AplicacionesCurso de Introducción al Despliegue de Aplicaciones
Curso de Introducción al Despliegue de Aplicaciones
 
Curso de Java SE Persistencia de Datos
Curso de Java SE Persistencia de DatosCurso de Java SE Persistencia de Datos
Curso de Java SE Persistencia de Datos
 
Curso de Java SE Orientado a Objetos
Curso de Java SE Orientado a ObjetosCurso de Java SE Orientado a Objetos
Curso de Java SE Orientado a Objetos
 
MICROSOFT CERTIFIED DEVOPS ENGINEER EXPERT
MICROSOFT CERTIFIED DEVOPS ENGINEER EXPERTMICROSOFT CERTIFIED DEVOPS ENGINEER EXPERT
MICROSOFT CERTIFIED DEVOPS ENGINEER EXPERT
 
Azure DevOps Complete CI/CD Pipeline
Azure DevOps Complete CI/CD PipelineAzure DevOps Complete CI/CD Pipeline
Azure DevOps Complete CI/CD Pipeline
 
Constancia Egreso UPC Ingenieria Sistemas.pdf
Constancia Egreso UPC Ingenieria Sistemas.pdfConstancia Egreso UPC Ingenieria Sistemas.pdf
Constancia Egreso UPC Ingenieria Sistemas.pdf
 
React Hooks usando Redux y Material UI
React Hooks usando Redux y Material UIReact Hooks usando Redux y Material UI
React Hooks usando Redux y Material UI
 
Ciberseguridad Personal
Ciberseguridad PersonalCiberseguridad Personal
Ciberseguridad Personal
 
Iniciando con containers en docker
Iniciando con containers en dockerIniciando con containers en docker
Iniciando con containers en docker
 
Java mejora tu desarrollo
Java mejora tu desarrolloJava mejora tu desarrollo
Java mejora tu desarrollo
 
Master en docker y networking de principiante a experto
Master en docker y networking de principiante a expertoMaster en docker y networking de principiante a experto
Master en docker y networking de principiante a experto
 
React js webpack sass Proyecto de 0 a Producción
React js webpack sass Proyecto de 0 a ProducciónReact js webpack sass Proyecto de 0 a Producción
React js webpack sass Proyecto de 0 a Producción
 
Learning Robotic Process Automation-1-80
Learning Robotic Process Automation-1-80Learning Robotic Process Automation-1-80
Learning Robotic Process Automation-1-80
 
Learning Robotic Process Automation-81-167
Learning Robotic Process Automation-81-167Learning Robotic Process Automation-81-167
Learning Robotic Process Automation-81-167
 
ADN del gerente TI al 2025
ADN del gerente TI al 2025ADN del gerente TI al 2025
ADN del gerente TI al 2025
 
Amazon Web Services para profesionales IT
Amazon Web Services para profesionales ITAmazon Web Services para profesionales IT
Amazon Web Services para profesionales IT
 
Ley 27269 ley firmas y certificados digitales
Ley 27269 ley firmas y certificados digitalesLey 27269 ley firmas y certificados digitales
Ley 27269 ley firmas y certificados digitales
 

Último

Condensadores de la rama de electricidad y magnetismo
Condensadores de la rama de electricidad y magnetismoCondensadores de la rama de electricidad y magnetismo
Condensadores de la rama de electricidad y magnetismosaultorressep
 
04. Sistema de fuerzas equivalentes II - UCV 2024 II.pdf
04. Sistema de fuerzas equivalentes II - UCV 2024 II.pdf04. Sistema de fuerzas equivalentes II - UCV 2024 II.pdf
04. Sistema de fuerzas equivalentes II - UCV 2024 II.pdfCristhianZetaNima
 
ECONOMIA APLICADA SEMANA 555555555555555555.pdf
ECONOMIA APLICADA SEMANA 555555555555555555.pdfECONOMIA APLICADA SEMANA 555555555555555555.pdf
ECONOMIA APLICADA SEMANA 555555555555555555.pdffredyflores58
 
UNIDAD 3 ELECTRODOS.pptx para biopotenciales
UNIDAD 3 ELECTRODOS.pptx para biopotencialesUNIDAD 3 ELECTRODOS.pptx para biopotenciales
UNIDAD 3 ELECTRODOS.pptx para biopotencialesElianaCceresTorrico
 
TAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdf
TAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdfTAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdf
TAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdfAntonioGonzalezIzqui
 
Principales aportes de la carrera de William Edwards Deming
Principales aportes de la carrera de William Edwards DemingPrincipales aportes de la carrera de William Edwards Deming
Principales aportes de la carrera de William Edwards DemingKevinCabrera96
 
PPT SERVIDOR ESCUELA PERU EDUCA LINUX v7.pptx
PPT SERVIDOR ESCUELA PERU EDUCA LINUX v7.pptxPPT SERVIDOR ESCUELA PERU EDUCA LINUX v7.pptx
PPT SERVIDOR ESCUELA PERU EDUCA LINUX v7.pptxSergioGJimenezMorean
 
desarrollodeproyectoss inge. industrial
desarrollodeproyectoss inge. industrialdesarrollodeproyectoss inge. industrial
desarrollodeproyectoss inge. industrialGibranDiaz7
 
IPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESA
IPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESAIPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESA
IPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESAJAMESDIAZ55
 
¿QUE SON LOS AGENTES FISICOS Y QUE CUIDADOS TENER.pptx
¿QUE SON LOS AGENTES FISICOS Y QUE CUIDADOS TENER.pptx¿QUE SON LOS AGENTES FISICOS Y QUE CUIDADOS TENER.pptx
¿QUE SON LOS AGENTES FISICOS Y QUE CUIDADOS TENER.pptxguillermosantana15
 
Clase 2 Revoluciones Industriales y .pptx
Clase 2 Revoluciones Industriales y .pptxClase 2 Revoluciones Industriales y .pptx
Clase 2 Revoluciones Industriales y .pptxChristopherOlave2
 
Reporte de simulación de flujo del agua en un volumen de control MNVA.pdf
Reporte de simulación de flujo del agua en un volumen de control MNVA.pdfReporte de simulación de flujo del agua en un volumen de control MNVA.pdf
Reporte de simulación de flujo del agua en un volumen de control MNVA.pdfMikkaelNicolae
 
Magnetismo y electromagnetismo principios
Magnetismo y electromagnetismo principiosMagnetismo y electromagnetismo principios
Magnetismo y electromagnetismo principiosMarceloQuisbert6
 
Calavera calculo de estructuras de cimentacion.pdf
Calavera calculo de estructuras de cimentacion.pdfCalavera calculo de estructuras de cimentacion.pdf
Calavera calculo de estructuras de cimentacion.pdfyoseka196
 
Procesos-de-la-Industria-Alimentaria-Envasado-en-la-Produccion-de-Alimentos.pptx
Procesos-de-la-Industria-Alimentaria-Envasado-en-la-Produccion-de-Alimentos.pptxProcesos-de-la-Industria-Alimentaria-Envasado-en-la-Produccion-de-Alimentos.pptx
Procesos-de-la-Industria-Alimentaria-Envasado-en-la-Produccion-de-Alimentos.pptxJuanPablo452634
 
Flujo multifásico en tuberias de ex.pptx
Flujo multifásico en tuberias de ex.pptxFlujo multifásico en tuberias de ex.pptx
Flujo multifásico en tuberias de ex.pptxEduardoSnchezHernnde5
 
Una estrategia de seguridad en la nube alineada al NIST
Una estrategia de seguridad en la nube alineada al NISTUna estrategia de seguridad en la nube alineada al NIST
Una estrategia de seguridad en la nube alineada al NISTFundación YOD YOD
 
Controladores Lógicos Programables Usos y Ventajas
Controladores Lógicos Programables Usos y VentajasControladores Lógicos Programables Usos y Ventajas
Controladores Lógicos Programables Usos y Ventajasjuanprv
 
Elaboración de la estructura del ADN y ARN en papel.pdf
Elaboración de la estructura del ADN y ARN en papel.pdfElaboración de la estructura del ADN y ARN en papel.pdf
Elaboración de la estructura del ADN y ARN en papel.pdfKEVINYOICIAQUINOSORI
 
Curso intensivo de soldadura electrónica en pdf
Curso intensivo de soldadura electrónica en pdfCurso intensivo de soldadura electrónica en pdf
Curso intensivo de soldadura electrónica en pdfFernandaGarca788912
 

Último (20)

Condensadores de la rama de electricidad y magnetismo
Condensadores de la rama de electricidad y magnetismoCondensadores de la rama de electricidad y magnetismo
Condensadores de la rama de electricidad y magnetismo
 
04. Sistema de fuerzas equivalentes II - UCV 2024 II.pdf
04. Sistema de fuerzas equivalentes II - UCV 2024 II.pdf04. Sistema de fuerzas equivalentes II - UCV 2024 II.pdf
04. Sistema de fuerzas equivalentes II - UCV 2024 II.pdf
 
ECONOMIA APLICADA SEMANA 555555555555555555.pdf
ECONOMIA APLICADA SEMANA 555555555555555555.pdfECONOMIA APLICADA SEMANA 555555555555555555.pdf
ECONOMIA APLICADA SEMANA 555555555555555555.pdf
 
UNIDAD 3 ELECTRODOS.pptx para biopotenciales
UNIDAD 3 ELECTRODOS.pptx para biopotencialesUNIDAD 3 ELECTRODOS.pptx para biopotenciales
UNIDAD 3 ELECTRODOS.pptx para biopotenciales
 
TAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdf
TAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdfTAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdf
TAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdf
 
Principales aportes de la carrera de William Edwards Deming
Principales aportes de la carrera de William Edwards DemingPrincipales aportes de la carrera de William Edwards Deming
Principales aportes de la carrera de William Edwards Deming
 
PPT SERVIDOR ESCUELA PERU EDUCA LINUX v7.pptx
PPT SERVIDOR ESCUELA PERU EDUCA LINUX v7.pptxPPT SERVIDOR ESCUELA PERU EDUCA LINUX v7.pptx
PPT SERVIDOR ESCUELA PERU EDUCA LINUX v7.pptx
 
desarrollodeproyectoss inge. industrial
desarrollodeproyectoss inge. industrialdesarrollodeproyectoss inge. industrial
desarrollodeproyectoss inge. industrial
 
IPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESA
IPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESAIPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESA
IPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESA
 
¿QUE SON LOS AGENTES FISICOS Y QUE CUIDADOS TENER.pptx
¿QUE SON LOS AGENTES FISICOS Y QUE CUIDADOS TENER.pptx¿QUE SON LOS AGENTES FISICOS Y QUE CUIDADOS TENER.pptx
¿QUE SON LOS AGENTES FISICOS Y QUE CUIDADOS TENER.pptx
 
Clase 2 Revoluciones Industriales y .pptx
Clase 2 Revoluciones Industriales y .pptxClase 2 Revoluciones Industriales y .pptx
Clase 2 Revoluciones Industriales y .pptx
 
Reporte de simulación de flujo del agua en un volumen de control MNVA.pdf
Reporte de simulación de flujo del agua en un volumen de control MNVA.pdfReporte de simulación de flujo del agua en un volumen de control MNVA.pdf
Reporte de simulación de flujo del agua en un volumen de control MNVA.pdf
 
Magnetismo y electromagnetismo principios
Magnetismo y electromagnetismo principiosMagnetismo y electromagnetismo principios
Magnetismo y electromagnetismo principios
 
Calavera calculo de estructuras de cimentacion.pdf
Calavera calculo de estructuras de cimentacion.pdfCalavera calculo de estructuras de cimentacion.pdf
Calavera calculo de estructuras de cimentacion.pdf
 
Procesos-de-la-Industria-Alimentaria-Envasado-en-la-Produccion-de-Alimentos.pptx
Procesos-de-la-Industria-Alimentaria-Envasado-en-la-Produccion-de-Alimentos.pptxProcesos-de-la-Industria-Alimentaria-Envasado-en-la-Produccion-de-Alimentos.pptx
Procesos-de-la-Industria-Alimentaria-Envasado-en-la-Produccion-de-Alimentos.pptx
 
Flujo multifásico en tuberias de ex.pptx
Flujo multifásico en tuberias de ex.pptxFlujo multifásico en tuberias de ex.pptx
Flujo multifásico en tuberias de ex.pptx
 
Una estrategia de seguridad en la nube alineada al NIST
Una estrategia de seguridad en la nube alineada al NISTUna estrategia de seguridad en la nube alineada al NIST
Una estrategia de seguridad en la nube alineada al NIST
 
Controladores Lógicos Programables Usos y Ventajas
Controladores Lógicos Programables Usos y VentajasControladores Lógicos Programables Usos y Ventajas
Controladores Lógicos Programables Usos y Ventajas
 
Elaboración de la estructura del ADN y ARN en papel.pdf
Elaboración de la estructura del ADN y ARN en papel.pdfElaboración de la estructura del ADN y ARN en papel.pdf
Elaboración de la estructura del ADN y ARN en papel.pdf
 
Curso intensivo de soldadura electrónica en pdf
Curso intensivo de soldadura electrónica en pdfCurso intensivo de soldadura electrónica en pdf
Curso intensivo de soldadura electrónica en pdf
 

Gobierno de las TIC ISO/IEC 38500

  • 1. 1 ISACA JOURNAL VOLUME 1, 2010 Journal Online Antecedentes Gobierno de las TIC (IT governance) ya tiene una norma ISO asociada, la ISO/ IEC 38500:2008 “Corporate governance of information technology” que viene a complementar el conjunto de estándares ISO que afectan a los sistemas y tecnologías de la información (ISO/IEC 27000, ISO/IEC 20000, ISO/IEC 15504, ISO/IEC 24762, etc.). Esta nueva norma fija los estándares para un buen gobierno de los procesos y decisiones empresariales relacionados con los servicios de información y comunicación que, suelen estar gestionados tanto por especialistas en TIC internos o ubicados en otras unidades de negocio de la organización, como por proveedores de servicios externos. En esencia, todo lo que esta norma propone puede resumirse en tres propósitos fundamentales: • Asegurar que, si la norma es seguida de manera adecuada, las partes implicadas (directivos, consultores, ingenieros, proveedores de hardware, auditores, etc.), puedan confiar en el gobierno corporativo de TIC. • Informar y orientar a los directores que controlan el uso de las TIC en su organización. • Proporcionar una base para la evaluación objetiva por parte de la alta dirección en el gobierno de las TIC. La norma ISO/IEC 38500:2008 se publicó en junio de 2008 en base a la norma australiana AS8015:2005. Es la primera de una serie sobre normas de gobierno de TIC. Su objetivo es proporcionar un marco de principios para que la dirección de las organizaciones lo utilicen al evaluar, dirigir y monitorizar el uso de las tecnologías de la información y comunicaciones (TICs). Está alineada con los principios de gobierno corporativo recogidos en el “Informe Cadbury” y en los “Principios de Gobierno Corporativo de la OCDE.” Alcance, Aplicación y Objetivos La norma se aplica al gobierno de los procesos de gestión de las TICs en todo tipo de organizaciones que utilicen (hoy todas) las tecnologías de la información, facilitando unas bases para la evaluación objetiva del gobierno de TIC. Dentro de los beneficios de un buen gobierno de TIC estaría la conformidad de la organización con: • Los estándares de seguridad • Legislación de privacidad • Legislación sobre el spam • Legislación sobre prácticas comerciales • Derechos de propiedad intelectual, incluyendo acuerdos de licencia de software • Regulación medioambiental • Normativa de seguridad y salud laboral • Legislación sobre accesibilidad • Estándares de responsabilidad social También la búsqueda de un buen rendimiento de las TIC mediante:• apropiada implementación y operación de los activos de TIC • Clarificación de las responsabilidades y rendición de cuentas en lograr los objetivos de la organización • Continuidad y sostenibilidad del negocio • Alineamiento de las TICs con las necesidades del negocio • Asignación eficiente de los recursos • Innovación en servicios, mercados y negocios • Buenas prácticas en las relaciones con los interesados (stakeholders) • Reducción de costes • Materialización efectiva de los beneficios esperados de cada inversión en TIC Definiciones La norma incluye 19 definiciones de términos, entre los que se pueden destacar los siguientes: • Gobierno corporativo de TIC (corporate governance of IT)—El sistema mediante el cual se dirige y controla el uso actual y futuro de las Gobierno de las TIC ISO/IEC 38500 Manuel Ballester, Ph.D., CISA, CISM, CGEIT, IEEE, tiene más de 30 años en empresas del sector TIC y académico, incluyendo: Director Cátedra Buen Gobierno Universidad Deusto, Director Máster Buen Gobierno Universidad Deusto, Socio de TEMANOVA/ ALINTEC, miembro de ISO JTC1/WG6. Él actualmente está dirigiendo el proyecto de implantación de ISO 38500 en una entidad financiera española.
  • 2. 2 ISACA JOURNAL VOLUME 1, 2010 tecnologías de la información • Gestión (management)—El sistema de controles y procesos requeridos para lograr los objetivos estratégicos establecidos por la dirección de la organización. Está sujeta a la guía y monitorización establecida mediante el gobierno corporativo. • Interesado (stakeholder)—Individuo, grupo u organización que puede afectar, ser afectado, o percibir que va a ser afectado, por una decisión o una actividad • Uso de TIC (use of IT)—Planificación, diseño, desarrollo, despliegue, operación, gestión y aplicación de TI para cumplir con las necesidades del negocio. Incluye tanto la demanda como la oferta de servicios de TIC por unidades de negocio internas, unidades especializadas de TI, proveedores externos y “utility services” (como los que se proveen de software como servicio). • Factor humano (human behavior)—La comprensión de las interacciones entre personas y otros elementos de un sistema con la intención de asegurar el bienestar de las personas y el buen rendimiento del sistema. Incluye la cultura, necesidades y aspiraciones de las personas como individuos y como grupo. Principios La norma define seis principios de un buen gobierno corporativo de TIC: • Responsabilidad—Todo el mundo debe comprender y aceptar sus responsabilidades en la oferta o demanda de TI. La responsabilidad sobre una acción lleva aparejada la autoridad para su realización. • Estrategia—La estrategia de negocio de la organización tiene en cuenta las capacidades actuales y futuras de las TIC. Los planes estratégicos de TIC satisfacen las necesidades actuales y previstas derivadas de la estrategia de negocio. • Adquisición—Las adquisiciones de TI se hacen por razones válidas, en base a un análisis apropiado y continuo, con decisiones claras y transparentes. Hay un equilibrio adecuado entre beneficios, oportunidades, costes y riesgos tanto a corto como a largo plazo. • Rendimiento—La TI está dimensionada para dar soporte a la organización, proporcionando los servicios con la calidad adecuada para cumplir con las necesidades actuales y futuras. • Conformidad—La función de TI cumple todas las legislaciones y normas aplicables. Las políticas y prácticas al respecto están claramente definidas, implementadas y exigidas. • Factor humano—Las políticas de TIC, prácticas y decisiones demuestran respeto al factor humano, incluyendo las necesidades actuales y emergentes de toda la gente involucrada. Modelo La dirección ha de gobernar la TIC mediante tres tareas principales (figura 1): • Evaluar—Examinar y juzgar el uso actual y futuro de las TIC, incluyendo estrategias, propuestas y acuerdos de aprovisionamiento (internos y externos). • Dirigir—Dirigir la preparación y ejecución de los planes y políticas, asignando las responsabilidades al efecto. Asegurar la correcta transición de los proyectos a la producción, considerando los impactos en la operación, el negocio y la infraestructura. Impulsar una cultura de buen gobierno de TIC en la organización. • Monitorizar—Mediante sistemas de medición, vigilar el rendimiento de la TIC, asegurando que se ajusta a lo planificado. Figura 1—Modelo de Gobierno Corporativo de TIC Presiones de Negocio Necesidades de Negocio Procesos de Negocio Proyectos TIC EVALUAR DIRIGIR Propuestas Rendimiento Conformidad MONITORIZAR Operaciones TIC
  • 3. 3 ISACA JOURNAL VOLUME 1, 2010 Orientaciones y Prácticas Para cada uno de los principios, la norma proporciona una breve guía u orientación sobre como evaluar, dirigir y monitorizar la función de TIC (figura 2). Son orientaciones muy generales que no incluyen mecanismos, técnicas o herramientas concretas a utilizar. Conclusiones La importancia de un Sistema de Gobierno de ISO 38500 viene dado por las características propias del mundo actual, el gobierno de las TIC constituyen el componente esencial para el logro de la excelencia y competitividad requerida por la empresa moderna y esto es posible sólo mediante la profesionalidad de sus gobernantes, gestores y resto del personal. Es muy importante tener presente que el gobierno de TIC, implica el manejo los recursos más preciados de una organización y como sistema su gestión no es responsabilidad exclusiva de una unidad organizativa especializada, sino que implica a los administradores a todos los niveles. Objetivos de la implantación de la ISO 38500: 1. Garantizar la excelencia en los procesos de negocio y/o servicio como factor esencial del desarrollo de la actividad empresarial, mediante el empleo de administradores y trabajadores Idóneos y debidamente calificados. 2. Garantizar la elaboración y puesta en práctica de las políticas de gobernabilidad de la empresa. 3. Diagnosticar los cambios organizativos y estructurales que se requieran en la empresa y contribuir a perfeccionar los métodos y estilos de administración en función de propiciar una mayor participación, compromiso, espíritu creativo e innovador y motivación de todos los dirigentes y trabajadores para la formación de una cultura organizativa propia de la empresa. 4. Preparar a la empresa para que sea capaz de reaccionar con rapidez y eficiencia ante los cambios del entorno y las demandas cuantitativas y cualitativas. 5. Cumplir con las leyes y regulaciones de la actividad en que se desempeñe. 6. Gestionar los riesgos de forma eficiente. Referencias International Organization for Standardization (ISO) and the International Electrotechnical Commission (IEC), ISO/IEC 38500, “Corporate governance of IT,” 2008 International Organization for Standardization, ISO 31000, “Risk management,” 2009 International Organization for Standardization, ISO 9000, family of standards for quality management systems International Organization for Standardization (ISO) and the International Electrotechnical Commission (IEC), ISO/IEC 15504, “Information Technology—Process Assessment” IT Governance Institute, CobiT 4.1, 2007, www.isaca.org/cobit IT Governance Institute, Val IT, 2008, www.isaca.org/valit Figura 2—Guín Sobre Como Evaluar, Dirgir y Monitorizar la Función de TIC Principios Dirigir Monitorizar Evaluar Responsabilidad Planes con responsabilidad asignada Mecanismos establecidos gobierno de TIC Asignación responsabilidades Recibir información y rendir cuentas Asignación responsabilidades (entendimiento) Competencias de responsables Desempeño responsables gobierno TIC
  • 4. 4 ISACA JOURNAL VOLUME 1, 2010 The ISACA Journal is published by ISACA. Membership in the association, a voluntary organization serving IT governance professionals, entitles one to receive an annual subscription to the ISACA Journal. Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and/or the IT Governance Institute® and their committees, and from opinions endorsed by authors’ employers, or the editors of this Journal. ISACA Journal does not attest to the originality of authors’ content. © 2010 ISACA. All rights reserved. Instructors are permitted to photocopy isolated articles for noncommercial classroom use without fee. For other copying, reprint or republication, permission must be obtained in writing from the association. Where necessary, permission is granted by the copyright owners for those registered with the Copyright Clearance Center (CCC), 27 Congress St., Salem, MA 01970, to photocopy articles owned by ISACA, for a flat fee of US $2.50 per article plus 25¢ per page. Send payment to the CCC stating the ISSN (1526-7407), date, volume, and first and last page number of each article. Copying for other than personal use or internal reference, or of articles or columns not owned by the association without express permission of the association or the copyright owner is expressly prohibited. www.isaca.org Figura 2—Guín Sobre Como Evaluar, Dirgir y Monitorizar la Función de TIC Principios Dirigir Monitorizar Evaluar Estrategia Creación y uso de planes y políticas Progreso propuestas aprobadas Desarrollo de TIC y procesos negocio Asegurarse beneficios TI en el Negocio Alcanzar objetivos en plazos establecidos Evaluar actividades de TIC y alineamiento Alentar propuestas innovadoras Utilizar recursos asignados Mejores prácticas Uso de TIC, alcanzando beneficios esperados Satisfacción interesados Valoración y evaluación de riesgos Adquisición Activos TI adquieren manera apropiada Inversiones y capacidades requeridas Alternativas propuestas Documentos capacidad requerida Entendimiento interno/externo necesidad negocio Propuestas aprobadas Acuerdos de provisión respalden nec. negocio Análisis de riesgo/valor Inversiones Rendimiento Asignación recursos suficientes Grado TIC sustenta negocio TIC sustenta procesos de negocio dimensionado y capacidad Asignar prioridades y restricciones Recursos e inversiones priorizados nec. neg. Riesgos: continuidad de operaciones Satisfacer nec. negocio Políticas precisión datos Riesgos : integridad de información, protección de activos Datos correctos, actualizados, protegidos Políticas uso eficiente TIC Decisiones uso TIC apoyo al negocio Eficacia y desempeño gobierno de TIC Cumplimiento TI cumple obligaciones, normas y directrices Cumplimiento y conformidad (auditorias/informes) TIC cumple obligaciones, normas y directrices Establecer y aplicar políticas (uso TI interno) Oportunos, completos, adecuados (nec. negocio) Conformidad gobierno de TIC Personal TIC cumple directrices desarrollo y conducta Actividades de TIC Ética rija acciones relacionadas TIC Factor Humano Actividades TI compatibles factor humano Actividades de TIC, identificar, prestar atención Actividades de TIC, identificar Informar cualquier individuo (riesgos, problemas) Prácticas de trabajo consistente uso apropiado de TIC Actividades de TIC, considera debidamente Administración riesgos según políticas y proced. Escalado a los decisores