SlideShare una empresa de Scribd logo

ISO IEC 38500

Edison Isla A
Edison Isla A

GOBERNANZA CORPORATIVA DE LA TECNOLOGÍA DE LA INFORMACIÓN

Educación
1 de 28
Descargar para leer sin conexión
Mis documentos ISO/IEC 38500 GOBERNANZA CORPORATIVA DE LA TECNOLOGÍA DE LA INFORMACIÓN ISLACHIN AVENDAÑO EDISON PORRAS RIOS HELMER “La mejor guía para conseguir desarrollar el Negocio basándose en las Tecnologías de la Información”
GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 1 INDICE INTRODUCCIÓN .............................................................................................................................. 2 I. ALCANCE, APLICACIÓN Y OBJETIVOS.......................................................................... 5 1. Alcance ................................................................................................................................... 5 2. Aplicación............................................................................................................................... 6 3. Objetivos ................................................................................................................................ 6 4. Beneficios de la Utilización de esta Norma ......................................................................... 6 a. General............................................................................................................................... 6 b. Cumplimiento de la Organización................................................................................... 7 c. Desempeño de la Organización........................................................................................ 8 5. Documentos de Referencia ................................................................................................... 9 6. Definiciones............................................................................................................................ 9 1) Aceptable............................................................................................................................ 9 2) Gobernanza Corporativa.................................................................................................. 9 3) Gobernanza Corporativa de la TI ................................................................................... 9 4) Competente ...................................................................................................................... 10 5) Administrador ................................................................................................................. 10 6) Conducta Humana .......................................................................................................... 10 7) Tecnología de la Información (TI)................................................................................. 11 8) Inversión........................................................................................................................... 11 9) Gestión.............................................................................................................................. 11 11) Política.......................................................................................................................... 12 12) Propuesta...................................................................................................................... 12 13) Recursos ....................................................................................................................... 12 14) Riesgo ........................................................................................................................... 12 15) Gestión de Riesgo ........................................................................................................ 12 16) Parte Interesada (Stakeholder).................................................................................. 12 17) Estrategia ..................................................................................................................... 13 18) Uso de la TI.................................................................................................................. 13 II. MARCO PARA LA GOBERNANZA CORPORATIVA DE LA TI.............................. 13 1. Principios ............................................................................................................................. 13
GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 2 A. Principio 1: Responsabilidad.......................................................................................... 14 B. Principio 2: Estrategia .................................................................................................... 14 C. Principio 3: Adquisición ................................................................................................. 14 D. Principio 4: Desempeño .................................................................................................. 14 E. Principio 5: Cumplimiento ............................................................................................. 14 F. Principio 6: Conducta Humana ..................................................................................... 14 2. Modelo.................................................................................................................................. 15 Figura 1 - ModelodelaGobernanzaCorporativadelaTI........................................................................ 15 III. DIRECTRICES PARA LA GOBERNANZA CORPORATIVA DE LA TI.................. 17 1. Observaciones Generales.................................................................................................... 17 2. Principio 1: Responsabilidad.............................................................................................. 18 3. Principio 2: Estrategia ........................................................................................................ 19 4. Principio 3: Adquisición ..................................................................................................... 20 5. Principio 4: Desempeño ...................................................................................................... 21 6. Principio 5: Cumplimiento ................................................................................................. 22 7. Principio 6: Conducta Humana ......................................................................................... 23 Conclusiones ..................................................................................................................................... 25 Bibliografía ....................................................................................................................................... 26 INTRODUCCIÓN
GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 3 El objetivo de esta norma es proporcionar un marco de principios para los administradores cuando evalúen, dirijan y supervisen el uso de la Tecnología de la Información (TI) en sus organizaciones. La mayoría de las organizaciones utilizan la TI como herramienta fundamental para el negocio, y pocas pueden funcionar eficazmente sin ella. La TI es también un factor importante en los planes futuros de negocio de muchas organizaciones. Los gastos en TI pueden representar una parte importante de los gastos de una organización en recursos financieros y humanos. Sin embargo, a menudo no se produce el retorno esperado de esta inversión y el impacto negativo en las organizaciones puede ser importante. Las principales razones de estos resultados negativos son dar mayor importancia a la tecnología, finanzas y aspectos de la planificación de las actividades de TI, que al contexto global del uso de la TI en el negocio. Esta norma proporciona un marco eficaz para la gobernanza de la TI para ayudar a las personas del máximo nivel de las organizaciones a comprender y cumplir con sus obligaciones legales, reglamentarias y éticas respecto al uso que, en sus organizaciones, se hace de la TI. El marco incluye definiciones, principios y un modelo. Esta norma se ajusta a la definición de gobernanza corporativa publicada como un informe de la Comisión sobre los aspectos financieros de la gobernanza corporativa (el Informe Cadbury) en 1992. El Informe Cadbury también aportó la definición básica de la gobernanza corporativa en los Principios de gobernanza corporativa de la OCDE de 1999 (revisados en 2004). Se anima a los usuarios de esta norma a familiarizarse con el Informe Cadbury y los Principios de gobernanza corporativa de la OCDE.
GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 4 La gobernanza es distinta de la gestión y, para evitar cualquier confusión, los dos conceptos se definen claramente en la presente norma. Si bien esta norma está dirigida principalmente al cuerpo de gobierno, quien a su vez puede determinar que ciertas acciones sean realizadas por la dirección de la organización, también permite que, en algunas organizaciones (normalmente las más pequeñas), los miembros del cuerpo de gobierno también puedan desempeñar funciones claves en la gestión. De esta manera, se asegura que la norma sea aplicable para todas las organizaciones, desde las más pequeñas a las más grandes, independientemente del propósito, diseño y estructura societaria. Esta norma también tiene por objeto informar y orientar a los involucrados en el diseño e implementación del sistema de gestión sobre políticas, procesos y estructuras que sostienen a la gobernanza.
GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 5 GOBERNANZA CORPORATIVA DE LA TECNOLOGIA DE INFORMACION I. ALCANCE, APLICACIÓN Y OBJETIVOS 1. Alcance Esta norma proporciona principios orientadores para los administradores de las organizaciones (incluyendo propietarios, miembros del consejo, directivos, socios, altos ejecutivos o similares) sobre el uso eficaz, eficiente y aceptable de la Tecnología de la Información (TI) en sus organizaciones. Esta norma se aplica a la gobernanza de los procesos (y decisiones) de gestión relativos a los servicios de información y comunicación utilizados por una organización. Estos procesos podrían ser controlados tanto por especialistas en TI de la organización como por proveedores de servicios externos, o unidades de negocio dentro de la organización. También proporciona orientación a los que asesoran, informan, o ayudan a los administradores, entre los que se incluyen:  altos directivos;  miembros de los grupos que monitorizan los recursos dentro de la organización;  especialistas externos, técnicos o de negocio, como pueden ser jurídicos o contables; asociaciones comerciales minoristas u organismos profesionales;  fabricantes de hardware, software, comunicaciones y otros productos de TI;  proveedores de servicios internos y externos (incluidos consultores);  auditores de TI. (International Standard ISO/IEC 38500, 2008)
GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 6 2. Aplicación Esta norma es aplicable a todas las organizaciones, ya sean empresas públicas o privadas, entidades gubernamentales y entidades sin ánimo de lucro. La norma es asimismo aplicable a organizaciones de todos los tamaños, desde las más pequeñas hasta las más grandes, con independencia de su grado de utilización de la TI. (International Standard ISO/IEC 38500, 2008) 3. Objetivos El propósito de esta norma es promover el uso eficaz, eficiente y aceptable de la TI en todas las organizaciones por medio de:  asegurar a las partes interesadas (incluidos clientes, accionistas y empleados) que si siguen la norma, pueden con- fiar en la gobernanza corporativa de la TI dentro de la organización;  informar y orientar a los administradores sobre el gobierno del uso de la TI en su organización; y  proporcionar una base de referencia para la evaluación objetiva de la gobernanza corporativa de la TI. (International Standard ISO/IEC 38500, 2008) 4. Beneficios de la Utilización de esta Norma a. General Esta norma establece principios para el uso eficaz, eficiente y aceptable de la TI. Asegurando a aquellas organizaciones que el seguimiento de estos principios ayudará a sus administradores a sopesar los riesgos y fomentar oportunidades derivadas de la utilización de la TI. Esta norma establece un modelo de gobernanza de la TI. El riesgo de que los administradores no cumplan con sus
GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 7 obligaciones se mitiga prestando la debida atención al modelo y aplicando correctamente los principios. La norma proporciona un vocabulario para la gobernanza de la TI. (International Standard ISO/IEC 38500, 2008) b. Cumplimiento de la Organización La adecuada gobernanza corporativa de la TI puede ayudar a los administradores a asegurar el cumplimiento con las obligaciones (reglamentarias, legislativas, de derecho consuetudinario y contractual) relativas al uso aceptable de la TI. Sistemas inadecuados de TI pueden exponer a los administradores al riesgo de no cumplir con la legislación. Por ejemplo, en algunas jurisdicciones, los administradores podrían ser personalmente responsables si un sistema contable inadecuado tiene como resultado el impago de impuestos. Los procesos relacionados con la TI incorporan riesgos específicos que deben abordarse adecuadamente. Por ejemplo, los administradores podrían ser considerados responsables de infracciones relativas a:  normas de seguridad  legislación sobre la privacidad  legislación sobre correo basura  legislación sobre las prácticas comerciales  derechos de propiedad intelectual, incluidos los acuerdos de licencia de software  requisitos de retención de información
GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 8  leyes y reglamentaciones ambientales  legislación sobre salud y seguridad  legislación sobre accesibilidad  normas de responsabilidad social Utilizando las directrices de esta norma, es más probable que los administradores cumplan con sus obligaciones. (International Standard ISO/IEC 38500, 2008) c. Desempeño de la Organización La adecuada gobernanza corporativa de la TI ayuda a los administradores a asegurar que el uso de la TI contribuye positivamente al desempeño de la organización, mediante:  una implementación y explotación adecuada de los activos de la TI  claridad de la responsabilidad e imputabilidad tanto para el uso como para la provisión de la TI para el logro de los objetivos de la organización  la continuidad y sostenibilidad del negocio  la alineación de la TI con las necesidades del negocio  la asignación eficiente de recursos  la innovación en los servicios, mercados, y negocios  las buenas prácticas en las relaciones con las partes interesadas  la reducción de los costes de una organización  la consecución real de los beneficios aprobados para cada inversión en TI (International Standard ISO/IEC 38500, 2008)
GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 9 5. Documentos de Referencia En esta norma se hace referencia a los siguientes documentos: 1. Informe de la Comisión sobre Aspectos Financieros de la Gobernanza Corporativa, Sir AdrianCadbury, London, 1992 ISBN 0 85258 913 1 2. OCDE Principios de Gobernanza Corporativa, OCDE, 1999 y 2004 3. Guía ISO 73 2002 Gestión del riesgo. Vocabulario (Gobernanza Corporativa de la Tecnología de la Información, 2013) 6. Definiciones A los efectos de la presente norma, se aplican las siguientes definiciones. Se espera que la organización adapte la terminología utilizada en esta norma a sus circunstancias o estructura. 1) Aceptable Satisface las expectativas, que se han podido expresar como razonables o justificadas de las partes interesadas. 2) Gobernanza Corporativa El sistema por el cual se dirigen y controlan las organizaciones. (Informe de la Comisión sobre Aspectos Financieros de la Gobernanza Corporativa, Sir Adrian Cadbury, 1992) (OCDE Principios de Gobernanza Corporativa, 1999 y 2004) 3) Gobernanza Corporativa de la TI El sistema por el cual se dirige y controla el uso, actual y futuro, de la TI.
GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 10 La gobernanza corporativa de la TI implica evaluar y dirigir la utilización de la TI para dar soporte a la organización y la monitorización de ese uso para lograr la consecución de los planes. Incluye la estrategia y políticas para la utilización de la TI en la organización. (OCDE Principios de Gobernanza Corporativa, 1999 y 2004) 4) Competente Que posee la combinación del conocimiento, las habilidades formales e informales, la formación, los atributos de experiencia y de comportamiento, necesarios para realizar una tarea o rol 5) Administrador Miembro del cuerpo de gobierno más alto de una organización. Incluye propietarios, miembros del comité de dirección, socios, altos ejecutivos o similares, y los mandos autorizados por leyes o regulaciones. 6) Conducta Humana La comprensión de las interacciones entre los seres humanos y otros elementos de un sistema con la intención de asegurar el bienestar de las personas y el rendimiento de los sistemas. La conducta humana incluye la cultura, necesidades y aspiraciones de las personas como individuos y como grupos. NOTA: Con respecto a la TI, hay numerosos grupos o comunidades de personas, cada una con sus propias necesidades, aspiraciones y comportamientos. Por ejemplo, las personas que utilizan los sistemas de información podrían mostrar necesidades relacionadas con la accesibilidad y ergonomía, así como la disponibilidad y el
GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 11 desempeño. Personas cuya función es cambiante debido a la utilización de la TI pueden plantear necesidades relacionadas con la comunicación, formación y tranquilidad. Personas involucradas en la construcción y operación de la TI podrían mostrar necesidades relativas a las condiciones de trabajo y al desarrollo de habilidades. 7) Tecnología de la Información (TI) Recursos necesarios para adquirir, procesar, almacenar y difundir información. Este término también incluye la "Tecnología de la Comunicación (TC)" y el término compuesto "Tecnología de Información y Comunicación (TIC)". 8) Inversión Asignación de recursos humanos, financieros y otros, con el fin de alcanzar los objetivos establecidos y otros beneficios. 9) Gestión El sistema de controles y los procesos necesarios para alcanzar los objetivos estratégicos establecidos por el órgano de gobierno de la organización. La gestión está sujeta a la dirección marcada por la política y seguimiento establecidos por medio de la gobernanza corporativa. 10) Organización Cualquier empresa, corporación, gobierno, organización sin ánimo de lucro u otra entidad legalmente constituida que cuenta con administración y misión propias, incluyendo asociaciones, clubes, sociedades, agencias gubernamentales, empresas que cotizan en bolsa, empresas privadas y empresas unipersonales.
GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 12 11) Política Declaraciones claras y medibles de la dirección y conductas preferidas para condicionar las decisiones que se toman dentro de la organización. 12) Propuesta Compilación de los beneficios, costes, riesgos, oportunidades y otros factores aplicables a las decisiones a adoptar. Incluye casos de negocio. 13) Recursos Personas, procedimientos, software, información, equipos, consumibles, infraestructura, capital y fondos de maniobra, y tiempo. 14) Riesgo Efecto de la incertidumbre sobre la consecución de los objetivos(Guía ISO 73 , 2002) NOTA: Un efecto es una desviación, positiva y/o negativa, respecto a lo previsto. 15) Gestión de Riesgo Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo (Guía ISO 73 , 2002) 16) Parte Interesada (Stakeholder) Persona u organización que puede afectar, estar afectada, o percibir que esté afectada por una decisión o actividad (Guía ISO 73 , 2002)
GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 13 17) Estrategia Plan global de desarrollo de una organización que describe el uso eficaz de recursos en apoyo a las actividades futuras de la organización. Comprende el establecimiento de objetivos y la propuesta de iniciativas de actuación. 18) Uso de la TI La planificación, diseño, desarrollo, despliegue, operación, gestión y aplicación de la TI para satisfacer las necesidades del negocio. Incluye la demanda y la prestación de servicios de TI por las unidades internas de negocio, unidades especializadas de TI, o proveedores externos. (Gobierno de las TIC ISO/IEC 38500, 2010) II. MARCO PARA LA GOBERNANZA CORPORATIVA DE LA TI 1. Principios Esta sección establece seis principios de gobernanza corporativa de la TI. Los principios son aplicables a la mayoría de las organizaciones. Los principios expresan el comportamiento deseable para orientar la toma de decisiones. La definición de cada principio se refiere a lo que debería suceder, pero no prescribe cómo, cuándo o por quién se pondría en práctica, ya que estos aspectos dependen de la naturaleza de la organización que los implanta. Los administradores deberían exigir la aplicación de dichos principios en su organización. (International Standard ISO/IEC 38500, 2008)
GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 14 A. Principio 1: Responsabilidad Los individuos y grupos dentro de la organización comprenden y aceptan sus responsabilidades con respecto a la demanda y al suministro de productos y servicios de la TI. Quienes tienen la responsabilidad sobre las actuaciones también tienen la autoridad para llevarlas a cabo. B. Principio 2: Estrategia La estrategia de negocio de la organización tiene en cuenta las capacidades actuales y futuras de la TI; los planes estratégicos de la TI satisfacen las necesidades actuales y futuras de la estrategia de negocio. C. Principio 3: Adquisición Las adquisiciones de TI se hacen por razones válidas, sobre la base de análisis adecuados y continuados, a través de decisiones claras y transparentes. Hay un adecuado equilibrio entre beneficios, oportunidades, costes y riesgos, tanto a corto como a largo plazo. D. Principio 4: Desempeño La TI satisface el propósito de dar soporte a la organización, mediante la provisión de servicios, niveles de servicio y calidad de servicio requeridos para alcanzar los requisitos presentes y futuros del negocio. E. Principio 5: Cumplimiento La TI cumple con toda la legislación y normativas obligatorias. Las políticas y prácticas están claramente definidas, implantadas y se hacen cumplir. F. Principio 6: Conducta Humana Las políticas de TI, prácticas y decisiones relacionadas con la TI muestran respeto hacia la conducta humana, incluyendo las necesidades actuales y futuras de todas las “personas implicadas en el proceso”.
GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 15 2. Modelo Los administradores deberían gobernar la TI a través de tres tareas principales: a) evaluar el uso actual y futuro de la TI; b) dirigir la preparación y ejecución de planes y políticas para asegurar que el uso de la TI satisface los objetivos de la organización; c) monitorizar el cumplimiento de las políticas y el desempeño con relación a lo planificado. La figura 1 muestra el modelo de gobernanza de la TI en un ciclo de tipo Evaluar-Dirigir-Monitorizar. El texto que sigue a la figura 1 explica los elementos y las relaciones representados. Figura 1 - ModelodelaGobernanzaCorporativadelaTI (International Standard ISO/IEC 38500, 2008)
GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 16 Evaluar Los administradores deberían valorar la situación y formular juicios sobre el uso actual y futuro de la TI, incluyendo estrategias, propuestas y acuerdos de prestación de servicios (ya sean internos, externos, o ambos). Al evaluar el uso de la TI, los administradores deberían considerar las presiones externas o internas que actúan sobre el negocio como pueden ser los cambios tecnológicos, las tendencias económicas y sociales y las influencias políticas. Dado que dichas influencias cambian, los administradores deberían acometer evaluaciones de forma continua. Los administradores también deberían tener en cuenta las necesidades actuales y futuras del negocio, los objetivos organizativos actuales y futuros que deben alcanzar, tales como el mantenimiento de la ventaja competitiva, así como los objetivos específicos de las estrategias y propuestas que están evaluando. Dirigir Los administradores deberían asignar responsabilidades y dirigir la preparación e implantación de planes y políticas. Los planes deberían fijar el rumbo de inversiones en proyectos y operaciones de TI. Las políticas deberían establecer una conducta responsable en el uso de la TI. Los administradores deberían asegurar que la transición de los proyectos a un estado operativo se planifique y gestione adecuadamente, teniendo en cuenta el impacto en el negocio y las prácticas operativas, y los sistemas e infraestructura de TI existentes. Los administradores deberían fomentar una cultura de gobernanza de la TI en su organización, exigiendo a la dirección que suministre puntualmente la información adecuada, con el fin de cumplir con los objetivos establecidos y ajustarse a los seis principios de gobernanza. Si fuera necesario, los administradores deberían controlar la presentación de propuestas a aprobar para responder a las necesidades identificadas.
GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 17 Monitorizar Los administradores deberían monitorizar el desempeño de la TI, a través de sistemas de medición adecuados. Deberían asegurarse de que dicho desempeño esté en conformidad con los planes, en particular con respecto a los objetivos de negocio. Los administradores deberían también asegurar que la TI cumple con las obligaciones externas (normativa, legislación, derecho consuetudinario, contractuales) y las prácticas internas de trabajo. NOTA: La responsabilidad sobre aspectos específicos de la TI dentro de la organización puede ser delegada a la dirección. Sin embargo, son los administradores quienes retienen la responsabilidad final (imputabilidad) en la entrega y uso eficaz, eficiente y aceptable de la TI, la cual no puede ser delegada. III. DIRECTRICES PARA LA GOBERNANZA CORPORATIVA DE LA TI 1. Observaciones Generales Los siguientes apartados ofrecen orientación sobre los principios generales de la gobernanza de la TI y las buenas prácticas necesarias para implantación de dichos principios. Las prácticas descritas no son exhaustivas pero proporcionan un punto de partida para la discusión sobre las responsabilidades de los administradores con relación a la gobernanza de la TI. Es decir, que las prácticas descritas son una guía orientativa para la gobernanza de la TI. Es responsabilidad de cada organización, de manera individual, la identificación de las medidas necesarias para imple- mentar los principios, considerando debidamente la naturaleza de la organización y el análisis adecuado de los riesgos y oportunidades en el uso de la TI.
GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 18 A modo ilustrativo, las prácticas descritas son aplicables a la mayoría de organizaciones (grandes o pequeñas) en la mayoría de las ocasiones. Cualquier variación debería ser considerada adecuadamente. 2. Principio 1: Responsabilidad Evaluar Los administradores deberían evaluar cuáles son las opciones existentes a la hora de asignar responsabilidades relacionadas con el uso actual y futuro de la TI en la organización. Al evaluar dichas opciones, los administradores deberían buscar el uso eficaz, eficiente y aceptable de la TI, en apoyo de los actuales y futuros objetivos de negocio. Los administradores deberían evaluar la competencia de aquellos a quienes dieron la responsabilidad de tomar decisiones sobre la TI. En general, estas personas deberían ser directores de negocio que también son responsables de los objetivos y el desempeño organizativos, asistidos por expertos en TI que comprenden el valor y los procesos de negocio. Dirigir Los administradores deberían dirigir con el objetivo de que los planes se lleven a cabo de acuerdo con las responsabilidades asignadas a TI. Los administradores deberían dirigir con el fin de recibir la información que necesitan para cumplir con sus responsabilidades y rendir cuentas. Monitorizar Los administradores deberían monitorizar que se hayan establecido los mecanismos adecuados de gobernanza de la TI apropiados.
GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 19 Asimismo, deberían monitorizar que aquéllos a los que se les hayan asignado responsabilidades, las entienden y las asumen. Los administradores deberían monitorizar el desempeño de aquellos a los que se les hayan asignado responsabilidades relacionadas con la gobernanza de la TI (por ejemplo, las personas que forman parte de comités de dirección o presentan propuestas a los administradores). (International Standard ISO/IEC 38500, 2008) 3. Principio 2: Estrategia Evaluar Los administradores deberían evaluar la evolución de la TI y los procesos de negocio para asegurar que la TI proporcionará apoyo a las futuras necesidades de la organización. Al examinar los planes y las políticas, los administradores deberían evaluar las actividades de TI para asegurar que están alineadas con los objetivos de la organización ante circunstancias de cambio, que tienen en cuenta las mejores prácticas y satisfacen otros requisitos de los principales interesados. Los administradores deberían asegurar que el uso de la TI está sujeto a una adecuada evaluación y valoración del riesgo, tal como se describe en las normas internacionales y nacionales más relevantes. Dirigir Los administradores deberían dirigir la creación y uso de planes y políticas que aseguren que la organización se beneficia del desarrollo en la TI. Los administradores también deberían alentar la presentación de propuestas de usos innovadores de la TI, que permitan a la organización responder a nuevas oportunidades o desafíos, mejorando los actuales procesos de negocio o emprendiendo otros nuevos.
GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 20 Monitorizar Los administradores deberían monitorizar el progreso de las propuestas de TI aprobadas, para asegurar que alcanzan los objetivos en los plazos establecidos, utilizando los recursos asignados. Los administradores deberían monitorizar el uso de la TI para asegurar que se alcanzan los beneficios esperados. (International Standard ISO/IEC 38500, 2008) 4. Principio 3: Adquisición Evaluar Los administradores deberían evaluar cuáles son las opciones para proveerse de la TI que necesitan para desarrollar las propuestas aprobadas, equilibrando los riesgos y el valor económico de las inversiones propuestas. Dirigir Los administradores deberían dirigir para que los activos de TI (sistemas e infraestructura) se adquieran de manera apropiada, incluyendo la elaboración de documentación adecuada, al tiempo que se asegura que se obtienen las capacidades requeridas. Los administradores deberían dirigir para que los acuerdos de provisión (ya sean internos o externos) soporten las necesidades de negocio de la organización. Monitorizar Los administradores deberían monitorizar las inversiones en TI para asegurar que se provean las capacidades requeridas.
GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 21 Los administradores deberían monitorizar hasta qué punto la organización y los proveedores mantienen y comparten el propósito de la organización al realizar una adquisición de TI. (International Standard ISO/IEC 38500, 2008) 5. Principio 4: Desempeño Evaluar Los administradores deberían evaluar los medios propuestos por la dirección para asegurar que la TI sustentará los procesos de negocio con las capacidades y aptitudes requeridas. Estas propuestas deberían incluir la continuidad de la operación normal de la organización y la gestión de los riesgos asociados al uso de la TI. Los administradores deberían evaluar los riesgos para la continuidad del negocio derivados de las actividades de TI. Los administradores deberían evaluar los riesgos para la integridad de la información y la protección de los activos de TI, incluyendo la propiedad intelectual y la memoria colectiva de la organización. Los administradores deberían evaluar opciones para asegurar la eficaz y oportuna toma de decisiones relativas al uso de la TI para alcanzar los objetivos del negocio. Los administradores deberían evaluar periódicamente la eficacia y el desempeño del sistema de gobernanza de la TI de la organización. Dirigir Los administradores deberían asegurar la asignación de recursos suficientes para que la TI satisfaga las necesidades de la organización, de acuerdo con las prioridades acordadas y las restricciones presupuestarias.
GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 22 Los administradores deberían dirigir a los responsables para asegurar que, cuando sea necesario por razones de negocio, la TI proporciona soporte al negocio con información actualizada, correcta y protegida ante pérdidas o usos inadecuados. Monitorizar Los administradores deberían monitorizar el grado con el que la TI sustenta el negocio. Los administradores deberían monitorizar el grado con el cual los recursos y presupuestos asignados son priorizados de acuerdo con los objetivos de negocio de la organización. Los administradores deberían monitorizar cómo está de extendido el seguimiento de políticas tales como las de precisión de los datos y uso eficiente de la TI. (International Standard ISO/IEC 38500, 2008) 6. Principio 5: Cumplimiento Evaluar Los administradores deberían evaluar periódicamente el grado con el que la TI cumplen con las obligaciones relevantes (normativas, legislativas, de derecho consuetudinario, contractuales), las políticas internas, las normas y directrices profesionales. Los administradores deberían evaluar periódicamente el cumplimiento interno de la organización con su sistema de gobernanza de la TI. Dirigir Los administradores deberían dirigir a los responsables para establecer mecanismos periódicos y rutinarios para asegurar que el uso de la TI cumple con las obligaciones relevantes (regulatorias, legislativas, de derecho consuetudinario, contractuales), las normas y políticas establecidas.
GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 23 Los administradores deberían dirigir para que estén establecidas y se hagan cumplir las políticas que permitan a la organización satisfacer sus obligaciones internas en el uso de la TI. Los administradores deberían dirigir para que el personal de TI cumpla las directrices relevantes en materia de desarrollo y conducta profesional. Los administradores deberían dirigir para que la ética rija todas las acciones relacionadas con la TI. Monitorizar Los administradores deberían monitorizar el cumplimiento y conformidad de la TI mediante prácticas adecuadas de auditoría y emisión de informes, asegurando que las revisiones sean oportunas, completas y adecuadas para la evaluación del grado de satisfacción del negocio. Los administradores deberían monitorizar las actividades de la TI, incluyendo la pérdida de información y de activos, para asegurar que se cumplen las obligaciones ambientales, de privacidad, de gestión del conocimiento estratégico, conservación de la memoria colectiva de la organización y otras obligaciones. (International Standard ISO/IEC 38500, 2008) 7. Principio 6: Conducta Humana Evaluar Los administradores deberían evaluar las actividades de la TI para asegurar que las conductas humanas se identifican y se consideran adecuadamente.
GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 24 Dirigir Los administradores deberían dirigir para que las actividades de TI sean consistentes con la conducta humana identificada. Los administradores deberían dirigir para que los riesgos, oportunidades, problemas y preocupaciones relacionados con el negocio puedan identificarse y sean notificados por cualquier individuo en cualquier momento. Estos riesgos deberían ser gestionados de acuerdo con las políticas y procedimientos publicados, y comunicados a los principales responsables de tomar decisiones. Monitorizar Los administradores deberían monitorizar las actividades de TI para asegurar que las conductas humanas identificadas siguen siendo pertinentes y que se les presta una atención adecuada. Los administradores deberían monitorizar las prácticas de trabajo para asegurar que sean consistentes con el uso apropiado de la TI. (International Standard ISO/IEC 38500, 2008)
GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 25 Conclusiones  La implementación del gobierno de TI es un paso muy importante para todo aquel corporativo que desea maximizar sus beneficios y anticiparse al mercado.  Con la implementación del gobierno de TI no existen proyectos de tecnología aislados, sino proyectos del negocio con soporte de TI.  Una vez más, el gobierno de TI no debe verse como un tema de tecnología, sería más adecuado pensarlo y adoptarlo como un gobierno del negocio con soporte de TI.  El gobierno de TI no es algo que podamos evadir, la evolución tecnológica y su adhesión en las prácticas organizacionales lo hacen inevitable; simplemente, es decisión nuestra adecuarlo a las necesidades particulares del negocio, buscando siempre alcanzar los objetivos estratégicos y el mejor desempeño de nuestros procesos e inversiones.
GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 26 Bibliografía  ISO/IEC. (2008). INTERNATIONAL STANDARD ISO/IEC 38500. Geneva: ISO office.  Comité Técnico AEN/CTN 71. (2013). Gobernanza Corporativa de la Tecnología de la Información. Madrid: AENOR.  Manuel Bellester. (2010). Gobierno de las TIC ISO/IEC 38500. ISACA JOURNAL, Volumen 1, 4. 2014, Junio, 22, De ISACA Base de datos.  Informe de la Comisión sobre Aspectos Financieros de la Gobernanza Corporativa, Sir AdrianCadbury, London, 1992 ISBN 0 85258 913 1  OCDE Principios de Gobernanza Corporativa, OCDE, 1999 y 2004  Guía ISO 73 2002 Gestión del riesgo. Vocabulario
GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 27

Recomendados

Norma ISO 38500
Norma ISO 38500Norma ISO 38500
Norma ISO 38500arnoldvq16
 
Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de tiLeo Gomez
 
Gobierno TI
Gobierno TIGobierno TI
Gobierno TIPilar Pardo Hidalgo
 
Gobierno de las TIC ISO/IEC 38500
Gobierno de las TIC ISO/IEC 38500Gobierno de las TIC ISO/IEC 38500
Gobierno de las TIC ISO/IEC 38500Nicolas Benjamin Cruz Carpio
 
Iso 20000
Iso 20000Iso 20000
Iso 20000hperez-ti
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000Haroll Suarez
 
Cobit5 presentación
Cobit5 presentaciónCobit5 presentación
Cobit5 presentacióne-auditoria.org | Eduardo Ledesma & Asoc.
 
Estándares de Auditoria en sistemas
Estándares de Auditoria en sistemas Estándares de Auditoria en sistemas
Estándares de Auditoria en sistemas Nanet Martinez
 

Recomendados

Norma ISO 38500
Norma ISO 38500Norma ISO 38500
Norma ISO 38500arnoldvq16
 
Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de tiLeo Gomez
 
Gobierno TI
Gobierno TIGobierno TI
Gobierno TIPilar Pardo Hidalgo
 
Gobierno de las TIC ISO/IEC 38500
Gobierno de las TIC ISO/IEC 38500Gobierno de las TIC ISO/IEC 38500
Gobierno de las TIC ISO/IEC 38500Nicolas Benjamin Cruz Carpio
 
Iso 20000
Iso 20000Iso 20000
Iso 20000hperez-ti
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000Haroll Suarez
 
Cobit5 presentación
Cobit5 presentaciónCobit5 presentación
Cobit5 presentacióne-auditoria.org | Eduardo Ledesma & Asoc.
 
Estándares de Auditoria en sistemas
Estándares de Auditoria en sistemas Estándares de Auditoria en sistemas
Estándares de Auditoria en sistemas Nanet Martinez
 
Alineamiento Estratégico de las Tecnologías de Información en las Empresas (v...
Alineamiento Estratégico de las Tecnologías de Información en las Empresas (v...Alineamiento Estratégico de las Tecnologías de Información en las Empresas (v...
Alineamiento Estratégico de las Tecnologías de Información en las Empresas (v...Walter Edison Alanya Flores
 
ISO38500
ISO38500ISO38500
ISO38500ITSM
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000UPTAEB
 
Buenas Prácticas y Normas de TI
Buenas Prácticas y Normas de TIBuenas Prácticas y Normas de TI
Buenas Prácticas y Normas de TICarlos Francavilla
 
Trabajo cuadro comparativo
Trabajo cuadro comparativoTrabajo cuadro comparativo
Trabajo cuadro comparativoJuan Carlos Gonzalez
 
Iso 27000
Iso 27000Iso 27000
Iso 27000julianabh
 
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOS
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOSDEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOS
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOSMaria Consuelo Taris Naranjo
 
Cobit
CobitCobit
Cobitlilianaaburto
 
ISO 27000
ISO 27000ISO 27000
ISO 27000Luis R Castellanos
 
Marcos de gobierno de ti
Marcos de gobierno de tiMarcos de gobierno de ti
Marcos de gobierno de tiRosmery Banr
 
Propuesta De Empresa. Estructura Y OrganizacióN Tic
Propuesta De Empresa. Estructura Y OrganizacióN TicPropuesta De Empresa. Estructura Y OrganizacióN Tic
Propuesta De Empresa. Estructura Y OrganizacióN TicOriol Recasens
 
Normas (estándares) ISO relativas a TICs
Normas (estándares) ISO relativas a TICsNormas (estándares) ISO relativas a TICs
Normas (estándares) ISO relativas a TICsEOI Escuela de Organización Industrial
 
Unidad 3 Modelo De Negocio
Unidad 3 Modelo De NegocioUnidad 3 Modelo De Negocio
Unidad 3 Modelo De NegocioSergio Sanchez
 
Ejemplo de implementación itil
Ejemplo de implementación itilEjemplo de implementación itil
Ejemplo de implementación itilIsrael Rey
 
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)Carlos Luque, CISA
 
AUDITORIA DE GESTION INFORMATICA
AUDITORIA DE GESTION INFORMATICAAUDITORIA DE GESTION INFORMATICA
AUDITORIA DE GESTION INFORMATICADANIELAALEJANDRA2013
 
COBIT 5 Comparacion con COBIT 4.1
COBIT 5 Comparacion con COBIT 4.1COBIT 5 Comparacion con COBIT 4.1
COBIT 5 Comparacion con COBIT 4.1Carlos Francavilla
 
Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019Ricardo Urbina Miranda
 
Presentacion cobit
Presentacion cobitPresentacion cobit
Presentacion cobitArmando Perez
 
Cobit5 Introducción
Cobit5 IntroducciónCobit5 Introducción
Cobit5 IntroducciónFernando De los Ríos
 
EXPO ISO38500
EXPO ISO38500EXPO ISO38500
EXPO ISO38500ITSM
 
Webinar: Cómo trabajar en TI con los Mejores Frameworks sin morir en el intento
Webinar: Cómo trabajar en TI con los Mejores Frameworks sin morir en el intentoWebinar: Cómo trabajar en TI con los Mejores Frameworks sin morir en el intento
Webinar: Cómo trabajar en TI con los Mejores Frameworks sin morir en el intentoLuis Moran Abad
 

Más contenido relacionado

La actualidad más candente

Alineamiento Estratégico de las Tecnologías de Información en las Empresas (v...
Alineamiento Estratégico de las Tecnologías de Información en las Empresas (v...Alineamiento Estratégico de las Tecnologías de Información en las Empresas (v...
Alineamiento Estratégico de las Tecnologías de Información en las Empresas (v...Walter Edison Alanya Flores
 
ISO38500
ISO38500ISO38500
ISO38500ITSM
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000UPTAEB
 
Buenas Prácticas y Normas de TI
Buenas Prácticas y Normas de TIBuenas Prácticas y Normas de TI
Buenas Prácticas y Normas de TICarlos Francavilla
 
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOS
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOSDEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOS
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOSMaria Consuelo Taris Naranjo
 
Marcos de gobierno de ti
Marcos de gobierno de tiMarcos de gobierno de ti
Marcos de gobierno de tiRosmery Banr
 
Propuesta De Empresa. Estructura Y OrganizacióN Tic
Propuesta De Empresa. Estructura Y OrganizacióN TicPropuesta De Empresa. Estructura Y OrganizacióN Tic
Propuesta De Empresa. Estructura Y OrganizacióN TicOriol Recasens
 
Unidad 3 Modelo De Negocio
Unidad 3 Modelo De NegocioUnidad 3 Modelo De Negocio
Unidad 3 Modelo De NegocioSergio Sanchez
 
Ejemplo de implementación itil
Ejemplo de implementación itilEjemplo de implementación itil
Ejemplo de implementación itilIsrael Rey
 
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)Carlos Luque, CISA
 
COBIT 5 Comparacion con COBIT 4.1
COBIT 5 Comparacion con COBIT 4.1COBIT 5 Comparacion con COBIT 4.1
COBIT 5 Comparacion con COBIT 4.1Carlos Francavilla
 

La actualidad más candente (20)

Alineamiento Estratégico de las Tecnologías de Información en las Empresas (v...
Alineamiento Estratégico de las Tecnologías de Información en las Empresas (v...Alineamiento Estratégico de las Tecnologías de Información en las Empresas (v...
Alineamiento Estratégico de las Tecnologías de Información en las Empresas (v...
 
ISO38500
ISO38500ISO38500
ISO38500
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000
 
Buenas Prácticas y Normas de TI
Buenas Prácticas y Normas de TIBuenas Prácticas y Normas de TI
Buenas Prácticas y Normas de TI
 
Trabajo cuadro comparativo
Trabajo cuadro comparativoTrabajo cuadro comparativo
Trabajo cuadro comparativo
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOS
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOSDEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOS
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOS
 
Cobit
CobitCobit
Cobit
 
ISO 27000
ISO 27000ISO 27000
ISO 27000
 
Marcos de gobierno de ti
Marcos de gobierno de tiMarcos de gobierno de ti
Marcos de gobierno de ti
 
Propuesta De Empresa. Estructura Y OrganizacióN Tic
Propuesta De Empresa. Estructura Y OrganizacióN TicPropuesta De Empresa. Estructura Y OrganizacióN Tic
Propuesta De Empresa. Estructura Y OrganizacióN Tic
 
Normas (estándares) ISO relativas a TICs
Normas (estándares) ISO relativas a TICsNormas (estándares) ISO relativas a TICs
Normas (estándares) ISO relativas a TICs
 
Unidad 3 Modelo De Negocio
Unidad 3 Modelo De NegocioUnidad 3 Modelo De Negocio
Unidad 3 Modelo De Negocio
 
Ejemplo de implementación itil
Ejemplo de implementación itilEjemplo de implementación itil
Ejemplo de implementación itil
 
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)
 
AUDITORIA DE GESTION INFORMATICA
AUDITORIA DE GESTION INFORMATICAAUDITORIA DE GESTION INFORMATICA
AUDITORIA DE GESTION INFORMATICA
 
COBIT 5 Comparacion con COBIT 4.1
COBIT 5 Comparacion con COBIT 4.1COBIT 5 Comparacion con COBIT 4.1
COBIT 5 Comparacion con COBIT 4.1
 
Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019
 
Presentacion cobit
Presentacion cobitPresentacion cobit
Presentacion cobit
 
Cobit5 Introducción
Cobit5 IntroducciónCobit5 Introducción
Cobit5 Introducción
 

Destacado

EXPO ISO38500
EXPO ISO38500EXPO ISO38500
EXPO ISO38500ITSM
 
Webinar: Cómo trabajar en TI con los Mejores Frameworks sin morir en el intento
Webinar: Cómo trabajar en TI con los Mejores Frameworks sin morir en el intentoWebinar: Cómo trabajar en TI con los Mejores Frameworks sin morir en el intento
Webinar: Cómo trabajar en TI con los Mejores Frameworks sin morir en el intentoLuis Moran Abad
 
caso pratico
caso praticocaso pratico
caso praticoITSM
 
ADMINISTRACION DE LAS TECNOLOGIAS DE LA INFORMACION UNIDAD 1
ADMINISTRACION DE LAS TECNOLOGIAS DE LA INFORMACION UNIDAD 1ADMINISTRACION DE LAS TECNOLOGIAS DE LA INFORMACION UNIDAD 1
ADMINISTRACION DE LAS TECNOLOGIAS DE LA INFORMACION UNIDAD 1DIANA DEL CARMEN LÓPEZ CERÓN
 
Tema 1 "Datos en la era de la información"
Tema 1 "Datos en la era de la información"Tema 1 "Datos en la era de la información"
Tema 1 "Datos en la era de la información"Luis Unigarro
 
Administración de las tecnologías de información
Administración de las tecnologías de informaciónAdministración de las tecnologías de información
Administración de las tecnologías de informaciónAdolfo J. Araujo J. ajaraujo
 
Aporte de COBIT 5 al Gobierno Corporativo de Tecnología
Aporte de COBIT 5 al Gobierno Corporativo de TecnologíaAporte de COBIT 5 al Gobierno Corporativo de Tecnología
Aporte de COBIT 5 al Gobierno Corporativo de TecnologíaCarlos Francavilla
 
Alexander miguel burgos viera 20132002164
Alexander miguel burgos viera 20132002164Alexander miguel burgos viera 20132002164
Alexander miguel burgos viera 20132002164Alex Miguel
 
Introduccion a la Sistema de Gestion de Seguridad de Informacion (SGSI)
Introduccion a la Sistema de Gestion de Seguridad de Informacion (SGSI)Introduccion a la Sistema de Gestion de Seguridad de Informacion (SGSI)
Introduccion a la Sistema de Gestion de Seguridad de Informacion (SGSI)Edras Izaguirre
 
Gobierno Corporativo de TI - ISO 38500
Gobierno Corporativo de TI - ISO 38500Gobierno Corporativo de TI - ISO 38500
Gobierno Corporativo de TI - ISO 38500Carlos Francavilla
 
netmind - COBIT5; el nuevo marco para la Gobernanza de las Tecnologías de la ...
netmind - COBIT5; el nuevo marco para la Gobernanza de las Tecnologías de la ...netmind - COBIT5; el nuevo marco para la Gobernanza de las Tecnologías de la ...
netmind - COBIT5; el nuevo marco para la Gobernanza de las Tecnologías de la ...netmind
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocioFabián Descalzo
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002Tensor
 
Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001.. ..
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosGonzalo de la Pedraja
 

Destacado (17)

EXPO ISO38500
EXPO ISO38500EXPO ISO38500
EXPO ISO38500
 
Webinar: Cómo trabajar en TI con los Mejores Frameworks sin morir en el intento
Webinar: Cómo trabajar en TI con los Mejores Frameworks sin morir en el intentoWebinar: Cómo trabajar en TI con los Mejores Frameworks sin morir en el intento
Webinar: Cómo trabajar en TI con los Mejores Frameworks sin morir en el intento
 
caso pratico
caso praticocaso pratico
caso pratico
 
ADMINISTRACION DE LAS TECNOLOGIAS DE LA INFORMACION UNIDAD 1
ADMINISTRACION DE LAS TECNOLOGIAS DE LA INFORMACION UNIDAD 1ADMINISTRACION DE LAS TECNOLOGIAS DE LA INFORMACION UNIDAD 1
ADMINISTRACION DE LAS TECNOLOGIAS DE LA INFORMACION UNIDAD 1
 
Tema 1 "Datos en la era de la información"
Tema 1 "Datos en la era de la información"Tema 1 "Datos en la era de la información"
Tema 1 "Datos en la era de la información"
 
Administración de las tecnologías de información
Administración de las tecnologías de informaciónAdministración de las tecnologías de información
Administración de las tecnologías de información
 
Aporte de COBIT 5 al Gobierno Corporativo de Tecnología
Aporte de COBIT 5 al Gobierno Corporativo de TecnologíaAporte de COBIT 5 al Gobierno Corporativo de Tecnología
Aporte de COBIT 5 al Gobierno Corporativo de Tecnología
 
Alexander miguel burgos viera 20132002164
Alexander miguel burgos viera 20132002164Alexander miguel burgos viera 20132002164
Alexander miguel burgos viera 20132002164
 
Introduccion a la Sistema de Gestion de Seguridad de Informacion (SGSI)
Introduccion a la Sistema de Gestion de Seguridad de Informacion (SGSI)Introduccion a la Sistema de Gestion de Seguridad de Informacion (SGSI)
Introduccion a la Sistema de Gestion de Seguridad de Informacion (SGSI)
 
Gobierno Corporativo de TI - ISO 38500
Gobierno Corporativo de TI - ISO 38500Gobierno Corporativo de TI - ISO 38500
Gobierno Corporativo de TI - ISO 38500
 
Curso SGSI
Curso SGSICurso SGSI
Curso SGSI
 
netmind - COBIT5; el nuevo marco para la Gobernanza de las Tecnologías de la ...
netmind - COBIT5; el nuevo marco para la Gobernanza de las Tecnologías de la ...netmind - COBIT5; el nuevo marco para la Gobernanza de las Tecnologías de la ...
netmind - COBIT5; el nuevo marco para la Gobernanza de las Tecnologías de la ...
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
 
Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
 

Similar a ISO IEC 38500

Ensayo u4
Ensayo u4Ensayo u4
Ensayo u4sergio
 
Gobierno ti
Gobierno tiGobierno ti
Gobierno tiCHRYCIN
 
Diapositiva cap #3 sistema de informacion
Diapositiva cap #3 sistema de informacionDiapositiva cap #3 sistema de informacion
Diapositiva cap #3 sistema de informacionmelgarh25
 
Informe cobit 5.0
Informe cobit 5.0Informe cobit 5.0
Informe cobit 5.0Eli Blas
 
3.2.gobierno de tecnologias de t.i.
3.2.gobierno de tecnologias de t.i.3.2.gobierno de tecnologias de t.i.
3.2.gobierno de tecnologias de t.i.Jessi Luna
 
Ficha4 6 c_dulce1
Ficha4 6 c_dulce1Ficha4 6 c_dulce1
Ficha4 6 c_dulce1vgde
 
Cesar david orellana capitulo 3
Cesar david orellana capitulo 3Cesar david orellana capitulo 3
Cesar david orellana capitulo 3Davidorellana35
 
Solemne empresa y sociedad del conocimiento
Solemne empresa y sociedad del conocimientoSolemne empresa y sociedad del conocimiento
Solemne empresa y sociedad del conocimientoArthur Oyarzun
 
Importancia de los sistema de información informatizados I
Importancia de los sistema de información informatizados IImportancia de los sistema de información informatizados I
Importancia de los sistema de información informatizados INorberto Ortiz León
 
Ensayo de Estandares.
Ensayo de Estandares.Ensayo de Estandares.
Ensayo de Estandares.Sole Leraguii
 
Alineamiento Estratégico de las Tecnologías de Información
Alineamiento Estratégico de las Tecnologías de InformaciónAlineamiento Estratégico de las Tecnologías de Información
Alineamiento Estratégico de las Tecnologías de InformaciónWalter Edison Alanya Flores
 
Sistemas de información, organizaciones y estrategía
Sistemas de información, organizaciones y estrategíaSistemas de información, organizaciones y estrategía
Sistemas de información, organizaciones y estrategíaJulio Ronal Chinchilla Chacón
 
08 actividadde aprendizaje
08 actividadde aprendizaje08 actividadde aprendizaje
08 actividadde aprendizajeLesterPD
 
ISA (INTERNATIONAL SOCIETY OF AUTOMATION).
ISA (INTERNATIONAL SOCIETY OF AUTOMATION).ISA (INTERNATIONAL SOCIETY OF AUTOMATION).
ISA (INTERNATIONAL SOCIETY OF AUTOMATION).UDO Monagas
 

Similar a ISO IEC 38500 (20)

Ensayo u4
Ensayo u4Ensayo u4
Ensayo u4
 
Gobierno ti
Gobierno tiGobierno ti
Gobierno ti
 
Gobierno ti
Gobierno tiGobierno ti
Gobierno ti
 
Diapositiva cap #3 sistema de informacion
Diapositiva cap #3 sistema de informacionDiapositiva cap #3 sistema de informacion
Diapositiva cap #3 sistema de informacion
 
Informe cobit 5.0
Informe cobit 5.0Informe cobit 5.0
Informe cobit 5.0
 
Metodología COBIT
Metodología COBITMetodología COBIT
Metodología COBIT
 
3.2.gobierno de tecnologias de t.i.
3.2.gobierno de tecnologias de t.i.3.2.gobierno de tecnologias de t.i.
3.2.gobierno de tecnologias de t.i.
 
Ficha4 6 c_dulce1
Ficha4 6 c_dulce1Ficha4 6 c_dulce1
Ficha4 6 c_dulce1
 
Cesar david orellana capitulo 3
Cesar david orellana capitulo 3Cesar david orellana capitulo 3
Cesar david orellana capitulo 3
 
Solemne empresa y sociedad del conocimiento
Solemne empresa y sociedad del conocimientoSolemne empresa y sociedad del conocimiento
Solemne empresa y sociedad del conocimiento
 
Software de control de proceso
Software de control de procesoSoftware de control de proceso
Software de control de proceso
 
Importancia de los sistema de información informatizados I
Importancia de los sistema de información informatizados IImportancia de los sistema de información informatizados I
Importancia de los sistema de información informatizados I
 
Ensayo
EnsayoEnsayo
Ensayo
 
Ensayo de Estandares.
Ensayo de Estandares.Ensayo de Estandares.
Ensayo de Estandares.
 
Tarea 1 - Capítulo 3
Tarea 1 - Capítulo 3Tarea 1 - Capítulo 3
Tarea 1 - Capítulo 3
 
Alineamiento Estratégico de las Tecnologías de Información
Alineamiento Estratégico de las Tecnologías de InformaciónAlineamiento Estratégico de las Tecnologías de Información
Alineamiento Estratégico de las Tecnologías de Información
 
Sistemas de información, organizaciones y estrategía
Sistemas de información, organizaciones y estrategíaSistemas de información, organizaciones y estrategía
Sistemas de información, organizaciones y estrategía
 
Capitulo 3
Capitulo 3Capitulo 3
Capitulo 3
 
08 actividadde aprendizaje
08 actividadde aprendizaje08 actividadde aprendizaje
08 actividadde aprendizaje
 
ISA (INTERNATIONAL SOCIETY OF AUTOMATION).
ISA (INTERNATIONAL SOCIETY OF AUTOMATION).ISA (INTERNATIONAL SOCIETY OF AUTOMATION).
ISA (INTERNATIONAL SOCIETY OF AUTOMATION).
 

Más de Edison Isla A

Evaluacion de riesgos pcc ii
Evaluacion de riesgos pcc iiEvaluacion de riesgos pcc ii
Evaluacion de riesgos pcc iiEdison Isla A
 
Instrucciones de simulacro_de_sismo (1)
Instrucciones de simulacro_de_sismo (1)Instrucciones de simulacro_de_sismo (1)
Instrucciones de simulacro_de_sismo (1)Edison Isla A
 
Seguridad industrial i
Seguridad industrial iSeguridad industrial i
Seguridad industrial iEdison Isla A
 
Act secion alcides 12 8-18 - copia
Act secion alcides 12 8-18 - copiaAct secion alcides 12 8-18 - copia
Act secion alcides 12 8-18 - copiaEdison Isla A
 
Contrato de compra y venta privado
Contrato de compra y venta privadoContrato de compra y venta privado
Contrato de compra y venta privadoEdison Isla A
 
Cultura local dibujo
Cultura local dibujoCultura local dibujo
Cultura local dibujoEdison Isla A
 
Img20190512 10092653
Img20190512 10092653Img20190512 10092653
Img20190512 10092653Edison Isla A
 

Más de Edison Isla A (12)

399.010 1-2015
399.010 1-2015399.010 1-2015
399.010 1-2015
 
Evaluacion de riesgos pcc ii
Evaluacion de riesgos pcc iiEvaluacion de riesgos pcc ii
Evaluacion de riesgos pcc ii
 
Instrucciones de simulacro_de_sismo (1)
Instrucciones de simulacro_de_sismo (1)Instrucciones de simulacro_de_sismo (1)
Instrucciones de simulacro_de_sismo (1)
 
Seguridad industrial i
Seguridad industrial iSeguridad industrial i
Seguridad industrial i
 
Memorando
MemorandoMemorando
Memorando
 
Inform es
Inform esInform es
Inform es
 
Act secion alcides 12 8-18 - copia
Act secion alcides 12 8-18 - copiaAct secion alcides 12 8-18 - copia
Act secion alcides 12 8-18 - copia
 
Contrato de compra y venta privado
Contrato de compra y venta privadoContrato de compra y venta privado
Contrato de compra y venta privado
 
Cultura local dibujo
Cultura local dibujoCultura local dibujo
Cultura local dibujo
 
Culturas local
Culturas localCulturas local
Culturas local
 
Img20190512 10092653
Img20190512 10092653Img20190512 10092653
Img20190512 10092653
 
Curriculo
CurriculoCurriculo
Curriculo
 

Último

Informatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos BásicosInformatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos BásicosCesarFernandez937857
 
30-de-abril-plebiscito-1902_240420_104511.pdf
30-de-abril-plebiscito-1902_240420_104511.pdf30-de-abril-plebiscito-1902_240420_104511.pdf
30-de-abril-plebiscito-1902_240420_104511.pdfgimenanahuel
 
la unidad de s sesion edussssssssssssssscacio fisca
la unidad de s sesion edussssssssssssssscacio fiscala unidad de s sesion edussssssssssssssscacio fisca
la unidad de s sesion edussssssssssssssscacio fiscaeliseo91
 
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURAFORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURAEl Fortí
 
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...JAVIER SOLIS NOYOLA
 
Caja de herramientas de inteligencia artificial para la academia y la investi...
Caja de herramientas de inteligencia artificial para la academia y la investi...Caja de herramientas de inteligencia artificial para la academia y la investi...
Caja de herramientas de inteligencia artificial para la academia y la investi...Lourdes Feria
 
EXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptx
EXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptxEXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptx
EXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptxPryhaSalam
 
MAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grandeMAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grandeMarjorie Burga
 
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdfSELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdfAngélica Soledad Vega Ramírez
 
Neurociencias para Educadores NE24 Ccesa007.pdf
Neurociencias para Educadores NE24 Ccesa007.pdfNeurociencias para Educadores NE24 Ccesa007.pdf
Neurociencias para Educadores NE24 Ccesa007.pdfDemetrio Ccesa Rayme
 
UNIDAD DPCC. 2DO. DE SECUNDARIA DEL 2024
UNIDAD DPCC. 2DO. DE SECUNDARIA DEL 2024UNIDAD DPCC. 2DO. DE SECUNDARIA DEL 2024
UNIDAD DPCC. 2DO. DE SECUNDARIA DEL 2024AndreRiva2
 
Lecciones 04 Esc. Sabática. Defendamos la verdad
Lecciones 04 Esc. Sabática. Defendamos la verdadLecciones 04 Esc. Sabática. Defendamos la verdad
Lecciones 04 Esc. Sabática. Defendamos la verdadAlejandrino Halire Ccahuana
 
programa dia de las madres 10 de mayo para evento
programa dia de las madres 10 de mayo para eventoprograma dia de las madres 10 de mayo para evento
programa dia de las madres 10 de mayo para eventoDiegoMtsS
 
Estrategia de prompts, primeras ideas para su construcción
Estrategia de prompts, primeras ideas para su construcciónEstrategia de prompts, primeras ideas para su construcción
Estrategia de prompts, primeras ideas para su construcciónLourdes Feria
 
texto argumentativo, ejemplos y ejercicios prácticos
texto argumentativo, ejemplos y ejercicios prácticostexto argumentativo, ejemplos y ejercicios prácticos
texto argumentativo, ejemplos y ejercicios prácticosisabeltrejoros
 
cortes de luz abril 2024 en la provincia de tungurahua
cortes de luz abril 2024 en la provincia de tungurahuacortes de luz abril 2024 en la provincia de tungurahua
cortes de luz abril 2024 en la provincia de tungurahuaDANNYISAACCARVAJALGA
 
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADODECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADOJosé Luis Palma
 
RETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docxRETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docxAna Fernandez
 

Último (20)

Informatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos BásicosInformatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos Básicos
 
30-de-abril-plebiscito-1902_240420_104511.pdf
30-de-abril-plebiscito-1902_240420_104511.pdf30-de-abril-plebiscito-1902_240420_104511.pdf
30-de-abril-plebiscito-1902_240420_104511.pdf
 
la unidad de s sesion edussssssssssssssscacio fisca
la unidad de s sesion edussssssssssssssscacio fiscala unidad de s sesion edussssssssssssssscacio fisca
la unidad de s sesion edussssssssssssssscacio fisca
 
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURAFORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
 
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
 
Caja de herramientas de inteligencia artificial para la academia y la investi...
Caja de herramientas de inteligencia artificial para la academia y la investi...Caja de herramientas de inteligencia artificial para la academia y la investi...
Caja de herramientas de inteligencia artificial para la academia y la investi...
 
Power Point: "Defendamos la verdad".pptx
Power Point: "Defendamos la verdad".pptxPower Point: "Defendamos la verdad".pptx
Power Point: "Defendamos la verdad".pptx
 
EXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptx
EXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptxEXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptx
EXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptx
 
MAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grandeMAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grande
 
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdfSELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
 
Neurociencias para Educadores NE24 Ccesa007.pdf
Neurociencias para Educadores NE24 Ccesa007.pdfNeurociencias para Educadores NE24 Ccesa007.pdf
Neurociencias para Educadores NE24 Ccesa007.pdf
 
UNIDAD DPCC. 2DO. DE SECUNDARIA DEL 2024
UNIDAD DPCC. 2DO. DE SECUNDARIA DEL 2024UNIDAD DPCC. 2DO. DE SECUNDARIA DEL 2024
UNIDAD DPCC. 2DO. DE SECUNDARIA DEL 2024
 
Lecciones 04 Esc. Sabática. Defendamos la verdad
Lecciones 04 Esc. Sabática. Defendamos la verdadLecciones 04 Esc. Sabática. Defendamos la verdad
Lecciones 04 Esc. Sabática. Defendamos la verdad
 
programa dia de las madres 10 de mayo para evento
programa dia de las madres 10 de mayo para eventoprograma dia de las madres 10 de mayo para evento
programa dia de las madres 10 de mayo para evento
 
Estrategia de prompts, primeras ideas para su construcción
Estrategia de prompts, primeras ideas para su construcciónEstrategia de prompts, primeras ideas para su construcción
Estrategia de prompts, primeras ideas para su construcción
 
texto argumentativo, ejemplos y ejercicios prácticos
texto argumentativo, ejemplos y ejercicios prácticostexto argumentativo, ejemplos y ejercicios prácticos
texto argumentativo, ejemplos y ejercicios prácticos
 
cortes de luz abril 2024 en la provincia de tungurahua
cortes de luz abril 2024 en la provincia de tungurahuacortes de luz abril 2024 en la provincia de tungurahua
cortes de luz abril 2024 en la provincia de tungurahua
 
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADODECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
 
RETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docxRETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docx
 
Presentacion Metodología de Enseñanza Multigrado
Presentacion Metodología de Enseñanza MultigradoPresentacion Metodología de Enseñanza Multigrado
Presentacion Metodología de Enseñanza Multigrado
 

ISO IEC 38500

  • 1. Mis documentos ISO/IEC 38500 GOBERNANZA CORPORATIVA DE LA TECNOLOGÍA DE LA INFORMACIÓN ISLACHIN AVENDAÑO EDISON PORRAS RIOS HELMER “La mejor guía para conseguir desarrollar el Negocio basándose en las Tecnologías de la Información”
  • 2. GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 1 INDICE INTRODUCCIÓN .............................................................................................................................. 2 I. ALCANCE, APLICACIÓN Y OBJETIVOS.......................................................................... 5 1. Alcance ................................................................................................................................... 5 2. Aplicación............................................................................................................................... 6 3. Objetivos ................................................................................................................................ 6 4. Beneficios de la Utilización de esta Norma ......................................................................... 6 a. General............................................................................................................................... 6 b. Cumplimiento de la Organización................................................................................... 7 c. Desempeño de la Organización........................................................................................ 8 5. Documentos de Referencia ................................................................................................... 9 6. Definiciones............................................................................................................................ 9 1) Aceptable............................................................................................................................ 9 2) Gobernanza Corporativa.................................................................................................. 9 3) Gobernanza Corporativa de la TI ................................................................................... 9 4) Competente ...................................................................................................................... 10 5) Administrador ................................................................................................................. 10 6) Conducta Humana .......................................................................................................... 10 7) Tecnología de la Información (TI)................................................................................. 11 8) Inversión........................................................................................................................... 11 9) Gestión.............................................................................................................................. 11 11) Política.......................................................................................................................... 12 12) Propuesta...................................................................................................................... 12 13) Recursos ....................................................................................................................... 12 14) Riesgo ........................................................................................................................... 12 15) Gestión de Riesgo ........................................................................................................ 12 16) Parte Interesada (Stakeholder).................................................................................. 12 17) Estrategia ..................................................................................................................... 13 18) Uso de la TI.................................................................................................................. 13 II. MARCO PARA LA GOBERNANZA CORPORATIVA DE LA TI.............................. 13 1. Principios ............................................................................................................................. 13
  • 3. GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 2 A. Principio 1: Responsabilidad.......................................................................................... 14 B. Principio 2: Estrategia .................................................................................................... 14 C. Principio 3: Adquisición ................................................................................................. 14 D. Principio 4: Desempeño .................................................................................................. 14 E. Principio 5: Cumplimiento ............................................................................................. 14 F. Principio 6: Conducta Humana ..................................................................................... 14 2. Modelo.................................................................................................................................. 15 Figura 1 - ModelodelaGobernanzaCorporativadelaTI........................................................................ 15 III. DIRECTRICES PARA LA GOBERNANZA CORPORATIVA DE LA TI.................. 17 1. Observaciones Generales.................................................................................................... 17 2. Principio 1: Responsabilidad.............................................................................................. 18 3. Principio 2: Estrategia ........................................................................................................ 19 4. Principio 3: Adquisición ..................................................................................................... 20 5. Principio 4: Desempeño ...................................................................................................... 21 6. Principio 5: Cumplimiento ................................................................................................. 22 7. Principio 6: Conducta Humana ......................................................................................... 23 Conclusiones ..................................................................................................................................... 25 Bibliografía ....................................................................................................................................... 26 INTRODUCCIÓN
  • 4. GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 3 El objetivo de esta norma es proporcionar un marco de principios para los administradores cuando evalúen, dirijan y supervisen el uso de la Tecnología de la Información (TI) en sus organizaciones. La mayoría de las organizaciones utilizan la TI como herramienta fundamental para el negocio, y pocas pueden funcionar eficazmente sin ella. La TI es también un factor importante en los planes futuros de negocio de muchas organizaciones. Los gastos en TI pueden representar una parte importante de los gastos de una organización en recursos financieros y humanos. Sin embargo, a menudo no se produce el retorno esperado de esta inversión y el impacto negativo en las organizaciones puede ser importante. Las principales razones de estos resultados negativos son dar mayor importancia a la tecnología, finanzas y aspectos de la planificación de las actividades de TI, que al contexto global del uso de la TI en el negocio. Esta norma proporciona un marco eficaz para la gobernanza de la TI para ayudar a las personas del máximo nivel de las organizaciones a comprender y cumplir con sus obligaciones legales, reglamentarias y éticas respecto al uso que, en sus organizaciones, se hace de la TI. El marco incluye definiciones, principios y un modelo. Esta norma se ajusta a la definición de gobernanza corporativa publicada como un informe de la Comisión sobre los aspectos financieros de la gobernanza corporativa (el Informe Cadbury) en 1992. El Informe Cadbury también aportó la definición básica de la gobernanza corporativa en los Principios de gobernanza corporativa de la OCDE de 1999 (revisados en 2004). Se anima a los usuarios de esta norma a familiarizarse con el Informe Cadbury y los Principios de gobernanza corporativa de la OCDE.
  • 5. GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 4 La gobernanza es distinta de la gestión y, para evitar cualquier confusión, los dos conceptos se definen claramente en la presente norma. Si bien esta norma está dirigida principalmente al cuerpo de gobierno, quien a su vez puede determinar que ciertas acciones sean realizadas por la dirección de la organización, también permite que, en algunas organizaciones (normalmente las más pequeñas), los miembros del cuerpo de gobierno también puedan desempeñar funciones claves en la gestión. De esta manera, se asegura que la norma sea aplicable para todas las organizaciones, desde las más pequeñas a las más grandes, independientemente del propósito, diseño y estructura societaria. Esta norma también tiene por objeto informar y orientar a los involucrados en el diseño e implementación del sistema de gestión sobre políticas, procesos y estructuras que sostienen a la gobernanza.
  • 6. GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 5 GOBERNANZA CORPORATIVA DE LA TECNOLOGIA DE INFORMACION I. ALCANCE, APLICACIÓN Y OBJETIVOS 1. Alcance Esta norma proporciona principios orientadores para los administradores de las organizaciones (incluyendo propietarios, miembros del consejo, directivos, socios, altos ejecutivos o similares) sobre el uso eficaz, eficiente y aceptable de la Tecnología de la Información (TI) en sus organizaciones. Esta norma se aplica a la gobernanza de los procesos (y decisiones) de gestión relativos a los servicios de información y comunicación utilizados por una organización. Estos procesos podrían ser controlados tanto por especialistas en TI de la organización como por proveedores de servicios externos, o unidades de negocio dentro de la organización. También proporciona orientación a los que asesoran, informan, o ayudan a los administradores, entre los que se incluyen:  altos directivos;  miembros de los grupos que monitorizan los recursos dentro de la organización;  especialistas externos, técnicos o de negocio, como pueden ser jurídicos o contables; asociaciones comerciales minoristas u organismos profesionales;  fabricantes de hardware, software, comunicaciones y otros productos de TI;  proveedores de servicios internos y externos (incluidos consultores);  auditores de TI. (International Standard ISO/IEC 38500, 2008)
  • 7. GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 6 2. Aplicación Esta norma es aplicable a todas las organizaciones, ya sean empresas públicas o privadas, entidades gubernamentales y entidades sin ánimo de lucro. La norma es asimismo aplicable a organizaciones de todos los tamaños, desde las más pequeñas hasta las más grandes, con independencia de su grado de utilización de la TI. (International Standard ISO/IEC 38500, 2008) 3. Objetivos El propósito de esta norma es promover el uso eficaz, eficiente y aceptable de la TI en todas las organizaciones por medio de:  asegurar a las partes interesadas (incluidos clientes, accionistas y empleados) que si siguen la norma, pueden con- fiar en la gobernanza corporativa de la TI dentro de la organización;  informar y orientar a los administradores sobre el gobierno del uso de la TI en su organización; y  proporcionar una base de referencia para la evaluación objetiva de la gobernanza corporativa de la TI. (International Standard ISO/IEC 38500, 2008) 4. Beneficios de la Utilización de esta Norma a. General Esta norma establece principios para el uso eficaz, eficiente y aceptable de la TI. Asegurando a aquellas organizaciones que el seguimiento de estos principios ayudará a sus administradores a sopesar los riesgos y fomentar oportunidades derivadas de la utilización de la TI. Esta norma establece un modelo de gobernanza de la TI. El riesgo de que los administradores no cumplan con sus
  • 8. GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 7 obligaciones se mitiga prestando la debida atención al modelo y aplicando correctamente los principios. La norma proporciona un vocabulario para la gobernanza de la TI. (International Standard ISO/IEC 38500, 2008) b. Cumplimiento de la Organización La adecuada gobernanza corporativa de la TI puede ayudar a los administradores a asegurar el cumplimiento con las obligaciones (reglamentarias, legislativas, de derecho consuetudinario y contractual) relativas al uso aceptable de la TI. Sistemas inadecuados de TI pueden exponer a los administradores al riesgo de no cumplir con la legislación. Por ejemplo, en algunas jurisdicciones, los administradores podrían ser personalmente responsables si un sistema contable inadecuado tiene como resultado el impago de impuestos. Los procesos relacionados con la TI incorporan riesgos específicos que deben abordarse adecuadamente. Por ejemplo, los administradores podrían ser considerados responsables de infracciones relativas a:  normas de seguridad  legislación sobre la privacidad  legislación sobre correo basura  legislación sobre las prácticas comerciales  derechos de propiedad intelectual, incluidos los acuerdos de licencia de software  requisitos de retención de información
  • 9. GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 8  leyes y reglamentaciones ambientales  legislación sobre salud y seguridad  legislación sobre accesibilidad  normas de responsabilidad social Utilizando las directrices de esta norma, es más probable que los administradores cumplan con sus obligaciones. (International Standard ISO/IEC 38500, 2008) c. Desempeño de la Organización La adecuada gobernanza corporativa de la TI ayuda a los administradores a asegurar que el uso de la TI contribuye positivamente al desempeño de la organización, mediante:  una implementación y explotación adecuada de los activos de la TI  claridad de la responsabilidad e imputabilidad tanto para el uso como para la provisión de la TI para el logro de los objetivos de la organización  la continuidad y sostenibilidad del negocio  la alineación de la TI con las necesidades del negocio  la asignación eficiente de recursos  la innovación en los servicios, mercados, y negocios  las buenas prácticas en las relaciones con las partes interesadas  la reducción de los costes de una organización  la consecución real de los beneficios aprobados para cada inversión en TI (International Standard ISO/IEC 38500, 2008)
  • 10. GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 9 5. Documentos de Referencia En esta norma se hace referencia a los siguientes documentos: 1. Informe de la Comisión sobre Aspectos Financieros de la Gobernanza Corporativa, Sir AdrianCadbury, London, 1992 ISBN 0 85258 913 1 2. OCDE Principios de Gobernanza Corporativa, OCDE, 1999 y 2004 3. Guía ISO 73 2002 Gestión del riesgo. Vocabulario (Gobernanza Corporativa de la Tecnología de la Información, 2013) 6. Definiciones A los efectos de la presente norma, se aplican las siguientes definiciones. Se espera que la organización adapte la terminología utilizada en esta norma a sus circunstancias o estructura. 1) Aceptable Satisface las expectativas, que se han podido expresar como razonables o justificadas de las partes interesadas. 2) Gobernanza Corporativa El sistema por el cual se dirigen y controlan las organizaciones. (Informe de la Comisión sobre Aspectos Financieros de la Gobernanza Corporativa, Sir Adrian Cadbury, 1992) (OCDE Principios de Gobernanza Corporativa, 1999 y 2004) 3) Gobernanza Corporativa de la TI El sistema por el cual se dirige y controla el uso, actual y futuro, de la TI.
  • 11. GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 10 La gobernanza corporativa de la TI implica evaluar y dirigir la utilización de la TI para dar soporte a la organización y la monitorización de ese uso para lograr la consecución de los planes. Incluye la estrategia y políticas para la utilización de la TI en la organización. (OCDE Principios de Gobernanza Corporativa, 1999 y 2004) 4) Competente Que posee la combinación del conocimiento, las habilidades formales e informales, la formación, los atributos de experiencia y de comportamiento, necesarios para realizar una tarea o rol 5) Administrador Miembro del cuerpo de gobierno más alto de una organización. Incluye propietarios, miembros del comité de dirección, socios, altos ejecutivos o similares, y los mandos autorizados por leyes o regulaciones. 6) Conducta Humana La comprensión de las interacciones entre los seres humanos y otros elementos de un sistema con la intención de asegurar el bienestar de las personas y el rendimiento de los sistemas. La conducta humana incluye la cultura, necesidades y aspiraciones de las personas como individuos y como grupos. NOTA: Con respecto a la TI, hay numerosos grupos o comunidades de personas, cada una con sus propias necesidades, aspiraciones y comportamientos. Por ejemplo, las personas que utilizan los sistemas de información podrían mostrar necesidades relacionadas con la accesibilidad y ergonomía, así como la disponibilidad y el
  • 12. GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 11 desempeño. Personas cuya función es cambiante debido a la utilización de la TI pueden plantear necesidades relacionadas con la comunicación, formación y tranquilidad. Personas involucradas en la construcción y operación de la TI podrían mostrar necesidades relativas a las condiciones de trabajo y al desarrollo de habilidades. 7) Tecnología de la Información (TI) Recursos necesarios para adquirir, procesar, almacenar y difundir información. Este término también incluye la "Tecnología de la Comunicación (TC)" y el término compuesto "Tecnología de Información y Comunicación (TIC)". 8) Inversión Asignación de recursos humanos, financieros y otros, con el fin de alcanzar los objetivos establecidos y otros beneficios. 9) Gestión El sistema de controles y los procesos necesarios para alcanzar los objetivos estratégicos establecidos por el órgano de gobierno de la organización. La gestión está sujeta a la dirección marcada por la política y seguimiento establecidos por medio de la gobernanza corporativa. 10) Organización Cualquier empresa, corporación, gobierno, organización sin ánimo de lucro u otra entidad legalmente constituida que cuenta con administración y misión propias, incluyendo asociaciones, clubes, sociedades, agencias gubernamentales, empresas que cotizan en bolsa, empresas privadas y empresas unipersonales.
  • 13. GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 12 11) Política Declaraciones claras y medibles de la dirección y conductas preferidas para condicionar las decisiones que se toman dentro de la organización. 12) Propuesta Compilación de los beneficios, costes, riesgos, oportunidades y otros factores aplicables a las decisiones a adoptar. Incluye casos de negocio. 13) Recursos Personas, procedimientos, software, información, equipos, consumibles, infraestructura, capital y fondos de maniobra, y tiempo. 14) Riesgo Efecto de la incertidumbre sobre la consecución de los objetivos(Guía ISO 73 , 2002) NOTA: Un efecto es una desviación, positiva y/o negativa, respecto a lo previsto. 15) Gestión de Riesgo Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo (Guía ISO 73 , 2002) 16) Parte Interesada (Stakeholder) Persona u organización que puede afectar, estar afectada, o percibir que esté afectada por una decisión o actividad (Guía ISO 73 , 2002)
  • 14. GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 13 17) Estrategia Plan global de desarrollo de una organización que describe el uso eficaz de recursos en apoyo a las actividades futuras de la organización. Comprende el establecimiento de objetivos y la propuesta de iniciativas de actuación. 18) Uso de la TI La planificación, diseño, desarrollo, despliegue, operación, gestión y aplicación de la TI para satisfacer las necesidades del negocio. Incluye la demanda y la prestación de servicios de TI por las unidades internas de negocio, unidades especializadas de TI, o proveedores externos. (Gobierno de las TIC ISO/IEC 38500, 2010) II. MARCO PARA LA GOBERNANZA CORPORATIVA DE LA TI 1. Principios Esta sección establece seis principios de gobernanza corporativa de la TI. Los principios son aplicables a la mayoría de las organizaciones. Los principios expresan el comportamiento deseable para orientar la toma de decisiones. La definición de cada principio se refiere a lo que debería suceder, pero no prescribe cómo, cuándo o por quién se pondría en práctica, ya que estos aspectos dependen de la naturaleza de la organización que los implanta. Los administradores deberían exigir la aplicación de dichos principios en su organización. (International Standard ISO/IEC 38500, 2008)
  • 15. GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 14 A. Principio 1: Responsabilidad Los individuos y grupos dentro de la organización comprenden y aceptan sus responsabilidades con respecto a la demanda y al suministro de productos y servicios de la TI. Quienes tienen la responsabilidad sobre las actuaciones también tienen la autoridad para llevarlas a cabo. B. Principio 2: Estrategia La estrategia de negocio de la organización tiene en cuenta las capacidades actuales y futuras de la TI; los planes estratégicos de la TI satisfacen las necesidades actuales y futuras de la estrategia de negocio. C. Principio 3: Adquisición Las adquisiciones de TI se hacen por razones válidas, sobre la base de análisis adecuados y continuados, a través de decisiones claras y transparentes. Hay un adecuado equilibrio entre beneficios, oportunidades, costes y riesgos, tanto a corto como a largo plazo. D. Principio 4: Desempeño La TI satisface el propósito de dar soporte a la organización, mediante la provisión de servicios, niveles de servicio y calidad de servicio requeridos para alcanzar los requisitos presentes y futuros del negocio. E. Principio 5: Cumplimiento La TI cumple con toda la legislación y normativas obligatorias. Las políticas y prácticas están claramente definidas, implantadas y se hacen cumplir. F. Principio 6: Conducta Humana Las políticas de TI, prácticas y decisiones relacionadas con la TI muestran respeto hacia la conducta humana, incluyendo las necesidades actuales y futuras de todas las “personas implicadas en el proceso”.
  • 16. GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 15 2. Modelo Los administradores deberían gobernar la TI a través de tres tareas principales: a) evaluar el uso actual y futuro de la TI; b) dirigir la preparación y ejecución de planes y políticas para asegurar que el uso de la TI satisface los objetivos de la organización; c) monitorizar el cumplimiento de las políticas y el desempeño con relación a lo planificado. La figura 1 muestra el modelo de gobernanza de la TI en un ciclo de tipo Evaluar-Dirigir-Monitorizar. El texto que sigue a la figura 1 explica los elementos y las relaciones representados. Figura 1 - ModelodelaGobernanzaCorporativadelaTI (International Standard ISO/IEC 38500, 2008)
  • 17. GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 16 Evaluar Los administradores deberían valorar la situación y formular juicios sobre el uso actual y futuro de la TI, incluyendo estrategias, propuestas y acuerdos de prestación de servicios (ya sean internos, externos, o ambos). Al evaluar el uso de la TI, los administradores deberían considerar las presiones externas o internas que actúan sobre el negocio como pueden ser los cambios tecnológicos, las tendencias económicas y sociales y las influencias políticas. Dado que dichas influencias cambian, los administradores deberían acometer evaluaciones de forma continua. Los administradores también deberían tener en cuenta las necesidades actuales y futuras del negocio, los objetivos organizativos actuales y futuros que deben alcanzar, tales como el mantenimiento de la ventaja competitiva, así como los objetivos específicos de las estrategias y propuestas que están evaluando. Dirigir Los administradores deberían asignar responsabilidades y dirigir la preparación e implantación de planes y políticas. Los planes deberían fijar el rumbo de inversiones en proyectos y operaciones de TI. Las políticas deberían establecer una conducta responsable en el uso de la TI. Los administradores deberían asegurar que la transición de los proyectos a un estado operativo se planifique y gestione adecuadamente, teniendo en cuenta el impacto en el negocio y las prácticas operativas, y los sistemas e infraestructura de TI existentes. Los administradores deberían fomentar una cultura de gobernanza de la TI en su organización, exigiendo a la dirección que suministre puntualmente la información adecuada, con el fin de cumplir con los objetivos establecidos y ajustarse a los seis principios de gobernanza. Si fuera necesario, los administradores deberían controlar la presentación de propuestas a aprobar para responder a las necesidades identificadas.
  • 18. GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 17 Monitorizar Los administradores deberían monitorizar el desempeño de la TI, a través de sistemas de medición adecuados. Deberían asegurarse de que dicho desempeño esté en conformidad con los planes, en particular con respecto a los objetivos de negocio. Los administradores deberían también asegurar que la TI cumple con las obligaciones externas (normativa, legislación, derecho consuetudinario, contractuales) y las prácticas internas de trabajo. NOTA: La responsabilidad sobre aspectos específicos de la TI dentro de la organización puede ser delegada a la dirección. Sin embargo, son los administradores quienes retienen la responsabilidad final (imputabilidad) en la entrega y uso eficaz, eficiente y aceptable de la TI, la cual no puede ser delegada. III. DIRECTRICES PARA LA GOBERNANZA CORPORATIVA DE LA TI 1. Observaciones Generales Los siguientes apartados ofrecen orientación sobre los principios generales de la gobernanza de la TI y las buenas prácticas necesarias para implantación de dichos principios. Las prácticas descritas no son exhaustivas pero proporcionan un punto de partida para la discusión sobre las responsabilidades de los administradores con relación a la gobernanza de la TI. Es decir, que las prácticas descritas son una guía orientativa para la gobernanza de la TI. Es responsabilidad de cada organización, de manera individual, la identificación de las medidas necesarias para imple- mentar los principios, considerando debidamente la naturaleza de la organización y el análisis adecuado de los riesgos y oportunidades en el uso de la TI.
  • 19. GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 18 A modo ilustrativo, las prácticas descritas son aplicables a la mayoría de organizaciones (grandes o pequeñas) en la mayoría de las ocasiones. Cualquier variación debería ser considerada adecuadamente. 2. Principio 1: Responsabilidad Evaluar Los administradores deberían evaluar cuáles son las opciones existentes a la hora de asignar responsabilidades relacionadas con el uso actual y futuro de la TI en la organización. Al evaluar dichas opciones, los administradores deberían buscar el uso eficaz, eficiente y aceptable de la TI, en apoyo de los actuales y futuros objetivos de negocio. Los administradores deberían evaluar la competencia de aquellos a quienes dieron la responsabilidad de tomar decisiones sobre la TI. En general, estas personas deberían ser directores de negocio que también son responsables de los objetivos y el desempeño organizativos, asistidos por expertos en TI que comprenden el valor y los procesos de negocio. Dirigir Los administradores deberían dirigir con el objetivo de que los planes se lleven a cabo de acuerdo con las responsabilidades asignadas a TI. Los administradores deberían dirigir con el fin de recibir la información que necesitan para cumplir con sus responsabilidades y rendir cuentas. Monitorizar Los administradores deberían monitorizar que se hayan establecido los mecanismos adecuados de gobernanza de la TI apropiados.
  • 20. GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 19 Asimismo, deberían monitorizar que aquéllos a los que se les hayan asignado responsabilidades, las entienden y las asumen. Los administradores deberían monitorizar el desempeño de aquellos a los que se les hayan asignado responsabilidades relacionadas con la gobernanza de la TI (por ejemplo, las personas que forman parte de comités de dirección o presentan propuestas a los administradores). (International Standard ISO/IEC 38500, 2008) 3. Principio 2: Estrategia Evaluar Los administradores deberían evaluar la evolución de la TI y los procesos de negocio para asegurar que la TI proporcionará apoyo a las futuras necesidades de la organización. Al examinar los planes y las políticas, los administradores deberían evaluar las actividades de TI para asegurar que están alineadas con los objetivos de la organización ante circunstancias de cambio, que tienen en cuenta las mejores prácticas y satisfacen otros requisitos de los principales interesados. Los administradores deberían asegurar que el uso de la TI está sujeto a una adecuada evaluación y valoración del riesgo, tal como se describe en las normas internacionales y nacionales más relevantes. Dirigir Los administradores deberían dirigir la creación y uso de planes y políticas que aseguren que la organización se beneficia del desarrollo en la TI. Los administradores también deberían alentar la presentación de propuestas de usos innovadores de la TI, que permitan a la organización responder a nuevas oportunidades o desafíos, mejorando los actuales procesos de negocio o emprendiendo otros nuevos.
  • 21. GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 20 Monitorizar Los administradores deberían monitorizar el progreso de las propuestas de TI aprobadas, para asegurar que alcanzan los objetivos en los plazos establecidos, utilizando los recursos asignados. Los administradores deberían monitorizar el uso de la TI para asegurar que se alcanzan los beneficios esperados. (International Standard ISO/IEC 38500, 2008) 4. Principio 3: Adquisición Evaluar Los administradores deberían evaluar cuáles son las opciones para proveerse de la TI que necesitan para desarrollar las propuestas aprobadas, equilibrando los riesgos y el valor económico de las inversiones propuestas. Dirigir Los administradores deberían dirigir para que los activos de TI (sistemas e infraestructura) se adquieran de manera apropiada, incluyendo la elaboración de documentación adecuada, al tiempo que se asegura que se obtienen las capacidades requeridas. Los administradores deberían dirigir para que los acuerdos de provisión (ya sean internos o externos) soporten las necesidades de negocio de la organización. Monitorizar Los administradores deberían monitorizar las inversiones en TI para asegurar que se provean las capacidades requeridas.
  • 22. GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 21 Los administradores deberían monitorizar hasta qué punto la organización y los proveedores mantienen y comparten el propósito de la organización al realizar una adquisición de TI. (International Standard ISO/IEC 38500, 2008) 5. Principio 4: Desempeño Evaluar Los administradores deberían evaluar los medios propuestos por la dirección para asegurar que la TI sustentará los procesos de negocio con las capacidades y aptitudes requeridas. Estas propuestas deberían incluir la continuidad de la operación normal de la organización y la gestión de los riesgos asociados al uso de la TI. Los administradores deberían evaluar los riesgos para la continuidad del negocio derivados de las actividades de TI. Los administradores deberían evaluar los riesgos para la integridad de la información y la protección de los activos de TI, incluyendo la propiedad intelectual y la memoria colectiva de la organización. Los administradores deberían evaluar opciones para asegurar la eficaz y oportuna toma de decisiones relativas al uso de la TI para alcanzar los objetivos del negocio. Los administradores deberían evaluar periódicamente la eficacia y el desempeño del sistema de gobernanza de la TI de la organización. Dirigir Los administradores deberían asegurar la asignación de recursos suficientes para que la TI satisfaga las necesidades de la organización, de acuerdo con las prioridades acordadas y las restricciones presupuestarias.
  • 23. GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 22 Los administradores deberían dirigir a los responsables para asegurar que, cuando sea necesario por razones de negocio, la TI proporciona soporte al negocio con información actualizada, correcta y protegida ante pérdidas o usos inadecuados. Monitorizar Los administradores deberían monitorizar el grado con el que la TI sustenta el negocio. Los administradores deberían monitorizar el grado con el cual los recursos y presupuestos asignados son priorizados de acuerdo con los objetivos de negocio de la organización. Los administradores deberían monitorizar cómo está de extendido el seguimiento de políticas tales como las de precisión de los datos y uso eficiente de la TI. (International Standard ISO/IEC 38500, 2008) 6. Principio 5: Cumplimiento Evaluar Los administradores deberían evaluar periódicamente el grado con el que la TI cumplen con las obligaciones relevantes (normativas, legislativas, de derecho consuetudinario, contractuales), las políticas internas, las normas y directrices profesionales. Los administradores deberían evaluar periódicamente el cumplimiento interno de la organización con su sistema de gobernanza de la TI. Dirigir Los administradores deberían dirigir a los responsables para establecer mecanismos periódicos y rutinarios para asegurar que el uso de la TI cumple con las obligaciones relevantes (regulatorias, legislativas, de derecho consuetudinario, contractuales), las normas y políticas establecidas.
  • 24. GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 23 Los administradores deberían dirigir para que estén establecidas y se hagan cumplir las políticas que permitan a la organización satisfacer sus obligaciones internas en el uso de la TI. Los administradores deberían dirigir para que el personal de TI cumpla las directrices relevantes en materia de desarrollo y conducta profesional. Los administradores deberían dirigir para que la ética rija todas las acciones relacionadas con la TI. Monitorizar Los administradores deberían monitorizar el cumplimiento y conformidad de la TI mediante prácticas adecuadas de auditoría y emisión de informes, asegurando que las revisiones sean oportunas, completas y adecuadas para la evaluación del grado de satisfacción del negocio. Los administradores deberían monitorizar las actividades de la TI, incluyendo la pérdida de información y de activos, para asegurar que se cumplen las obligaciones ambientales, de privacidad, de gestión del conocimiento estratégico, conservación de la memoria colectiva de la organización y otras obligaciones. (International Standard ISO/IEC 38500, 2008) 7. Principio 6: Conducta Humana Evaluar Los administradores deberían evaluar las actividades de la TI para asegurar que las conductas humanas se identifican y se consideran adecuadamente.
  • 25. GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 24 Dirigir Los administradores deberían dirigir para que las actividades de TI sean consistentes con la conducta humana identificada. Los administradores deberían dirigir para que los riesgos, oportunidades, problemas y preocupaciones relacionados con el negocio puedan identificarse y sean notificados por cualquier individuo en cualquier momento. Estos riesgos deberían ser gestionados de acuerdo con las políticas y procedimientos publicados, y comunicados a los principales responsables de tomar decisiones. Monitorizar Los administradores deberían monitorizar las actividades de TI para asegurar que las conductas humanas identificadas siguen siendo pertinentes y que se les presta una atención adecuada. Los administradores deberían monitorizar las prácticas de trabajo para asegurar que sean consistentes con el uso apropiado de la TI. (International Standard ISO/IEC 38500, 2008)
  • 26. GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 25 Conclusiones  La implementación del gobierno de TI es un paso muy importante para todo aquel corporativo que desea maximizar sus beneficios y anticiparse al mercado.  Con la implementación del gobierno de TI no existen proyectos de tecnología aislados, sino proyectos del negocio con soporte de TI.  Una vez más, el gobierno de TI no debe verse como un tema de tecnología, sería más adecuado pensarlo y adoptarlo como un gobierno del negocio con soporte de TI.  El gobierno de TI no es algo que podamos evadir, la evolución tecnológica y su adhesión en las prácticas organizacionales lo hacen inevitable; simplemente, es decisión nuestra adecuarlo a las necesidades particulares del negocio, buscando siempre alcanzar los objetivos estratégicos y el mejor desempeño de nuestros procesos e inversiones.
  • 27. GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 26 Bibliografía  ISO/IEC. (2008). INTERNATIONAL STANDARD ISO/IEC 38500. Geneva: ISO office.  Comité Técnico AEN/CTN 71. (2013). Gobernanza Corporativa de la Tecnología de la Información. Madrid: AENOR.  Manuel Bellester. (2010). Gobierno de las TIC ISO/IEC 38500. ISACA JOURNAL, Volumen 1, 4. 2014, Junio, 22, De ISACA Base de datos.  Informe de la Comisión sobre Aspectos Financieros de la Gobernanza Corporativa, Sir AdrianCadbury, London, 1992 ISBN 0 85258 913 1  OCDE Principios de Gobernanza Corporativa, OCDE, 1999 y 2004  Guía ISO 73 2002 Gestión del riesgo. Vocabulario
  • 28. GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 27