Norma ISO 38500

Estándar asociado a la buena
práctica COBIT
CHAFLOQUE HUAMÁN Joselyne VELASQUEZ QUIROZ Arnold VERA ZAPATA Irene

IINNTTRROODDUUCCCCIIÓÓNN::
Actualmente las organizaciones requieren una aproximación estructurada para
abordar muchos desafíos.

PPaarraa ppooddeerr ddeeffiinniirr aall GGOOBBIIEERRNNOO DDEE TTII
Se debe iniciar definiendo al Gobierno Corporativo
Conjunto de responsabilidades y
prácticas
Conjunto de responsabilidades y
prácticas
Por la junta directiva y la
administración
Por la junta directiva y la
administración
ejecutadas
finalidad
PPrroovveeeerr d dirireeccccióiónn e essttrraattééggicicaa
(ISACA, 2010)

Pero….
¿De qué manera se provee uunnaa ccoorrrreeccttaa ddiirreecccciióónn
eessttrraattééggiiccaa ppaarraa llaa oorrggaanniizzaacciióónn??

GGOOBBIIEERRNNOO DDEE TTII
Es una parte integral del
Gobierno corporativo
Es una parte integral del
Consta
Liderazgo, estructuras organizacionales y procesos
Garantizan
Las TI de la empresa sustentan y
extienden Estrategias y objetivos
Las TI de la empresa sustentan y
extienden
Estrategias y objetivos
Organizacionales
Organizacionales

GGOOBBIIEERRNNOO DDEE TTII
Es una responsabilidad
compartida de la junta
directiva y la
administración ejecutiva
de la organización.
(ISACA, 2010)

DDeeffiinniicciióónn ddee GGoobbiieerrnnoo ddee TTII sseeggúúnn
nnoorrmmaa IISSOO//IIEECC 3388550000::22000088
“Sistema mediante el
cual se dirige y controla
el uso actual y futuro de
las tecnologías de
información.”
“Sistema mediante el
cual se dirige y controla
el uso actual y futuro de
las tecnologías de
información.”

IImmpplleemmeennttaacciióónn ddeell GGoobbiieerrnnoo ddee TTII
Se tiene en cuenta las diferentes condiciones y circunstancias existentes en una organización,
determinadas por factores como lo son:

IImmpplleemmeennttaacciióónn ddeell GGoobbiieerrnnoo ddee TTII

EEnnffooqquuee ddeell GGoobbiieerrnnoo ddee TTII

ÁÁrreeaass ddee eennffooqquuee ddeell GGoobbiieerrnnoo ddee TTII

AAlliinneeaacciióónn EEssttrraattééggiiccaa::
Garantiza la
alineación
estratégica
Garantiza la
alineación
estratégica
Planes de Negocio
entre
Planes de TI
Alinear
Operaciones de TI Operaciones de
la empresa

EEnnttrreeggaa ddee VVaalloorr::

AAddmmiinniissttrraacciióónn ddee RReeccuurrssooss::
 Aplicaciones.
 Información.
 Infraestructura.
 Personas.

AAddmmiinniissttrraacciióónn ddee RRiieessggooss::
Riesgos de la función de TI
Procesos soportados por TI

MMeeddiicciióónn ddeell ddeesseemmppeeññoo::
La estrategia de implementación.
La terminación del proyecto.
Uso de los recursos.
Desempeño de los procesos.
Entrega del servicio.
BSC

MMaappaa ddee iimmpplleemmeennttaacciióónn ddee
GGoobbiieerrnnoo ddee TTII ppaarraa llaa oorrggaanniizzaacciióónn..

IIddeennttiiffiiccaarr llaass nneecceessiiddaaddeess ddee llaa oorrggaanniizzaacciióónn::
Fomentar conciencia
Obtener compromiso
También implica
• Analizar metas del negocio y de TI.
• Realizar selección de procesos y controles.
• Analizar riesgos.
• Definir alcances.

PPrreevveerr llaa ssoolluucciióónn ddee pprroobblleemmaass::
La capacidad
La madurez
Posteriormente
definir

PPllaanneeaarr llaa ssoolluucciióónn::

IImmppllaannttaarr SSoolluucciióónn::
 La retroalimentación y lecciones
aprendidas post-implementación.
 Monitoreo de las mejoras sobre
desempeño de la corporación.
 Balanced Scorecard de TI

LLooggrraarr SSuusstteennttaabbiilliiddaadd::
Gobierno de TI
 Estructuras organizacionales apropiadas.
 Determinar políticas y controles.
 Cambio cultural impulsado desde la alta
dirección.
 Monitoreo e informes óptimos

Pero….
¿Por qué utilizar un eessttáánnddaarr?? ¿SSeerráá bbuueennoo oo
mmaalloo??

¿UUttiilliizzoo uunn EEssttáánnddaarr??

CCOOBBIITT…….. SSuu mmiissiióónn
Investigar, desarrollar, publicar y
promover un marco de trabajo
de control de gobierno de TI
autorizado y actualizado,
internacionalmente aceptado y
adoptado para el uso cotidiano
de las empresas, gerentes de
negocios, profesionales de TI y
de Aseguramiento.

DDiiaaggrraammaa ddee llaa mmiissiióónn ddee CCOOBBIITT::

Principio básico del mmaarrccoo ddee rreeffeerreenncciiaa ddee CCOOBBIITT
Los recursos de TI son
manejados por
procesos para
alcanzar las metas de
TI que responden a
los requerimientos
del negocio.

CCOOBBIITT…….. SSuuss ccaarraacctteerrííssttiiccaass::

MMooddeelloo ddee MMaadduurreezz CCOOBBIITT
Tiene 6 niveles (0 al 5) para medir el nivel de madurez de los procesos de TI:

MMooddeelloo ddee MMaadduurreezz CCOOBBIITT

PPrroocceessooss ddee CCOOBBIITT

PPrroocceessooss CCOOBBIITT 55
La orientación de COBIT 5 es en procesos y existen 36 procesos que están separados como áreas de
Gobierno y Administración.
Área: Gobierno Corporativo de TI
• Evaluar, Dirigir y Monitorear (EDM) – 5 procesos
Área: Administración de TI Corporativa
• Alinear, Planear, Organizar ( PO) – 12 procesos
• Construcción, Adquisición e implementación (BAI) – 8 procesos
• Entrega, Servicio y Soporte (DSS) – 8 procesos
• Monitoreo, Evaluación e Informes (MEI) – 3 procesos

PPrroocceessooss CCOOBBIITT 55
Los nuevos procesos son los de EDM
EDM1 - Establecer y mantener el marco de referencia del Gobierno
EDM2 - Asegurar la Optimización del Valor
EDM3 - Asegurar la optimización del riesgo
EDM4 - Asegurar la optimización de los recursos
EDM5 - Asegurar la transparencia hacia los stakeholders.
Los procesos de disponibilidad y capacidad fueron mezclados:
BAI4 - Administrar la disponibilidad y capacidad
La mesa de servicio ha sido removida como parte del nombre de un proceso, ahora el
proceso que la incluye es:
DSS4 - Administrar las solicitudes de servicio e incidentes

CCaammbbiiooss eenn CCOOBBIITT 55
COBIT 4.1 hacía referencia a
ITIL; CMM, ISO 17799,
PMBOK, PRINCE2. Uno de
los objetivos de COBIT 5
sigue siendo mejorar la
compatibilidad con otras
guías de buenas prácticas y
estándares.

NNuueevvoo MMooddeelloo ddee MMaadduurreezz CCOOBBIITT 55
Toma precisamente el modelo de madurez definido por ISO en la norma ISO/IEC 15504 más conocida
como SPICE (Software Process Improvement Capability Determination, (Determinación de la
Capacidad de Mejora del Proceso de Software)

Modelo ddee ccaappaacciiddaadd ddee pprroocceessooss

EEssttrruuccttuurraa ddee llooss pprroocceessooss::
Se dispone de un total de 36 procesos (34 en la versión 4.1).
Se comprueba que muchos de los procesos ya están adoptados en la
organización:
Gestión de proveedores.
Gestión de cambios.
Gestión de la configuración.
Gestión de incidencias.
Gestión de problemas.
COBIT 5 propone tres procesos para la monitorización y evaluación.

PPrriinncciippiiooss ddee CCOOBBIITT 55

CCoommppaarraattiivvoo ddee vveerrssiioonneess::
Característica Versión 4.1 Versión 5
Áreas de conocimiento Única Gobierno Corporativo de TI y
Administración de TI
Corporativa
Dominios 4(PO, AI, DS, ME) 5 (EDM, PO, BAI, DSS, MEI)
Procesos 34 36
Procesos por Dominio PO – 10 procesos
AI – 7 procesos
DS – 13 procesos
ME – 4 procesos
EDM – 5 procesos
PO – 12 procesos
BAI – 8 procesos
DSS – 8 procesos
MEI – 3 procesos
Nivel de Madurez 6, modelo propio 6, basado en ISO 15504,
niveles de capacidad.

HHiissttoorriiaa::
La norma australiana AS8015 de 2005
 Es un sistema que dirigía y controlaba el uso actual y futuro de las TIC
 Encargada de dirigir y evaluar los planes para que el uso de las TIC apoyen a la
organización y se monitoree su uso para lograr los planes establecidos
 La norma incluye la estrategia y las políticas para el uso de las TIC dentro de una
organización.
La norma ISO 38500
 Fue publicada en junio del 2008
 Es la primera de la línea ISO para el buen gobierno de las TI.
 Basada en la norma australiana AS8015 del 2005.
 Su objetivo es proporcionar un marco de principios para que la dirección de las
organizaciones los utilicen para evaluar, dirigir y monitorear el uso de las TI.
 Está alineada con los principios de gobierno corporativo recogidos en el "Informe
Cadbury" y con los "Principios de Gobierno Corporativo de la OCDE «.

IISSOO//IIEECC 3388550000::22000088
Aplicación
Esta norma es aplicable a todas las organizaciones,
incluyendo públicos y privados empresas, entidades
gubernamentales y organizaciones sin fines de lucro. La
norma es aplicable a las organizaciones de todos los tamaños,
desde la más pequeña hasta la más grande,
independientemente de su grado de uso de las TI

IISSOO//IIEECC 3388550000::22000088
PPrrooppóóssiittooss
Asegurar que si la norma se sigue, las
partes involucradas pueden confiar en
el Gobierno Corporativo de TI.
Informar y orientar a los directivos
que controlan el uso de las TI en la
organización.
Proporcionar una base para la
evaluación objetiva de la gestión de TI
realizada por la alta dirección.

IISSOO//IIEECC 3388550000::22000088
Objetivos:
• Generar confianza en los stakeholders
(empleados, clientes, proveedores,
socios, accionistas, etc.) en el Gobierno
Corporativo de TI de la Organización.
• Informar y guiar a la alta dirección en el
gobierno TI en su organización.
• Proveer de bases para la evaluación
objetiva del Gobierno Corporativo TI

BBeenneeffiicciiooss ddee llaa iimmppllaannttaacciióónn ddeell
eessttáánnddaarr IISSOO//IIEECC 3388550000::22000088
• Adecuada aplicación y operación de activos de TI.
• Asignación de responsabilidades.
• Continuidad del negocio
• Sostenibilidad.
• Alineación de TI con los objetivos del negocio.
• Asignación eficiente de recursos.
• Innovación en los servicios, los mercados y las empresas.
• Mejora de imagen y reputación en el mercado frente a los reguladores, y con los
stakeholders.
• Optimización en los costes de una organización
• Inversión efectiva en TI.
• Cumplimiento legal.

La Norma se basa en que la alta dirección evalúe, dirija y siga el uso que se hace de las TI en sus
organizaciones de manera que:

PPRRIINNCCIIPPIIOOSS DDEE LLAA NNOORRMMAA
IISSOO//IIEECC 3388550000::22000088
La Norma establece los principios para el buen gobierno corporativo de TIC:

PPRRIINNCCIIPPIIOOSS DDEE LLAA NNOORRMMAA
IISSOO//IIEECC 3388550000::22000088

MMooddeelloo ddee GGoobbiieerrnnoo IISSOO//IIEECC 3388550000::22000088

Orientaciones para el GGoobbiieerrnnoo CCoorrppoorraattiivvoo ddee TTII
Principio 1: Responsabilidad.
Asignación con respecto a la organización actual y el futuro uso de TI.
Asegurar efectivo, eficiente y aceptable uso y reparto de TI.
Competencias de las personas que toman las decisiones respecto a TI.
Evaluar
Dirigir Monitorear
Planes de acuerdo a las
responsabilidades asignadas.
Entrega de información a las personas
de acuerdo a lo que requiere sus
responsabilidades.
Mecanismos de Gobierno de TI sean
apropiados.
Las responsabilidades asignadas
reconocidas y entendidas.
El rendimiento de las
responsabilidades en el gobierno de TI.

Principio 2: Estrategia
Desarrollos en TI y procesos de negocio.
Asegurarse de que los planes y las políticas están alineadas con los
objetivos de la empresa.
Asegurarse que el uso de las TI están sujetos a riesgos
Evaluar
Dirigir Monitorear
Dirigir la preparación de uso de planes
y políticas.
Animar a que hagan propuestas de uso
de TI que permitan a la organización
responder a nuevas oportunidades.
Controlar el nivel de aprobación de las
propuestas de TI.
Asegurar que los objetivos sean
alcanzables con el presupuesto asignado.
Controlar el uso de TI para asegurar que
sean alcanzados los beneficios
propuestos.

Principio 3: Adquisición
Evaluar opciones para compra de insumos TI.
Realizar propuestas de aprobación, equilibrio de riesgos, y valor del
dinero para las inversiones propuestas.
Evaluar
Dirigir Monitorear
Los activos de TI, sistemas e
infraestructura, sean adquiridos de
una manera adecuada.
Dirigir que el abastecimiento de
preparativos, incluyendo los internos y
externos.
Controlar que las inversiones en TI
aseguren que cumplan con las
capacidades requeridas.
Controlar que en la organización los
proveedores mantengan una buena
relación.

Principio 4: Desempeño
Los medios para que TI soporte los procesos del negocio, los riesgos
derivados de la protección de la información y las opciones para
asegurar la eficiencia y la toma de decisiones oportunas acerca del uso
de TI, como apoyo a los objetivos del negocio.
Evaluar
Dirigir Monitorear
Asegurándose que la asignación de los
recursos de TI cumpla con las
necesidades de la Organización.
La responsabilidad asegurando que TI
soporte el negocio, cuando sea
requerido.
El grado como TI soporta el negocio.
El grado de aplicación y seguimiento de
las políticas, tales como: Exactitud de los
datos y eficiencia del uso de TI.

Principio 5: Cumplimiento
Evaluar opciones para compra de insumos TI.
Realizar propuestas de aprobación, equilibrio de riesgos, y valor del
dinero para las inversiones propuestas.
Evaluar
Dirigir Monitorear
Los activos de TI, sistemas e
infraestructura, sean adquiridos de
una manera adecuada.
Dirigir que el abastecimiento de
preparativos, incluyendo los internos y
externos.
Controlar que las inversiones en TI
aseguren que cumplan con las
capacidades requeridas.
Controlar que en la organización los
proveedores mantengan una buena
relación.

Principio 6: Recursos Humanos
Las actividades de TI que aseguren que el factor humano fue
considerado e identificado apropiadamente.
Evaluar
Dirigir Monitorear
Las actividades de TI que sea consiente
con el factor humano .
Los riesgos, oportunidades, problemas
y preocupaciones para que puedan ser
identificados y reportados en cualquier
momento.
Las actividades de TI que aseguren que el
factor humano identificado sigue siendo
pertinente y que se le presta la debida
atención.
Que las practicas de trabajo son
consistentes con el uso apropiado de TI.

MMooddeelloo ddee MMaadduurreezz IISSOO//IIEECC 3388550000::22000088
El modelo de Madurez (MM) permite establecer la situación relativa del gobierno de las TI, decidir a
donde debe ir de manera eficiente y medir su avance en relación con los objetivos de la Empresa.
La evaluación del Gobierno de TI permite obtener lo siguiente:

MMooddeelloo ddee MMaadduurreezz IISSOO//IIEECC 3388550000::22000088

NNIIVVEELLEESS DDEELL MMOODDEELLOO DDEE
MMAADDUURREEZZ

RReepprreesseennttaacciióónn ddee FFrraammeewwoorrkkss::
 La ISO 38500 mira hacia abajo desde la parte superior, al
igual que el techo de una casa.
 COBIT son las paredes y marcos de procesos
 ITIL y los Proyectos en ambientes controlados son la
base.
 Usando la analogía de la casa, si la junta intentó para
poner en práctica el techo, ISO 38500, sin la base o las
paredes, se vendría abajo.
 Además, sin el techo, las empresas estarían expuestos a
los elementos.
 ISO 38500 no es igual para todos. No reemplaza COBIT,
ITIL, u otras normas o marcos, sino, más bien, que los
complementa proporcionando un lado de la demanda-de-
TI-uso foco.

AAnnáálliissiiss ddeell MMooddeelloo ddee MMaadduurreezz ppoorr
ccaaddaa pprriinncciippiioo ddee IISSOO//IIEECC
3388550000::22000088

AAnnáálliissiiss ddeell MMooddeelloo ddee MMaadduurreezz::
PPrriinncciippiioo ddee RReessppoonnssaabbiilliiddaadd..
Evaluar

Dirigir
Por ejemplo, las personas
que desempeñan funciones
en los comités de dirección
o en la presentación de
propuestas a los directores.

Monitorizar o Controlar:

PPrriinncciippiioo ddee EEssttrraatteeggiiaa..
Evaluar

Dirigir

PPrriinncciippiioo ddee AAddqquuiissiicciióónn..
Evaluar

Dirigir:

 Los directores deben supervisar las
inversiones en TI para asegurarse de que
proporcionan las capacidades requeridas.

PPrriinncciippiioo ddee DDeesseemmppeeññoo..
Evaluar:

Dirigir:

PPrriinncciippiioo ddee CCuummpplliimmiieennttoo..
Evaluar:

Dirigir:

 Directores deben vigilar el cumplimiento de TI y la conformidad a
través de apropiadas prácticas de auditoría y presentación de
informes, lo que garantiza que los comentarios sean oportunos,
completos y adecuados para la evaluación de la medida de la
satisfacción de la empresa.
 Los directores deben supervisar las actividades de TI, incluida la
eliminación de los activos y datos, a garantizar que, la gestión del
conocimiento ambiental estratégica, y otras obligaciones pertinentes
se cumplan.

PPrriinncciippiioo ddee FFaaccttoorr HHuummaannoo..
Evaluar:
 Los directores deben evaluar las actividades de TI para asegurar
que los comportamientos humanos son identificados y considerados
apropiadamente.

Dirigir :
 Estos riesgos deben ser manejados en conformidad con las
políticas y procedimientos publicados y escalarlos a la quienes toman
las decisiones pertinentes.

 Los directores deben supervisar las prácticas de trabajo para
asegurarse de que sean compatibles con el uso adecuado de la
información.

IISSOO//IIEECC 3388550000::22000088 yy CCOOBBIITT
No se posiciona
como alternativa
ISO/IEC38500:2008 COBIT
Complemento
Se centra en
Se focaliza
QUÉ se debe hacer CÓMO

RReellaacciióónn ddee IISSOO//IIEECC 3388550000::22000088
ccoonn CCOOBBIITT 44..11
ISO/IEC 38500:2008 COBIT 4.1
PRINCIPIO:
RESPONSABILIDAD
PO4 Definir los procesos de TI, la
organización y sus relaciones.
PO6 Comunicar la dirección y objetivos de
la gerencia.
PO7 Administrar los recursos humanos de
TI.
DS2 Administrar servicios de terceros.
ME1 Monitorear y evaluar el desempeño de
TI.
ME4 Proveer Gobierno de TI.

PRINCIPIO DE RESPONSABILIDAD:
ISO/IEC 38500:2008
• Se requieren estructuras de organización de gobierno
apropiadas.
• Funciones y responsabilidades correctamente asignadas por la
dirección.
COBIT 4.1
• Proporciona matrices RACI de responsabilidades en los distintos
procesos.

PO4: Definir los procesos de TI, la organización y sus relaciones.
Enfocándose en:
 Establecer estructuras organizacionales de TI
transparentes, flexibles y responsables.
 Integración de roles y responsabilidades hacia los
procesos de negocio y de decisión.
Se logra con:
 La definición de un marco de trabajo de procesos de TI.
 El establecimiento de un cuerpo y una estructura organizacional
apropiada.
 La definición de roles y responsabilidades.
Se mide con:
 El porcentaje de roles con descripciones de puestos y autoridad documentados.

PO6: Comunicar la dirección y objetivos de la gerencia.
Enfocándose en:
 Proporcionar políticas, procedimientos, directrices y otra
documentación aprobada, de forma precisa, entendible y que
se encuentre dentro del marco de trabajo de control de TI a
los interesados.
Se logra con:
 La definición de un marco de trabajo de control para TI.
 La elaboración e implementación de políticas para TI.
 El refuerzo de políticas de TI.
Se mide con:
 Porcentaje de interesados que entienden el marco de trabajo de control de TI de la empresa.
 Porcentaje de interesados que no cumple las políticas.

PO7: Administrar los recursos humanos de TI.
Enfocándose en:
 Asignación de roles que correspondan a las habilidades.
 La creación de descripción de puestos.
 Aseguramiento de la conciencia de dependencia sobre los
individuos.
Se logra con:
 La revisión del desempeño del personal.
 La contratación y entrenamiento de personal de TI para apoyar los
planes tácticos de TI.
 La mitigación del riesgo sobre dependencia de recursos clave.
Se mide con:
 El porcentaje de roles con descripciones de puestos y autoridad documentados.

DS2: Administrar servicios de terceros.
Enfocándose en:
 El establecimiento de relaciones y responsabilidades bilaterales con
proveedores calificados de servicios tercerizados y el monitoreo de la
prestación de servicios.
Se logra con:
 La identificación y categorización de los servicios del proveedor.
 La identificación y mitigación de riesgos del proveedor
 El monitoreo y medición del desempeño del proveedor.
Se mide con:
 El número de quejas de usuarios debido a servicios contratados
 El porcentaje de los principales proveedores que cumplen los
requerimientos definidos y los niveles de servicio.

ME1: Monitorear y evaluar el desempeño de TI.
Enfocándose en:
 Monitorear y reportar las métricas del proceso e identificar e implementar acciones de
mejoramiento del desempeño.
Se logra con:
 La Cotejar y traducir los reportes de desempeño de proceso a reportes gerenciales.
 Comparar el desempeño contra las metas acordadas e iniciar las medidas correctivas necesarias.
Se mide con:
 Satisfacción de la gerencia y de la entidad de gobierno con los reportes
de desempeño.
 Porcentaje de procesos críticos monitoreados.

ME4: Proveer Gobierno de TI.
Enfocándose en:
 La elaboración de informes para el consejo directivo sobre la estrategia, el desempeño, los
riesgos de TI y responder los requerimientos de gobierno de acuerdo a las directrices del consejo
directivo.
Se logra con:
 El establecimiento de un marco de trabajo para el gobierno de TI, integrando al gobierno corporativo.
Se mide con:
 La frecuencia de informes del consejo directivo sobre Ti a los interesados
(incluyendo el nivel de madurez

Principio: Responsabilidad
PO4
PO7
Políticas y
procedimientos de TI
y RH, matriz de
habilidades de TI,
descripciones de
puestos.
Marco de trabajo para
el proceso de TI.
•Organización y
relaciones de TI
• Roles y
responsabilidades
documentados
Marco de procesos,
roles documentados y
responsabilidades de TI.
ME4
PO7
Todos
ME1
ME4
Planes de
acciones
correctivas
Mejoras al marco
de procesos
Reporte sobre el estatus
del gobierno de TI
Roles y
responsabilidades
PO6
•Marco de control
empresarial para TI.
• Políticas para TI
DS2

ISO/IEC 38500:2008 COBIT 4.1
PRINCIPIO:
ESTRATEGIA
PO1 Definir un plan estratégico de TI.
PO2 Definir la arquitectura de información.
PO3 Determinar la dirección tecnológica.
PO5 Administrar las inversiones en TI.
PO9 Evaluar y administrar riesgos de TI.
AI1 Identificar soluciones de
automatización.

PRINCIPIO DE ESTRATEGIA:
ISO/IEC 38500:2008
• Se debe implementar una planificación estratégica de TI efectiva
alineada con la estrategia de la organización de forma que aporte
valor.
COBIT 4.1
• El dominio Planificar y Organizar PO, se definen los procesos
necesarios para una planificación efectiva por parte de la función
TI.

Principio: Estrategia
AI1
PO5
PO5
PO9
PO2
Plan estratégico
de TI
Reporte de
costo/beneficio • Plan de
sistemas de
negocio
optimizado.
• Arquitectura de
información
Evaluación
de riesgo
PO1
• Plan estratégico
y táctico de TI
• Portafolio de
proyectos de TI
PO3
PO9 • Portafolio de
servicios de TI.
Estudio de
factibilidad de los
requerimientos
de negocio
Información sobre
desempeño de
capacidad
PO3
Requerimientos
de
infraestructura
• Estándares tecnológicos
• Actualizaciones rutinarias
del “estado de la tecnología”

ISO/IEC 38500:2008 COBIT 4.1
PRINCIPIO:
ADQUISICIÓN
PO10 Administrar proyectos.
AI1 Identificar soluciones de automatización.
AI2 Adquirir y mantener software de
aplicaciones.
AI3 Adquirir y mantener la infraestructura
tecnológica .
AI5 Obtener recursos de TI.
AI7 Instalar y acreditar soluciones y cambios.
DS1 Definir y administrar niveles de servicio.

PRINCIPIO DE ADQUISICIÓN:
ISO/IEC 38500:2008
• Las inversiones deben realizarse después de un análisis adecuado.
COBIT 4.1
• El dominio Adquirir e Implementar AI proporciona una guía sobre cómo
adquirir e implementar soluciones viables incluyendo la especificación de
requisitos, implementación, pruebas, formación a usuarios, etc.
• En el dominio PO se contemplan procesos de planificación de inversiones así
como planificación de programas y proyectos.

Principio: Adquisición
Revisión post
implementación
Decisiones de
adquisición PO10
AI5 AI2
PO5
PO7
Portafolio de
proyectos de TI
actualizado
AI7
• Directrices de
administración
del proyecto,
• Planes detallados
del proyecto,
AI1
AI2
AI3
AI5
AI7
AI1
• Información sobre el
desempeño y la capacidad.
• Estudio de factibilidad de los
requerimientos del negocio.
Estudio de factibilidad de
los requerimientos del
negocio.
DS1 * SLAs planeados
inicialmente
* OLAs
planeadas
inicialmente
Sistema
configurado
para
realizar
prueba/
instalación
Reporte de
costo/beneficio
Catálogo de
proveedores
DS2
Reporte de
revisión de
contrato
AI5
Adquisición de
productos
• Requerimientos de
administración en
relación con terceros.
Portafolio actualizado de
servicios de TI
* SLAs: Acuerdos de nivel de servicios; OLAs: Acuerdos de nivel operacional

ISO/IEC 38500:2008 COBIT 4.1
PRINCIPIO:
DESEMPEÑO
PO2 Definir la arquitectura de información.
PO6 Comunicar la inversión.
PO8 Administrar calidad.
PO9 Evaluar y administrar riesgos de TI.
AI6 Administrar cambios

ISO/IEC 38500:2008 COBIT 4.1
PRINCIPIO:
DESEMPEÑO
DS3 Administrar desempeño y capacidad.
DS4 Asegurar continuidad de servicio.
DS5 Garantizar la seguridad de sistemas.
DS6 Identificar y asignar costos.
DS8 Administrar servicios de apoyo e
incidentes.

ISO/IEC 38500:2008 COBIT 4.1
DS9 Administrar la configuración.
DS10 Administrar problemas.
DS11 Administrar datos.
DS12 Administrar el ambiente físico.
DS13 Administrar operaciones.
ME4 Proveer Gobierno de TI
PRINCIPIO:
DESEMPEÑO

PRINCIPIO DE DESEMPEÑO:
ISO/IEC 38500:2008
• La TI está dimensionada para dar soporte a la organización, proporciona los
servicios de calidad adecuada para cumplir con las necesidades actuales y
futuras.
COBIT 4.1
• Los procesos PO1 (Definir un plan estratégico de TI y DS1 (Definir y gestionar los
acuerdos de servicio) ofrecen orientaciones específicas para establecer metas concretas
de desempeño.
• El proceso COBIT ME1 (Monitorizar y evaluar el desempeño de TI) se focaliza en las
responsabilidades de la dirección ejecutiva para esta actividad.
• El proceso ME4 (Supervisar y evaluar el gobierno de TI) se orienta en la propia
medición del desempeño del gobierno TI.

Principio: desempeño
PO2
DS3
Plan de
desempeño
y capacidad
Información de
desempeño y
capacidad PO5
DS11
Arquitectura
de
información
Finanzas
de TI DS4
DS6
ME4
Resultados
esperados de
las inversiones
DS5
DS12
Clasificación
de datos
asignados
Diccionario
de Datos
DS9
Criticidad de
puntos de
contingencia de
TI
PO9
DS8
DS11 DS13
Valoración
del riesgo
Umbrales de
incidente/
desastre
Plan de almacenamiento y
respaldos de protección
Reporte
de coste
beneficio
DS2 DS4
Directrices de
administración de
riesgos relativos a TI
PO6 DS5
Todas
Riesgos de
proveedores
Resultado
de prueba
de
contingencia
Amenaza y vulnerabilidades
de seguridad
• Evaluación de
riesgos
• Reporte de riesgos
• Marco de control
empresarial para TI
• Políticas de TI
Planes de acciones
correctivas para riesgos
relacionados con TI
AI6
DS8
DS10
Autorización
de cambio
DS13
Instrucciones del
operador para
administración
de datos
PO9
DS12
Evaluación
del riesgo

Principio: desempeño
DS8
Solicitud de servicio/
de cambio
Medidas para PO8
mejorar la
calidad
AI6
Cambios
DS3 requeridos
DS5
Cambios de seguridad
requeridos
DS9
• Solicitudes de cambio
• Registro de problemas
DS10
* RFC (dónde y
cómo aplicar)
Métricas de
calidad
Todas
Estándares de
adquisición DS2
DS4
Requerimiento de
servicio contra
desastres
Definición de
incidentes de
seguridad
Detalles de
configuración
/Activos de TI
DS9
Tiquetes de
incidente
DS13
Problemas y errores
conocidos y soluciones
alternas
DS10
Bitácora de
errores
Reporte de
incidentes

Principio: Cumplimiento
Planes de
acciones
correctivas
PO4
ME
1
Reporte de
efectividad de los
controles de TI
ME
2
ME
3
Catálogo de requerimientos
legales y regulatorios
relacionados con los
servicios de TI.
Marco de procesos, roles
documentados y
responsabilidad de TI Todo
s
Reporte de
desempeño de
proceso
Reporte sobre el cumplimiento
de las actividades de TI,
respecto a requerimientos
legales y regulatorios externos.

Principio: Factor Humano
PO
Políticas y procedimientos de
TI y RH, matriz de
habilidades de TI,
descripciones de puestos.
PO7 4
Marco de procesos, roles
documentados y
responsabilidad de TI Todo
s
•Organización y relaciones de TI
• Roles y responsabilidades
documentados
Todo
s Roles y
responsabilidades
• Aptitudes y habilidades de los
usuarios , incluyendo el
entrenamiento individual.
• Requerimientos específicos de
entrenamiento.
DS7
• Requerimientos de transferencia
de conocimiento para
implementación.
•Materiales de entrenamiento.
Actualización de
documentos
requeridos
DS1 AI4

ISO/IEC 38500:2008 COBIT 4.1
PRINCIPIO:
CUMPLIMIENTO
ME1 Monitorear y evaluar el
desempeño de TI.
ME2 Monitorear y evaluar el control
interno.
ME3 Garantizar el cumplimiento
regulatorio.

PRINCIPIO DE CUMPLIMIENTO:
ISO/IEC 38500:2008
• Deben tener definidas sus propias políticas y procedimientos internos y apoyar su
implantación y cumplimiento.
COBIT 4.1
• El proceso ME2 (Monitorizar y evaluar controles TI) se encarga de monitorizar y
evaluar la consecución de los controles internos establecidos.
• En el proceso ME3 (Asegurar el cumplimiento de requisitos externos), se sientan las
bases para el análisis y la supervisión de los requerimientos externos, incluyendo las
normativas.

ISO/IEC 38500:2008 COBIT 4.1
PRINCIPIO:
FACTOR HUMANO
PO7 Administrar los recursos humanos
de TI.
AI4 Permitir la operación y uso.
DS1 Definir y administrar niveles de
servicio.
DS7 Educar y capacitar usuarios.

PRINCIPIO DE FACTOR HUMANO:
ISO/IEC 38500:2008
• Indica que la alta dirección debe preocuparse del comportamiento de las personas que
de una manera u otra se relacionan con las actividades TI. Esto debe ocurrir en dos
sentidos:
-Las personas deben comportarse de manera que afecten positivamente el desempeño
de TI y
- Debe garantizarse que las actividades de TI no afecten negativamente a las personas.
COBIT 4.1
• El proceso PO4 (Definir la organización y relaciones TI) explica como la organización y
sus procesos relacionados pueden satisfacer las necesidades del personal a todos los
niveles. Así mismo, de manera explícita define el comportamiento esperado del personal
en el desempeño de su trabajo.

PRINCIPIO DE FACTOR HUMANO:
COBIT 4.1
• Por medio del proceso PO6 (Comunicar la dirección objetivos de la gerencia) se
asegura que los objetivos de la organización son comunicados claramente y que la
cultura laboral favorece una actitud correcta del trabajador hacia el control de riesgo.
• PO7 (Gestión de los recursos humanos de TI) es el proceso específico de COBIT para
alinear el comportamiento de las personas con las metas corporativas, la definición de
responsabilidades y el mantenimiento del conocimiento.
• El foco del proceso DS7 (Educar y entrenar a los usuarios) es el de asegurar que los
usuarios conocen lo necesario para garantizar un uso eficaz de los sistemas TI.

EVALUAR:
Los siguientes recursos de COBIT apoyan en la consecución de la
tarea Evaluar de ISO/IEC 38500:2008:
• Todo el modelo de COBIT se basa en el ciclo de Deming que
incluye como acciones básicas la planificación inicial así como la
comprobación posterior de que las acciones se han desarrollado
de acuerdo a lo previsto.

DIRIGIR:
No hay una correspondencia directa entre una parte concreta del
modelo de COBIT y esta tarea definida en la norma ISO/IEC 38500.
Sin embargo, todo el modelo de COBIT proporciona una base para
evaluar la idoneidad de las prácticas de gestión y los controles de
TI, permitiendo a la dirección la evaluación y comunicación de la
capacidad de los procesos de TI.

MONITORIZAR:
Todo el dominio ME cubre la medición del desempeño, la
efectividad del control interno, conformidad con requisitos y la
consecución de un eficaz gobierno corporaivo.

ccoonn CCOOBBIITT 55
Lo que sigue a
continuación resume
cómo COBIT 5
soporta la adopción
de los principios y la
aproximación a la
implementación del
estándar ISO/IEC
38500:2008

PRINCIPIO 1—RESPONSABILIDAD
El negocio (el cliente) y las TI (proveedor) deberían colaborar en un modelo cooperativo utilizando
canales eficaces de comunicación basados en relaciones positivas y de confianza y demostrando
claridad con respecto a la responsabilidad de llevar a cabo las tareas y la verificación de las mismas.

PRINCIPIO 2—ESTRATEGIA
La planificación estratégica de la TI es una tarea compleja y crítica que requiere una estrecha
coordinación entre la unidad de negocio de la empresa y los planes estratégicos de las TI.

PRINCIPIO 3 —ADQUISICIÓN:
una elección inadecuada de la arquitectura tecnológica, fallos a la hora de mantener una
infraestructura técnica actual y apropiada o una ausencia de recursos humanos
cualificados pueden dar como resultado un proyecto fracasado, una incapacidad para
soportar las operaciones del negocio o una reducción en el valor del negocio.
• El dominio EDM de COBIT 5 nos proporciona orientaciones sobre cómo gobernar y gestionar las
inversiones en negocio posibilitadas por las TI a través de su ciclo completo de vida (adquisición,
implementación, operación y desmantelamiento). El proceso APO05 Gestión del portafolio
contempla cómo aplicar de manera eficaz la gestión del programa y la cartera de tales inversiones
para asegurarse de que se logran los beneficios y de que se optimizan los costes.
• El dominio APO de COBIT 5 provee orientaciones para la planificación de la adquisición, incluyendo
planes de inversión, gestión del riesgo, planificación de programas y proyectos y planificación de la
calidad.
• El dominio BAI de COBIT 5 nos da orientaciones sobre los procesos necesarios para adquirir e
implementar soluciones TI, cubriendo la definición de requerimientos, identificando soluciones
viables, preparando documentación y formando y habilitando a los usuarios y las operaciones para
hacer funcionar los nuevos sistemas.

PRINCIPIO 4 —RENDIMIENTO:
La medición eficaz del desempeño depende de que se tengan en cuenta dos aspectos clave:
una definición clara de las metas de rendimiento y el establecimiento de métricas
eficaces para supervisar el logro de las metas.
• COBIT 5 proporciona orientación a la Dirección en la tarea de establecer metas TI
alineadas con las metas de negocio y describe cómo supervisar el desempeño de estos
objetivos a través de metas y métricas. La capacidad de un proceso puede ser evaluada
usando un modelo de evaluación de capacidades conforme a la ISO/IEC 15504.
• Dos procesos clave de COBIT 5 nos dan orientación específica:
- APO02 Gestionar la estrategia se centra en el establecimiento de metas.
- APO09 Gestionar los acuerdos de servicio se centra en la definición de servicios y de
metas de servicio apropiadas y las documenta en acuerdos de nivel de servicio
(SLA).
• En el proceso MEA01 Supervisa, evaluar y valorar rendimiento y conformidad, COBIT 5
proporciona orientación acerca de las responsabilidades de la gestión ejecutiva para
esta actividad.

PRINCIPIO 5 —CONFORMIDAD:
En el mercado global de hoy en día, apoyado por Internet y las tecnologías avanzadas, las
empresas necesitan cumplir con un número cada vez más grande de requisitos legales y
regulatorios.
• El proceso APO02 Gestionar la estrategia de COBIT 5 se asegura de que hay un
alineamiento entre los planes TI y los objetivos globales de negocio, incluyendo los
requisitos de gobierno.
• El proceso MEA02 Supervisar, evaluar y valorar el sistema de control interno de COBIT 5
facilita a los directivos cómo valorar si los controles son adecuados para satisfacer los
requisitos de conformidad.
• El proceso MEA03 Supervisar, evaluar y valorar la conformidad con los Requerimientos
externos de COBIT 5 garantiza que se identifican los requisitos de conformidad
externos, que los directivos marcan la dirección para la conformidad, y que se supervisa,
evalúa y se hacen informes de la conformidad TI en sí misma como una parte de la
conformidad global con los requisitos de la empresa.

PRINCIPIO 6 — FACTOR HUMANO
La implementación de cualquier cambio facilitado por las TI, incluyendo el gobierno de las TI en sí
mismo, normalmente requiere cambios significativos culturales y de comportamiento tanto dentro
de las empresas como con los clientes y con los socios del negocio.

Implantación yy CCeerrttiiffiiccaacciióónn
IISSOO//IIEECC 3388550000::22000088

DOCUMENTOS ASOCIADOS
En el precio total del coste del proyecto deben estar incluidos los gastos de
desplazamiento, alojamiento y manutención.

CCaassoo ddee ÉÉxxiittoo NNº 0011
AUREN - Primera empresa a nivel mundial en obtener la Certificación de Buen Gobierno
de TI (ISO 38500).
La ISO38500 es un marco de gestión y gobierno que hace de nexo entre el negocio y las TIC,
y que tiene gran cantidad de normativa ISO asociada: Responsabilidad Social Corporativa
(ISO26001), Sistema de Gestión de Seguridad de la Información (ISO27001), Ciclo de Vida
de Desarrollo (ISO15504), Sistema de Gestión de la Calidad (ISO9001), etc.
La certificación acredita que la empresa AUREN cumple:
• Personas.
• Estrategias.
• Responsabilidad.
• Adquisición.
• Rendimiento.
• Cumplimiento Legal y normativo.
Desde mayo del 2009 ha sido la primera empresa piloto en alinearse con la norma ISO
38500.

CCaassoo ddee ÉÉxxiittoo NNº 0022
Abast Systems S.A. ha llevado a cabo un seguimiento en el desarrollo
de la norma desde los orígenes de la norma AS8015:2005 hasta la
actual ISO/IEC 38500:2008. Disponemos de un equipo de consultores
expertos en la norma y en la guía de implantación del marco de
Gobierno, basado en COBIT 4.1, VAL IT 2.0 y RISK IT. Nuestra amplia
experiencia en la implantación de estándares ISO asociados a los
sistemas de información hace que Abast Systems S.A. esté
posicionada como empresa de referencia en el sector.

La norma ISO/IEC 38500 se aplica al gobierno de los procesos de gestión de TI en todo tipo de
organizaciones que utilicen las tecnologías de la información, facilitando unas bases para la
evaluación objetiva del gobierno de TI. Además del cumplimiento con la legislación vigente, el
gobierno de las TI permite:
Una apropiada implementación y operación de los recursos de TI.
La clarificación de las responsabilidades y medición del logro de los objetivos de la
organización.
La continuidad y sostenibilidad del negocio.
El alineamiento de las TI con las necesidades del negocio.
La asignación eficiente de los recursos de TI.
La innovación en servicios, mercados y negocios.
Mejorar la relación con los stakeholders.
Reducción de costes de TI.
La materialización efectiva de los beneficios esperados de cada inversión en TI.

Abast Systems S.A. implemento la norma ISO/IEC 38500 para
diversas instituciones como lo son:

CCOONNCCLLUUSSIIOONNEESS
 ISO 38500 es aplicable a entidades de todos los tamaños, incluidas las empresas públicas
y privadas, organizaciones gubernamentales con o sin ánimo de lucro.
 ISO 38500 no ha llegado para sustituir a otras normas y estándares basados en la buena
gestión de los activos que soportan la información ya presentes en muchas empresas
(ISO27001, COBIT , ITIL) puesto que, lo que pretende, es proporcionar un marco
coherente para garantizar que la dirección está debidamente implicada en la gestión
eficaz de las TI en cualquier ámbito y alcance.
 La norma se aplica al gobierno de los procesos de gestión de las TI, en cualquier tipo de
organizaciones que utilicen todas las tecnologías de la información, facilitando unas bases
para la evaluación objetiva del gobierno de TI.
 La importancia de un Sistema de Gobierno de ISO 38500 viene dado por las
características propias del mundo actual, el gobierno de las TIC constituyen el
componente esencial para el logro de la excelencia y competitividad requerida por la
empresa moderna y esto es posible sólo mediante la profesionalidad de sus gobernantes,
gestores y resto del personal.

Norma ISO 38500

Más contenido relacionado

La actualidad más candente

Destacado

Similar a Norma ISO 38500

Norma ISO 38500