Norma ISO

La Norma ISO/IEC 38500

Integrantes:● Katherine Sánchez

● Carlos Sánchez

Definiciones Básicas

Gobierno Corporativo de TI (Corporate governance of IT). El sistema mediante el cual se dirige y supervisa el uso actual y futuro de las TI. (Plan de negocio -> Plan de TI)

Gestión de las TI (IT Management)El sistema de procesos y/o controles requeridos para lograr los objetivos establecidos por la Dirección. (Negocio). La dirección, planificación, diseño, desarrollo, implantación, operación y mantenimiento de las TI para satisfacer las necesidades de la empresa.

Alcance de la norma● Directores de organizaciones (incluyendo propietarios, miembros del

consejo, directores, socios, ejecutivos de alto nivel, o similar) sobre el uso eficaz, eficiente y aceptable de la tecnología de la información (TI) dentro de sus organizaciones.

● �Esta norma se aplica a la gestión de los procesos de gestión (toma de decisiones) relativas a los servicios de información y comunicación utilizados por una organización

Objetivos de la norma● Asegurar a las partes interesadas (incluidos los consumidores,

accionistas, y empleados) que, si se sigue la norma, pueden tener confianza en el gobierno corporativo de las TI de la organización.

● Informar y guiar a los directores en el gobierno de la TI en su organización.

● Proporcionar una base para la evaluación objetiva del gobierno corporativo de TI

Introducción● publicada en junio de 2008 en base a la norma australiana AS8015:2005

● Esta es la primera norma internacional que trata sobre el concepto de Gobierno TI

● Fija los estándares para el buen gobierno de los procesos y decisiones empresariales relacionadas con la TI.

Ejemplo de gobernabilidadEl modelo de ISO 38500 para TI

Principios de un buen gobierno corporativo de TI:

La norma ISO 38500 define seis principios de un buen gobierno corporativo de TI:

1. Responsabilidad

2. Estrategia

3. Adquisición

4. Rendimiento

5. Conformidad

6. Factor humano



1. Responsabilidad

2. Estrategia

3. Adquisición

4. Rendimiento

5. Conformidad

6. Factor humano

Los individuos y grupos dentro de la organización deben comprender y aceptar su responsabilidades con respecto a la oferta y la demanda de TI.



1. Responsabilidad

2. Estrategia

3. Adquisición

4. Rendimiento

5. Conformidad

6. Factor humano

Se consideran los planes estratégicos de TI para satisfacer las necesidades actuales y futuras derivadas de la estrategia de negocio.

La estrategia de negocio de la organización tiene en cuenta las actuales y futuras capacidades de las TI.



1. Responsabilidad

2. Estrategia

3. Adquisición

4. Rendimiento

5. Conformidad

6. Factor humano

Las adquisiciones de TI se hacen por razones válidas, sobre la base de adecuada y análisis en curso, con la decisión clara y transparente de decisiones.



1. Responsabilidad

2. Estrategia

3. Adquisición

4. Rendimiento

5. Conformidad

6. Factor humano

Las TI debe estar dimensionada para dar soporte a la organización, proporcionando servicios con la calidad adecuada para cumplir con las necesidades actuales y futuras



1. Responsabilidad

2. Estrategia

3. Adquisición

4. Rendimiento

5. Conformidad

6. Factor humano

Cumple con todas las legislaciones y normas obligatorias.

Las políticas y prácticas están claramente definidas, aplicadas y ejecutadas.



1. Responsabilidad

2. Estrategia

3. Adquisición

4. Rendimiento

5. Conformidad

6. Factor humano

Las políticas de TI, las prácticas y decisiones demuestran respeto al factor humano,incluyendo las necesidades actuales y futuras de todas las personas involucradas.


Observaciones:

● Para cada uno de los principios, la norma proporciona una breve guía u orientación sobre cómo evaluar, dirigir y monitorear la función de TI.

● Son orientaciones muy generales que no incluyen mecanismos, técnicas o herramientas concretas a utilizar.

● Es posible pensar que en futuras normas complementarias se irán concretando estos aspectos.

Modelo de Gobierno Corporativo de TI

La norma ISO 38500 define el modelo básico para que la alta dirección haga efectivo dicho gobierno Esto debe conseguirse mediante la ejecución de tres tareas fundamentales:

1. Evaluar

2. Dirigir

3. Monitorizar


Evaluar: La dirección debe examinar y juzgar sobre el uso actual yfuturo de las TI, incluyendo estrategias, propuestas y acuerdos desuministro (ya sea interno, externas, o ambas cosas).


Dirigir: ● La dirección debe asignar la responsabilidad, y la preparación directa y

aplicación de planes y políticas.● Asegurar la correcta transición de los proyectos a la producción

considerando los impactos en la operación, el negocio y la infraestructura.● Impulsar una cultura de buen gobierno de TI en la organización.


Monitorizar: La dirección debe vigilar, a través de sistemas de mediciónadecuados, el rendimiento de las TI. Deben convencerse que el rendimientoestá en conformidad con los planes, en particular con respecto a los objetivos de negocio.

Beneficios del Gobierno de TI

1. Establece un modelo para el Gobierno de TI, basado en Dirigir, Monitorear y Evaluar.

2. Este estándar establece 6 principios para la eficacia, eficiencia y uso aceptable de las TI.

3. Este estándar asegura que las organizaciones realizan un adecuado estudio de riesgos y evalúan nuevas oportunidades en el uso de las TI.

4. Este estándar fomenta el uso de otros estándares para apuntalar la gestión de las TI (CITI – Control Interno Tecnologías Información)

5. Este estándar deja claro que se debe cumplir con la legislación vigente6. Este estándar es un subconjunto del Gobierno Corporativo de las

empresas/instituciones.

Guía orientativa para el Gobierno de las TI

Guía orientativa para el Gobierno de las TI

ISO 38500 Vs. COBIT Vs. ITIL

Podemos decir que ISO 38500 mira hacia abajo desde la parte superior, al igual que un techo de una casa. COBIT son las paredes y marcos de procesos como ITIL y Proyectos en ambientes controlados 2 (PRINCE2) son la base.

Usando la analogía de la casa, si la junta trató de implementar el techo, ISO 38500, sin el fundamento o las paredes, se derrumbaría. Además, sin el techo, las empresas se verían expuestos a los elementos. ISO 38500 no se ajusta para todos. No reemplazaa COBIT, ITIL, u otras normas o marcos, sino más bien los complementa proporcionando un enfoque de la demanda-de-TI-uso.

Empresas que utilizan la norma

Conclusiones

● La norma está dirigida principalmente a la alta dirección de las organizaciones para hacerles entender y ayudarlos a cumplir sus obligaciones legales, regulatorias y éticas respecto al uso de las TIC en sus organizaciones.

● La norma no es un estándar de Gestión de las TI , sino de Gobierno TI en el sentido más estricto.

● ISO/IEC 38500 viene a completar, no sustituir a otras normas y estándares basados en la buena gestión de los activos que soportan la información (ISO27001, COBIT , ITIL, etc…) brindando diferentes enfoques de TI.

● Se creó con la finalidad de que se evalúe, dirija y monitoree el uso de las tecnologías de información en las organizaciones

Recomendaciones● Los gestores que quieran implementar la norma ISO 38500 pueden encontrar en

COBIT una buena referencia de políticas, procesos, estructuras y los controles necesarios para implementar un sistema de gestión de TI.

● Si se desea mayor explicación del tema se recomienda leer la norma que relativamente tiene pocas hojas.

Bibliografía● Cándano, B. M. (7 de 2008). http://www.criptored.upm.es. Obtenido de

http://www.criptored.upm.es/guiateoria/gt_m453a.htm● Crisoltic. (3 de 3 de 2011). http://www.crisoltic.com. Obtenido de http://www.crisoltic.com/2011/03/iso-38500-el-camino-

hacia-el-gobierno.html● FERNANDEZ, C. M. (2011). La Norma ISO/IEC 38500-Buen Gobierno de las. AENOR.● Garrido, F. (2009). Gobierno Coorporativo.● ildapena. (8 de 10 de 2008). http://www.xperimentos.com. Obtenido de http://www.xperimentos.com/2008/10/08/isoiec-

38500-y-el-buen-gobierno-de-las-ti/● Virtux. (s.f.). http://orcilatam.com. Obtenido de http://orcilatam.com/services/iso-38500/● Winkipedia, c. (6 de 9 de 2013). http://es.wikipedia.org. Obtenido de http://es.wikipedia.org/wiki/ISO_38500

Documents

Norma ISO