JOnline: Gobierno de las TIC ISO/IEC 38500 

 
Download Article

Antecedentes

Gobierno de las TIC (IT governance) ya tiene una norma ISO asociada, la ISO/ IEC 38500:2008 “Corporate governance of information technology” que viene a complementar el conjunto de estándares ISO que afectan a los sistemas y tecnologías de la información (ISO/IEC 27000, ISO/IEC 20000, ISO/IEC 15504, ISO/IEC 24762, etc.).

Esta nueva norma fija los estándares para un buen gobierno de los procesos y decisiones empresariales relacionados con los servicios de información y comunicación que, suelen estar gestionados tanto por especialistas en TIC internos o ubicados en otras unidades de negocio de la organización, como por proveedores de servicios externos.

En esencia, todo lo que esta norma propone puede resumirse en tres propósitos fundamentales:

  • Asegurar que, si la norma es seguida de manera adecuada, las partes implicadas (directivos, consultores, ingenieros, proveedores de hardware, auditores, etc.), puedan confiar en el gobierno corporativo de TIC.
  • Informar y orientar a los directores que controlan el uso de las TIC en su organización.
  • Proporcionar una base para la evaluación objetiva por parte de la alta dirección en el gobierno de las TIC.

La norma ISO/IEC 38500:2008 se publicó en junio de 2008 en base a la norma australiana AS8015:2005. Es la primera de una serie sobre normas de gobierno de TIC.

Su objetivo es proporcionar un marco de principios para que la dirección de las organizaciones lo utilicen al evaluar, dirigir y monitorizar el uso de las tecnologías de la información y comunicaciones (TICs).

Está alineada con los principios de gobierno corporativo recogidos en el “Informe Cadbury” y en los “Principios de Gobierno Corporativo de la OCDE.”

Alcance, Aplicación y Objetivos

La norma se aplica al gobierno de los procesos de gestión de las TICs en todo tipo de organizaciones que utilicen (hoy todas) las tecnologías de la información, facilitando unas bases para la evaluación objetiva del gobierno de TIC.

Dentro de los beneficios de un buen gobierno de TIC estaría la conformidad de la organización con:

  • Los estándares de seguridad
  • Legislación de privacidad
  • Legislación sobre el spam
  • Legislación sobre prácticas comerciales
  • Derechos de propiedad intelectual, incluyendo acuerdos de licencia de software
  • Regulación medioambiental
  • Normativa de seguridad y salud laboral
  • Legislación sobre accesibilidad
  • Estándares de responsabilidad social
También la búsqueda de un buen rendimiento de las TIC mediante:
  • Apropiada implementación y operación de los activos de TIC
  • Clarificación de las responsabilidades y rendición de cuentas en lograr los objetivos de la organización
  • Continuidad y sostenibilidad del negocio
  • Alineamiento de las TICs con las necesidades del negocio
  • Asignación eficiente de los recursos
  • Innovación en servicios, mercados y negocios
  • Buenas prácticas en las relaciones con los interesados (stakeholders)
  • Reducción de costes
  • Materialización efectiva de los beneficios esperados de cada inversión en TIC

Definiciones

La norma incluye 19 definiciones de términos, entre los que se pueden destacar los siguientes:

  • Gobierno corporativo de TIC (corporate governance of IT)—El sistema mediante el cual se dirige y controla el uso actual y futuro de las tecnologías de la información
  • Gestión (management)—El sistema de controles y procesos requeridos para lograr los objetivos estratégicos establecidos por la dirección de la organización. Está sujeta a la guía y monitorización establecida mediante el gobierno corporativo.
  • Interesado (stakeholder)—Individuo, grupo u organización que puede afectar, ser afectado, o percibir que va a ser afectado, por una decisión o una actividad
  • Uso de TIC (use of IT)—Planificación, diseño, desarrollo, despliegue, operación, gestión y aplicación de TI para cumplir con las necesidades del negocio. Incluye tanto la demanda como la oferta de servicios de TIC por unidades de negocio internas, unidades especializadas de TI, proveedores externos y “utility services” (como los que se proveen de software como servicio).
  • Factor humano (human behavior)—La comprensión de las interacciones entre personas y otros elementos de un sistema con la intención de asegurar el bienestar de las personas y el buen rendimiento del sistema. Incluye la cultura, necesidades y aspiraciones de las personas como individuos y como grupo.

Principios

La norma define seis principios de un buen gobierno corporativo de TIC:

  • Responsabilidad—Todo el mundo debe comprender y aceptar sus responsabilidades en la oferta o demanda de TI. La responsabilidad sobre una acción lleva aparejada la autoridad para su realización.
  • Estrategia—La estrategia de negocio de la organización tiene en cuenta las capacidades actuales y futuras de las TIC. Los planes estratégicos de TIC satisfacen las necesidades actuales y previstas derivadas de la estrategia de negocio.
  • Adquisición—Las adquisiciones de TI se hacen por razones válidas, en base a un análisis apropiado y continuo, con decisiones claras y transparentes. Hay un equilibrio adecuado entre beneficios, oportunidades, costes y riesgos tanto a corto como a largo plazo.
  • Rendimiento—La TI está dimensionada para dar soporte a la organización, proporcionando los servicios con la calidad adecuada para cumplir con las necesidades actuales y futuras.
  • Conformidad—La función de TI cumple todas las legislaciones y normas aplicables. Las políticas y prácticas al respecto están claramente definidas, implementadas y exigidas.
  • Factor humano—Las políticas de TIC, prácticas y decisiones demuestran respeto al factor humano, incluyendo las necesidades actuales y emergentes de toda la gente involucrada.

Modelo La dirección ha de gobernar la TIC mediante tres tareas principales (figura 1):

  • Evaluar—Examinar y juzgar el uso actual y futuro de las TIC, incluyendo estrategias, propuestas y acuerdos de aprovisionamiento (internos y externos).
  • Dirigir—Dirigir la preparación y ejecución de los planes y políticas, asignando las responsabilidades al efecto. Asegurar la correcta transición de los proyectos a la producción, considerando los impactos en la operación, el negocio y la infraestructura. Impulsar una cultura de buen gobierno de TIC en la organización.
  • Monitorizar—Mediante sistemas de medición, vigilar el rendimiento de la TIC, asegurando que se ajusta a lo planificado.

Figure 1

Orientaciones y Prácticas

Para cada uno de los principios, la norma proporciona una breve guía u orientación sobre como evaluar, dirigir y monitorizar la función de TIC (figura 2).

Son orientaciones muy generales que no incluyen mecanismos, técnicas o herramientas concretas a utilizar.

Figure 2
Figure 2 continued

Conclusiones

La importancia de un Sistema de Gobierno de ISO 38500 viene dado por las características propias del mundo actual, el gobierno de las TIC constituyen el componente esencial para el logro de la excelencia y competitividad requerida por la empresa moderna y esto es posible sólo mediante la profesionalidad de sus gobernantes, gestores y resto del personal.

Es muy importante tener presente que el gobierno de TIC, implica el manejo los recursos más preciados de una organización y como sistema su gestión no es responsabilidad exclusiva de una unidad organizativa especializada, sino que implica a los administradores a todos los niveles.

Objetivos de la implantación de la ISO 38500:
  1. Garantizar la excelencia en los procesos de negocio y/o servicio como factor esencial del desarrollo de la actividad empresarial, mediante el empleo de administradores y trabajadores Idóneos y debidamente calificados.
  2. Garantizar la elaboración y puesta en práctica de las políticas de gobernabilidad de la empresa.
  3. Diagnosticar los cambios organizativos y estructurales que se requieran en la empresa y contribuir a perfeccionar los métodos y estilos de administración en función de propiciar una mayor participación, compromiso, espíritu creativo e innovador y motivación de todos los dirigentes y trabajadores para la formación de una cultura organizativa propia de la empresa.
  4. Preparar a la empresa para que sea capaz de reaccionar con rapidez y eficiencia ante los cambios del entorno y las demandas cuantitativas y cualitativas.
  5. Cumplir con las leyes y regulaciones de la actividad en que se desempeñe.
  6. Gestionar los riesgos de forma eficiente.

Referencias

  • International Organization for Standardization (ISO) and the International Electrotechnical Commission (IEC), ISO/IEC 38500, “Corporate governance of IT,” 2008
  • International Organization for Standardization, ISO 31000, “Risk management,” 2009
  • International Organization for Standardization, ISO 9000, family of standards for quality management systems
  • International Organization for Standardization (ISO) and the International Electrotechnical Commission (IEC), ISO/IEC 15504, “Information Technology—Process Assessment”
  • IT Governance Institute, COBIT 4.1, 2007, www.isaca.org/cobit
  • IT Governance Institute, Val IT, 2008, www.isaca.org/valit

Manuel Ballester, Ph.D., CISA, CISM, CGEIT, IEEE
tiene más de 30 años en empresas del sector TIC y académico, incluyendo: Director Cátedra Buen Gobierno Universidad Deusto, Director Máster Buen Gobierno Universidad Deusto, Socio de TEMANOVA/ ALINTEC, miembro de ISO JTC1/WG6. Él actualmente está dirigiendo el proyecto de implantación de ISO 38500 en una entidad financiera española.


Enjoying this article? To read the most current ISACA® Journal articles, become a member or subscribe to the Journal.

The ISACA Journal is published by ISACA. Membership in the association, a voluntary organization serving IT governance professionals, entitles one to receive an annual subscription to the ISACA Journal.

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and/or the IT Governance Institute® and their committees, and from opinions endorsed by authors’ employers, or the editors of this Journal. ISACA Journal does not attest to the originality of authors’ content.

© 2010 ISACA. All rights reserved.

Instructors are permitted to photocopy isolated articles for noncommercial classroom use without fee. For other copying, reprint or republication, permission must be obtained in writing from the association. Where necessary, permission is granted by the copyright owners for those registered with the Copyright Clearance Center (CCC), 27 Congress St., Salem, MA 01970, to photocopy articles owned by ISACA, for a flat fee of US $2.50 per article plus 25¢ per page. Send payment to the CCC stating the ISSN (1526-7407), date, volume, and first and last page number of each article. Copying for other than personal use or internal reference, or of articles or columns not owned by the association without express permission of the association or the copyright owner is expressly prohibited.