ISO 38500

Historia:

La norma australiana AS8015 de 2005 es un sistema por el cual se dirigía y controlaba el uso actual y futuro de las TIC. Comprende dirigir y evaluar los planes para que el uso de las TIC apoyen a la organización y se monitoree su uso para lograr los planes establecidos. Esto incluye la estrategia y las políticas para el uso de las TIC dentro de una organización.

La norma ISO 38500 fue publicada en junio del 2008 como la primera de esta línea para  el buen gobierno de las tecnologías de información, basada en la norma australiana AS8015 del 2005. Su objetivo es proporcionar un marco de principios para que la dirección de las organizaciones los utilicen para evaluar, dirigir y monitorear el uso de las tecnologías de la información (TI’s). Está alineada con los principios de gobierno corporativo recogidos en el “Informe Cadbury” y con los “Principios de Gobierno Corporativo de la OCDE”

La Norma ISO 38500

Es un estándar internacional que provee directrices para el gobierno corporativo de TI y ayuda a los miembros de altos niveles de una organización  a entender y cumplir cabalmente sus obligaciones legales, regulatorias y éticas respecto del uso de TI en las organizaciones.

Esta norma define el buen gobierno de las TI como el sistema usado por la alta dirección de la organización para controlar el uso presente y futuro de las TI en la organización, de manera que se consigan los planes y objetivos de la misma.

ISO/IEC 38500, como la mayoría de las normas de gestión ISO, es aplicable a entidades de todos los tamaños y sectores, incluidas las empresas públicas y privadas, administraciones públicas, etc.

La ISO/IEC 38500 completa otros estándares de gestión de TI, tales como la ISO 27001 y la ISO 20000, añadiendo una capa de gestión superior, estratégica a la que contemplan estas normas, cuyo enfoque es más operativo. Por decirlo de otro modo, la ISO/IEC 38500 establece cómo se deben hacer las cosas para que se puedan gestionar las TI de manera eficaz y eficiente.

La Norma se basa en que la alta dirección evalúe, dirija y siga el uso que se hace de las TI en sus organizaciones de manera que:

  • Si la norma es seguida de manera adecuada, las partes implicadas (directivos, consultores, ingenieros, proveedores de hardware, auditores, etc.), puedan confiar en el gobierno corporativo de TI.
  • Haya canales apropiados para informar y orientar a los directores que controlan el uso de las TI en su organización.
  • Haya una base para la evaluación objetiva por parte de la alta dirección de la gestión de las TI.Para conseguirlo, la norma establece los seis principios básicos para el buen gobierno de las TI:
  • Responsabilidad. Asignar responsabilidades a personas competentes y con autoridad para tomar decisiones.
  • Estrategia. Alinear las actividades de TI con los objetivos de negocio, buscando el beneficio de la organización y asegurarse de que se obtiene dicho beneficio.
  • Adquisición. Invertir en TI de manera eficiente.
  • Rendimiento. Proporcionar la capacidad de TI necesaria para que el negocio funcione adecuadamente, se gestionen los riesgos y se protejan los recursos, midiendo cómo TI presta soporte al negocio.
  • Conformidad. Proporcionar control interno suficiente para garantizar la conformidad legal o normativa de los sistemas TI.
  • Conducta humana. Identificar el comportamiento humano que se requiere y desarrollar métodos de trabajo para utilizar las TI de manera apropiada.

Objetivos de la norma

Asegurar a las partes interesadas (incluidos los consumidores, accionistas, y empleados) que, si se sigue la norma, pueden tener confianza en el gobierno corporativo de las TI de la organización.

Informar y guiar a los directores en el gobierno de la TI en su organización.

Proporcionar una base para la evaluación objetiva del gobierno corporativo de TI

Principios

La norma define seis principios de un buen gobierno corporativo de TIC:

Responsabilidad:

Todo el mundo debe comprender y aceptar sus responsabilidades en la oferta o demanda de TI. La responsabilidad sobre una acción lleva aparejada la autoridad para su realización.

Estrategia:

La estrategia de negocio de la organización tiene en cuenta las capacidades actuales y futuras de las TIC. Los planes estratégicos de TIC satisfacen las necesidades actuales y previstas derivadas de la estrategia de negocio.

Adquisición:

Las adquisiciones de TI se hacen por razones válidas, basándose en un análisis apropiado y continuo, con decisiones claras y transparentes. Hay un equilibrio adecuado entre beneficios, oportunidades, costes y riesgos tanto a corto como a largo plazo.

Rendimiento:

La TI está dimensionada para dar soporte a la organización, proporcionando los servicios con la calidad adecuada para cumplir con las necesidades actuales y futuras.

Conformidad:

La función de TI cumple todas las legislaciones y normas aplicables. Las políticas y prácticas al respecto están claramente definidas, implementadas y exigidas.

Factor humano:

Las políticas de TIC, prácticas y decisiones demuestran respecto al factor humano, incluyendo las necesidades actuales y emergentes de toda la gente involucrada.

Para cada uno de los principios, la norma proporciona una breve guía u orientación sobre como evaluar, dirigir y monitorear la función de TI. Son orientaciones muy generales que no incluyen mecanismos, técnicas o herramientas concretas a utilizar, cabe pensar que en futuras normas complementarias se irán concretando estos aspectos.

CobiT, ISO 17799/27001, ITIL, CMMi, PMbok, Prince2, ISO 2000 ISO 38500, etc., son todos muy buenos marcos de referencia (frameworks) y estándares de facto para mejorar la actividad de TI, vista desde los procesos. La clave es entender el foco de cada uno, revisar las necesidades de la organización y adoptar el/los estándares que mejor se apliquen. Pero hay que entender que la complementación y combinación de estos estándares dará mayores beneficios a toda la organización y en todos sus niveles.

Fox IT colabora en estos aspectos a través de capacitaciones focalizadas en:

Concientización en Gobierno TI

Este curso proporciona la oportunidad de aprender los elementos claves para un gobierno de TI, los marcos de referencia de la industria y un roadmap para la implementación exitosa de un Gobierno TI.

Marcos de Referencia en Gestión de Servicios y Gobierno y sus Contextos

Este curso ofrece la oportunidad de aprender sobre los elementos principales  del Gobierno TI y de los marcos de referencia que lo apoyan, así como estándares y guías de mejores prácticas. El curso  examinará que tan aplicables son cada uno de estos marcos en el contexto de un programa de Gobierno TI.

Introducción a la Administración del Riesgo Empresarial

Este curso proporciona la oportunidad de aprender, discutir y  probar las técnicas de Gestión de Riesgos con énfasis en Riesgo Operacional.