1 ISACA JOURNAL VOLUME 1, 2010

Journal Online
ANTECEDENTES
Gobierno de las TIC (IT governance)
ya tiene una norma ISO asociada, la ISO/
IEC 38500:2008 Corporate governance
of information technology que viene a
complementar el conjunto de estndares ISO
que afectan a los sistemas y tecnologas de la
informacin (ISO/IEC 27000, ISO/IEC 20000,
ISO/IEC 15504, ISO/IEC 24762, etc.).
Esta nueva norma fija los estndares para
un buen gobierno de los procesos y decisiones
empresariales relacionados con los servicios
de informacin y comunicacin que, suelen
estar gestionados tanto por especialistas en TIC
internos o ubicados en otras unidades de negocio
de la organizacin, como por proveedores de
servicios externos.
En esencia, todo lo que esta norma
propone puede resumirse en tres propsitos
fundamentales:
Asegurar que, si la norma es seguida de manera
adecuada, las partes implicadas (directivos,
consultores, ingenieros, proveedores de
hardware, auditores, etc.), puedan confiar en el
gobierno corporativo de TIC.
Informar y orientar a los directores que
controlan el uso de las TIC en su organizacin.
Proporcionar una base para la evaluacin
objetiva por parte de la alta direccin en el
gobierno de las TIC.
La norma ISO/IEC 38500:2008 se public
en junio de 2008 en base a la norma australiana
AS8015:2005. Es la primera de una serie sobre
normas de gobierno de TIC.
Su objetivo es proporcionar un marco
de principios para que la direccin de las
organizaciones lo utilicen al evaluar, dirigir
y monitorizar el uso de las tecnologas de la
informacin y comunicaciones (TICs).
Est alineada con los principios de gobierno
corporativo recogidos en el Informe Cadbury y
en los Principios de Gobierno Corporativo de la
OCDE.
ALCANCE, APLICACIN Y OBJETIVOS
La norma se aplica al gobierno de los
procesos de gestin de las TICs en todo tipo
de organizaciones que utilicen (hoy todas) las
tecnologas de la informacin, facilitando unas
bases para la evaluacin objetiva del gobierno
de TIC.
Dentro de los beneficios de un buen gobierno
de TIC estara la conformidad de la organizacin
con:
Los estndares de seguridad
Legislacin de privacidad
Legislacin sobre el spam
Legislacin sobre prcticas comerciales
Derechos de propiedad intelectual, incluyendo
acuerdos de licencia de software
Regulacin medioambiental
Normativa de seguridad y salud laboral
Legislacin sobre accesibilidad
Estndares de responsabilidad social
Tambin la bsqueda de un buen rendimiento
de las TIC mediante: apropiada implementacin
y operacin de los activos de TIC
Clarificacin de las responsabilidades y
rendicin de cuentas en lograr los objetivos de
la organizacin
Continuidad y sostenibilidad del negocio
Alineamiento de las TICs con las necesidades
del negocio
Asignacin eficiente de los recursos
Innovacin en servicios, mercados y negocios
Buenas prcticas en las relaciones con los
interesados (stakeholders)
Reduccin de costes
Materializacin efectiva de los beneficios
esperados de cada inversin en TIC
DEFINICIONES
La norma incluye 19 definiciones de trminos,
entre los que se pueden destacar los siguientes:
Gobierno corporativo de TIC (corporate
governance of IT)El sistema mediante el cual
se dirige y controla el uso actual y futuro de las
Gobierno de las TIC ISO/IEC 38500
Manuel Ballester, Ph.D.,
CISA, CISM, CGEIT, IEEE,
tiene ms de 30 aos en
empresas del sector TIC
y acadmico, incluyendo:
Director Ctedra Buen
Gobierno Universidad
Deusto, Director Mster
Buen Gobierno Universidad
Deusto, Socio de TEMANOVA/
ALINTEC, miembro de ISO
JTC1/WG6. l actualmente
est dirigiendo el proyecto de
implantacin de ISO 38500
en una entidad financiera
espaola.
2 ISACA JOURNAL VOLUME 1, 2010
tecnologas de la informacin
Gestin (management)El sistema de controles y
procesos requeridos para lograr los objetivos estratgicos
establecidos por la direccin de la organizacin. Est sujeta
a la gua y monitorizacin establecida mediante el gobierno
corporativo.
Interesado (stakeholder)Individuo, grupo u organizacin
que puede afectar, ser afectado, o percibir que va a ser
afectado, por una decisin o una actividad
Uso de TIC (use of IT)Planificacin, diseo, desarrollo,
despliegue, operacin, gestin y aplicacin de TI para
cumplir con las necesidades del negocio. Incluye tanto la
demanda como la oferta de servicios de TIC por unidades de
negocio internas, unidades especializadas de TI, proveedores
externos y utility services (como los que se proveen de
software como servicio).
Factor humano (human behavior)La comprensin de las
interacciones entre personas y otros elementos de un sistema
con la intencin de asegurar el bienestar de las personas
y el buen rendimiento del sistema. Incluye la cultura,
necesidades y aspiraciones de las personas como individuos
y como grupo.
PRINCIPIOS
La norma define seis principios de un buen gobierno
corporativo de TIC:
ResponsabilidadTodo el mundo debe comprender y
aceptar sus responsabilidades en la oferta o demanda de
TI. La responsabilidad sobre una accin lleva aparejada la
autoridad para su realizacin.
EstrategiaLa estrategia de negocio de la organizacin
tiene en cuenta las capacidades actuales y futuras de las TIC.
Los planes estratgicos de TIC satisfacen las necesidades
actuales y previstas derivadas de la estrategia de negocio.
AdquisicinLas adquisiciones de TI se hacen por
razones vlidas, en base a un anlisis apropiado y continuo,
con decisiones claras y transparentes. Hay un equilibrio
adecuado entre beneficios, oportunidades, costes y riesgos
tanto a corto como a largo plazo.
RendimientoLa TI est dimensionada para dar soporte a
la organizacin, proporcionando los servicios con la calidad
adecuada para cumplir con las necesidades actuales y
futuras.
ConformidadLa funcin de TI cumple todas las
legislaciones y normas aplicables. Las polticas y prcticas
al respecto estn claramente definidas, implementadas y
exigidas.
Factor humanoLas polticas de TIC, prcticas y decisiones
demuestran respeto al factor humano, incluyendo las
necesidades actuales y emergentes de toda la gente
involucrada.
MODELO
La direccin ha de gobernar la TIC mediante tres tareas
principales (figura 1):
EvaluarExaminar y juzgar el uso actual y futuro de las
TIC, incluyendo estrategias, propuestas y acuerdos de
aprovisionamiento (internos y externos).
DirigirDirigir la preparacin y ejecucin de los planes y
polticas, asignando las responsabilidades al efecto. Asegurar
la correcta transicin de los proyectos a la produccin,
considerando los impactos en la operacin, el negocio y la
infraestructura. Impulsar una cultura de buen gobierno de
TIC en la organizacin.
MonitorizarMediante sistemas de medicin, vigilar
el rendimiento de la TIC, asegurando que se ajusta a lo
planificado.
Figura 1Modelo de Gobierno Corporativo de TIC
Presiones de Negocio Necesidades de Negocio
Procesos de Negocio
Proyectos TIC
EVALUAR
DIRIGIR
P
r
o
p
u
e
s
t
a
s
R
e
n
d
i
m
i
e
n
t
o
C
o
n
f
o
r
m
i
d
a
d
MONITORIZAR
Operaciones TIC

3 ISACA JOURNAL VOLUME 1, 2010
ORIENTACIONES Y PRCTICAS
Para cada uno de los principios, la norma proporciona
una breve gua u orientacin sobre como evaluar, dirigir y
monitorizar la funcin de TIC (figura 2).
Son orientaciones muy generales que no incluyen
mecanismos, tcnicas o herramientas concretas a utilizar.
CONCLUSIONES
La importancia de un Sistema de Gobierno de ISO 38500
viene dado por las caractersticas propias del mundo actual, el
gobierno de las TIC constituyen el componente esencial para el
logro de la excelencia y competitividad requerida por la empresa
moderna y esto es posible slo mediante la profesionalidad de
sus gobernantes, gestores y resto del personal.
Es muy importante tener presente que el gobierno de
TIC, implica el manejo los recursos ms preciados de una
organizacin y como sistema su gestin no es responsabilidad
exclusiva de una unidad organizativa especializada, sino que
implica a los administradores a todos los niveles.
Objetivos de la implantacin de la ISO 38500:
1. Garantizar la excelencia en los procesos de negocio y/o
servicio como factor esencial del desarrollo de la actividad
empresarial, mediante el empleo de administradores y
trabajadores Idneos y debidamente calificados.
2. Garantizar la elaboracin y puesta en prctica de las
polticas de gobernabilidad de la empresa.
3. Diagnosticar los cambios organizativos y estructurales
que se requieran en la empresa y contribuir a perfeccionar
los mtodos y estilos de administracin en funcin de
propiciar una mayor participacin, compromiso, espritu
creativo e innovador y motivacin de todos los dirigentes y
trabajadores para la formacin de una cultura organizativa
propia de la empresa.
4. Preparar a la empresa para que sea capaz de reaccionar
con rapidez y eficiencia ante los cambios del entorno y las
demandas cuantitativas y cualitativas.
5. Cumplir con las leyes y regulaciones de la actividad en que
se desempee.
6. Gestionar los riesgos de forma eficiente.
REFERENCIAS
International Organization for Standardization (ISO) and the
International Electrotechnical Commission (IEC), ISO/IEC
38500, Corporate governance of IT, 2008
International Organization for Standardization, ISO 31000,
Risk management, 2009
International Organization for Standardization, ISO 9000,
family of standards for quality management systems
International Organization for Standardization (ISO) and the
International Electrotechnical Commission (IEC), ISO/IEC
15504, Information TechnologyProcess Assessment
IT Governance Institute, COBIT 4.1, 2007, www.isaca.org/cobit
IT Governance Institute, Val IT, 2008, www.isaca.org/valit

Figura 2Gun Sobre Como Evaluar, Dirgir y Monitorizar la Funcin de TIC
Principios Dirigir Monitorizar Evaluar
Responsabilidad


Planes con responsabilidad
asignada
Mecanismos establecidos gobierno
de TIC
Asignacin responsabilidades
Recibir informacin y rendir
cuentas
Asignacin responsabilidades
(entendimiento)
Competencias de responsables
Desempeo responsables gobierno
TIC

4 ISACA JOURNAL VOLUME 1, 2010
The ISACA Journal is published by ISACA. Membership in the association, a voluntary organization serving IT governance professionals, entitles one to receive an annual subscription
to the ISACA Journal.
Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and/or the IT Governance
Institute

and their committees, and from opinions endorsed by authors employers, or the editors of this Journal. ISACA Journal does not attest to the originality of authors content.
2010 ISACA. All rights reserved.
Instructors are permitted to photocopy isolated articles for noncommercial classroom use without fee. For other copying, reprint or republication, permission must be obtained in
writing from the association. Where necessary, permission is granted by the copyright owners for those registered with the Copyright Clearance Center (CCC), 27 Congress St.,
Salem, MA 01970, to photocopy articles owned by ISACA, for a flat fee of US $2.50 per article plus 25 per page. Send payment to the CCC stating the ISSN (1526-7407), date,
volume, and first and last page number of each article. Copying for other than personal use or internal reference, or of articles or columns not owned by the association without
express permission of the association or the copyright owner is expressly prohibited.
www.isaca.org
Figura 2Gun Sobre Como Evaluar, Dirgir y Monitorizar la Funcin de TIC
Principios Dirigir Monitorizar Evaluar
Estrategia




Creacin y uso de planes y polticas Progreso propuestas aprobadas Desarrollo de TIC y procesos negocio
Asegurarse beneficios TI en el
Negocio
Alcanzar objetivos en plazos
establecidos
Evaluar actividades de TIC y
alineamiento
Alentar propuestas innovadoras


Utilizar recursos asignados Mejores prcticas
Uso de TIC, alcanzando beneficios
esperados
Satisfaccin interesados
Valoracin y evaluacin de riesgos
Adquisicin



Activos TI adquieren manera
apropiada
Inversiones y capacidades
requeridas
Alternativas propuestas
Documentos capacidad requerida Entendimiento interno/externo
necesidad negocio
Propuestas aprobadas
Acuerdos de provisin respalden
nec. negocio
Anlisis de riesgo/valor
Inversiones
Rendimiento




Asignacin recursos suficientes Grado TIC sustenta negocio TIC sustenta procesos de negocio
dimensionado y capacidad
Asignar prioridades y restricciones Recursos e inversiones priorizados
nec. neg.
Riesgos: continuidad de
operaciones
Satisfacer nec. negocio Polticas precisin datos Riesgos : integridad de informacin,
proteccin de activos
Datos correctos, actualizados,
protegidos
Polticas uso eficiente TIC Decisiones uso TIC apoyo al
negocio
Eficacia y desempeo gobierno
de TIC
Cumplimiento



TI cumple obligaciones, normas y
directrices
Cumplimiento y conformidad
(auditorias/informes)
TIC cumple obligaciones, normas y
directrices
Establecer y aplicar polticas (uso
TI interno)
Oportunos, completos, adecuados
(nec. negocio)
Conformidad gobierno de TIC
Personal TIC cumple directrices
desarrollo y conducta
Actividades de TIC
tica rija acciones relacionadas TIC
Factor Humano



Actividades TI compatibles factor
humano
Actividades de TIC, identificar,
prestar atencin
Actividades de TIC, identificar
Informar cualquier individuo
(riesgos, problemas)
Prcticas de trabajo consistente
uso apropiado de TIC
Actividades de TIC, considera
debidamente
Administracin riesgos segn
polticas y proced.

Escalado a los decisores