NORMA ISO 38500

16.11.2013 15:56

NORMA ISO 38500

La norma ISO 38500 fue publicada en junio del 2008 como la primera de esta línea para  el buen gobierno de las tecnologías de información, basada en la norma australiana AS8015 del 2005. Su objetivo es proporcionar un marco de principios para que la dirección de las organizaciones los utilicen para evaluar, dirigir y monitorear el uso de las tecnologías de la información (TI's). Está alineada con los principios de gobierno corporativo recogidos en el "Informe Cadbury" y con los "Principios de Gobierno Corporativo de la OCDE".

ISO/IEC 38500, como la mayoría de las normas de gestión ISO, es aplicable a entidades de todos los tamaños y sectores, incluidas las empresas públicas y privadas, administraciones públicas, etc.

La ISO/IEC 38500 completa otros estándares de gestión de TI, tales como la ISO 27001 y la ISO 20000, añadiendo una capa de gestión superior, estratégica a la que contemplan estas normas, cuyo enfoque es más operativo. Por decirlo de otro modo, la ISO/IEC 38500 establece cómo se deben hacer las cosas para que se puedan gestionar las TI de manera eficaz y eficiente. 

La Norma se basa en que la alta dirección evalúe, dirija y siga el uso que se hace de las TI en sus organizaciones de manera que:

  • Si la norma es seguida de manera adecuada, las partes implicadas (directivos, consultores, ingenieros, proveedores de hardware, auditores, etc.), puedan confiar en el gobierno corporativo de TI.
  • Haya canales apropiados para informar y orientar a los directores que controlan el uso de las TI en su organización.
  • Haya una base para la evaluación objetiva por parte de la alta dirección de la gestión de las TI.

Para conseguirlo, la norma establece los seis principios básicos para el buen gobierno de las TI:

  1. Responsabilidad. Asignar responsabilidades a personas competentes y con autoridad para tomar decisiones.
  2. Estrategia. Alinear las actividades de TI con los objetivos de negocio, buscando el beneficio de la organización y asegurarse de que se obtiene dicho beneficio.
  3. Adquisición. Invertir en TI de manera eficiente.
  4. Rendimiento. Proporcionar la capacidad de TI necesaria para que el negocio funcione adecuadamente, se gestionen los riesgos y se protejan los recursos, midiendo cómo TI presta soporte al negocio.
  5. Conformidad. Proporcionar control interno suficiente para garantizar la conformidad legal o normativa de los sistemas TI.
  6. Conducta humana. Identificar el comportamiento humano que se requiere y desarrollar métodos de trabajo para utilizar las TI de manera apropiada.

Objetivos de la norma

  • Asegurar a las partes interesadas (incluidos los consumidores, accionistas, y empleados) que, si se sigue la norma, pueden tener confianza en el gobierno corporativo de las TI de la organización.
  • Informar y guiar a los directores en el gobierno de la TI en su organización.
  • Proporcionar una base para la evaluación objetiva del gobierno corporativo de TI

Principios

La norma define seis principios de un buen gobierno corporativo de TIC:

 

1. Responsabilidad: Todo el mundo debe comprender y aceptar sus responsabilidades en la oferta o demanda de TI. La responsabilidad sobre una acción lleva aparejada la autoridad para su realización.

2. Estrategia: La estrategia de negocio de la organización tiene en cuenta las capacidades actuales y futuras de las TIC. Los planes estratégicos de TIC satisfacen las necesidades actuales y previstas derivadas de la estrategia de negocio.

3. Adquisición: Las adquisiciones de TI se hacen por razones válidas, basándose en un análisis apropiado y continuo, con decisiones claras y transparentes. Hay un equilibrio adecuado entre beneficios, oportunidades, costes y riesgos tanto a corto como a largo plazo.

4. Rendimiento: La TI está dimensionada para dar soporte a la organización, proporcionando los servicios con la calidad adecuada para cumplir con las necesidades actuales y futuras.

5. Conformidad: La función de TI cumple todas las legislaciones y normas aplicables. Las políticas y prácticas al respecto están claramente definidas, implementadas y exigidas.

6. Factor humano: Las políticas de TIC, prácticas y decisiones demuestran respecto al factor humano, incluyendo las necesidades actuales y emergentes de toda la gente involucrada

 

Para cada uno de los principios, la norma proporciona una breve guía u orientación sobre como evaluar, dirigir y monitorear la función de TI. Son orientaciones muy generales que no incluyen mecanismos, técnicas o herramientas concretas a utilizar, cabe pensar que en futuras normas complementarias se irán concretando estos aspectos. 

 
 

 

Volver