La ISO/IEC 38500 es un estándar internacional para las buenas prácticas del Gobierno de las Tecnologías de la Información (TI). Su principal función es gobernar las TI dentro de la empresa, para conseguirlo se basa en seis principios y tres procesos.
Gobierno de TI
Primero es necesario entender qué es el Gobierno de TI y cuál es su diferencia con la gestión de TI.
Se entiende como Gobierno al organismo dentro de la empresa que se encarga de asegurar que los objetivos sean cumplidos, evaluando las necesidades de todos los involucrados (stakeholders), así como las condiciones establecidas; a través de directivas que determinan las prioridades y permiten la toma de decisiones encaminadas a lograr los objetivos en tiempo y forma. Este organismo se encarga de monitorear que el desempeño, cumplimiento y progreso sean acorde a las directivas y objetivos acordados. En cambio la Administración o gestión se encarga de planificar, construir y monitorear las actividades conforme a las directrices establecidas por el organismo de Gobierno para alcanzar los objetivos de la organización.
ISO/IEC 38500
Esta norma tiene como objetivo proporcionar un marco de seis principios para que los directores de la empresa puedan tomar decisiones basadas en los resultados que obtengan al dirigir, monitorizar y evaluar el uso de las TI en su organización. Esta norma puede ser aplicada a cualquier tipo de empresa, así como de cualquier tamaño. Su propósito principal es el de promover el uso efectivo, eficiente y aceptable de las TI en todas las organizaciones para asegurarles a los involucrados que pueden tener la confianza en el Gobierno Corporativo de TI de la organización, así como proporcionar guías a los directivos para el uso adecuado de las TI.
6 Principios
Para que una empresa cumpla con la norma ISO/IEC 38500 debe satisfacer los siguientes principios.
- Principio 1: establecer responsabilidades claramente entendidas para el área de TI.
- Principio 2: planear las TI para apoyar de mejor forma a la empresa.
- Principio 3: la adquisición de las TI sea por análisis y validaciones previas.
- Principio 4: asegurarse que las TI tienen un rendimiento satisfactorio para cubrir las necesidades del negocio.
- Principio 5: asegurar que la informática cumpla con las reglas formales previamente establecidas.
- Principio 6: asegurar que el uso de las TI respeta los factores humanos.
Además de cumplir con estos principios, los directores deben gobernar las TI realizando tres actividades principales:
a) Evaluar el uso de las TI.
b) Preparar e implementar planes y políticas del uso de TI.
c) Monitorear la conformidad con las políticas y el desempeño en relación con los planes.
- Introducing ISO/IEC 38500: Corporate Governance in ICT, Christophe Feltus. Member of the ISO JTC1/SC7/WG1A on ICT Governance Public Research Centre Henri Tudor, 29, Rue John F. Kennedy L-1855 Luxembourg.
- Introducción ISO 38500 (2009). ISACA Serving IT Governance Professionals.
- Standard, I. (2008). ISO/IEC 38500. Corporate governance of information technology.
- Marcos de control y estándares para el gobierno de tecnologías de información (TI) (2013). III3.
- COSO Marco de referencia para la implementación gestión y control de un adecuado Sistema de Control Interno (2015). Galaz, Yamazaki, Ruiz Urquiza, S.C.
Excelente Resumen
¡Gracias por leernos!
Excelente resumen, saludos, de Chile. Terminando un diplomado en ciberseguridad
Excelente, saludos desde México 😉
Buenas noches. Por favor me puedes indicar que entidad o empresa certifica la ISO/IEC 38500 en Colombia. Muchas gracias.
Hola Carlos
Muchas gracias por leernos. Estuve buscando información para resolver tu duda, sin embargo, no encontré que empresas son las que certifican esta norma en tu país.
Isaca te puede ayudar con eso.
Excelente artículo muy entendible, más bien tengo una duda esta norma tiene etapas de ciclo de vida del servicio ITIL que son:
Estrategia de servicio
Diseño de servicio
Transición del servicio
Operación del servicio
Mejora continua del servicio
Saludos y mis felicitaciones.
Me refiero si está norma tiene etapas como lo tiene el servicio ITIL
Hola Cesar
No, esta norma está basada en sus principios, y puede ser complementada con metodologías como ITIL para lograr el cumplimiento de los principios, a partir de las buenas prácticas para la gestión.
Espero haber resuelto tu duda. Saludos
gracias por el aporte