RESUMEN COMPILACIN BIBLIOGRAFICA: ISO/IEC 2008/06/03 NORMA 38500, AS8015 ORGANIZACIN DE ESTNDARES DE AUSTRALIA 2005L

DIEGO ALEJANDRO GMEZ LPEZ COD. 907023

PROFESOR: CARLOS HERNAN GMEZ GMEZ

AUDITORIA DE SISTEMAS II

UNIVERSIDAD NACIONAL DE COLOMBIA SEDE MANIZALES

Marzo de 2010

Resumen HISTORIA La norma australiana AS8015 de 2005 es un sistema por el cual el uso actual y futuro de las TIC es dirigido y controlado. Comprende dirigir y evaluar los planes para que el uso de las TIC para apoyar a la organizacin y monitorear su uso para lograr los planes. Esto incluye la estrategia y las polticas para el uso de las TIC dentro de una organizacin. La norma ISO 38500 fue publicada en junio del 2008 como la primera de esta lnea, el buen gobierno de las tecnologas de informacin, basada en la norma australiana AS8015 de 2005. Su objetivo es proporcionar un marco de principios para que la direccin de las organizaciones los utilicen al evaluar, dirigir y monitorizar el uso de las tecnologas de la informacin (TI's). Est alineada con los principios de gobierno corporativo recogidos en el "Informe Cadbury" y en los "Principios de Gobierno Corporativo de la OCDE" MARCO TEORICO La Norma ISO 38500 es un estndar internacional que provee directrices para el gobierno corporativo de TI y ayuda a los miembros de altos niveles organizacionales a entender y cumplir cabalmente sus obligaciones legales, regulatorias y ticas respecto del uso de TI en las organizaciones. Esta norma define el buen gobierno de las TI como el sistema usado por la alta direccin de la organizacin para controlar el uso presente y futuro de las TI en la organizacin, de manera que se consigan los planes y objetivos de la misma. ISO/IEC 38500, como la mayora de las normas de gestin ISO, es aplicable a entidades de todos los tamaos y sectores, incluidas las empresas pblicas y privadas, administraciones pblicas, etc. La ISO/IEC 38500 completa otros estndares de gestin de TI, tales como la ISO 27001 y la ISO 20000, aadiendo una capa de gestin superior, estratgica a la que contemplan estas normas, cuyo enfoque es ms operativo. Por decirlo de otro modo, la ISO/IEC 38500 establece cmo se deben hacer las cosas para que se puedan gestionar las TI de manera eficaz y eficiente. Las normas de gestin establecen qu debe hacerse, cmo debe hacer y quin debe ejecutar las acciones necesarias para llevar a cabo la estrategia definida. Implicaciones La Norma se basa en que la alta direccin evale, dirija y siga el uso que se hace de las TI en sus organizaciones de manera que: o Si la norma es seguida de manera adecuada, las partes implicadas (directivos, consultores, ingenieros, proveedores de hardware, auditores, etc.), puedan confiar en el gobierno corporativo de TI. o Haya canales apropiados para informar y orientar a los directores que controlan el uso de las TI en su organizacin. o Haya una base para la evaluacin objetiva por parte de la alta direccin de la gestin de las TI. Para conseguirlo, la norma establece los seis principios bsicos para el buen gobierno de las TI: o Responsabilidad. Asignar responsabilidades a personas competentes y con autoridad para tomar decisiones. o Estrategia. Alinear las actividades de TI con los objetivos de negocio, buscando el beneficio de la

organizacin y asegurarse de que se obtiene dicho beneficio. o Adquisicin. Invertir en TI de manera eficiente. o Rendimiento. Proporcionar la capacidad de TI necesaria para que el negocio funcione adecuadamente, se gestionen los riesgos y se protejan los recursos, midiendo cmo TI presta soporte al negocio. o Conformidad. Proporcionar control interno suficiente para garantizar la conformidad legal o normativa de los sistemas TI. o Conducta humana. Identificar el comportamiento humano que se requiere y desarrollar mtodos de trabajo para utilizar las TI de manera apropiada. Objetivos de la norma Asegurar a las partes interesadas (incluidos los consumidores, accionistas, y empleados) que, si se sigue la norma, pueden tener confianza en el gobierno corporativo de las TI de la organizacin Informar y guiar a los directores en el gobierno de la TI en su organizacin. Proporcionar una base para la evaluacin objetiva del gobierno corporativo de TI Trminos relacionados Gobierno corporativo de TIC (corporate governance of IT): El sistema mediante el cual se dirige y controla el uso actual y futuro de las tecnologas de la informacin. Gestin (management): El sistema de controles y procesos requeridos para lograr los objetivos estratgicos establecidos por la direccin de la organizacin. Est sujeta a la gua y monitorizacin establecidas mediante el gobierno corporativo. Interesado (stakeholder): Individuo, grupo u organizacin que puede afectar, ser afectado, o percibir que va a ser afectado, por una decisin o una actividad. Uso de TIC (use of IT): Planificacin, diseo, desarrollo, despliegue, operacin, gestin y aplicacin de TI para cumplir con las necesidades del negocio. Incluye tanto la demanda como la oferta de servicios de TIC por unidades de negocio internas, unidades especializadas de TI, proveedores externos y "utility services" (como los que se proveen de software como servicio). Factor humano (human behavior): La comprensin de las interacciones entre personas y otros elementos de un sistema con la intencin de asegurar el bienestar de las personas y el buen rendimiento del sistema. Incluye la cultura, necesidades y aspiraciones de las personas como individuos y como grupo. Principios La norma define seis principios de un buen gobierno corporativo de TIC: Responsabilidad: Todo el mundo debe comprender y aceptar sus responsabilidades en la oferta o demanda de TI. La responsabilidad sobre una accin lleva aparejada la autoridad para su realizacin. Estrategia: La estrategia de negocio de la organizacin tiene en cuenta las capacidades actuales y futuras de las TIC. Los planes estratgicos de TIC

satisfacen las necesidades actuales y previstas derivadas de la estrategia de negocio. Adquisicin: Las adquisiciones de TI se hacen por razones vlidas, basndose en un anlisis apropiado y continuo, con decisiones claras y transparentes. Hay un equilibrio adecuado entre beneficios, oportunidades, costes y riesgos tanto a corto como a largo plazo. Rendimiento: La TI est dimensionada para dar soporte a la organizacin, proporcionando los servicios con la calidad adecuada para cumplir con las necesidades actuales y futuras. Conformidad: La funcin de TI cumple todas las legislaciones y normas aplicables. Las polticas y prcticas al respecto estn claramente definidas, implementadas y exigidas. Factor humano: Las polticas de TIC, prcticas y decisiones demuestran respecto al factor humano, incluyendo las necesidades actuales y emergentes de toda la gente involucrada. Para cada uno de los principios, la norma proporciona una breve gua u orientacin sobre como evaluar, dirigir y monitorizar la funcin de TI. Son orientaciones muy generales que no incluyen mecanismos, tcnicas o herramientas concretas a utilizar, cabe pensar que en futuras normas complementarias se irn concretando estos aspectos.

Modelos Evaluar: Examinar y juzgar el uso actual y futuro de las TIC, incluyendo estrategias, propuestas y acuerdos de aprovisionamiento (internos y externos). Dirigir: Dirigir la preparacin y ejecucin de los planes y polticas, asignando las responsabilidades al efecto. Asegurar la correcta transicin de los proyectos a la produccin, considerando los impactos en la operacin, el negocio y la infraestructura. Impulsar una cultura de buen gobierno de TIC en la organizacin. Monitorizar: Mediante sistemas de medicin, vigilar el rendimiento de las TIC, asegurando que se ajusta a lo planificado.

Conclusiones y observaciones Las normas para un buen Gobierno de Tecnologas de Informacin estn enfocadas a la estandarizacin de los procesos y decisiones empresariales que tienen que ver con las comunicaciones y servicios de informacin. Las normas de TI proporcionan una base para la evaluacin objetiva del gobierno corporativo de TI. Estas normas en todos los casos se buscan mejorar los procesos de toma de decisin de inversin en TI y buscar una mejor alineacin entre los objetivos de negocio y los de TI. Esta norma ofrece una clara gua para los ejecutivos y directivos, ya que les gua en el desempeo de sus responsabilidades. La norma est escrita empleando su propio lenguaje; es tan concisa como puede serlo una gua de gobierno corporativo; y, les habilita para controlar aquello que ellos no entienden, poniendo el foco sobre las cosas que ellos s entienden. CobiT, ISO 17799/27001, ITIL, CMMi, PMbok, Prince2, ISO 2000 ISO 38500, etc., son todos muy buenos marcos de referencia (frameworks) y estndares de jure para mejorar la actividad de TI, vista desde los procesos. La clave es entender el foco de cada uno, revisar las necesidades de la organizacin y adoptar el/los estndares que mejor se apliquen. Pero hay que entender que la complementacin y combinacin de estos estndares dar mayores beneficios a toda la organizacin y en todos sus niveles.