jueves, 3 de marzo de 2011

ISO 38500: El camino hacia el gobierno TI

La norma ISO 38500 ha pasado casi inadvertida en el mundo de las TIC y más aún en las Administraciones Públicas. Como indicaba en un post anterior  sobre Gobierno TI en el Sector Público , la idea que nos viene a todos a la cabeza al hablar de Gobierno TI está equivocada.

El Gobierno TI no tiene tanto que ver con las actividades de gestión de las TI por parte de los profesionales a cargo de las unidades de tecnologías de la información, sino con la responsabilidad que tiene la alta dirección de las organizaciones en conseguir que las acciones de las unidades de TI vayan en consonancia con la estrategia de la organización.

Normalmente, a los profesionales de las TIC nos gusta hablar del Gobierno TI aunque, en realidad, el Gobierno TI está relacionado en cierto sentido con el control que los responsables de las organizaciones deben ejercer sobre las unidades de TI. Esto nos suele gustar menos....

En todo este panorama, aparece la  ISO/IEC 38500:2008. Esta es la primera norma internacional que trata sobre el concepto de Gobierno TI en las organizaciones.  Formalmente se denomina  Corporate governance of information technology  y fija los estándares para el buen gobierno de los procesos y decisiones empresariales relacionadas con los sistemas y tecnologías de la información.

Fue publicada en junio de 2008 en base a la norma australiana AS8015:2005 y es la primera de una serie sobre normas de gobierno de TIC. Está alineada con los principios de gobierno corporativo recogidos en el “Informe Cadbury” y en los “Principios de Gobierno Corporativo de la OCDE.”

Los objetivos principales de la norma se pueden concretar en:
  • Asegurar que, si la norma es seguida de manera adecuada, las partes implicadas (directivos, consultores, ingenieros, proveedores de hardware, auditores, etc.), puedan confiar en el gobierno corporativo de TIC.
  • Informar y orientar a los directores que controlan el uso de las TIC en su organización.
  • Proporcionar una base para la evaluación objetiva por parte de la alta dirección en el gobierno de las TIC.
Es conveniente insistir en que la norma está dirigida principalmente a la alta dirección de las organizaciones para hacerles entender y ayudarles a cumplir sus obligaciones legales, regulatorias y éticas respecto al uso de las TIC en sus organizaciones.
No es, por lo tanto, un estándar de Gestión de las TI , sino de Gobierno TI en el sentido más estricto.
 
Principios

La norma define seis principios de un buen gobierno corporativo de TIC:
  •  Responsabilidad—Todos los grupos e individuos de la organización  deben comprender y aceptar sus responsabilidades tanto en  el uso (demanda) como en la provisión de los servicios de TI. La responsabilidad sobre una acción lleva aparejada la autoridad para su realización.
  •  Estrategia—La estrategia de negocio de la organización tiene en cuenta las capacidades actuales y futuras de las TIC.  Los planes estratégicos de TIC satisfacen las necesidades actuales y previstas derivadas de la estrategia de negocio.
  •  Adquisición—Las adquisiciones de TI se hacen por razones válidas, en base a un análisis apropiado y continuo, con decisiones claras y transparentes. Hay un equilibrio adecuado entre beneficios, oportunidades, costes y riesgos tanto a corto como a largo plazo.
  •  Rendimiento—La TI está dimensionada para dar soporte a la organización, proporcionando los servicios con la calidad adecuada para cumplir con las necesidades actuales y futuras.
  •  Conformidad—La función de TI cumple todas las legislaciones y normas aplicables. Las políticas y prácticas al respecto están claramente definidas, implementadas y exigidas.
  •  Factor humano—Las políticas de TIC, prácticas y decisiones demuestran respeto al factor humano, incluyendo las necesidades actuales y emergentes de toda la gente  involucrada.
Tareas fundamentales del Gobierno TI

Una vez establecidos los principios básicos que deben regir el Gobierno TI de las organizaciones, la norma ISO 38500 define el modelo básico para que la alta dirección haga efectivo dicho gobierno Esto debe conseguirse mediante la ejecución de tres tareas fundamentales:

  • Evaluar—Examinar y juzgar el uso actual y futuro de las TIC, incluyendo estrategias, propuestas y acuerdos de aprovisionamiento (internos y externos).
  • Dirigir—Dirigir la preparación y ejecución de los planes y políticas, asignando las responsabilidades al efecto. Asegurar la correcta transición de los proyectos a la producción,  considerando los impactos en la operación, el negocio y la infraestructura. Impulsar una cultura de buen gobierno de TIC en la organización.
  •  Monitorizar—Mediante sistemas de medición, vigilar  el rendimiento de la TIC, asegurando que se ajusta a lo planificado.
La norma establece una relación entre principios y tareas fundamentales del Gobierno TI y presenta un modelo básico para entender cómo ejercer el Gobierno TI de acuerdo al modelo, a los principios y a las tareas.

  Si bien la explicación del estándar está fuera del objetivo de este post, sí quiero animar a leer la norma.

Contrariamente a lo que se puede pensar, es un documento ligero, de unas 25 páginas de extensión, si no recuerdo mal.



No es la "panacea", como no lo es ninguna norma o buena práctica, pero si es un buen punto de conocimiento y reflexión....para los altos responsables de las unidades del Sector Público.


2 comentarios:

Juan Carlos Reátegui Morales dijo...

En FONCODES estamos implementando la ISO 38500 Gobierno Corporativo de TI, afín que los Stakeholders tengan confianza que las inversiones en TI son las mas adecuadas y que la TI esta alineada con las estrategias del negocio.

Unknown dijo...

COBIT 5 nos ha servido de base para la implementación, pero hemos tenido tropiezos, no todos aceptan que es un reto que vale la pena.
También la la NTP ISO 27001 (RM N° 004-2016-PCM Implementación de la ISO 27001:2014) ayuda y se complementa con el Sistema de Control Interno (LEY Nº 28716.-Ley de Control Interno de las entidades del Estado)

Publicar un comentario

Agradecemos tu comentario