Documente Academic
Documente Profesional
Documente Cultură
INTEGRANTES:
Alarcon Cubas, Flor
Casas Reque, Ricky
Cortez Mirenghi, Rossana
Gonzales Otero, Luis
Jara Rodriguez, Kevin
Salcedo de la Cruz, Pilar
Sempertegui Tocto, Melissa
ISO 38 500
Contenido
HISTORIA............................................................................................................. 2
INTRODUCCION................................................................................................... 4
ACTUALIZACION.................................................................................................. 5
1.
ALCANCE................................................................................................ 6
1.2.
APLICACIN............................................................................................ 6
1.3.
OBJETIVOS.............................................................................................. 6
1.4.
1.4.1 Generalidades...................................................................................... 7
1.4.2 Conformidad de la organizacin..........................................................7
1.4.3 Desempeo de la organizacin............................................................8
2.
3.
2.2.
2.3.
M.......................................................................................................... 10
2.4.
ODELO DE GCTI.................................................................................... 11
2.5.
Responsabilidad................................................................................... 12
3.2.
Estrategia............................................................................................. 13
3.3.
Adquisicin........................................................................................... 13
3.4.
Rendimiento......................................................................................... 13
3.5.
Conformidad......................................................................................... 13
3.6.
Conducta humana................................................................................ 13
ISO 38 500
HISTORIA
El 1 de junio de 2008 vea la luz, de la mano de la Organizacin Internacional de
Normalizacin (International Organization for Standardization, ISO) y de la Comisin
Electrotcnica Internacional (International Electrotechnical Commission, IEC), la norma
ISO/IEC 38500:2008. Corporate Governance of Information Technology.
Por primera vez, una norma de alcance internacional trataba, de manera central, el tema
del Gobierno Corporativo de las Tecnologas de la Informacin. Haban tenido que pasar
diez aos desde la creacin, en 1998, del Instituto para la Gobernanza de las Tecnologas
de la Informacin (Information Technology Governance Institute, ITGI) por parte de
ISACA, la antigua Asociacin para el Control y la Auditora de los Sistemas de Informacin
(Information Systems Audit and Control Association); y haba transcurrido, tambin, casi
una dcada desde que el trmino IT governance apareciese, por vez primera, en el ttulo
de un trabajo acadmico de investigacin de naturaleza tcnica/empresarial: fue el caso
del artculo Arrangements for information technology governance: a theory of multiple
contingencies, firmado el 1 de junio de 1999 -, por los profesores Vallabh Sambamurthy
y Robert W. Zmud.
Sin embargo, la 38500 no constitua la primera iniciativa normalizadora en el mbito del
Buen Gobierno Corporativo de las TIC. Ya en 2002, un grupo de pioneros australianos y
neozelandeses, principalmente, iniciaron un proyecto, bajo la tutela de la entidad
australiana de normalizacin, Standards Australia, que dara lugar a la publicacin oficial,
el 31 de enero de 2005, de la norma nacional australiana AS 8015-2005: Corporate
governance of information and communication technology. De hecho, sera esta norma la
que marcara el camino para la aparicin, tres aos y medio despus, de la norma
internacional, el 1 de Junio.
El citado camino pas por la adopcin de la norma australiana, por parte del Comit
Tcnico Conjunto JTC1 de ISO/IEC, como borrador de norma internacional (Draft
International Standard, DIS), mediante procedimiento de tramitacin rpida. De este
modo, el borrador ISO/IEC DIS 29382 (numeracin provisionalmente asignada a la nueva
norma) fue votado y aprobado por los organismos nacionales de normalizacin, tanto de
ISO, como de IEC. En el caso de Espaa, este papel correspondi a la Asociacin
Espaola de Normalizacin, AENOR. En mayo de 2008, la norma ISO/IEC 29382 fue
renombrada con la que habra de ser su numeracin definitiva: ISO/IEC 38500.
Finalmente, se public unos das despus, el 1 de junio.
Hoy da ISO/IEC 38500:2008 se configura como una norma internacional, de alto nivel (no
entra en detalles tcnicos), basada en principios (establece seis principios para el buen
gobierno corporativo de las TI) y de naturaleza asesora, esto es, trata de ofrecer
directrices (aconseja) sobre el papel que deben asumir los rganos de gobierno de las
organizaciones en relacin al uso que, en ellas, se hace de las TI.
ISO 38 500
ISO 38 500
INTRODUCCION
El objetivo de esta norma es proporcionar un marco de principios para que los Directores
los utilicen al evaluar, dirigir y monitorear el uso de la tecnologa de la informacin (TI) en
sus organizaciones.
La mayora de las organizaciones usan la Tecnologa de la Informacin como una
herramienta fundamental del negocio y pocas pueden funcionar de manera eficaz sin ella.
La Tecnologa de la Informacin tambin es un factor significativo en los futuros planes de
negocios de las organizaciones.
El gasto en Tecnologa de la Informacin puede representar una proporcin importante de
los gastos de una organizacin respecto a sus recursos financieros y humanos. No
obstante, el retorno de esta inversin a menudo no se logra completamente y los efectos
adversos en las organizaciones pueden ser significativos.
Las principales causas de estos resultados negativos son el nfasis en los aspectos
tcnicos, financieros y de programacin de las actividades de Tecnologa de la
Informacin y no el nfasis en el contexto general del negocio en cuanto al uso de la
Tecnologa de la Informacin.
Esta norma brinda un marco para el gobierno eficaz de la Tecnologa de la Informacin
con el fin de ayudar a aquellos en los niveles ms altos de las organizaciones a
comprender y cumplir sus obligaciones legales, reglamentarias y ticas con respecto al
uso que le dan sus organizaciones a la Tecnologa de la Informacin. Este marco abarca
definiciones, principios y un modelo.
El gobierno es diferente de la gestin y, para evitar confusin, los dos conceptos se
definen claramente en la norma.
Aunque esta norma est dirigida principalmente al organismo de gobierno, que a su vez
puede requerir que la gerencia de la organizacin emprenda algunas acciones, tambin
permite que, en algunas organizaciones (por lo general ms pequeas), los miembros del
organismo de gobierno ocupen los roles claves en la gerencia. De esta manera garantiza
que la norma sea aplicable a todas las organizaciones, desde la ms pequea hasta la
ms grande, independientemente del propsito, el diseo y la estructura de propiedad.
La norma tambin est destinada a guiar e informar a aquellos involucrados en el diseo y
la implementacin del sistema de gestin sobre polticas, procesos y estructuras que dan
soporte al gobierno.
ISO/IEC 38500 viene a completar, no sustituir a otras normas y estndares basados en la
buena gestin de los activos que soportan la informacin (ISO27001, COBIT, ITIL, etc)
puesto que, lo que pretende, es proporcionar un marco coherente para garantizar que la
direccin est debidamente implicada en la gestin eficaz de las TI en cualquier mbito y
ISO 38 500
alcance. Es decir, se trata de establecer el buen gobierno para una ptima gestin. La ISO
38500 slo establece qu puede pasar, pero no cmo, cundo o por quin.
Por ello, los gestores que quieran implementar la norma ISO 38500 pueden encontrar en
CobiT una buena referencia de polticas, procesos, estructuras y los controles necesarios
para implementar un sistema de gestin de TI que soporte el gobierno
ACTUALIZACION
SO/IEC TR 38502:2014 provides guidance on the nature and mechanisms of governance
and management together with the relationships between them, in the context of IT within
an organization.
The purpose of ISO/IEC TR 38502:2014 is to provide information on a framework and
model that can be used to establish the boundaries and relationships between governance
and management of an organization's current and future use of IT.
ISO/IEC TS 38501:2015 provides guidance on how to implement arrangements for
effective governance of IT within an organization.
ISO 38 500
Altos directivos;
Miembros de grupos que monitorean los recursos dentro de la organizacin;
Especialistas externos tcnicos o en negocios, tales como legales o contables;
especialistas, asociaciones al detal u organismos profesionales;
Distribuidores de software, hardware, comunicaciones y otros productos de TI;
Proveedores internos y externos de servicios (incluyendo consultores);
Auditores de TI.
1.2. APLICACIN
Esta norma se aplica a todas las organizaciones, incluyendo compaas pblicas y
privadas, entidades gubernamentales y organizaciones sin nimo de lucro. Tambin se
aplica a organizaciones de todos los tamaos, desde la ms pequea hasta la ms
grande, independientemente de la extensin de su uso de TI.
1.3. OBJETIVOS
El propsito de esta norma es fomentar el uso eficaz, eficiente y aceptable de la
Tecnologa de la Informacin en todas las organizaciones a travs de las siguientes
acciones:
ISO 38 500
Normas de seguridad
Legislacin sobre privacidad
Legislacin sobre correo masivo
Legislacin sobre prcticas comerciales
Derechos de propiedad intelectual, incluyendo acuerdos sobre licencias de
software.
Requisitos de conservacin de registros.
Legislacin y reglamentacin ambiental.
Legislacin sobre salud y seguridad
7
ISO 38 500
Es ms probable que los directores que usan las directrices de esta norma
cumplan con sus obligaciones.
ISO 38 500
ODonovan (2003) define gobierno corporativo como un sistema interno que incluye
polticas, procesos y personas, que sirve a las necesidades de los inversionistas y
otros agentes empresariales, mediante el control y la direccin de las actividades de
administracin con objetividad, integridad y buena experiencia empresarial. El xito del
gobierno corporativo es confiado a la apreciacin de los mercados y a la legislacin,
adems de una cultura de direccin sana que salvaguarde las polticas y procesos
corporativos.
El Gobierno Corporativo es un proceso efectuado por el consejo de administracin de
una entidad, su direccin y restante personal, aplicable a la definicin de estrategias en
toda la empresa y diseado para identificar eventos potenciales que puedan afectar a
la organizacin, gestionar sus riesgos dentro del riesgo aceptado y proporcionar una
seguridad razonable sobre el logro de los objetivos.
ISO 38 500
2.3. M
10
ISO 38 500
11
ISO 38 500
3.1. Responsabilidad
Todo el mundo debe comprender y aceptar sus responsabilidades en la oferta o
demanda de TI. La responsabilidad sobre una accin lleva aparejada la autoridad para
su realizacin.
3.2. Estrategia
La estrategia de negocio de la organizacin tiene en cuenta las capacidades actuales y
futuras de las TI. Los planes estratgicos de TI satisfacen las necesidades actuales y
previstas derivadas de la estrategia de negocio.
3.3. Adquisicin
Las adquisiciones de TI se hacen por razones vlidas, basndose en un anlisis
apropiado y continuo, con decisiones claras y transparentes. Hay un equilibrio adecuado
entre beneficios, oportunidades, costes y riesgos tanto a corto como a largo plazo.
3.4. Rendimiento
La TI est dimensionada para dar soporte a la organizacin, proporcionando los
servicios con la calidad adecuada para cumplir con las necesidades actuales y futuras.
12
ISO 38 500
3.5. Conformidad
La funcin de TI cumple todas las legislaciones y normas aplicables. Las polticas y
prcticas al respecto estn claramente definidas, implementadas y exigidas.
13