See discussions, stats, and author profiles for this publication at: https://www.researchgate.

net/publication/254864701

Fundamentos del Gobierno de TI basados en ISO/IEC 38500

Article · August 2011

CITATIONS READS

0 6,371

1 author:

Haris Hamidovic
Independent Researcher - Information Security
92 PUBLICATIONS   24 CITATIONS   

SEE PROFILE

All content following this page was uploaded by Haris Hamidovic on 03 June 2014.

The user has requested enhancement of the downloaded file.

GOBIERNO DE TI
Fundamentos del Gobierno
obierno de TI basados en ISO/IEC 38500
Por:Haris Hamidovic, CIA
Traducido por: René Vladimir Contreras
Contreras, MBA, CISA
a presencia de un efectivo sistema
si de
gobierno corporativo, en una compañía
L
individual y a través de una economía
como un todo, ayuda a proveer un
grado de confianza que es necesario
para la apropiada función de una
economía de mercado (1).
El gobierno es un proceso mediante el cual una
junta de directores, a través de la gerencia, guía
una institución en el cumplimiento de su misión
corporativa y protege sus activos. Un gobierno
efectivo ocurre cuando la junta de directores
plantea una guía adecuada a la administración
considerando la dirección estratégica para la
institución y supervisa los esfuerzos de la gerencia
para moverse en esta dirección (2).
A través de los años, TI (Tecnologías de la
información) se ha convertido en el elemento
fundamental de los negocios hasta el punto que
q
sería imposible para muchos operar sin ella.T
ella.TI ya
no se encuentra separada de la organización, es
un elemento esencial de esta última. Mientras en
el pasado los ejecutivos de negocios podían
delegar, ignorar
rar o evitar las decisiones de TI,
ahora esto es imposible en la mayoría de los
sectores e industrias (3).
Un descuido de la junta de directores en relación
r
con las actividades de TI es peligroso, esto origina
en riesgo a la organización de la misma manera
que lo haría una falla en el proceso de auditoría
audito
contable (4). De hecho, el Bank for International
Settlements (BIS) ha anotado que los miembros de
las juntas directivas en instituciones financieras
fi
deberían direccionar TI como un aspecto más de
su agenda estratégica (5).
La dependencia crítica sobsobre la tecnología de
información hace un llamado para enfocar de
manera específica el gobierno de TI con el
propósito de asegurar que las inversiones en esta
área generen el valor requerido para el negocio y
que los riesgos asociados con TI sean mitigados (6).
El objetivo principal de este artículo es facilitar
una introducción a los elementos clave del
gobierno de TI,, a los marcos de referencia más
importantes usados por las organizaciones y
facilitar principios que guíen a los directores de
estas últimas hacia un uso eficiente, efectivo y
ISACA BOGOTA CHAPTER
aceptable de las tecnologías de información
basado en ISO/IEC 38500:2008 (7). Este debería
asistir a los miembros de la junta de directores
para comenzar a cumplir las obligaciones con
respecto al uso de TI en sus organizaciones.
organi
¿Cuál es el alcance del Gobierno
G de TI?
4
El IT Governance Institute (ITGI) establece, que
fundamentalmente el Gobierno de TI se encarga
de dos cosas: la entrega de valor de TI al negocio y
la mitigación de los riesgos de TI. El primero se
logra a través del alineamiento estratégico de TI
con el negocio.
El segundo se alcanza haciendo de la
responsabilidad algo inherente a la organización.
Ambos necesitan ser soportados por recursos
adecuados y medidos con el propósito de
asegurar el logro de los objetivos.
Esto conduce a las cinco principales áreas que
rigen el gobierno de TI, todas apalancadas por el
valor de las distintas partes interesadas
(stakeholders). Dos de ellas son resultados: la
entrega de valor y la gestión de riesgos. Tres de
ellas son facilitadores: alineamiento estratégico,
gestión de recursos (los cuales se sobreponen
entre ellos) y medición del desempeño. El
gobierno de TI es también un ciclo de vida
continuo (8).
El gobierno de TI es distinto de la administración
de TI. El gobierno determina quién toma las
decisiones. La administración es el proceso de
toma de decisiones y su implementación (9).
El gobierno de TI es el encargado de tomar las
decisiones más importantes, quien posee la
información clave y provee un adecuado
direccionamiento para la implementación de esas
decisiones. Esto no es un sinónimo de la
administración de TI. El gobierno de TI está
relacionado con la toma de decisiones correctas,
mientras la administración de TI hace referencia a
la toma y la implementación de decisiones
específicas de TI (10).
Marcos de referencia para el gobierno de TI
Los expertos sugieren marcos de referencia
detallados y dirigidos a apoyar la implementación
de acciones por parte de la gerencia media. Tales
documentos son conocidos como marcos de
referencia para el gobierno de TI. Algunos de los
más frecuentemente citados son: (11)
• COBIT (12)
• IT Infrastructure Library (ITIL) (13)
• ISO/IEC 27001 (14)
Aunque están caracterizados como “Marcos de
referencia para el gobierno de TI”, algunos de
ellos son marcos de referencia hechos para la
administración (15).
Esos marcos de referencia no son alternativas de
tratamiento para los mismos aspectos.
COBIT es un marco de referencia para el gobierno
de TI y es un conjunto de herramientas de apoyo
que permiten a los gerentes de TI encadenar los
conceptos asociados a los requerimientos de
control, los aspectos técnicos y los riesgos de
negocio.
COBIT habilita el desarrollo de políticas claras y
buenas prácticas para el control de TI en las
organizaciones. Hace énfasis en el cumplimiento
regulatorio, ayuda a las organizaciones a
incrementar el valor que ha alcanzado TI, habilita
el alineamiento y simplifica la implementación del
marco de referencia COBIT (16).
ITIL es esencialmente una serie de documentos
que son usados para ayudar en la implementación
de un marco de referencia para la administración
de los servicios de TI. Este marco de referencia,
ISACA BOGOTA CHAPTER
que se puede personalizar, define cómo la
administración del servicio es aplicada en una
organización. Aunque ITIL fue originalmente
creado por la Agencia de Telecomunicaciones y
Computación Central (CCTA, por sus siglas en
inglés), una agencia del gobierno del Reino Unido,
hoy en día está siendo adaptado y usado
alrededor del mundo como un estándar de facto
para las mejores prácticas en la provisión de
servicios de TI. Aunque ITIL cubre un número de
5
áreas, su principal foco está en la administración
de servicios de TI (17).
ISO/IEC 27001:2005 es un estándar que establece
los requerimientos de un sistema de gestión de la
seguridad de la información. Este ayuda a
identificar, gestionar y minimizar el rango de
amenazas a las cuales está expuesta regularmente
la información. Está diseñado para asegurar la
selección de controles adecuados que protejan los
activos de información y brinden confianza a las
partes interesadas, incluyendo los clientes de la
organización (18).
Principios para el buen gobierno
corporativo de TI
Como un ejemplo de la creciente importancia del
gobierno de TI, ISO liberó en 2008 un nuevo
estándar mundial, cuyo objetivo fue proporcionar
un marco de referencia de principios dirigido a los
directores cuando evalúan, dirigen y monitorean
el uso de TI en sus organizaciones. En este
estándar, ISO presenta seis principios para el
gobierno de TI (19):
• Responsabilidad: los individuos y los grupos
en la organización entienden y aceptan sus
responsabilidades con respecto al suministro y
la demanda de los servicios de TI. Aquellos
con la responsabilidad sobre ciertas acciones,
también tienen la autoridad de desarrollarlas.
• Estrategia: la estrategia de negocio de la
organización tiene en cuenta las actuales y
futuras capacidades de TI, los planes
estratégicos para TI satisfacen las necesidades
actuales y en marcha de la estrategia de
negocio de la organización.
• Adquisición: las adquisiciones de TI son
efectuadas por razones válidas, sobre la base
de un análisis apropiado y dinámico, con toma
de decisiones transparentes y claras. Existe
un apropiado balance entre beneficios,
oportunidades, costos y riesgos tanto en el
corto como en el largo plazo.
• Desempeño: TI se ajusta al propósito de
apoyar a la organización y proveer los
servicios, los niveles de servicios y la calidad
de servicio necesarios para alcanzar los
requerimientos actuales y futuros del negocio.
• Conformidad: TI cumple con todas las
regulaciones y la legislación. Políticas y
prácticas están claramente definidas,
implementadas y señaladas con carácter
obligatorio.
• Conducta humana: políticas, prácticas y
decisiones de TI demuestran respecto por la
conducta humana, incluyendo las necesidades
actuales y de evolución para toda la “gente en
el proceso”.
ISO/IEC 38500 recomienda que los directores
debieran gobernar a través de tres principales
tareas:
• Evaluación del uso actual y futuro de TI.
• Preparación directa e implementación de
planes y políticas para asegurar que el uso de
TI se ajusta a los objetivos del negocio.
• Monitoreo de la conformidad de las políticas y
el desempeño en relación con lo planeado.
Implementación del gobierno de TI
Las organizaciones implementan sus esquemas de
gobierno a través de un conjunto de mecanismos
de gobierno: estructuras, procesos y
comunicaciones (20). Mecanismos de gobierno
ISACA BOGOTA CHAPTER
bien diseñados, entendidos y transparentes
promueven comportamientos deseables de TI.
En contraste, si los mecanismos son
implementados de una manera inadecuada,
entonces los esquemas de gobierno fallarán en el
propósito de alcanzar los resultados deseados.
Un gobierno efectivo adopta tres diferentes tipos
de mecanismos:
6
• Estructuras de toma de decisiones: unidades
organizacionales y roles responsables de la
toma de decisiones, tales como comités,
equipos ejecutivos y gerentes de relaciones
entre las instancias de negocios e TI.
• Procesos de alineamiento: procesos formales
para asegurar que las conductas del día a día
son consistentes con las políticas de TI y
proporcionan elementos de juicio para la
toma de decisiones. Allí se incluyen los
procesos de evaluación y propuesta de
inversiones en TI, procesos de excepción en
arquitectura, acuerdos de niveles de servicio y
métricas.
• Enfoques de comunicación: comunicados,
recomendaciones, canales y esfuerzos de
educación que difundan los principios y
políticas del gobierno de TI y los resultados de
los procesos de toma de decisiones de TI.
¿Qué preguntas deberían surgir?
El presidente de la Sociedad Australiana de
Computación, Richard Hogg, dijo:
Así como los gerentes de tecnologías de
información y comunicaciones (TIC) hoy en día
necesitan fortalecer sus habilidades para obtener
un mejor entendimiento de los procesos y las
estructuras de negocios, en la misma medida se
solicita su apoyo; así, las juntas de directores
deben otorgar mayor importancia a los aspectos
relacionados con las TIC. Las juntas de directores
deben aprender qué preguntas plantear acerca
del gobierno de las TIC . . . delegar el gobierno de
las TIC a niveles gerenciales es señal de un
gobierno corporativo pobre. Las TIC son una parte
integral de su negocio y el gobierno de las TIC es
una parte integral del gobierno corporativo (21).
Hacer preguntas sólidas es una forma efectiva
para dar inicio a la implementación del gobierno
de TI. Por supuesto, los responsables del gobierno
esperan buenas respuestas a esas preguntas.
Entonces ellos quieren acción, necesitan
seguimiento. Es esencial determinar no solamente
la acción sino también quién es el responsable de
entregar qué y para cuándo (22).
El Instituto Canadiense de Contadores (CICA, por
sus siglas en inglés) liberó un folleto denominado
“20 preguntas que los directores deberían hacer
acerca de TI”, para asistir a los directores
corporativos en el desempeño de sus
responsabilidades. El documento también
pretende ser una ayuda para los auditores y los
comités de dirección de TI (23). Las preguntas
indican claramente que la responsabilidad
principal recae sobre la administración con
relación a la implementación de los
procedimientos necesarios. Los miembros de la
junta de directores necesitan determinar que la
administración ha adoptados tales procedimientos.
Además, si los directores quisieran ejercer un rol
poco cuidadoso y atento a las actuaciones de la
gerencia, ellos serían negligentes al confiar en los
requerimientos y acciones de esta última, sin
importar qué tan honesta y confiable pueda ser.
Por consiguiente, algunas evidencias
corroborativas serían esenciales. Los directores
deben determinar que los procedimientos se han
adoptado, que son apropiados y deben obtener
una evidencia corroborativa (24).
Conclusión
La madurez del gobierno de los activos clave varía
significativamente en las organizaciones hoy en
ISACA BOGOTA CHAPTER
día. Los activos físicos y financieros son
típicamente los mejor gobernados, y los activos de
información aparecen entre los peor gobernados.
Sin embargo, el gobierno de TI debería ser una
parte integral del gobierno corporativo. Plantear
preguntas apropiadas es una forma efectiva de
dar inicio a la implementación del gobierno de TI.
Los miembros de las juntas de directores deben
aprender qué preguntas plantear acerca del
gobierno de TI. Entonces, ellos necesitan buenas
7
respuestas a esas preguntas y deben requerir
acción. El siguiente paso es implementar
esquemas de gobierno a través de un conjunto de
mecanismos de gobierno tales como estructuras,
procesos y comunicaciones.
Referencias
• (1) Organización para la Cooperación y el
Desarrollo Económico (OCDE), los Principios
de Gobierno Corporativo de la OCDE, Francia,
2004.
• (2) Rock, Raquel, María Otero, Sonia Saltzman,
Principios y Prácticas de Gobernabilidad de
microfinanzas, ACCION International, EE.UU.,
en agosto de 1998.
• (3) Van Grembergen, Wim; Dehaes Steven;
aplicación gobierno Tecnologías de la
Información: Prácticas y Modelos, Casos y
Publicaciones de IGI, EE.UU., 2008.
• (4) Nolan, Richard; McFarlen F. Warren,
"Tecnología de la Información y la Junta de
Directores", Harvard Business Review, 01 de
octubre 2005.
• (5) Banco de Pagos Internacionales (BPI),
"Mejora de la gobernanza empresarial en
Organizaciones Bancarias", septiembre de
1999, se hace referencia en el IT Governance
Institute (ITGI), Liberación de valor: un Primer
Ejecutivo sobre el Papel Fundamental de
Gobierno de TI, EE.UU., 2008.
• (6) Opcit, Grembergen Van y Dehaes de 2008
• (7) Organización Internacional de Estándares
(ISO) y la Comisión Electrotécnica
Internacional (IEC), ISO / IEC 38500:2008, la
gobernanza corporativa de tecnología de la
información, 2008,
www.iso.org/iso/catalogue_detail.htm?csnum
ber=51639
• (8) ITGI, Informe de la Junta de Gobierno de
TI, 2da edición, EE.UU., 2003.
• (9) Weill, Pedro, Juana Ross; Gobierno de TI:
Cómo gestiona la alta dirección las decisiones
en TI para obtener mejores resultados, Prensa
de Negocios de Harvard, EE.UU., 2004.
• (10) Broadbent, Marianne, "Significado de
gobernabilidad de TI", CIO de Canadá, 01 de
abril 2003.
• (11) Musson, David, "La gobernabilidad de TI:
Una revisión crítica de la literatura,"
Gobernanza y Gestión de Tecnologías de la
Información de servicio: Marcos y
adaptaciones, Ed. AileenCater-Steel,
Referencia de Ciencias de la Información,
EE.UU., 2009.
• (12) ITGI, COBIT, 1996-2007, www.isaca.org /
COBIT.
• (13) Oficina de Comercio de Gobierno, IT
Infrastructure Library (ITIL) V3, Reino Unido,
2009.
• (14) ISO y la IEC, ISO / IEC 27001, la
información Técnicas de seguridad de
tecnología de información, sistemas de
gestión de la seguridad-Requisitos de 2005,
www.iso.org/iso/catalogue_detail?csnumber=
42103.
• (15) Van Bon, Jan; Arjen de Jong, Axel Kolthof;
Pieper Mike; Tjassing Ruby, van der
VeenAnnelies; VerheijenTieneke,
Fundamentos de la Gestión de Servicios TI
basada en ITIL ® V3, Editorial Van Haren,
Países Bajos, 2007.
• (16) ISACA, www.isaca.org / COBIT
• (17) Gestión de Servicios de Zona,
www.itil.org.uk
• (18) BSI Management Systems, www.bsi-
emea.com
• (19) Opcit, ISO / IEC 38500:2008
ISACA BOGOTA CHAPTER
• (20) OpcitWeill, y Ross
• (21) Australia ComputerSociety (ACS),
"Destaca ACS Necesidad de una mejor
gobernanza de las TIC", comunicado de
prensa, 05 de marzo 2002.
• (22) Opcit, ITGI, 2003 Canadá
• (23) Canadian Institute of Chartered
Accountants (CICA), "Administración 20
Preguntas que deben hacer al respecto", de
2004.
8
 • (24) Trites, Gerald, "Director de Es el autor de cuatro libros y más de sesenta
Responsabilidad de Gobierno de TI", Revista artículos para publicaciones relacionadas con
Internacional de Sistemas de Información de negocios y tecnología.
Contabilidad, vol. 5, número 2, julio de 2004.
Hamidovic es un experto certificado en Tecnología
de Información por parte del Ministro Federal de
El autor Justicia de Bosnia y Herzegovina.

HarisHamidovic está certificado CIA, y es

actualmente CISO (Chief Information Security Traducción
Officer) en Microcredit Foundation EKI ubicada en
Sarajevo, Bosnia y Herzegovina. Hamidovic se ha René Vladimir Contreras, MBA, es certificado CISA
desempeñó también como especialista de TI en la y actualmente es auditor de sistemas en
Organización para el Tratado del Atlántico Norte COPIDROGAS.
(NATO, por sus siglas en inglés), donde lideró la
Fuerza de Estabilización (SFOR, por sus siglas en
inglés) en Bosnia y Herzegovina.

ISACA BOGOTA CHAPTER

View publication stats