NORMAS DE GESTIN AVANZADA 2011 La Norma ISO/IEC 38500-Buen Gobierno de las Tecnologas de la Informacin.

La Norma ISO/IEC 38500. Aspectos bsicos

Carlos Manuel FERNANDEZ Ing. en Informtica, CISA, CISM. Coordinador de TICs./ Jefe Certificaciones TICs Direccin de Desarrollo - AENOR

ndice
Qu son las Normas vs Google. Teora del caos vs AENOR-Desarrollo Estratgico Gestin de las TICs : Gestin del CITI (incluyendo PDCA) Gobierno de TI ISO/IEC 38500 Aspectos bsicos Certificacin de conformidad segn ISO 17021 Futuro de las TICs con ISO

AENOR 25 aos
Asociacin privada Sin nimo de lucro

Constitucin: 1986
Real decreto 2200/95 AENOR Corporacin AENOR INTERNACIONAL (+ 12 filiales) AENOR Mxico ( + 10 aos en Mxico DF y Delegaciones) Multisectorial Normalizacin Certificacin productos, servicios, sistemas de gestin y personal Servicios de Formacin

Normas con relacin con TICs / Google

ISO 27002 Gua de controles ISO 27001 S.G. Seguridad de la Informacin BS25999 (1 y 2) Gestin de continuidad de negocio IT Governance

TICs

ISO 15504 SPiCE

20000ISO 20000-2 Gua de buenas prcticas 20001ISO 20001-1 S.G. STI

ISO 19770 SAM

ISO 12207 Ciclo de vida de desarrollo de software

Gestin de las TICs con criterios de Negocio

Informe Penteo:
Slo un 21% de las cas gestionan el dpto. de SI con criterios de negocio 31 % gestionan el dpto. de SI slo con criterios tecnolgicos 48 % gestionan con criterios hbridos

Conclusiones:
La Direccin de las cas. Tiene una percepcin ms positiva de los CIOs que siguen criterios de Negocio. Les dan el rol de lderes contribuidores de negocio en un 58% La Gestin de las TICs mejora el posicionamiento del dpto. de SI y del CIO En un futuro los CIOS ms gestores y menos tecnlogos (Encuesta a: 85 Directores de TICs, 36 Dir. Generales y 12 Presidentes)

La Norma ISO/IEC 38500. Aspectos bsicos

Definiciones Bsicas
Gobierno Corporativo de TI (Corporate governance of IT) El sistema mediante el cual se dirige y controla el uso actual y futuro de las TI. (Plan de negocio Plan de TI) Gestin de las TI (IT Management) El sistema de procesos y/o controles requeridos para lograr los objetivos establecidos por la Direccin. (Negocio). La direccin, planificacin, diseo, desarrollo, implantacin, operacin y mantenimiento de las TI para satisfacer las necesidades de la empresa.

6 Principios de Buen Gobierno

(1 de 2)

Principio 1. Responsabilidad Los individuos y grupos dentro de la organizacin deben comprender y aceptar su responsabilidades con respecto a la oferta y la demanda de TI. Las personas con responsabilidad de las acciones tambin tienen la autoridad para llevar a cabo esas acciones. Principio 2: Estrategia Se consideran los planes estratgicos de TI para satisfacer las necesidades actuales y futuras derivadas de la estrategia de negocio. La estrategia de negocio de la organizacin tiene en cuenta las actuales y futuras capacidades de las TI. Principio 3: Adquisicin Las adquisiciones de TI se hacen por razones vlidas, sobre la base de adecuada y anlisis en curso, con la decisin clara y transparente de decisiones. Hay equilibrio adecuado entre los beneficios, oportunidades, costos y riesgos, tanto en a corto y largo plazo.

6 Principios de Buen Gobierno

(2 de 2)

Principio 4: Rendimiento Las TI debe estar dimensionada para dar soporte a la organizacin, proporcionando lo servicios con la calidad adecuada para cumplir con las necesidades actuales y futuras. Principio 5: Conformidad Cumple con todas las legislaciones y normas obligatorias. Las polticas y prcticas estn claramente definidas, aplicadas y ejecutadas. Principio 6: Factor Humano Las polticas de TI, las prcticas y decisiones demuestran respeto al factor humano, incluyendo las necesidades actuales y futuras de todas las personas involucradas.

Modelo de Gobierno Corporativo de TI

La direccin ha de gobernar las TI mediante 3 tareas principales:
Evaluar Dirigir Monitorizar

Modelo de Gobierno Corporativo de TI

Evaluar: La direccin debe examinar y juzgar sobre el uso actual y futuro de las TI, incluyendo estrategias, propuestas y acuerdos de suministro (ya sea interno, externas, o ambas cosas).

Modelo de Gobierno Corporativo de TI

Dirigir: La direccin debe asignar la responsabilidad, y la preparacin
directa y aplicacin de planes y polticas. Asegurar la correcta transicin de los proyectos a la produccin considerando los impactos en la operacin, el negocio y la infraestructura. Impulsar una cultura de buen gobierno de TI en la organizacin.

Modelo de Gobierno Corporativo de TI

Monitorizar: La direccin debe vigilar, a travs de sistemas de medicin
adecuados, el rendimiento de las TI. Deben convencerse que el rendimiento est en conformidad con los planes, en particular con respecto a los objetivos de negocio.

Gua orientativa para el Gobierno de las TI

Principios Responsabilidad Dirigir
- Planes con Responsabilidad Asignada - Recibir informacin y rendir cuentas

Monitorizar
-Mecanismos establecidos Gobierno TI - Asignacin Responsabilidades (entendimiento) - Desempeo responsables Gobierno de TI - Supervisar el progreso de las propuestas aprobadas - Alcanzar objetivos en plazos establecidos - Utilizar recursos asignados - Uso de TI, alcanzando beneficios esperados - Inversiones y capacidades requeridas - Entendimiento Interno/Externo necesidades Negocio

Evaluar
- Asignacin Responsabilidades - Competencias responsables

Estrategia

- Creacin y uso de planes y polticas - Asegurarse beneficios TI en el negocio - Alentar propuestas innovadoras -Activos de TI se adquieren de manera apropiada -Documentos Capacidad Requerida - Acuerdos de Suministro respalden necesidades negocio - Asignacin Recursos Suficientes - Asignar prioridades y Restricciones - Satisfacer Necesidades de Negocio - Datos correctos, actualizados, protegidos -TI cumple obligaciones, normas y directrices -Establecer y aplicar polticas (uso TI interno) - Personal TI cumple directrices, desarrollo y conducta -tica rige acciones relacionadas TI -Actividades TI compatibles con Factor Humano -Informar por cualquier individuo (riesgos, problemas) -Administracin riesgos segn polticas y procedimientos - Escalado a los decisores

- Evaluar el progreso propuestas aprobadas - Evaluar actividades TI y alineamiento - Mejores practicas - Satisfaccin interesados - Valoracin y evaluacin de Riesgos - Alternativas propuestas - Propuestas aprobadas - Anlisis de riesgo / valor - Inversiones -TI sustenta procesos de negocio. Dimensionado y Capacidad - Riesgos: continuidad operaciones -Riesgos: integridad informacin, proteccin activos -Decisiones uso TI. Apoyo al negocio -Eficacia y desempeo Gobierno TI -TI cumple Obligaciones, Normas y Directrices -Conformidad Gobierno TI

Adquisicin

Rendimiento

- Grado TI Sustenta Negocio - Recursos e Inversiones Priorizados Necesidades Negocio - Poltica Precisin Datos (fiabilidad, exactitud e
integridad)

- Poltica uso eficiente TI

Cumplimiento

-Cumplimiento y Conformidad (Auditorias/Informes) -Oportunos, Completo, Adecuados (Necesidades Negocio) -Actividades TI

Factor Humano

-Identificar, prestar atencin a las actividades TI -Practicas de trabajo son consistentes con el uso apropiado de TI

- Se identifican actividades TI, que aseguran que los RRHH estn identificados y considerados adecuadamente.

Fuente: Manuel Ballester (U. Deusto). Revista Dintel n 32. Mayo 2009

Beneficios del Gobierno de TI

Establece un modelo para el Gobierno de TI, basado en Dirigir, Monitorizar y Evaluar. Este estndar establece 6 principios para la eficacia, eficiencia y uso aceptable de las TI. Este estndar asegura que las organizaciones realizan un adecuado estudio de riesgos y evalan nuevas oportunidades en el uso de las TI. Este estndar fomenta el uso de otros estndares para apuntalar la gestin de las TI (CITI Control Interno Tecnologas Informacin) Este estndar deja claro que se debe cumplir con la legislacin vigente Este estndar es un subconjunto del Gobierno Corporativo de las empresas / instituciones.

Proceso de Certificacin de Conformidad ISO 38500

FASE 1: PLANIFICACIN DE LA AUDITORA Y ESTUDIO DE DOCUMENTACIN (presencial) CUESTIONARIO PRELIMINAR Y SOLICITUD

Informe fase 1
FASE 2 REALIZACIN DE LA AUDITORA (presencial)

Auditoras de mantenimiento de la certificacin de conformidad

AUDITORAS DE RENOVACIN (AL TERCER AO) AUDITORAS DE SEGUIMIENTO (AL SEGUNDO AO) AUDITORAS DE SEGUIMIENTO (AL PRIMER AO)

Auditora de certificacin de Conformidad (ISO 17021)

Informe final
ELABORACIN DEL INFORME DE EVALUACIN Y DECISIN

REGISTRAR LOS RESULTADOS

Informe de Evaluacin y Decisin

CONCESIN DEL CERTIFICADO DE CONFORMIDAD

El tiempo de los Procesos en las TICs

80s (mecanizar operaciones) 90s (Help Desk y control presupuestario) Finales 90s (E-Commerce y marketplace) XXI- (ITIL, CMMI, COBIT, ISO, etc..) : definir, medir y analizar: Ciclo Mejora Continua. Los procesos en TICs: incrementando el desarrollo de productos e innovacin) CIOs se convierten en CPOs (Chief Process Officers) integrados con los objetivos del negocio. Fuente: David Flint. Vice President de Gartner. Research. (Junio -2008).

Algunos Datos de AENOR en TICs

Certificaciones en SGSI (UNE ISO 27001): ms de 250 empresas certificadas (Diciembre 2010). Desde PYMES hasta grandes Corporaciones. (INDRA, British Telecom, Buro de Crdito (Mexico), Movistar Argentina, Hospital Juan Pablo II Polonia, IECISA, GMV, Start-Up, Intermark, Telecable, IBERIA, Ministerio de Sanidad, Organizacin Nacional de Transplantes, CajaAstur, Cluster TIC de Asturias, etc.) Certificaciones en SGSTI (UNE ISO 2000-1): + 70 empresas certificadas (El Corte Ingls CPD, Telefnica Soluciones, SIA, Tecnocom, Xunta de Galicia, HUNOSA, IECISA, Caixa Galicia, Cepsa, Caja Madrid, Cluster TIC de Asturias, etc. ). Certificacin de Conformidad Gobierno de TI (ISO/IEC 38500): 1 empresa con certificado de conformidad (Rural de Servicios Informticos RSI) Otras Certificaciones en TICs : Spice-ISO 1554 ( + 20 empresas Nivel 2), BCM (2 empresas SANITAS y pdte. Bur Crdito-Mxico) SAM, (1 empresa Tecnofor) etc.

Sistemas de Gestin en las TICs. Una historia reciente

La simplicidad es la mayor de las sofisticaciones Leonardo Da Vinci

Un Nuevo Reto en las TICs:

El Gobierno de TI y la Gestin Integrada (PDCA) de las TICs alineadas con el Negocio.

Muchas Gracias
Carlos Manuel FERNANDEZ

cmfernandez@aenor.es AENOR Asturias

PCT de Gijn. Edificio FADE Profesor Potter, 51. Cabuees 33203 GIJN Tel.: 985 196 011 Fax: 985 373 722 dpa@aenor.es