DAVID PAGOADA

1503200301105

ISO 38500
Esta norma tiene por título “Gobierno corporativo de la Tecnología de la información” y por
objeto: “fomentar el uso eficaz, eficiente y aceptable de la Tecnología de la información”; en
estos tiempos donde la atención parece estar centrada básicamente en la ciberseguridad, me
parece importante comprender que hay más áreas de conocimiento que tienen que conocerse; en
esta oportunidad quisiera compartir un punto de vista sobre esta norma, que va mas que solo al
tema de la ciberseguridad (pero lo incluye). Está de más también explicar sobre la importancia de
la normalización, que ya todos lo conocemos. Dentro de las normas existe una “hoja de ruta”,
Gobierno, Gestión, Seguridad, continuidad, operaciones de tecnologías (ITO: Information
Technologies Operation). La norma 38500, es el resultado de lo que en ISACA plantea “separar
el gobierno de la gestión”, el gobierno de IT implica tres verbos : Dirigir (Por medio de planes y
políticas), Evaluar (Propuestas del ITO) y Monitorear (Si el desempeño de las operaciones es
conforme con lo esperado por el negocio); en la base del gobierno se muestran dos Cuadros :
Proyectos TIC y Operaciones TIC; siendo tanta la importancia de comprender que la única
manera de crecer en al compañías es por medio de la implementación de proyectos exitosos; es
tanta esta importancia que la versión de COBIT 2019, crea un nuevo proceso solamente enfocado
con esta áreas (en la versión anterior COBIT 5 estaba inmerso dentro de otro). En este contexto,
esta norma plantea que estos verbos responden a tres principios y en cada uno de ellos se debe
analizar o enmarcar cada uno de los verbos; los principios planteados son:
1.      Responsabilidad.
2.      Estrategia
3.      Adquisición
4.      Desempeño
5.      Conformidad
6.      Comportamiento Humano.
El planteamiento en los principios es realmente simple: en cada uno de los principios hace un
llamado a Evaluar, dirigir y monitorear.
En conclusión, considero que es importante comprender que, para iniciar los procesos de
Gobierno, es importante dar el primer paso: “La Gestión”, y la Gestión en al menos tres
dimensiones: Seguridad, Continuidad y la prestación de servicios. Si bien es cierto este
planteamiento está basado en el planteamiento de la norma ISO 38500, es la misma perspectiva
que se plantea desde ISACA, en uno de los principios de COBIT5 (Separar el gobierno de la
gestión), si comparamos ambos modelos veremos muchas similitudes.
Otro tema importante, es el cambio de paradigma, las TIC, no basan su estrategia en las
tecnologías, si no más bien en la prestación de un servicio que construye valor a la organización
(de allí las propuestas), y los criterios provienen realmente de dos grandes insumos: Presiones
del negocio y necesidades del negocio.
 DAVID PAGOADA
1503200301105

COBIT
COBIT es un marco de trabajo (framework) para el gobierno y la gestión de las tecnologías de la
información (TI) empresariales y dirigido a toda la empresa.
Ha sido promovido por ISACA desde su primera versión en 1996 y actualmente se encuentra
disponible la versión COBIT 2019. En la primera versión del marco de trabajo, COBIT se
estableció como un acrónimo que significa Control Objetives for Information and Related
Technology (Objetivos de Control para la Información y Tecnología Relacionada) y su público
objetivo inicial eran los auditores de TI. La versión actual considera diversas partes interesadas,
no solamente la función de TI de una empresa, sino a otros interesados como la Junta Directiva,
Dirección Ejecutiva, Auditoría, etc.
La TI empresarial significa toda la tecnología y procesamiento de la información que una
empresa utiliza para lograr sus objetivos, independientemente de dónde ocurra dentro de la
empresa. En otras palabras, la TI empresarial no se limita al Depto. de TI de una organización.
¿Para qué sirve?
COBIT sirve para proveer gobierno y gestión para la función de TI y hace una clara distinción
entre estas dos disciplinas que abarcan distintos tipos de actividades, requieren distintas
estructuras organizativas y sirven a diferentes propósitos.
El gobierno asegura que:
 Las necesidades, condiciones y opciones de las partes interesadas se evalúan para
determinar objetivos empresariales equilibrados y acordados.
 La dirección se establece a través de la priorización y la toma de decisiones.
 El desempeño y el cumplimiento se monitorean en relación con la dirección y los
objetivos acordados.
En la mayoría de las empresas, el gobierno en general es responsabilidad de la Junta Directiva o
Consejo de Dirección bajo el liderazgo de su Presidente.
Por su parte, la gestión tiene que ver con planificar, construir, ejecutar y monitorear actividades
en línea con la dirección establecida por el órgano de gobierno para alcanzar los objetivos de la
empresa. En la mayoría de las empresas, la gestión es responsabilidad de la dirección ejecutiva
bajo el liderazgo del director general ejecutivo (CEO).
COBIT define los componentes para crear y sostener un sistema de gobierno: procesos,
estructuras organizativas, políticas y procedimientos, flujos de información, cultura y
comportamientos, habilidades e infraestructura, elementos conocidos en el modelo como
Catalizadores.
COBIT define los factores de diseño que deberían ser considerados por la empresa para crear un
sistema de gobierno más adecuado y trata los asuntos de gobierno mediante la agrupación de
 DAVID PAGOADA
1503200301105
componentes de gobierno relevantes dentro de objetivos de gobierno y gestión que pueden
gestionarse según los niveles de capacidad requeridos.

ITIL
Las siglas ITIL significan Information Technology Infrastructure Library, que traduciríamos
literalmente como Biblioteca de Infraestructura de Tecnologías de Información. ITIL es una guía
de buenas prácticas para la gestión de servicios de tecnologías de la información (TI). La guía
ITIL ha sido elaborada para abarcar toda la infraestructura, desarrollo y operaciones de TI y
gestionarla hacia la mejora de la calidad del servicio.
Los pilares de ITIL son los siguientes principios:
 Procesos, necesarios para la gestión de TI de acuerdo a la alineación de los mismos
dentro de la organización.
 Calidad, entendida como la entrega a cliente del producto o servicio óptimos, es decir,
incluyendo las características acordadas.
 Cliente, su satisfacción es el objetivo de la mejora de los servicios, siendo, por lo tanto el
beneficiario directo de la implantación de las buenas prácticas de ITIL.
 Independencia, siempre deben mantenerse buenas prácticas a pesar de los métodos
establecidos para cada proceso y de los proveedores existentes.
Cabe destacar que, para enfocar ese camino hacia la calidad del servicio, es necesario contar con
información fiable y segura, ya que es imprescindible que ésta sea completa y precisa para la
toma de decisiones
ITIL v4
ITIL ha sido considerado durante mucho tiempo como la “biblia del Service Management”, es
decir uno de los marcos de referencia más utilizados del mundo.
Ha sido a principios de 2019 cuando se actualizó a la versión 4 de ITIL. Su lanzamiento ha sido
necesario para la actualización de la Gestión de Servicios de TI, dado que la era tecnológica y
de transformación digital en la que vivimos convierte la gestión de TI en un desafío cada vez más
grande para adaptarse a las nuevas necesidades de las organizaciones.
Esta cuarta versión responde a los nuevos enfoques de gestión de servicios e identifica Agile,
DevOps y Lean como nuevas prácticas emergentes compenetradas con ITIL.
Debido a su incisión en la entrega de servicios eficiente, ITIL se define como “Sistema de
Valores de Servicio” (SVS). Estos valores son las actividades y componentes de las
organizaciones que a través del trabajo conjunto crean valor. Estos valores pueden ser tanto para
las organizaciones como para sus clientes y el resto de partes interesadas.
Además de los procesos, ITIL v4 incluye diversas prácticas:
 Prácticas generales de gestión: estratégica, gestión de riesgos y de la mejora continua.
 DAVID PAGOADA
1503200301105
 Prácticas de gestión de servicios: Diseño / Transición / Operación del Servicio y Service
Desk.
 Prácticas técnicas: modelos de servicios en la nube.
A su vez, cada una de las estas prácticas se basa en cuatro dimensiones:
1. Organización y personas, a través de una cultura y competencias corporativas.
2. Información y tecnología, entendido como el conocimiento y la información existentes.
3. Proveedores y socios, aquellas partes interesadas directamente involucradas en el
servicio.
4. Flujos de valor y procesos, creación de valor a través de la integración de todas las partes
de la organización.