Gestión de

Sistemas e
Informática

ISO/IEC 38500
Ing. Max Del Castillo
 Objetivo de la
Sesión
“Los estudiantes Reconoce los
principios y requisitos para la
implementación del ISO 38500 en
las organizaciones.”

Inicio
 ISO/IEC 38500:2015:a
• Governance of IT for the organization

Normas de la ISO/IEC 38501

• Implementation Guide
Familia
ISO/IEC ISO/IEC 38502
• Framework and Model
38500
ISO/IEC 38503
• Assesment of the governance

ISO/IEC 38504
• Guidance for principles-based standards in the governance

Inicio
 ISO/IEC 38505-1
• The application ofISO/IEC 38500 to the governance of data Part 01

Normas de la ISO/IEC 38505-2

Familia • The application ofISO/IEC 38500 to the governance of data
Part 02
ISO/IEC
38500 ISO/IEC 38506
• Application of ISO/IEC38500 to the governance of IT enabled
investments

ISO/IEC 38507
• Governance of IT – Governance implications ofthe use of Artificial
Intelligence by organizations

Inicio
Línea Histórico - Evolutivo ISO 38500:2015

1996 2000 2005 2008 2012 2015

• Publican el • Publicación • Publican el • Primera • CobIt 5 • Segunda

Marco Cobit ISO/IEC ISO/IEC versión del edición de
- ISACA 17799 20000 ISO/IEC ISO/IEC
Primera Requisitos 38500 38500
versión del para la
ISO/IEC gestión de
27002 Servicios de
Directrices TI
de la
gestión de
seguridad.

Desarrollo
De la primera versión 2008 a la vigente 2015
Aspecto de Mejora ISO/IEC 38500:2008 ISO/IEC 38500:2015
Ampliación hacia el gobierno
Alcance Enfoque limitado al gobierno de TI
corporativo de TI
considerando el contexto
centrado en los órganos de gobierno
organizacional
Énfasis en los órganos de gobierno y Alineación estratégica de las TI con los
Perspectiva
su responsabilidad objetivos del negocio

Responsabilidad principal de los Enfoque en la responsabilidad y

Responsabilidad
órganos de gobierno participación de toda la organización

Alineación estratégica de las TI con la

Alineación Estratégica No enfatizada de manera explícita
estrategia empresarial
Reconocimiento del contexto
Enfoque menos flexible en diferentes
Contexto Organizacional específico y las necesidades
contextos
organizacionales

Inclusión de orientaciones prácticas

Directrices Prácticas Limitadas
para la implementación efectiva

Enfoque en supervisión y dirección Fomento de la colaboración y relación

Colaboración y Relaciones
por parte de órganos de gobierno entre partes interesadas

Énfasis en la adaptabilidad al contexto

Desarrollo
Menos énfasis en adaptarse a las
Adaptabilidad organizacional y las necesidades
necesidades individuales
específicas
Modelo de Gobierno de TI ISO 38500:2015

Desarrollo
 Mod. Gob. ISO 38500:2015 - Componentes

Tareas Clave
Analizar y valorar el desempeño
actual de las TI en relación con los
Evaluar
objetivos estratégicos y las
necesidades del negocio

Establecer la dirección estratégica y

ORGANISMO Dirigir las prioridades para el uso y gestión
efectivos de las TI.
DE GOBIERNO
Supervisar de manera continua el
desempeño y el cumplimiento de las
Monitorear
TI en relación con los estándares y
objetivos establecidos.

Responsable de dirigir y supervisar el gobierno

efectivo de las tecnologías de la información (TI).
Este organismo está compuesto por individuos o
entidades que tienen la autoridad y
responsabilidad final sobre las decisiones
estratégicas y políticas relacionadas con las TI
Desarrollo
 Mod. Gob. ISO 38500:2015 - Componentes

Responsabilidades
Implementan la estrategia de TI
Implementación de Estrategias de TI definida por el organismo de gobierno
Gestores utilizando los SGTI

Sistemas de Gestión para el Dirigen y supervisan la ejecución de

proyectos y la entrega de servicios de
uso de TI Gestión de Proyectos y Servicios de TI
TI, asegurando el cumplimiento de
estándares y procedimientos.

Colaboran con los SGTI para identificar,

Los gestores de TI son profesionales responsables evaluar y gestionar los riesgos de
Gestión de Riesgos y Seguridad de TI
seguridad y operativos asociados con
de dirigir, supervisar y ejecutar las actividades las actividades de TI y resiliencia digital.
relacionadas con las tecnologías de la
información en una organización. Trabajan en Utilizan los SGTI para monitorear el
colaboración estrecha con los Sistemas de desempeño de los sistemas y servicios
Monitoreo y Mejora Continua
de TI, identificando áreas de mejora y
Gestión para el Uso de TI (SGTI), que constituyen oportunidades de optimizació
los procesos, estructuras y sistemas
organizacionales que facilitan la gestión efectiva
de las TI en la organización

Desarrollo
Mod. Gob. ISO 38500:2015 – Influencias y Factores que afectan el gobierno

Obligaciones Regulatorias (Regulatory

Requirements):
Definición: Son las normativas, leyes y
regulaciones que una organización debe cumplir
en relación con el uso y gestión de las TI.
Ejemplos: Leyes de protección de datos,
regulaciones de seguridad cibernética, normativas
Presión del Negocio (Business Pressure): Fuente de Autoridad (Source of Authority):
de privacidad, requisitos de cumplimiento sectorial
Definición: Se refiere a las demandas y expectativas del Definición: Es la base o el origen de la autoridad
entorno empresarial que impulsan la necesidad de utilizar para tomar decisiones relacionadas con las TI
y gestionar las tecnologías de la información de manera
dentro de la organización.
efectiva.
Ejemplos: Competencia en el mercado, cambios en las Ejemplos: Consejo de administración, junta
preferencias de los clientes, oportunidades emergentes, directiva, comité de TI, director de tecnología
necesidades operativas y estratégicas de la organización (CIO), gerentes de departamento, entre otros

ORGANISMO DE
GOBIERNO
Necesidades de Negocio (Business Needs):
Expectativas de los Stakeholders (Stakeholder Definición: Son los requisitos y objetivos
Expectations): empresariales que deben ser apoyados y
Definición: Son las expectativas y requerimientos de los habilitados por las tecnologías de la información.
diferentes grupos de interés (stakeholders) que tienen un Ejemplos: Mejora de la eficiencia operativa,
interés en el uso y desempeño de las TI en la expansión del mercado, desarrollo de nuevos
organización. productos o servicios, optimización de procesos
Ejemplos: Accionistas, clientes, empleados, proveedores,
empresariales, cumplimiento de objetivos
reguladores, socios estratégicos, entre otros.
estratégicos
Mod. Gob. ISO 38500:2015 – Principios

Responsabilidad
• “Los individuos y grupos de la organización comprenden y aceptan sus responsabilidades
respecto tanto a la provisión como a la demanda de las TSI. Aquellos que tienen la
responsabilidad de ciertas acciones también tienen la autoridad para llevarlas a cabo”

Estrategia
• “La estrategia del negocio de la organización tiene en cuenta las capacidades actuales y
futuras de las TSI, y los planes para el uso de las TSI satisfacen las necesidades actuales y
futuras de la estrategia organizacional”

Adquisición
• “Las adquisiciones de TSI se hacen por razones válidas, sobre la base de un análisis
apropiado y continuo, con una toma de decisiones clara y transparente. Existe un balance
apropiado entre beneficios, oportunidades, costes y riesgos, tanto a corto como a largo
plazo”

Desempeño
• “Las TSI son adecuadas para el propósito de soportar a la organización, proporcionar los
servicios, niveles de servicio y calidad de servicio requeridos para satisfacer los requisitos
actuales y futuros del negocio”
Mod. Gob. ISO 38500:2015 – Principios

Conformidad
•“El uso de las TSI cumple con toda la legislación y
normativa obligatoria. Las políticas y las prácticas se
definen, implementan y hacen cumplir con claridad”
Comportamiento Humano
•“El uso de las TSI cumple con toda la legislación y
normativa obligatoria. Las políticas y las prácticas se
definen, implementan y hacen cumplir con claridad”
NTP –ISO /IEC 38500 2016 - Objetivos

Proporciona principios, definiciones y un modelo para evaluar,

dirigir y monitorear el uso de las TI en las organizaciones.

Proporciona orientación general sobre la gobernanza de TI

Orienta las inversiones de TI para los objetivos

organizacionales

Aplicable a todas las organizaciones, independientemente del

tamaño, propósito, estructura y diseño.
NTP –ISO /IEC 38500 2016 – Definición de la Gobernanza Digital

“Sistema por el cual el uso actual y futuro

de las TI es dirigido y controlado”

Gobierno Corporativo de TI
Gobernanza empresarial de TI
Gobernanza Organizacional de TI
NTP –ISO /IEC 38500 2016 – Beneficios de Implementación

Innovación

Alineamiento de TI

Implementación y Operación Adecuada de TI

Responsabilidad y rendición de cuentas en inversiones de TI

Continuidad del negocio y sostenibilidad.

Asignación eficiente de recursos enfocado a resultados de TI

Buenas prácticas en relaciones con interesados.

NTP –ISO /IEC 38500 2016 – Riesgos Específicos

Infracciones a la Privacidad, spam,

saludad e integridad. Legislación
sobre almacenamiento de
registros

Incumplimiento de normas de
seguridad enfocado a la
responsabilidad social.

Incumplimiento de normas de
propiedad intelectual, incluye
licencias de uso.
NTP –ISO /IEC 38500 2016 – Principios Vs Tareas Clave

Principio Evaluar Dirigir Monitorear

Responsabilidad • Acciones para asignar • Dirigir las • Monitorear que los
responsabilidades estrategias de que recibieron
para el uso actual y acuerdo con las responsabilidades
futuro de TI responsabilidades conozcan y
• Evaluar las de TI asignadas. entiendan.
competencias de los • Dirigir la recepción • Monitorear el
gerentes de TI de información de desempeño.
los gestores para la
toma de decisiones.
NTP –ISO /IEC 38500 2016 – Principios Vs Tareas Clave

Principio Evaluar Dirigir Monitorear

Estrategia • Los desarrollos de TI • La preparación y • Progreso de
• Procesos de Negocio uso de estrategias y proyectos de TI
• Alineamiento de TI políticas de TI. aprobados.
• Uso de TI sujeto a • Alentar la • Beneficio de TI con
gestión de riesgos. presentación de los Objetivos
propuestas de TI organizacionales.
innovadoras.
NTP –ISO /IEC 38500 2016 – Principios Vs Tareas Clave

Principio Evaluar Dirigir Monitorear

Adquisición • Opciones de • Adquisiciones de TI • Inversiones en TI
proyectos de TI, apropiadas, (capacidades
balanceando riesgos y mediante requeridas, calidad,
costos. documentación y idoneidad)
garantizando la
capacidad
requerida.
• Acuerdos de
suministro apoyen a
la organización.
NTP –ISO /IEC 38500 2016 – Principios Vs Tareas Clave

Principio Evaluar Dirigir Monitorear

Desempeño • Planes operativos que • Asignación de • Grado de
apoyen los procesos recursos a los alineamiento de TI
de negocio. proyectos de TI. (términos
• Riesgos a la integridad financieros)
de la información y la • Cumplimiento de
protección de activos políticas
de TI • Uso eficiente de TI
• Que se respete la
propiedad intelectual
• Efectividad y
desempeño del
modelo de
gobernanza digital
NTP –ISO /IEC 38500 2016 – Principios Vs Tareas Clave

Principio Evaluar Dirigir Monitorear

Conformidad • TI satisface • Regulación y • Mediante la
obligaciones mecanismos para auditoria y reportes
regulatorias, que las TI cumplan para medirla
legislativas, las obligaciones. satisfacción de la
contractuales, normas • Cumplimiento de organización.
internas, políticas y políticas. • Actividades de TI
directrices • Personal de TI que que cumplan las
profesionales. cumple las regulaciones
• Conformidad de la directrices. externas e internas.
organización con el • Ética.
modelo de
gobernanza digital
NTP –ISO /IEC 38500 2016 – Principios Vs Tareas Clave

Principio Evaluar Dirigir Monitorear

Comportamiento • Los comportamientos • Actividades de TI • Comportamientos
Humano humanos sean consientes con el humanos
considerados. comportamiento identificados y sean
humano. relevantes y
• Riesgos y atención oportuna.
oportunidades
puedan ser
reportados.
 Gestión de
Sistemas e
Informática
Ing. Max Del Castillo

Correo: mdelcastillor@unasam.edu.pe
.