ISO/IEC38500yelbuengobiernodelasT.I.

BeatrizMartnezCndano CertifiedInformationSecurityManager(CISM) www.sigea.es 30deJuliode2008

Dadoqueenocasioneslainsuficienciadelossistemasdetecnologadeinformacin(TI)o inclusouncortoeinsuficientealcancedeunSistemadeGestinpuedeobstaculizarel desempeoylacompetitividaddelasorganizacionesoexponerlasalgravosoriesgode incumplirlalegislacinvigenteentreotrosmuchosriesgos,larecinpublicadanorma ISO/IEC38500hallegadoparaestablecer,anivelinternacional,unaseriededirectrices, bsicasogeneralistas,deorientacinalaaltadireccinenrelacinconelbuengobierno corporativodeTI. ISO/IEC38500:2008fijalosestndaresdeunabuenagestindelosprocesosydecisiones empresarialesrelacionadosconlosserviciosdeinformacinycomunicacinque,utilizadosde maneracotidianaporunaorganizacin,suelenestargestionadostantoporespecialistasenTI internosoubicadosenotrasunidadesdenegociodelaorganizacin,comoporproveedores deserviciosexternos. Enesencia,todoelloseresumeentrespropsitos: Asegurarelque,silanormaesseguidademaneraadecuada,laspartesimplicadas (directivos,consultores,ingenieros,proveedoresdehardware,auditores,etc.),puedan confiarenelgobiernocorporativodeTI. InformaryorientaralosdirectoresquecontrolanelusodelasTIensuorganizacin. Proporcionarunabaseparalaevaluacinobjetivaporpartedelaaltadireccindela gestindelasTI.

ISO/IEC38500esaplicableaentidadesdetodoslostamaos,incluidaslasempresaspblicasy privadas,organizacionesgubernamentalesconosinnimodelucro. Estanormaalientaautilizarunaseriedemnimosopuntosclaveparaquelaorganizacin puedaobtenersusobjetivosdeTI.Estosmnimossetraducenen6principiosbsicos: 1) 2) 3) 4) 5) 6) Elestablecimientoderesponsabilidades Unabuenaplanificacindelapoyoalamejoradelaorganizacin LaadquisicindebienesdeTIadecuados CalidadenelfuncionamientodelossistemasdeTI Lagarantadeconformidadlegalonormativa Laimplicacindelyelrespetoalfactorhumano

Pero,entendmonosbien,ISO/IEC38500nohallegadoparasustituiraotrasnormasy estndaresbasadosenlabuenagestindelosactivosquesoportanlainformacinya presentesenmuchasempresas(ISO27001,COBIT,ITIL,etc)puestoque,loquepretende,es proporcionarunmarcocoherenteparagarantizarqueladireccinestdebidamenteimplicada enlagestineficazdelasTIencualquiermbitoyalcance.Esdecir,nosetratadeestablecer elmarcoidealparaunabuenagestinsinoelbuengobiernoparaunaptimagestin. Pongamosunejemplo. AmenudosucedequelosdirectoresdeTIsonmspropensosaestarconcienciadosdelos problemasqueunamalagestinousodelossistemasdeinformacinpuedesuponerpor ejemploaefectosdeunaposiblesancinporincumplimientodelaLOPDpuestoquesudaa daestconstantementerelacionadoconposiblesriesgosoproblemasdirectamente relacionadosconlosactivosdeTIolasmedidasquehansidoimplantadasenellos. Porotraparte,nosencontramosconquelaaltadireccinnoessloresponsabledequela empresacumplaconlacitadaley,sinoqueademsrecaesobresushombrosladifciltareade compaginarestecumplimientonormativo,mediantelainversinenmedidasdeseguridad adecuadas,conelretornofinancieropositivohacialossociosy/oaccionistasdelaentidad. Puesbien,estanormapuedeayudartantoalosdirectoresdeTIademostrarquesus obligacioneshansidocumplidascomoalaaltadireccinaobtenermsxitodelesperadoen laconjuncindeestasdosfunciones,puestoquehacequeambosrolestrabajencodocon codo. Enunprimervistazo,podemosdecirquelanormaISO/IEC38500esconcisa,sencillayclara, perononosengaemos;enlamayorpartedelasocasiones,laaplicacinefectivadeun marcoadecuadodebuengobiernodeTIsehaceextremadamentecomplejo,aunqueesta normapuedecontribuirasimplificarloyoptimizarlo.