Estándar asociado a la buena

práctica COBIT
 INTRODUCCIÓN:
Actualmente las organizaciones requieren una aproximación estructurada para
abordar muchos desafíos.
 Para poder definir al GOBIERNO DE TI

Se debe iniciar definiendo al Gobierno Corporativo

Conjunto de responsabilidades y
prácticas

ejecutadas Por la junta directiva y la

administración
finalidad

Proveer dirección estratégica

(ISACA, 2010)
 Pero….

¿De qué manera se provee una correcta dirección

estratégica para la organización?
Garantizando que los objetivos
sean alcanzados.

Estableciendo que los riesgos son

administrados apropiadamente

Verificando que los recursos de

la empresa son usados de
manera responsable
 GOBIERNO DE TI

Es una parte integral del

Gobierno corporativo

Consta
Liderazgo, estructuras organizacionales y procesos

Garantizan

Las TI de la empresa sustentan y

extienden Estrategias y objetivos
Organizacionales
GOBIERNO DE TI

Es una responsabilidad
compartida de la junta
directiva y la
administración ejecutiva
de la organización.

(ISACA, 2010)
Definición de Gobierno de TI según
norma ISO/IEC 38500:2008
“Sistema mediante el
cual se dirige y controla
el uso actual y futuro de
las tecnologías de
información.”
 Implementación del Gobierno de TI
Se tiene en cuenta las diferentes condiciones y circunstancias existentes en una organización,
determinadas por factores como lo son:

Lograr una interacción del gobierno de TI con

la ética y cultura de la organización.

Apegarse a las leyes y regulaciones

vigentes, para el cumplimiento del marco
de gobierno

Considerar la misión, visión y valores de la

organización, para tener un correcto paralelismo del
Gobierno de TI hacia objetivos actuales y a futuro de
la organización.
Implementación del Gobierno de TI

En la estructura organizacional, el
Gobierno de TI se apoyará para su
operación en el organigrama del
negocio, para asignar actividades

Estrategias y tácticas de la
organización, para saber de que
manera la organización realiza
su toma de decisiones y
ejecución de actividades.
Enfoque del Gobierno de TI
Áreas de enfoque del Gobierno de TI
 Alineación Estratégica:
Planes de Negocio
Garantiza la
alineación entre
estratégica
Planes de TI

Alinear

Operaciones de TI Operaciones de
la empresa
 Entrega de Valor:

Ejecuta propuestas
de valor a lo largo del
ciclo de entrega.

Asegura que TI
genere beneficios
prometidos en la
estrategia.
Optimiza costos y
brinda el valor
intrínseco de TI
 Administración de Recursos:

Trata de la inversión óptima

 Aplicaciones.
 Información.
Administración adecuada de
los recursos de TI.  Infraestructura.
 Personas.
Administración de Riesgos:

Riesgos de la función de TI
Se debe hacer una
adecuada
administración Procesos soportados por TI
 Medición del desempeño:

La estrategia de implementación.

La terminación del proyecto.

Rastrea y monitorea Uso de los recursos. BSC

Desempeño de los procesos.

Entrega del servicio.

Lograr metas Traduce la estrategia en

acción.
 Mapa de implementación de
Gobierno de TI para la organización.
Identificar las necesidades de la organización:

Fomentar conciencia

Involucra actividades Todos los niveles de la

organización
Obtener compromiso

También implica

• Analizar metas del negocio y de TI.

• Realizar selección de procesos y controles.
• Analizar riesgos.
• Definir alcances.
Prever la solución de problemas:

La capacidad

Se evalúa
Procesos de TI
La madurez

Posteriormente
definir

Nivel de La madurez apropiados

objetivo y alcanzables
 Planear la solución:

Identificar iniciativas de
mejoras prioritarias y
factibles

Alineados con el valor de

negocio original y los
factores de riesgo.
 Implantar Solución:

 La retroalimentación y lecciones
aprendidas post-implementación.
La obtención exitosa de  Monitoreo de las mejoras sobre
resultados se obtiene: desempeño de la corporación.
 Balanced Scorecard de TI
 Lograr Sustentabilidad:
Gobierno de TI

Se construye integrando
Gobierno corporativo

 Estructuras organizacionales apropiadas.

 Determinar políticas y controles.
Responsabilidad de TI a  Cambio cultural impulsado desde la alta
través de la empresa dirección.
 Monitoreo e informes óptimos
 Pero….

¿Por qué utilizar un estándar? ¿Será bueno o

malo?
¿Utilizo un Estándar?
 Historia:
La norma australiana AS8015 de 2005
 Es un sistema que dirigía y controlaba el uso actual y futuro de las TIC
 Encargada de dirigir y evaluar los planes para que el uso de las TIC apoyen a la
organización y se monitoree su uso para lograr los planes establecidos
 La norma incluye la estrategia y las políticas para el uso de las TIC dentro de una
organización.
La norma ISO 38500
 Fue publicada en junio del 2008
 Es la primera de la línea ISO para el buen gobierno de las TI.
 Basada en la norma australiana AS8015 del 2005.
 Su objetivo es proporcionar un marco de principios para que la dirección de las
organizaciones los utilicen para evaluar, dirigir y monitorear el uso de las TI.
 Está alineada con los principios de gobierno corporativo recogidos en el "Informe
Cadbury" y con los "Principios de Gobierno Corporativo de la OCDE «.
 ISO/IEC 38500:2008

Aplicación

Esta norma es aplicable a todas las organizaciones, incluyendo

públicos y privados empresas, entidades gubernamentales y
organizaciones sin fines de lucro. La norma es aplicable a las
organizaciones de todos los tamaños, desde la más pequeña
hasta la más grande, independientemente de su grado de uso
de las TI
ISO/IEC 38500:2008

Asegurar que si la norma se sigue, las

partes involucradas pueden confiar en
Propósitos
el Gobierno Corporativo de TI.

Informar y orientar a los directivos

que controlan el uso de las TI en la
organización.

Proporcionar una base para la

evaluación objetiva de la gestión de TI
realizada por la alta dirección.
ISO/IEC 38500:2008
Objetivos:
• Generar confianza en los stakeholders
(empleados, clientes, proveedores,
socios, accionistas, etc.) en el Gobierno
Corporativo de TI de la Organización.
• Informar y guiar a la alta dirección en el
gobierno TI en su organización.
• Proveer de bases para la evaluación
objetiva del Gobierno Corporativo TI
Beneficios de la implantación del
estándar ISO/IEC 38500:2008
• Adecuada aplicación y operación de activos de TI.
• Asignación de responsabilidades.
• Continuidad del negocio
• Sostenibilidad.
• Alineación de TI con los objetivos del negocio.
• Asignación eficiente de recursos.
• Innovación en los servicios, los mercados y las empresas.
• Mejora de imagen y reputación en el mercado frente a los reguladores, y con los
stakeholders.
• Optimización en los costes de una organización
• Inversión efectiva en TI.
• Cumplimiento legal.
La Norma se basa en que la alta dirección evalúe, dirija y siga el uso que se hace de las TI en sus
organizaciones de manera que:

Haya canales
apropiados para
informar y orientar a
los directores que
controlan el uso de Haya una base para la
Si la norma es seguida de
las TI en su evaluación objetiva por
manera adecuada, las partes
organización. parte de la alta dirección
implicadas (directivos,
consultores, ingenieros, de la gestión de las TI.
proveedores de hardware, Para conseguirlo, la
auditores, etc. ), puedan confiar norma establece los seis
en el gobierno corporativo de TI principios básicos para
el buen gobierno de las
TI

ISO/IEC
38500:2008
PRINCIPIOS DE LA NORMA
ISO/IEC 38500:2008
La Norma establece los principios para el buen gobierno corporativo de TIC:

RESPONSABILIDAD ESTRATEGIA
INVERSIÓN
Analizar si están Los planes
Las adquisiciones
establecidas las estratégicos deben
deben realizarse
responsabilidades recoger y satisfacer
después de un
de cada grupo de las necesidades de
análisis adecuado.
la organización. la organización.
PRINCIPIOS DE LA NORMA
ISO/IEC 38500:2008

RENDICIÓN DE CUMPLIMIENTO RECURSOS

RESULTADOS Deben tener HUMANOS
Establece que las TI definidas sus Incluye su cultura,
son herramientas propias políticas y sus necesidades y
adecuadas para el procedimientos sus aspiraciones
buen internos y apoyar tanto a nivel
funcionamiento de su implantación y individual como en
la organización. cumplimiento. grupo.
 TAREAS:

• Uso actual y futuro de las TI.

Evaluar

• La preparación y ejecución de planes y políticas para garantizar

Dirigir
que el uso de TI cumple los objetivos empresariales.

• La conformidad con las políticas, y los resultados de los planes.

Monitorizar
Modelo de Gobierno ISO/IEC 38500:2008
 Orientaciones para el Gobierno Corporativo de TI

Principio 1: Responsabilidad.
Asignación con respecto a la organización actual y el futuro uso de TI.
Asegurar efectivo, eficiente y aceptable uso y reparto de TI.
Competencias de las personas que toman las decisiones respecto a TI.

Evaluar

Dirigir Monitorear
Planes de acuerdo a las
responsabilidades asignadas. Mecanismos de Gobierno de TI sean
Entrega de información a las personas apropiados.
de acuerdo a lo que requiere sus Las responsabilidades asignadas
responsabilidades. reconocidas y entendidas.
El rendimiento de las
responsabilidades en el gobierno de TI.
 Orientaciones para el Gobierno Corporativo de TI

Principio 2: Estrategia
Desarrollos en TI y procesos de negocio.
Asegurarse de que los planes y las políticas están alineadas con los
objetivos de la empresa.
Asegurarse que el uso de las TI están sujetos a riesgos

Evaluar

Dirigir Monitorear
Controlar el nivel de aprobación de las
Dirigir la preparación de uso de planes propuestas de TI.
y políticas. Asegurar que los objetivos sean
Animar a que hagan propuestas de uso alcanzables con el presupuesto asignado.
de TI que permitan a la organización Controlar el uso de TI para asegurar que
responder a nuevas oportunidades. sean alcanzados los beneficios
propuestos.
 Orientaciones para el Gobierno Corporativo de TI

Principio 3: Adquisición
Evaluar opciones para compra de insumos TI.
Realizar propuestas de aprobación, equilibrio de riesgos, y valor del
dinero para las inversiones propuestas.

Evaluar

Dirigir Monitorear
Controlar que las inversiones en TI
Los activos de TI, sistemas e aseguren que cumplan con las
infraestructura, sean adquiridos de capacidades requeridas.
una manera adecuada. Controlar que en la organización los
Dirigir que el abastecimiento de proveedores mantengan una buena
preparativos, incluyendo los internos y relación.
externos.
 Orientaciones para el Gobierno Corporativo de TI

Principio 4: Desempeño
Los medios para que TI soporte los procesos del negocio, los riesgos
derivados de la protección de la información y las opciones para
asegurar la eficiencia y la toma de decisiones oportunas acerca del uso
de TI, como apoyo a los objetivos del negocio.

Evaluar

Dirigir Monitorear
El grado como TI soporta el negocio.
Asegurándose que la asignación de los El grado de aplicación y seguimiento de
recursos de TI cumpla con las las políticas, tales como: Exactitud de los
necesidades de la Organización. datos y eficiencia del uso de TI.
La responsabilidad asegurando que TI
soporte el negocio, cuando sea
requerido.
 Orientaciones para el Gobierno Corporativo de TI

Principio 5: Cumplimiento
Evaluar opciones para compra de insumos TI.
Realizar propuestas de aprobación, equilibrio de riesgos, y valor del
dinero para las inversiones propuestas.

Evaluar

Dirigir Monitorear
Controlar que las inversiones en TI
Los activos de TI, sistemas e aseguren que cumplan con las
infraestructura, sean adquiridos de capacidades requeridas.
una manera adecuada. Controlar que en la organización los
Dirigir que el abastecimiento de proveedores mantengan una buena
preparativos, incluyendo los internos y relación.
externos.
 Orientaciones para el Gobierno Corporativo de TI

Principio 6: Recursos Humanos

Las actividades de TI que aseguren que el factor humano fue
considerado e identificado apropiadamente.

Evaluar

Dirigir Monitorear
Las actividades de TI que aseguren que el
Las actividades de TI que sea consiente factor humano identificado sigue siendo
con el factor humano . pertinente y que se le presta la debida
Los riesgos, oportunidades, problemas atención.
y preocupaciones para que puedan ser Que las practicas de trabajo son
identificados y reportados en cualquier consistentes con el uso apropiado de TI.
momento.
Modelo de Madurez ISO/IEC 38500:2008
El modelo de Madurez (MM) permite establecer la situación relativa del gobierno de las TI, decidir a
donde debe ir de manera eficiente y medir su avance en relación con los objetivos de la Empresa.

La evaluación del Gobierno de TI permite obtener lo siguiente:

Plantear el uso de la
metodología para medir el
avance del gobierno de las TI
Obtener un panorama en relación a los objetivos de
general de la Empresa para la Organización.
decidir hacia dónde debe
Una medición relativa de encaminarse el Gobierno de
donde se encuentra el las TI de forma eficiente.
gobierno de las TI en la
organización.
Modelo de Madurez ISO/IEC 38500:2008
 NIVELES DEL MODELO DE
MADUREZ

• La empresa no conoce el principio de ISO/IEC

0 - 38500:2008, no es consciente de necesitarlo.
Inexistente

• El principio de ISO 38500:2008 está establecido, pero los

1 - Inicial procesos de gobierno de las TI están desorganizados.

• El principio de ISO 38500:2008 está inmaduro, los

2 – Repetible procesos de gobierno de las TI siguen un patrón regular.
pero intuitivo
 NIVELES DEL MODELO DE
MADUREZ

• El principio de ISO 38500:2008 comienza a madurar, los procesos

3 - Definido
de gobierno de las TI son documentados y comunicados.

• El principio de ISO 38500: 2008 está bastante maduro, los

4 - Medible
procesos de gobierno de las TI se monitorizan y se miden.

• El principio se encuentra en nivel óptimo, el gobierno de las TI se

5- basa en las mejores prácticas.
Optimizado
Representación de Frameworks:
 La ISO 38500 mira hacia abajo desde la parte superior, al
igual que el techo de una casa.
 COBIT son las paredes y marcos de procesos
 ITIL y los Proyectos en ambientes controlados son la
base.
 Usando la analogía de la casa, si la junta intentó para
poner en práctica el techo, ISO 38500, sin la base o las
paredes, se vendría abajo.
 Además, sin el techo, las empresas estarían expuestos a
los elementos.
 ISO 38500 no es igual para todos. No reemplaza COBIT,
ITIL, u otras normas o marcos, sino, más bien, que los
complementa proporcionando un lado de la demanda-
de-TI-uso foco.
Análisis del Modelo de Madurez por
cada principio de ISO/IEC
38500:2008
 Análisis del Modelo de Madurez:
Principio de Responsabilidad.

Evaluar

- Los directores - En la evaluación de

deben evaluar las las opciones, los
opciones para la directivos deberían
asignación de las tratar de garantizar el
responsabilidades en uso y entrega
materia de uso efectiva, eficiente y
aceptable de TI en
actual y futuro de la
apoyo de los
organización de TI. objetivos de negocio
actuales y futuro.
 Análisis del Modelo de Madurez:
Principio de Responsabilidad.
Dirigir
Los directores deben
dirigir que reciban la
Los directores deben información que
disponer que los planes
necesitan para cumplir
se llevarán a cabo de
acuerdo con la TI.
con sus
responsabilidades y
rendición de cuentas.

Los directores Los directores

deben supervisar deben supervisar
que los el rendimiento de
mecanismos las personas , la
apropiados de responsabilidad
gobernanza de TI dada en el
son establecidos. Gobierno de TI Por ejemplo, las personas
que desempeñan funciones
en los comités de dirección
o en la presentación de
propuestas a los directores.
 Análisis del Modelo de Madurez:
Principio de Responsabilidad.
Monitorizar o Controlar:

Los directores deben supervisar que

se establezcan mecanismos
adecuados de gobierno de TI.

Directores deben vigilar que aquellos

que tengan una responsabilidad dada
deban reconocer y entender sus
responsabilidades.

Directores deben supervisar el

desempeño de los responsables que
figuran en la gobernanza de dirección
o en la presentación de propuestas a
los directivos.
 Análisis del Modelo de Madurez:
Principio de Estrategia.
Evaluar

Los directores deben evaluar la Al considerar los planes y

evolución de TI y procesos de políticas, los directores de TI
negocio para asegurar que deben evaluar las actividades
proporcionará apoyo a las de asegurar que estén
necesidades futuras del alineados con los objetivos de
negocio. la organización para el cambio
de las circunstancias, tener la
consideración de mejores
prácticas y satisfacer otras
partes interesadas clave.
 Análisis del Modelo de Madurez:
Principio de Estrategia.
Dirigir

Los directores deben dirigir la

preparación y el uso de los planes y
políticas que aseguren la organización y
se benefician de los avances en TI

Los directores deben alentar la presentación de

propuestas para usos innovadores de TI que
permitan a la organización tener nievas
oportunidades o desafíos, o mejorar los procesos.
 Análisis del Modelo de Madurez:
Principio de Estrategia.
Monitorizar o Controlar:
Los directores deben supervisar
el progreso de las propuestas
que aprobó para asegurar que
están logrando los objetivos en
los plazos requeridos usando los
recursos asignados.

Los directores deben supervisar

el uso de las TI para asegurar de
que están logrando sus
pretendidos beneficios.
 Análisis del Modelo de Madurez:
Principio de Adquisición.
Evaluar

• Los directores deben evaluar las

1.
opciones para proporcionar TI y de esta
manera realizar las propuestas
aprobadas.

• Debe haber equilibrio entre riesgos y la

2. rentabilidad de las inversiones
propuestas.
 Análisis del Modelo de Madurez:
Principio de Adquisición.
Dirigir: • Los directores deben disponer que los
activos de TI (sistemas e infraestructura)
se adquieran de una manera apropiada,
1. incluyendo la preparación de la
documentación adecuada, garantizando al
mismo tiempo que se proporcionan
capacidades requeridas.

• Los directores deben disponer que los

acuerdos de suministros (incluyendo tanto
2. internos como acuerdos de suministro
externos) apoyan a las necesidades de
negocio de la organización.
 Análisis del Modelo de Madurez:
Principio de Adquisición.
Monitorizar o Controlar:

 Los directores deben supervisar las

inversiones en TI para asegurarse de que
proporcionan las capacidades requeridas.
 Análisis del Modelo de Madurez:
Principio de Desempeño.
Evaluar:
Los directores deben
evaluar los medios Los directores deben
propuestos por los evaluar los riesgos para la
administradores para continuidad del
asegurar que prestará funcionamiento de la
apoyo a los procesos de empresa derivados de las
negocio con la capacidad actividades de TI.
y la capacidad requerida

Los directores deben

Los directores deben
evaluar las opciones para
evaluar regularmente la
asegurar la toma de
eficacia y el rendimiento
decisiones oportunas,
del sistema de
eficaces sobre el uso de
organización para la
las TI en apoyo de los
Gobernabilidad de TI.
objetivos del negocio.
 Análisis del Modelo de Madurez:
Principio de Desempeño.
Dirigir:
• Los directores deben garantizar la asignación
1.
de recursos suficientes para que se cumpla
con las necesidades de la organización, de
acuerdo con las prioridades y presupuestos.

• Los directores deben dirigir a los

responsables para garantizar que apoya al
2. negocio cuando sea necesario con los datos
correctos y el día que se protege de la
pérdida o mal uso.
 Análisis del Modelo de Madurez:
Principio de Desempeño.
Monitorizar o Controlar:

1.
• Los directores deben supervisar la medida
en que se apoya a la empresa.

• Los directores deben supervisar la medida

2.
en que asigna recursos y presupuestos y
cómo se priorizan de acuerdo a los objetivos
del negocio.
 Análisis del Modelo de Madurez:
Principio de Cumplimiento.
Evaluar:
• Los directores deben evaluar
periódicamente el grado en que satisface las
1. obligaciones (Normativa, legislación) las
políticas internas, normas y directrices
profesionales.

• Los directores deben evaluar

2.
periódicamente la conformidad interna de la
organización para su sistema de gobernanza
de TI.
 Análisis del Modelo de Madurez:
Principio de Cumplimiento.
Dirigir:
Los directores deben dirigir a los responsables para establecer regular y
rutinaria mecanismos para garantizar que el uso de TI cumpla con las
obligaciones pertinentes (Normativa, legislación) normas y directrices.

Los directores deben dirigir políticas que se establecen y hacer

cumplir que la organización pueda cumplir con sus obligaciones
internas en el uso de TI.

Los directores deben ordenar que todos los actos relativos a las TI sean
éticos.
 Análisis del Modelo de Madurez:
Principio de Cumplimiento.
Monitorizar o Controlar:

 Directores deben vigilar el cumplimiento de TI y la conformidad a

través de apropiadas prácticas de auditoría y presentación de
informes, lo que garantiza que los comentarios sean oportunos,
completos y adecuados para la evaluación de la medida de la
satisfacción de la empresa.
 Los directores deben supervisar las actividades de TI, incluida la
eliminación de los activos y datos, a garantizar que, la gestión del
conocimiento ambiental estratégica, y otras obligaciones pertinentes
se cumplan.
 Análisis del Modelo de Madurez:
Principio de Factor Humano.
Evaluar:

 Los directores deben evaluar las actividades de TI para asegurar

que los comportamientos humanos son identificados y considerados
apropiadamente.
 Análisis del Modelo de Madurez:
Principio de Factor Humano.
Dirigir :

 Estos riesgos deben ser manejados en conformidad con las

políticas y procedimientos publicados y escalarlos a la quienes toman
las decisiones pertinentes.
 Análisis del Modelo de Madurez:
Principio de Factor Humano.
Monitorizar o Controlar:
 Los directores deben supervisar las prácticas de trabajo para
asegurarse de que sean compatibles con el uso adecuado de la
información.
 ISO/IEC 38500:2008 y COBIT
No se posiciona
como alternativa
ISO/IEC38500:2008 COBIT

Se focaliza
Se centra en

Complemento

QUÉ se debe hacer CÓMO

 Relación de ISO/IEC 38500:2008
con COBIT 4.1
ISO/IEC 38500:2008 COBIT 4.1
PO4 Definir los procesos de TI, la
organización y sus relaciones.
PO6 Comunicar la dirección y objetivos de
la gerencia.
PRINCIPIO: PO7 Administrar los recursos humanos de
RESPONSABILIDAD TI.
DS2 Administrar servicios de terceros.

ME1 Monitorear y evaluar el desempeño de

TI.
ME4 Proveer Gobierno de TI.
 Relación de ISO/IEC 38500:2008
con COBIT 4.1
PRINCIPIO DE RESPONSABILIDAD:
ISO/IEC 38500:2008
• Se requieren estructuras de organización de gobierno
apropiadas.
• Funciones y responsabilidades correctamente asignadas por la
dirección.

COBIT 4.1
• Proporciona matrices RACI de responsabilidades en los distintos
procesos.
PO4: Definir los procesos de TI, la organización y sus relaciones.

Enfocándose en:
 Establecer estructuras organizacionales de TI
transparentes, flexibles y responsables.
 Integración de roles y responsabilidades hacia los
procesos de negocio y de decisión.

Se logra con:
 La definición de un marco de trabajo de procesos de TI.
 El establecimiento de un cuerpo y una estructura organizacional
apropiada.
 La definición de roles y responsabilidades.

Se mide con:
 El porcentaje de roles con descripciones de puestos y autoridad documentados.
PO6: Comunicar la dirección y objetivos de la gerencia.

Enfocándose en:
 Proporcionar políticas, procedimientos, directrices y otra
documentación aprobada, de forma precisa, entendible y que
se encuentre dentro del marco de trabajo de control de TI a
los interesados.

Se logra con:
 La definición de un marco de trabajo de control para TI.
 La elaboración e implementación de políticas para TI.
 El refuerzo de políticas de TI.

Se mide con:
 Porcentaje de interesados que entienden el marco de trabajo de control de TI de la empresa.
 Porcentaje de interesados que no cumple las políticas.
 PO7: Administrar los recursos humanos de TI.

Enfocándose en:
 Asignación de roles que correspondan a las habilidades.
 La creación de descripción de puestos.
 Aseguramiento de la conciencia de dependencia sobre los
individuos.

Se logra con:
 La revisión del desempeño del personal.
 La contratación y entrenamiento de personal de TI para apoyar los planes
tácticos de TI.
 La mitigación del riesgo sobre dependencia de recursos clave.

Se mide con:
 El porcentaje de roles con descripciones de puestos y autoridad documentados.
DS2: Administrar servicios de terceros.

Enfocándose en:
 El establecimiento de relaciones y responsabilidades bilaterales con
proveedores calificados de servicios tercerizados y el monitoreo de la
prestación de servicios.
Se logra con:
 La identificación y categorización de los servicios del proveedor.
 La identificación y mitigación de riesgos del proveedor
 El monitoreo y medición del desempeño del proveedor.

Se mide con:
 El número de quejas de usuarios debido a servicios contratados
 El porcentaje de los principales proveedores que cumplen los
requerimientos definidos y los niveles de servicio.
 ME1: Monitorear y evaluar el desempeño de TI.
Enfocándose en:
 Monitorear y reportar las métricas del proceso e identificar e implementar acciones de
mejoramiento del desempeño.
Se logra con:
 La Cotejar y traducir los reportes de desempeño de proceso a reportes gerenciales.
 Comparar el desempeño contra las metas acordadas e iniciar las medidas correctivas necesarias.

Se mide con:
 Satisfacción de la gerencia y de la entidad de gobierno con los reportes
de desempeño.
 Porcentaje de procesos críticos monitoreados.
 ME4: Proveer Gobierno de TI.

Enfocándose en:
 La elaboración de informes para el consejo directivo sobre la estrategia, el desempeño, los
riesgos de TI y responder los requerimientos de gobierno de acuerdo a las directrices del consejo
directivo.

Se logra con:

 El establecimiento de un marco de trabajo para el gobierno de TI, integrando al gobierno corporativo.

Se mide con:
 La frecuencia de informes del consejo directivo sobre Ti a los interesados
(incluyendo el nivel de madurez
Principio: Responsabilidad

Políticas y
procedimientos de TI Marco de trabajo para
y RH, matriz de el proceso de TI.
habilidades de TI, ME4
PO7 descripciones de
puestos.
•Organización y
DS2 relaciones de TI
•Roles y
responsabilidades PO7
Planes de
acciones documentados Roles y
ME1 PO4 responsabilidades
correctivas
Marco de procesos,
Reporte sobre el estatus roles documentados y
Todos
del gobierno de TI responsabilidades de TI.
•Marco de control
Mejoras al marco
empresarial para TI.
ME4 de procesos
•Políticas para TI
PO6
 Relación de ISO/IEC 38500:2008
con COBIT 4.1
ISO/IEC 38500:2008 COBIT 4.1
PO1 Definir un plan estratégico de TI.

PO2 Definir la arquitectura de información.

PRINCIPIO: PO3 Determinar la dirección tecnológica.

ESTRATEGIA PO5 Administrar las inversiones en TI.

PO9 Evaluar y administrar riesgos de TI.

AI1 Identificar soluciones de

automatización.
 Relación de ISO/IEC 38500:2008
con COBIT 4.1
PRINCIPIO DE ESTRATEGIA:
ISO/IEC 38500:2008
• Se debe implementar una planificación estratégica de TI efectiva
alineada con la estrategia de la organización de forma que aporte
valor.

COBIT 4.1
• El dominio Planificar y Organizar PO, se definen los procesos
necesarios para una planificación efectiva por parte de la función
TI.
Principio: Estrategia

• Estándares tecnológicos
• Actualizaciones rutinarias
PO3 del “estado de la tecnología”

AI1 Estudio de
factibilidad de los
Requerimientos
requerimientos
de
de negocio
infraestructura
PO2

Plan estratégico
PO5 de TI
Reporte de PO3
costo/beneficio •Plan de
•Plan estratégico
y táctico de TI sistemas de
negocio
PO1 PO9
•Portafolio de optimizado.
servicios de TI. •Arquitectura de
PO9 información
Evaluación
de riesgo •Portafolio de
PO5
proyectos de TI
 Relación de ISO/IEC 38500:2008
con COBIT 4.1
ISO/IEC 38500:2008 COBIT 4.1
PO5 Administrar las inversiones en TI.

PO10 Administrar proyectos.

AI1 Identificar soluciones de automatización.

AI2 Adquirir y mantener software de

PRINCIPIO: aplicaciones.
ADQUISICIÓN AI3 Adquirir y mantener la infraestructura
tecnológica .
AI5 Obtener recursos de TI.
AI7 Instalar y acreditar soluciones y cambios.

DS1 Definir y administrar niveles de servicio.

DS2 Administrar servicios de terceros.

 Relación de ISO/IEC 38500:2008
con COBIT 4.1
PRINCIPIO DE ADQUISICIÓN:
ISO/IEC 38500:2008
• Las inversiones deben realizarse después de un análisis adecuado.

COBIT 4.1
• El dominio Adquirir e Implementar AI proporciona una guía sobre cómo
adquirir e implementar soluciones viables incluyendo la especificación de
requisitos, implementación, pruebas, formación a usuarios, etc.

• En el dominio PO se contemplan procesos de planificación de inversiones así

como planificación de programas y proyectos.
 AI5

Principio: Adquisición Adquisición de

productos
DS1 * SLAs planeados AI1
inicialmente
PO7 AI7

Reporte de * OLAs
revisión de planeadas AI2 Revisión post
inicialmente • Directrices de implementación
contrato
administración
del proyecto,
• Planes detallados
AI3 PO10 AI2
AI5 del proyecto,

Portafolio de
Catálogo de Sistema AI5 proyectos de TI Reporte de
proveedores configurado actualizado costo/beneficio
para
PO5
realizar
prueba/
AI7
instalación • Información sobre el
DS2
desempeño y la capacidad.
• Estudio de factibilidad de los
• Requerimientos de AI1 requerimientos del negocio.
administración en Estudio de factibilidad de
relación con terceros. los requerimientos del
negocio.

* SLAs: Acuerdos de nivel de servicios; OLAs: Acuerdos de nivel operacional

 Relación de ISO/IEC 38500:2008
con COBIT 4.1
ISO/IEC 38500:2008 COBIT 4.1

PO2 Definir la arquitectura de información.

PO5 Administrar las inversiones en TI.

PRINCIPIO: PO6 Comunicar la inversión.

DESEMPEÑO
PO8 Administrar calidad.

PO9 Evaluar y administrar riesgos de TI.

AI6 Administrar cambios

 Relación de ISO/IEC 38500:2008
con COBIT 4.1
ISO/IEC 38500:2008 COBIT 4.1

DS2 Administrar servicios de terceros.

DS3 Administrar desempeño y capacidad.

PRINCIPIO: DS4 Asegurar continuidad de servicio.
DESEMPEÑO
DS5 Garantizar la seguridad de sistemas.

DS6 Identificar y asignar costos.

DS8 Administrar servicios de apoyo e

incidentes.
 Relación de ISO/IEC 38500:2008
con COBIT 4.1
ISO/IEC 38500:2008 COBIT 4.1

DS9 Administrar la configuración.

DS10 Administrar problemas.

PRINCIPIO:
DS11 Administrar datos.
DESEMPEÑO
DS12 Administrar el ambiente físico.

DS13 Administrar operaciones.

ME4 Proveer Gobierno de TI

 Relación de ISO/IEC 38500:2008
con COBIT 4.1
PRINCIPIO DE DESEMPEÑO:
ISO/IEC 38500:2008
• La TI está dimensionada para dar soporte a la organización, proporciona los
servicios de calidad adecuada para cumplir con las necesidades actuales y
futuras.

COBIT 4.1
• Los procesos PO1 (Definir un plan estratégico de TI y DS1 (Definir y gestionar los
acuerdos de servicio) ofrecen orientaciones específicas para establecer metas concretas
de desempeño.
• El proceso COBIT ME1 (Monitorizar y evaluar el desempeño de TI) se focaliza en las
responsabilidades de la dirección ejecutiva para esta actividad.
• El proceso ME4 (Supervisar y evaluar el gobierno de TI) se orienta en la propia
medición del desempeño del gobierno TI.
Principio: desempeño Arquitectura
Instrucciones del
operador para
de DS5 administración DS13
información de datos
Plan de
desempeño Diccionario
PO2 Clasificación
y capacidad de Datos Umbrales de
de datos
DS11 incidente/
asignados DS8
Información de desastre
desempeño y
DS3 capacidad DS12
PO5 Criticidad de
Reporte puntos de
Finanzas de coste contingencia de
de TI beneficio DS4 DS9
TI
DS6 Valoración
Resultados del riesgo Plan de almacenamiento y
esperados de • Evaluación de respaldos de protección
las inversiones riesgos
ME4 • Reporte de riesgos PO9 DS11 DS13
Directrices de
Resultado
administración de Riesgos de Amenaza y vulnerabilidades
de prueba
riesgos relativos a TI proveedores de seguridad
de
contingencia PO9
PO6 DS2 DS4 DS5 Evaluación
del riesgo
• Marco de control Planes de acciones
correctivas para riesgos DS12
empresarial para TI
• Políticas de TI relacionados con TI
DS8
Autorización
Todas AI6
de cambio
DS10
 Métricas de
Principio: desempeño calidad
Todas

Cambios
DS3 requeridos Estándares de
Medidas para PO8 adquisición DS2
mejorar la
calidad

Definición de DS5 Requerimiento de

incidentes de servicio contra DS4
seguridad desastres
Solicitud de servicio/ AI6
DS8 de cambio
Detalles de
•Solicitudes de cambio
configuración
* RFC (dónde y •Registro de problemas
/Activos de TI
cómo aplicar)
Tiquetes de Problemas y errores
DS9 incidente conocidos y soluciones
alternas DS9 DS10

DS13 DS10
Reporte de
incidentes

Bitácora de
errores
Principio: Cumplimiento

Planes de
ME acciones
correctivas
1
Reporte de
Reporte sobre el cumplimiento desempeño de
de las actividades de TI, proceso Marco de procesos, roles
respecto a requerimientos documentados y
Reporte de
legales y regulatorios externos.
ME efectividad de los responsabilidad de TI Todo
PO4
2 controles de TI s
Catálogo de requerimientos
ME legales y regulatorios
3 relacionados con los
servicios de TI.
Principio: Factor Humano

Todo Políticas y procedimientos de

TI y RH, matriz de
s Roles y
habilidades de TI, Marco de procesos, roles
responsabilidades
descripciones de puestos. documentados y
PO responsabilidad de TI
Todo
PO7
• Aptitudes y habilidades de los 4 s
usuarios , incluyendo el • Organización y relaciones de TI
entrenamiento individual. • Roles y responsabilidades
• Requerimientos específicos de documentados
entrenamiento.

Actualización de
DS7
documentos • Requerimientos de transferencia
requeridos de conocimiento para
implementación.
• Materiales de entrenamiento.
DS1 AI4
 Relación de ISO/IEC 38500:2008
con COBIT 4.1
ISO/IEC 38500:2008 COBIT 4.1

PO4 Definir los procesos de TI, la

organización y sus relaciones.

ME1 Monitorear y evaluar el

PRINCIPIO: desempeño de TI.
CUMPLIMIENTO
ME2 Monitorear y evaluar el control
interno.

ME3 Garantizar el cumplimiento

regulatorio.
 Relación de ISO/IEC 38500:2008
con COBIT 4.1
PRINCIPIO DE CUMPLIMIENTO:
ISO/IEC 38500:2008
• Deben tener definidas sus propias políticas y procedimientos internos y apoyar su
implantación y cumplimiento.

COBIT 4.1
• El proceso ME2 (Monitorizar y evaluar controles TI) se encarga de monitorizar y
evaluar la consecución de los controles internos establecidos.
• En el proceso ME3 (Asegurar el cumplimiento de requisitos externos), se sientan las
bases para el análisis y la supervisión de los requerimientos externos, incluyendo las
normativas.
 Relación de ISO/IEC 38500:2008
con COBIT 4.1
ISO/IEC 38500:2008 COBIT 4.1

PO4 Definir los procesos de TI, la

organización y sus relaciones.
PO7 Administrar los recursos humanos
PRINCIPIO: de TI.
FACTOR HUMANO AI4 Permitir la operación y uso.

DS1 Definir y administrar niveles de

servicio.
DS7 Educar y capacitar usuarios.
 Relación de ISO/IEC 38500:2008
con COBIT 4.1
PRINCIPIO DE FACTOR HUMANO:
ISO/IEC 38500:2008
• Indica que la alta dirección debe preocuparse del comportamiento de las personas que
de una manera u otra se relacionan con las actividades TI. Esto debe ocurrir en dos
sentidos:
-Las personas deben comportarse de manera que afecten positivamente el desempeño
de TI y
- Debe garantizarse que las actividades de TI no afecten negativamente a las personas.

COBIT 4.1
• El proceso PO4 (Definir la organización y relaciones TI) explica como la organización y
sus procesos relacionados pueden satisfacer las necesidades del personal a todos los
niveles. Así mismo, de manera explícita define el comportamiento esperado del personal
en el desempeño de su trabajo.
 Relación de ISO/IEC 38500:2008
con COBIT 4.1
PRINCIPIO DE FACTOR HUMANO:

COBIT 4.1
• Por medio del proceso PO6 (Comunicar la dirección objetivos de la gerencia) se
asegura que los objetivos de la organización son comunicados claramente y que la
cultura laboral favorece una actitud correcta del trabajador hacia el control de riesgo.

• PO7 (Gestión de los recursos humanos de TI) es el proceso específico de COBIT para
alinear el comportamiento de las personas con las metas corporativas, la definición de
responsabilidades y el mantenimiento del conocimiento.

• El foco del proceso DS7 (Educar y entrenar a los usuarios) es el de asegurar que los
usuarios conocen lo necesario para garantizar un uso eficaz de los sistemas TI.
Relación de ISO/IEC 38500:2008
con COBIT 4.1
EVALUAR:

Los siguientes recursos de COBIT apoyan en la consecución de la

tarea Evaluar de ISO/IEC 38500:2008:

• Todo el modelo de COBIT se basa en el ciclo de Deming que

incluye como acciones básicas la planificación inicial así como la
comprobación posterior de que las acciones se han desarrollado
de acuerdo a lo previsto.
Relación de ISO/IEC 38500:2008
con COBIT 4.1
DIRIGIR:

No hay una correspondencia directa entre una parte concreta del

modelo de COBIT y esta tarea definida en la norma ISO/IEC 38500.
Sin embargo, todo el modelo de COBIT proporciona una base para
evaluar la idoneidad de las prácticas de gestión y los controles de
TI, permitiendo a la dirección la evaluación y comunicación de la
capacidad de los procesos de TI.
Relación de ISO/IEC 38500:2008
con COBIT 4.1
MONITORIZAR:

Todo el dominio ME cubre la medición del desempeño, la

efectividad del control interno, conformidad con requisitos y la
consecución de un eficaz gobierno corporaivo.
Relación de ISO/IEC 38500:2008
con COBIT 4.1
Relación de ISO/IEC 38500:2008
con COBIT 4.1
 Relación de ISO/IEC 38500:2008
con COBIT 5
Lo que sigue a
continuación resume
cómo COBIT 5
soporta la adopción
de los principios y la
aproximación a la
implementación del
estándar ISO/IEC
38500:2008
 Relación de ISO/IEC 38500:2008
con COBIT 5
PRINCIPIO 1—RESPONSABILIDAD
El negocio (el cliente) y las TI (proveedor) deberían colaborar en un modelo cooperativo utilizando
canales eficaces de comunicación basados en relaciones positivas y de confianza y demostrando
claridad con respecto a la responsabilidad de llevar a cabo las tareas y la verificación de las mismas.

• Implementación de COBIT 5 explica las responsabilidades de las partes

1. interesadas y otras partes involucradas cuando se implementan o se
mejoran disposiciones del gobierno de las TI.

• COBIT 5 tiene dos niveles de supervisión. El primer nivel es relevante en

un primer contexto de gobierno. El proceso EDM05 asegura la
transparencia de las partes interesadas, explica el rol de los directivos en
2.
la supervisión y evaluación del gobierno de las TI y del desempeño en las
TI con un método genérico para establecer metas, y metas y métricas
relacionadas.
 Relación de ISO/IEC 38500:2008
con COBIT 5
PRINCIPIO 2—ESTRATEGIA
La planificación estratégica de la TI es una tarea compleja y crítica que requiere una estrecha
coordinación entre la unidad de negocio de la empresa y los planes estratégicos de las TI.

• COBIT 5 provee orientaciones en la gestión de inversiones en TI y

(específicamente, en el proceso EDM02. Asegurar la entrega de
1.
beneficios en el dominio del gobierno) como las metas corporativas
deberían ser apoyadas por los casos de negocio apropiados.

• El dominio APO de COBIT 5 explica los procesos necesarios para la

planificación y organización eficaces de los recursos TI internos y
externos, incluyendo la planificación estratégica, planificación de la
2.
tecnología y la arquitectura, planificación organizativa, planificación de la
innovación, gestión de la cartera, gestión de la inversión, gestión del
riesgo, gestión de las relaciones y gestión de calidad.
 Relación de ISO/IEC 38500:2008
con COBIT 5
PRINCIPIO 3 —ADQUISICIÓN:
una elección inadecuada de la arquitectura tecnológica, fallos a la hora de mantener una
infraestructura técnica actual y apropiada o una ausencia de recursos humanos
cualificados pueden dar como resultado un proyecto fracasado, una incapacidad para
soportar las operaciones del negocio o una reducción en el valor del negocio.
• El dominio EDM de COBIT 5 nos proporciona orientaciones sobre cómo gobernar y gestionar las
inversiones en negocio posibilitadas por las TI a través de su ciclo completo de vida (adquisición,
implementación, operación y desmantelamiento). El proceso APO05 Gestión del portafolio
contempla cómo aplicar de manera eficaz la gestión del programa y la cartera de tales inversiones
para asegurarse de que se logran los beneficios y de que se optimizan los costes.
• El dominio APO de COBIT 5 provee orientaciones para la planificación de la adquisición, incluyendo
planes de inversión, gestión del riesgo, planificación de programas y proyectos y planificación de la
calidad.
• El dominio BAI de COBIT 5 nos da orientaciones sobre los procesos necesarios para adquirir e
implementar soluciones TI, cubriendo la definición de requerimientos, identificando soluciones
viables, preparando documentación y formando y habilitando a los usuarios y las operaciones para
hacer funcionar los nuevos sistemas.
 Relación de ISO/IEC 38500:2008
con COBIT 5
PRINCIPIO 4 —RENDIMIENTO:
La medición eficaz del desempeño depende de que se tengan en cuenta dos aspectos clave:
una definición clara de las metas de rendimiento y el establecimiento de métricas
eficaces para supervisar el logro de las metas.

• COBIT 5 proporciona orientación a la Dirección en la tarea de establecer metas TI

alineadas con las metas de negocio y describe cómo supervisar el desempeño de estos
objetivos a través de metas y métricas. La capacidad de un proceso puede ser evaluada
usando un modelo de evaluación de capacidades conforme a la ISO/IEC 15504.
• Dos procesos clave de COBIT 5 nos dan orientación específica:
- APO02 Gestionar la estrategia se centra en el establecimiento de metas.
- APO09 Gestionar los acuerdos de servicio se centra en la definición de servicios y de
metas de servicio apropiadas y las documenta en acuerdos de nivel de servicio
(SLA).
• En el proceso MEA01 Supervisa, evaluar y valorar rendimiento y conformidad, COBIT 5
proporciona orientación acerca de las responsabilidades de la gestión ejecutiva para
esta actividad.
 Relación de ISO/IEC 38500:2008
con COBIT 5
PRINCIPIO 5 —CONFORMIDAD:
En el mercado global de hoy en día, apoyado por Internet y las tecnologías avanzadas, las
empresas necesitan cumplir con un número cada vez más grande de requisitos legales y
regulatorios.

• El proceso APO02 Gestionar la estrategia de COBIT 5 se asegura de que hay un

alineamiento entre los planes TI y los objetivos globales de negocio, incluyendo los
requisitos de gobierno.
• El proceso MEA02 Supervisar, evaluar y valorar el sistema de control interno de COBIT 5
facilita a los directivos cómo valorar si los controles son adecuados para satisfacer los
requisitos de conformidad.
• El proceso MEA03 Supervisar, evaluar y valorar la conformidad con los Requerimientos
externos de COBIT 5 garantiza que se identifican los requisitos de conformidad
externos, que los directivos marcan la dirección para la conformidad, y que se supervisa,
evalúa y se hacen informes de la conformidad TI en sí misma como una parte de la
conformidad global con los requisitos de la empresa.
 Relación de ISO/IEC 38500:2008
con COBIT 5
PRINCIPIO 6 — FACTOR HUMANO
La implementación de cualquier cambio facilitado por las TI, incluyendo el gobierno de las TI en sí
mismo, normalmente requiere cambios significativos culturales y de comportamiento tanto dentro
de las empresas como con los clientes y con los socios del negocio.
El proceso APO07 de COBIT 5 : Gestionar los Recursos Humanos explica cómo se debería alinear el
desempeño de los individuos con las metas corporativas, cómo se deberían actualizar las
competencias de los especialistas en TI y cómo se deberían definir los roles y las
responsabilidades .

El proceso BAI02 de COBIT 5 Gestionar la definición de Requisitos, ayuda a asegurar que el

diseño de aplicaciones satisface los requisitos de utilización y operación humanos.

Los procesos de COBIT 5 BAI05 Gestionar la introducción de cambios y BAI08 Gestionar el

conocimiento ayudan a asegurar que los usuarios están capacitados para utilizar los sistemas de
manera efectiva..
Implantación y Certificación
ISO/IEC 38500:2008
DOCUMENTOS ASOCIADOS
En el precio total del coste del proyecto deben estar incluidos los gastos de
desplazamiento, alojamiento y manutención.
CASOS DE ÉXITO
Caso de Éxito Nº 01
AUREN - Primera empresa a nivel mundial en obtener la Certificación de Buen Gobierno
de TI (ISO 38500).

La ISO38500 es un marco de gestión y gobierno que hace de nexo entre el negocio y las TIC,
y que tiene gran cantidad de normativa ISO asociada: Responsabilidad Social Corporativa
(ISO26001), Sistema de Gestión de Seguridad de la Información (ISO27001), Ciclo de Vida
de Desarrollo (ISO15504), Sistema de Gestión de la Calidad (ISO9001), etc.

La certificación acredita que la empresa AUREN cumple:

• Personas.
• Estrategias.
• Responsabilidad.
• Adquisición.
• Rendimiento.
• Cumplimiento Legal y normativo.
Desde mayo del 2009 ha sido la primera empresa piloto en alinearse con la norma ISO
38500.
Caso de Éxito Nº 02

Abast Systems S.A. ha llevado a cabo un seguimiento en el desarrollo

de la norma desde los orígenes de la norma AS8015:2005 hasta la
actual ISO/IEC 38500:2008. Disponemos de un equipo de consultores
expertos en la norma y en la guía de implantación del marco de
Gobierno, basado en COBIT 4.1, VAL IT 2.0 y RISK IT. Nuestra amplia
experiencia en la implantación de estándares ISO asociados a los
sistemas de información hace que Abast Systems S.A. esté
posicionada como empresa de referencia en el sector.
La norma ISO/IEC 38500 se aplica al gobierno de los procesos de gestión de TI en todo tipo de
organizaciones que utilicen las tecnologías de la información, facilitando unas bases para la
evaluación objetiva del gobierno de TI. Además del cumplimiento con la legislación vigente, el
gobierno de las TI permite:

 Una apropiada implementación y operación de los recursos de TI.

 La clarificación de las responsabilidades y medición del logro de los objetivos de la
organización.
 La continuidad y sostenibilidad del negocio.
 El alineamiento de las TI con las necesidades del negocio.
 La asignación eficiente de los recursos de TI.
 La innovación en servicios, mercados y negocios.
 Mejorar la relación con los stakeholders.
 Reducción de costes de TI.
 La materialización efectiva de los beneficios esperados de cada inversión en TI.
Abast Systems S.A. implemento la norma ISO/IEC 38500 para
diversas instituciones como lo son:
 CONCLUSIONES
 ISO 38500 es aplicable a entidades de todos los tamaños, incluidas las empresas públicas
y privadas, organizaciones gubernamentales con o sin ánimo de lucro.
 ISO 38500 no ha llegado para sustituir a otras normas y estándares basados en la buena
gestión de los activos que soportan la información ya presentes en muchas empresas
(ISO27001, COBIT , ITIL) puesto que, lo que pretende, es proporcionar un marco
coherente para garantizar que la dirección está debidamente implicada en la gestión
eficaz de las TI en cualquier ámbito y alcance.
 La norma se aplica al gobierno de los procesos de gestión de las TI, en cualquier tipo de
organizaciones que utilicen todas las tecnologías de la información, facilitando unas
bases para la evaluación objetiva del gobierno de TI.
 La importancia de un Sistema de Gobierno de ISO 38500 viene dado por las
características propias del mundo actual, el gobierno de las TIC constituyen el
componente esencial para el logro de la excelencia y competitividad requerida por la
empresa moderna y esto es posible sólo mediante la profesionalidad de sus gobernantes,
gestores y resto del personal.