ISO/IEC 38500 y el buen gobierno de las T.I.

Martes 12 de Mayo de 2009 00:00 |

Escrito por Beatriz Martínez

Dado que en ocasiones la insuficiencia de los sistemas de tecnología de información (TI) o incluso un corto e insuficiente alcance de un Sistema de Gestión puede obstaculizar el desempeño y la competitividad de las organizaciones o exponerlas al gravoso riesgo de incumplir la legislación vigente – entre otros muchos riesgos -, la recién publicada norma ISO/IEC 38500 ha llegado para establecer a nivel internacional una serie de directrices, básicas o generalistas, de orientación a la alta dirección en relación con el buen gobierno corporativo de TI.

ISO/IEC 38500:2008 fija los estándares de una buena gestión de los procesos y decisiones empresariales relacionados con los servicios de información y comunicación que, utilizados de manera cotidiana por una organización, suelen estar gestionados tanto por especialistas en TI internos o ubicados en otras unidades de negocio de la organización, como por proveedores de servicios externos.

En esencia, todo ello se resume en tres propósitos:

Asegurar el que, si la norma es seguida de manera adecuada, las partes implicadas (directivos, consultores, ingenieros, proveedores de hardware, auditores, etc.), puedan confiar en el gobierno corporativo de TI.
Informar y orientar a los directores que controlan el uso de las TI en su organización.
Proporcionar una base para la evaluación objetiva por parte de la alta dirección de la gestión de las TI.

ISO/IEC 38500 es aplicable a entidades de todos los tamaños, incluidas las empresas públicas y privadas, organizaciones gubernamentales con o sin ánimo de lucro.

Esta norma alienta a utilizar una serie de mínimos o puntos clave para que la organización pueda obtener sus objetivos de TI. Estos mínimos se traducen en 6 principios básicos:

El establecimiento de responsabilidades
Una buena planificación del apoyo a la mejora de la organización
La adquisición de bienes de TI adecuados
Calidad en el funcionamiento de los sistemas de TI
La garantía de conformidad legal o normativa
La implicación del y el respeto al factor humano

Pero, entendámonos bien, ISO/IEC 38500 no ha llegado para sustituir a otras normas y estándares basados en la buena gestión de los activos que soportan la información ya presentes en muchas empresas (ISO27001, COBIT , ITIL, etc…) puesto que, lo que pretende, es proporcionar un marco coherente para garantizar que la dirección está debidamente implicada en la gestión eficaz de las TI en cualquier ámbito y alcance. Es decir, no se trata de establecer el marco ideal para una buena gestión sino el buen gobierno para una óptima gestión.

Pongamos un ejemplo.

A menudo sucede que los directores de TI son más propensos a estar concienciados de los problemas que una mala gestión o uso de los sistemas de información puede suponer – por ejemplo a efectos de una posible sanción por incumplimiento de la LOPD - puesto que su día a día está constantemente relacionado con posibles riesgos o problemas directamente relacionados con los activos de TI o las medidas que han sido implantadas en ellos.

Por otra parte, nos encontramos con que la alta dirección no es sólo responsable de que la empresa cumpla con la citada ley, sino que además recae sobre sus hombros la difícil tarea de compaginar este cumplimiento normativo, mediante la inversión en medidas de seguridad adecuadas, con el retorno financiero positivo hacia los socios y/o accionistas de la entidad.

Pues bien, esta norma puede ayudar tanto a los directores de TI a demostrar que sus obligaciones han sido cumplidas como a la alta dirección a obtener más éxito del esperado en la conjunción de estas dos funciones, puesto que hace que ambos roles trabajen codo con codo.

En un primer vistazo, podemos decir que la norma ISO/IEC 38500 es concisa, sencilla y clara, pero no nos engañemos; en la mayor parte de las ocasiones, la aplicación efectiva de un marco adecuado de buen gobierno de TI se hace extremadamente complejo, aunque esta norma puede contribuir a simplificarlo y optimizarlo.