Escuela de Graduados

Maestría en Gerencia y Productividad

Gerencia y Sistemas de Información

Profesor: Ing. Miguel Díaz

ISO/IEC 38500 - Gobierno de

la TI.

COBIT 5 - Alineamiento TI
con el Negocio.
Sustentantes:
Saturno
Suanny Báez 20092283
Teresa Reyes 20180975
Wanda Encarnación 20181024
Rosio Rosa 20181033
Yomayra Matos 20181154
Willy Tejada 20182179
Título: ISO/IEC 38500 Gobierno de la TI | COBIT 5 Alineamiento TI con el Negocio.

Autores: Suanny Báez, Teresa Reyes, Wanda Encarnación, Willy Tejada, Yomayra Matos y
Rosio Rosa.

Resumen
En la actualidad la mayoría de las organizaciones utilizan la Tecnología de Información (TI)
como una herramienta fundamental en los planes de crecimiento futuros de las
organizaciones en sentido general. El área de TI es crítica y muy importante para el logro
del éxito organizacional, es por lo mismo que la tecnología usada por la empresa debe de
estar alineada con el objetivo del negocio para de esta manera garantizar el logro de los
objetivos planeados. En las empresas debe gestionarse adecuadamente la TI para cumplir
con los requerimientos del negocio y dejar de ver la misma como un gasto ya que es una
inversión, porque a mediano y largo plazo se ven los frutos. Vale resaltar también, que de
nada le sirve a una organización realizar inversiones significativas en TI y no invertir en
capacitaciones para el personar que hará uso de la misma, ya que no es exclusivamente una
cuestión de TI, sino también de los recursos humanos de la empresa en sentido general y en
especialmente de los que hacen uso directo de dicha TI. Luego de que el mundo
empresarial entendió que la tecnología de la información ayuda al aumento de la
productividad y cumplimiento de los objetivos del negocio, empezaron a surgir normas y
estándares que ayudan a la buena gestión de las mismas.
Palabras claves: Tecnología de Información (TI), Estándar, Organización, Norma, Procesos,
Gestión, ISO 38500, COBIT 5.

Introducción
Las Tecnología de Información (TI) hoy en día ha alcanzado una importancia significativa
en las organizaciones, ha dejado de ser una herramienta de soporte y/o accesoria para
convertirse en algo totalmente necesario para cualquier empresa. Las diversas
Investigaciones han demostrado que las organizaciones que invierten en tecnología e
innovación aumentan su competitividad, participación en el mercado, cantidad de clientes
y sus cifras financieras.
 
En el presente ensayo analizaremos dos temas fundamentales como son ISO/IEC 38500 y
COBIT5. La ISO/IEC 38500 es un estándar internacional para las buenas prácticas del
Gobierno de las Tecnologías de la Información. Su principal función es gobernar las TI
dentro de la empresa, para conseguirlo se basa en seis principios y tres procesos. La
norma ISO/IEC 38500:2008 se publicó en junio de 2008, basándose en la norma australiana
AS8015:2005. Es la primera de una serie sobre el Gobierno de TI. Por su parte, COBIT 5 es
un marco para el Gobierno y la Gestión de TI que busca generar valor para la
Organización a través de TI. Este marco incorpora muchos de los conceptos ampliamente
aceptados y teorías sobre la gestión enfocado en los aspectos de control para buscar el
mejoramiento de TI.
 ISO/IEC 38500 - Gobierno de la TI.

Breve historia de la norma ISO/IEC 38500.

La norma australiana AS8015 de 2005 es un sistema por el cual se dirigía y controlaba el uso actual y
futuro de las TIC. Comprende dirigir y evaluar los planes para que el uso de las TIC apoyen a la
organización y se monitoree su uso para lograr los planes establecidos. Esto incluye la estrategia y las
políticas para el uso de las TIC dentro de una organización.

La norma ISO 38500 fue publicada en junio del 2008 como la primera de esta línea para el buen gobierno
de las tecnologías de información, basada en la norma australiana AS8015 del 2005. Su objetivo es
proporcionar un marco de principios para que la dirección de las organizaciones los utilicen para
evaluar, dirigir y monitorear el uso de las tecnologías de la información (TI’s). Está alineada con los
principios de gobierno corporativo recogidos en el “Informe Cadbury” y con los “Principios de Gobierno
Corporativo de la OCDE”
ISO/IEC 38500 - Gobierno de la TI.

ISO / IEC 38500 aborda el Gobierno corporativo de

TI. Se trata de una norma de alto nivel, basada en
principios estándar de asesoramiento. Además de
proporcionar una orientación general sobre el papel
de un órgano rector, fomenta a las organizaciones a
utilizar las normas necesarias para gestionar su
gobierno de las TI.

Esta norma fija los estándares de una buena gestión

de los procesos y decisiones empresariales
relacionados con las TIC, utilizados en una
organización.
Alcance, Aplicación y Objetivos de ISO/IEC 38500.

ISO / IEC 38500 establece unos principios rectores para los directores de las
organizaciones (incluyendo a los propietarios, los miembros del consejo, directores, socios,
ejecutivos, o similar) sobre el uso eficaz, eficiente y aceptable TI dentro de sus
organizaciones.

Se aplica la norma al gobierno de los procesos de gestión de las TIC en todo tipo de
organizaciones que utilicen la TI, sin importar la naturaleza de la misma, su tamaño o del
alcance de su uso en TI.

El objetivo de este estándar es promover el uso eficaz, eficiente y aceptable de las TI en

todas las organizaciones. En resumen:
• Involucrar a las partes interesadas para que tengan confianza en el Gobierno de las TI.
• Informar y orientar a la Dirección para el Gobierno de las TI.
• Proporcionar una base para la evaluación objetiva del Gobierno de las TI.
 Beneficios de usar ISO/IEC 38500.

A demás de asegurar el cumplimiento de las obligaciones reglamentarias, legislativas, otros

beneficios son:

• Los estándares de seguridad.

• Legislación de privacidad.
• Legislación sobre el spam.
• Estándares de responsabilidad social.
• Regulación medioambiental.
• Normativa de seguridad y salud laboral.
• Legislación sobre accesibilidad.
• Derechos de propiedad intelectual con acuerdos de
licencia de software.
 Normas que originan y normas relacionadas a
ISO/IEC 38500

La ISO/IEC 38500 completa otros estándares de gestión de TI, tales como la ISO/IEC 27000, ISO/IEC
27001, ISO/IEC 20000, ISO/IEC 15504, ISO/IEC 24762, etc. añadiendo una capa de gestión superior,
estratégica a la que contemplan estas normas, cuyo enfoque es más operativo. Por decirlo de otro modo, la
ISO/IEC 38500 establece cómo se deben hacer las cosas para que se puedan gestionar las TI de manera
eficaz y eficiente.

Otras normas relacionadas con ISO/IEC 38500 son:

• ISO/IEC 27032:2012 - Tecnologías de la Información - Técnicas de seguridad - Lineamientos para
Ciberseguridad
• ISO/IEC 26000:2010 - Guía sobre responsabilidad social
• ISO 9001:2008 - Sistemas de Gestión de Calidad - Requisitos
• ISO 31000:2009 - Gestión del Riesgo - Principios y lineamientos
• ISO 18091:2014 - Guía para la aplicación de ISO 9001:2008 en gobiernos locales
• ISO/IEC 29100:2011 - Tecnologías de la Información - Técnicas de seguridad - Framework de
privacidad
 Criterios de ISO/IEC 38500.

Bajo los efectos de estas normas se establecen los siguientes criterios y se espera
que una organización pueda adaptar la terminología utilizada en esta norma para
que se adapte a sus circunstancias o estructura.

• La norma debe cumplir con las expectativas de las partes interesadas, en el

uso de la TI la empresa debe estar dirigida, controlada con la documentación
corporativa requerida y plasmada la política de TI y la estrategia a utilizar.
• Los directores, mandos medios, colaboradores encargado de los procesos
deben ternes competencia, formación y habilidades sobre la norma de cómo se
realiza ciertas tareas y/o funciones.
• Deben tener plasmada acápites sobre son los posibles riesgos y las acciones
preventivas, correctiva de los mismo, como gestionarlos y las estrategias a
utilizar.
Marco de referencia para el buen Gobierno corporativo de TI.
Principios de ISO/IEC 38500.

Existen 6 principios básicos para el buen gobierno corporativo de TI, aplicables a la mayoría de
empresas en la guía de la toma de decisiones. Estos principios son:
1. Responsabilidad: Relacionada a la aceptación de las responsabilidades de la oferta y
demanda de TI.
2. Estrategia: En el cual se tomará en cuenta las capacidades actuales y futuras de TI.
3. Adquisición: Estas deben estar basadas en análisis apropiado para la toma de decisiones.
4. Rendimiento: Brindar un buen servicio con calidad para cumplir los requisitos necesarios.
Hay un equilibrio adecuado entre beneficios, oportunidades, costes y riesgos tanto a corto
como a largo plazo.
5. Cumplimiento: Con las legislaciones y regulaciones. Las políticas están bien definidas e
implementadas.
6. Comportamiento Humano: La políticas, prácticas y decisiones enfocadas a respeto por el
comportamiento Humano de todas las personas.
Modelo para la dirección del gobierno de TI.

Lo directores deben considerar tres tareas principales y aplicar cada

una de ellas a los seis principios anteriormente explicados, para el
gobierno de IT y son:

• Evaluar: Examinar y juzgar el uso actual y futuro de las TIC.

• Dirigir: La preparación e implementación de los planes y políticas,
para garantizar que el uso de TI cumpla con los objetivos del negocio.
• Monitorizar: Mediante sistemas de medición, vigilar el
rendimiento de la TIC, asegurando que se ajusta a lo planificado.
 Documentos para la ISO/IEC 38500.
• Manuales y procedimientos Documentados.
• Registro, instrucciones técnicas, procedimiento de control de
procedimiento.
• Estructural organizacional.
• Políticas y controles.
• Informes óptimos de controles.
 Breve historia de COBIT 5.

COBIT fue creado por Asociación para la Auditoría y Control de Sistemas de Información (ISACA
Information Systems Audit and Control Association), y el Instituto de Administración de las
Tecnologías de la Información (ITGI IT Governance Institute creado por ISACA en 1992).

Las siglas COBIT significan Objetivos de Control para Tecnología de Información y Tecnologías
relacionadas (Control Objectives for Information Systems and related Technology).

La versión número 5 de COBIT fue liberada en el año 2012. En esta edición se consolida e integran
los marcos de referencia de COBIT 4.1, Val IT 2.0 y Risk IT. Este nuevo marco de referencia viene
integrado principalmente del Modelo de Negocios para la Seguridad de la Información (BMIS,
Business Model for Information Security) y el Marco de Referencia para el Aseguramiento de la
Tecnología de la Información (ITAF, Information Technology Assurance Framework).
COBIT 5.

Es un marco de trabajo que permite comprender el gobierno y la gestión de las

tecnologías de información (TI) de una organización, así como evaluar el
estado en que se encuentran las TI en la empresa. Ayuda a las Organizaciones
a crear un valor óptimo a partir de la TI, al mantener un equilibrio entre la
realización de beneficios y la optimización de los niveles de riesgo y utilización
de los recursos.

COBIT 5 cuenta con 5 principios y 7 catalizadores los cuales son genéricos y

útiles para todas las organizaciones de cualquier tamaño, comerciales, sin fines
de lucro, en el sector público o privado.
 5 Principios de COBIT 5.

Estos principios permiten a la organización construir un marco efectivo de Gobierno y

Administración basado en una serie holística de 7 catalizadores, que optimizan la
inversión en tecnología e información, así como su uso en beneficio de las partes
interesadas. Estos principios son los siguientes:
1. Satisfacer las necesidades de las partes interesadas.
2. Considerar la empresa de extremo a extremo.
3. Aplicar un único marco de referencia integrado.
4. Posibilitar un enfoque holístico.
5. Separar gobierno de la gestión.
7 catalizadores de COBIT 5.

Los catalizadores que deben ser considerados para ayudar

a fomentar la consecución de los objetivos del marco de la
empresa y añadir valor son:
1. Principios, políticas y modelos de referencia.
2. Procesos.
3. Estructuras organizacionales.
4. Cultura, ética y comportamiento.
5. Información.
6. Servicios, infraestructura y aplicaciones.
7. Gente, habilidades y competencias.
¿Para qué sirve COBIT 5?
COBIT fue creado para ayudar a las organizaciones a
obtener el valor óptimo de TI manteniendo un balance
entre la realización de beneficios, la utilización de
recursos y los niveles de riesgo asumidos. COBIT 5
posibilita que TI sea gobernada y gestionada en forma
holística para toda la organización, tomando en
consideración el negocio y áreas funcionales de punta a
punta, así como los interesados internos y externos.

COBIT 5 se puede aplicar a organizaciones de todos los

tamaños, tanto en el sector privado, público o entidades
sin fines de lucro.
¿Quién utiliza COBIT 5?

COBIT es empleado en todo el mundo por quienes tienen como

responsabilidad primaria los procesos de negocio y la
tecnología, aquellos de quien depende la tecnología y la
información confiable, y los que proveen calidad, confiabilidad
y control de TI.
Objetivos de COBIT 5.

El objetivo de COBIT es lograr que el Gobierno de la empresa y

el área de TI coordinen mediante el uso de un lenguaje común
y entendible para ambas partes, y que a su vez el Gobierno de
la empresa reconozca que la oficina de TI es tan importante
como otras áreas de la empresa (Finanzas, Contabilidad, RRHH,
Operaciones, etc.)
Beneficios para las Organizaciones de COBIT 5.

• Mantener información de calidad para apoyar las

decisiones del negocio.
• Generar un valor comercial de las inversiones
habilitadas por la Tecnología de la Información (TI), o sea:
lograr metas estratégicas y mejoras al negocio mediante el
uso eficaz e innovador de la TI.
• Lograr una excelencia operativa mediante la
aplicación eficiente y fiable de la tecnología.
• Mantener el riesgo relacionado con TI a niveles
aceptables.
• Optimizar el costo de la tecnología y los servicios de
TI.
Buenas practicas que originan a COBIT 5.

• Val IT: Es un marco de referencia de gobierno que

incluye principios rectores generalmente aceptados y
procesos de soporte relativos a la evaluación y selección
de inversiones de negocios de TI
• Risk IT/: Es un marco de referencia normativo
basado en un conjunto de principios rectores para una
gestión efectiva de riesgos de TI.
• BMIS: (Business Model for Information Security) una
aproximación holística y orientada al negocio para la
administración de la seguridad informática
• ITAF: (IT Assurance Framework) un marco para el
diseño, la ejecución y reporte de auditorías de TI y de
tareas de evaluación de cumplimiento.
Buenas practicas relacionadas con COBIT 5.

• CISA: Certified Information Systems Auditor, es una certificación para

auditores respaldada por la Asociación de Control y Auditoría de Sistemas de
Información.
• CRISC: Es una certificación que prepara y habilita a los profesionales en
tecnologías de información para el desafio de la gestión del riesgo empresarial
desde el área de TI.
• CISSP: (Certified Information Systems Security Professional) es una
certificación de alto nivel profesional.
• CISM: Certified in Risk and Information Systems Control, es una
certificación para el Gerenciamiento de seguridad de la información.
• CGEIT: (Certified in the Governance of Enterprise IT) Certificado en la
Gobernanza de TI Empresarial. Dirigido a profesionales que gestionan, diseñan,
supervisan o evalúan la seguridad de la información de una organización.
¿Qué es GEIT?

El gobierno de TI empresarial (GEIT), es un sistema que permite a las

múltiples partes interesadas en la empresa tener una voz organizada en
las decisiones y evaluación para los objetivos de la empresa. El GEIT
ofrece un enfoque holístico para la creación de valor para las partes
interesadas, donde las funciones empresariales de extremo a extremo
adoptan un solo marco integrado de trabajo de gobierno que define las
competencias clave y los habilitadores de la creación de valor que
delinean claramente las diferencias entre las actividades de gobierno y las
de gestión.
 Dando los Primeros Pasos Hacia el GEIT

Falta de Apoyo Toma de decisiones

El éxito del GEIT es mucho La dirección necesita tomar decisiones

más difícil dentro de un basadas en diversas opiniones de los
entorno de gobierno débil, responsables de negocio e TI, auditores y
donde el apoyo y otros. El marco de COBIT 5 lo facilita
participación activa por parte proporcionando un lenguaje común para que
de la dirección es aun más los directivos puedan comunicar las
complicado. metas, objetivos y resultados esperados.

Entorno Apropiado Comite

Ejecutivo
Ayuda a la Una de las mejores formas de
implementación de formalizar el GEIT, mejorar la
mejoras en el GEIT Las supervisión ejecutiva y directiva
iniciativas de TI fracasan y establecer la dirección de las
frecuentemente debido a actividades de TI de la empresa
una inadecuada gestión, es creando un comité ejecutivo
soporte de estrategia de TI.
y supervisión de la
dirección

Willy
Aplicando un Enfoque de Ciclo de Vida de Mejora
Continua

• Planificar • hacer

• Actuar Ciclo de
Vida • Verificar

Willy
Componente del ciclo de vida RetosRetos
para para la Implementación
la implementacion del GEIT
del GEIT

Res i stenci a ha bi l i taci ón del cambi o Fa lta de comuni caci ón

48.10%
51.90%

Willy Tejada
Las Siete Fases del Ciclo de Vida de Implementación

Willy Tejada
 Puntos Debiles Mas Comunes

4. Complejos modelos
operativos de TI.
5. Cambios en TI frecuentemente
3. Gastos ocultos de TI. no cumplen con las necesidades
del negocio.

2. Incidencias significativas,
relacionado con TI,
como pérdida de datos
o proyectos fallidos
6. Presupuesto requerido es
mayor o se entrega tarde..
tales

1. Frustración del negocio 7. Incumplimiento de los

con iniciativas fallidas. requisitos legales.

Willy Tejada
 Eventos Desencadenantes

01 Un cambio de posición en 03 Una nueva prioridad o

05
el mercado, economía o estrategia de negocio.
competitividad.

Cambio en el modelo Auditorias o consultorías de

Desinversiones operativo del negocio. evaluación externas

02 04

Willy Tejada
 Desafíos de la Implementación y los Factores de Éxito
Primera fase se tiene como enfoque ¿Cuáles son los Motivos?
Contempla los desafíos, sus causas y los factores para conseguir
los mejores resultados.
1) La falta de adopción
2) 2) Dificultad para obtener la participación requerida del negocio
3) Ausencia de política y dirección actual en la empresa

Fase 2 la estructura hace referencia a ¿Dónde Estamos Ahora?

Fase 3—¿Dónde Queremos Ir?

1) Incapacidad para obtener y sostener el respaldo para la mejora de los objetivos
2) Costes de las mejoras muy elevado.
3) Falta de confianza y buenas relaciones entre TI y la empresa.
 Desafíos de la Implementación y los Factores de Éxito
Fase 4 ¿Qué es Preciso Hacer? Fase 5 ¿Cómo conseguiremos llegar?
establece desafíos de:
Considera los desafíos:
1) Fallar en la realización de los compromisos de la implementación.
1) Fallar en la comprensión del entorno.
2) Tratar de hacer demasiado de una vez
2) Varios niveles de complejidad.
3) Ausencia de las habilidades y competencias requeridas.
3) Dificultad para entender COBIT 5
4) Resistencia al cambio.

Fase 6—¿Hemos Conseguido Llegar?

Fase 7—¿Cómo Mantenemos Vivo el Impulso? Con desafíos:

1) Fallo en la adopción o aplicación de mejoras.
2) Dificultad para mostrar o proveer beneficios.
3) Pérdida de interés o momento. En esta fase se verifica la
implementación efectiva de la mejora del gobierno de TI a
través de todos los factores de estructura, procesos, y
gestión para así poder mantener el sistema y las métricas.
 Necesidad de habilitar el Cambio
Objetivo de la Necesidad de habilitar el cambio en las mejoras del GEIT.
Es mantener la iniciativa, la integración y la proactividad de las partes involucrada en los
procesos implementando los cambios apropiados incorporando estrategias que promueva su
participación y el avance de cada uno de ellos en el proyecto a desarrollar.

Importancia de la Habilitación del cambio.

En las empresas están enfocando suficiente énfasis en la gestión de los aspectos humanos,
culturales y de comportamiento del cambio por que los colaboradores por naturaleza se
resisten a los cambios, para ellos se han desarrollado técnicas motivacionales enfocada en las
partes relacionada para obtener su apoyo al cambio para ellos debe existir una efectiva
comunicación y una buena compresión de los espectadores

Herramientas utilizadas para la habilitación del cambio.

 Charlas informativas de las mejoras y nueva estructura del Geit.
 Involucramiento de los empleados desde el nivel inicial hasta el nivel superior.
 Mostrar importancia y consideración a las ideas de los colaboradores involucrados.
 Predicar con el ejemplo y la animación de los grandes directivos.
 Conclusión

La efectividad de un Gobierno de TI depende fundamentalmente del compromiso y apoyo otorgado por la máxima autoridad, ya
que el rol del nivel directivo está relacionado con la evaluación, dirección y monitoreo hacia el cuerpo de gestión. De esta
manera, la implementación de Gobierno de TI, se logrará si todo el personal forma parte de la cultura organizacional enfocada en
el cambio, mejorando la imagen corporativa y la satisfacción de los usuarios; de este modo, se cambiará la imagen de TI a un
activo estratégico del negocio.

COBIT5 está alineada con los principios de la ISO 38500, en cuanto a que nos hacen referencia al principio de rendimiento, en
este la TI esta para dar soporte a la organización. La conformidad, la TI cumple todas las legislaciones y normas aplicables y las
políticas están definidas. La conducta humana, todas las políticas y prácticas demuestran respeto por la conducta humana
incluyendo las necesidades actuales.

Estas normas son un marco de trabajo que ayuda a las organizaciones a obtener el valor de TI con el alineamiento de las
estrategias de las diferentes áreas y obteniendo los objetivos planteados por la organización. Ayuda a que la TI sea gobernada y
gestiona de manera correcta aportando a la organización valor.