Seguridad en tecnología de la información
TIC basado en las normas ISO
Carlos Manuel Fernández Sánchez
y Mario Piattini Velthuis (Coords.)
Título: Modelo para el gobierno de las TIC basado en las normas ISO
Coordinadores de la obra: Carlos Manuel Fernández Sánchez y Mario Piattini Velthuis
© AENOR (Asociación Española de Normalización y Certificación), 2012
Todos los derechos reservados. Quedaprohibida la reproducción total o parcial en cualquier soporte,
sin la previa autorización escrita de AENOR.
ISBN: 978-84-8143-764-6
Impreso en España - Printed in Spain
Edita: AENOR
Maqueta y diseño de cubierta: AENOR
Imprime: AENOR
Nota: AENOR no se hace responsable de las opiniones expresadas por los autores en esta obra.
Génova, 6. 28004 Madrid • Tel.: 902 102 201 • Fax: 913 103695
comercial@aenor.es • www.aenor.es
Índice
Prólogo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . 15
1. El gobierno y la gestión de las tecnologías y sistemas de la información . . . . . . . . . . . . 19
1.1. Definición de gobierno de las tecnologías y sistemas de la información . . . . . . . . . 19
1.2. Diferencia entre gobierno y gestión de las TSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
1.3. Marcospara el gobierno y la gestión de las TSI . . . . . . . . . . . . . . . . . . . . . . . . . . 22
1.4. Las normas y el gobierno y la gestión de las TSI . . . . . . . . . . . . . . . . . . . . . . . . . . 22
1.5. Conclusiones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
1.6. Bibliografía . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
2. Normas y estándares para el gobierno y la gestión de las TIC . . . . . . . . . . . . . . . . . . . 29
3. El gobierno corporativo de tecnologías de la información (ISO/IEC 38500) . . . . . . . . . 39
3.1. Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . 39
3.2. ¿Qué es el buen gobierno corporativo? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
3.3. Antecedentes de gobierno de las TIC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
3.4. La Norma ISO/IEC 38500:2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
3.4.1. Alcance,aplicación y objetivos de ISO/IEC 38500:2008 . . . . . . . . . . . . 42
3.4.2. Definiciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
3.4.3. Principios de ISO/IEC 38500:2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
3.4.3.1. Responsabilidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443.4.3.2. Estrategia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
3.4.3.3. Adquisición . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
3.4.3.4. Rendimiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
3.4.3.5. Conformidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
3.4.3.6. Factor humano . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
3.4.4. El modelo ISO/IEC 38500:2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
3.4.4.1. Evaluar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
4
Modelo para el gobierno de las TIC basado en las normas ISO
3.4.4.2. Dirigir ...
Regístrate para leer el documento completo.