capítulo

Herramientas para la implantación del

8
gobierno de las TI: ISO 38500
Antoni Bosch Pujol
Universidad Autónoma de Barcelona

8.1. Introducción
8.2. Herramientas para la implantación del gobierno de las TI
8.3. ISO/IEC 38500:2008
8.3.1. Definiciones estándares
8.3.2. Marco de referencia
8.3.3. Guía de recomendaciones
8.4. La ISO 38500 en relación a las universidades
8.5. Conclusiones
8.6. Referencias
 capítul
HERRAMIENTAS PARA LA IMPLANTACIÓN DEL GOBIERNO DE LAS TI: ISO 38500
8 o

8.1. Introducción
“Saber que se sabe lo que se sabe y saber que no se sabe lo que no se sabe; he aquí la verdadera ciencia”, dice un viejo proverbio
chino. Sin embargo hay cosas que es mejor no saber cómo se hacen, las salchichas y las Normas.

Cualquier norma es el fruto de debates más o menos acalorados, presiones por parte de instituciones, de empresas, de grupos de
presión e incluso de intereses particulares y al final se acaba negociando y pactando consensos para sacar la norma adelante. Esto
es lo que sucedió en la adopción de la ISO 38500 que inicialmente se aprobó todo, o mejor dicho aprobamos, ya que tuve el honor
de ser el representante español en la comisión que trabajó en ella en Montreal en el año 2007. La norma se aprobó finalmente en el
2008 en Berlín.

Viene a colación porque, como ya se ha dicho en otros capítulos, la norma deriva de la AS8015 que es la norma austra- liana y en
los debates que mantuvimos estuvimos analizando palabra por palabra el redactado final.

Las mayores discusiones estuvieron centradas en la definición y en dónde poner la frontera entre “Management”, que podemos
traducir por Gestión y “Governance” o Buen Gobierno, discusiones en las que aún estamos inmersos. Al final, todos los
representantes, estuvimos de acuerdo que la norma debía aprobarse como una norma de mínimos para tener un marco común de
referencia, de ahí la simplicidad de la misma.

El gran interrogante es por qué hablamos de Gobernanza de las TI y no hablamos de Gobernanza de la Producción, del Marketing,
de Recursos Humanos, de Contabilidad, etc. Quizás, porque los informáticos tienen complejo de inferioridad y les gustaría sentarse
en el Consejo de Administración y no acaban de atreverse. O simplemente es porque las TI se han convertido en un elemento
mucho más importante y estratégico que los mencionados. Pero si son tan importantes,
¿por qué no se estudian con más detalle en las facultades de administración de empresas o económicas? Será porque hay miedo, y
quizás verdadero pavor, a todo lo que se conecta y mejor dejarlo en manos de los técnicos. Dejo estas pro- vocadoras reflexiones en
manos del lector para que busque sus propias respuestas.

Por último, recomiendo que las organizaciones implementen sus planes de gobierno a través de estructuras, procesos y
comunicaciones que estén bien diseñados, sean transparentes y sobre todo sean muy bien comprendidos.

8.2. Herramientas para la implantación del gobierno de las TI

Existen un gran número de herramientas que dan soporte a la administración o gestión
de las TI en una organización pero sólo unas pocas tienen por funcio- nalidad principal Ungrannúmerodeherramientas
el servir de apoyo a la implantación de un sistema de gobierno de las TI integral. sirven para mejorar la
gestión de las TI pero solo
La Tabla 8.1. presenta, a modo de índice, un conjunto de las principales herra- mientas unas pocas tienen por
disponibles. objetivo promover sistemas
de buen gobierno de las TI
En ITGI (2006) e ITGI (2009) se realiza un análisis bastante detallado de las
herramientas de la tabla 8.1., resulta especialmente interesante la descripción de la
interrelación que existe entre las mismas y cómo algunas proporcionan soporte a otras.

Sin embargo, sólo las herramientas de la primera fila de la Tabla 8.1. son espe- cíficas
para la implantación de un modelo de gobierno de las TI, el resto de herramientas son
útiles en otras áreas (seguridad, gestión de proyectos, ges- tión de servicios, etc.) que
son convenientes abordar como apoyo o soporte de un sistema de gobierno pero son
más propias de tareas de gestión de las TI que del propio gobierno de las TI. Aunque,
hay que reconocer que el implantar herra- mientas de gestión de las TI va a generar una
cultura organizativa muy propicia para asumir posteriormente un sistema de gobierno
de las TI.

121
GOBIERNO DE LAS TI PARA
UNIVERSIDADES

Tabla 8.1. Herramientas para la implementación del Gobierno de las TI

Elaboración propia

ESTÁNDAR ESTÁNDAR ESTÁNDAR DE UNA

INTERNACIONAL NACIONAL ORGANIZACIÓN
Gobierno de las TI ISO 38500 AS 8015 COSO COBIT
Planificación TI PSI-Metrica 3
Valor de las TI Val IT
Gestión Servicios TI ISO 20000 BS 15000 COBIT ITIL MOF
Gestión de UNE 15781 PMBOK PRINCE2
Proyectos APMs IPMA
Desarrollo Software ISO 12207 ISO 15504 Ticket Metrica 3 CMMI Bootstrap
Gestión de AS/NZS 4360 COSO
Riesgos Magerit UNE 71504
Gestión de ISO 27000 ISO 13335 NIST-800 series ASCI-33 COBIT
Seguridad ISO 13569 ISO 17799 BS 7799-2 GAO ISF ENV12924
ISO 15408 ´s FISCAM SEI´s OCTAVE
German BSI SEI´s SW-CMM BPM
Gestión ISO /IEC 25999 PAS-56 AS/NZS 4360
Continuidad HB 221-2004 BS25999
Gestión de la ISO 9001 EFQM BNQP
Calidad SixSigma
Auditoria ISO 19011 COBIT

8.3. ISO/IEC 38500:2008

En 2005, el gobierno de Australia publicó el estándar AS8015-2005 “Corporate Governance of Information and Commu-
nication Technology” que incluye un modelo de referencia de gobierno de las TI. El estándar de ámbito nacional AS8015 (2005)
fue promovido a norma internacional en junio de 2008, dando lugar a la norma ISO/IEC 38500:2008 “Corporate Governance of
Information Technology”.

Esta joven norma está pensada principalmente para el Consejo de Dirección, pretende ayudar a sus miembros a obte- ner el máximo
valor de las TI y de los recursos de información de su organización. El estándar ofrece un marco de referencia para el gobierno
eficiente de las TI, con el objetivo de que los más altos directivos de una organización comprendan y satisfagan sus compromisos
legales y obligaciones éticas en relación con el uso de las TI dentro de su organización. En realidad este estándar es útil para dos
colectivos diferentes:
1. Va dirigido a la alta dirección pues les indica la manera en la que deben evaluar, dirigir y monitorizar el uso de las TI en
toda la organización.
2. Pero también va dirigido a los gestores de las TI pues les informa y les guía sobre como diseñar e implementar políticas de
gestión, procesos y estructuras que den soporte al gobierno de las TI.

El principal objetivo de la
ISO 385000 es promover el
uso eficiente, efectivo y
aceptable
de las TI en toda
la
organización
El objetivo de este estándar es el de promover el uso eficiente, efectivo y acep- table
de las TI en toda la organización:
• Asegurando a los grupos de interés (incluidos inversores, clientes y emplea- dos)
que, si se sigue el estándar, se puede confiar en el gobierno corporativo de las TI.
• Informando y guiando a los directivos en el Gobierno de las TI de su organi- zación.
• Proporcionando los fundamentos para una evaluación objetiva del estado del
Gobierno de las TI en la organización.

El estándar está compuesto por: un conjunto de definiciones estándares, un marco de

referencia y unas guías con recomendaciones para el buen gobierno de las TI.

122
 capítul
HERRAMIENTAS PARA LA IMPLANTACIÓN DEL GOBIERNO DE LAS TI: ISO 38500
8 o

8.3.1. Definiciones estándares

La ISO 38500 incluye un conjunto de definiciones relacionadas con el Gobier- no de
La norma ofrece un
las TI que sirven como vocabulario común para todos aquellos que conozcan e
conjunto de definiciones
implementen este estándar. Un ejemplo extraído de dicho vocabu- lario es el
siguiente: “Tecnologías de la Información (TI), recursos necesarios para obtener, cuya asimilación y
procesar, almacenar y distribuir información. Este término tam- bién incluye utilización son el primer
`Tecnologías de la Comunicación (TC)´ y el de `Tecnologías de la Información y las paso para satisfacerla
Comunicaciones (TIC)´”. Este es un buen ejemplo de cómo el vocabulario propuesto
por la norma pretende unificar un conjunto de térmi- nos utilizados con anterioridad
bajo una denominación única y común.

Se recomienda una lectura pausada de este catálogo de definiciones y la asi- milación

y utilización de los mismos en lo sucesivo como primer paso para cumplir con esta
norma.

8.3.2. Marco de referencia

El marco de referencia para el gobierno de las TI incluido en la ISO 38500 se compone, a su vez, de: seis principios y un modelo
de gobierno.

Principios

Los principios expresan cuales son los comportamientos que deben adoptarse a la
hora de la toma de decisiones. Cada principio establece qué es lo que debe- ría ocurrir, Cada principio establece
pero no indica cómo, donde o quien debe implantar dichos principios. Estos aspectos qué es lo que debería
dependerán de la naturaleza de la organización. Los directivos deben velar porque se ocurrir, pero no indica
apliquen estos principios. cómo, donde o quien debe
implantar dichos principios
Los seis principios propuestos son (resumidos en Tabla 1.18.):
1. Responsabilidad, deben establecerse las responsabilidades de cada
individuo o grupo de personas dentro de la organización en relación a las TI.
Cada uno debe aceptar y ejercer su responsabilidad y aquellos a los que se le
asigne una responsabilidad deberá ejercer dicha responsabili- dad.
2. Estrategia, a la hora de diseñar la estrategia actual y futura de la orga-
nización hay que tener en cuenta el potencial de las TI. Los planes estratégicos
de las TI deben recoger y satisfacer las necesidades estra- tégicas de negocio
de la organización.
3. Adquisición, las adquisiciones de TI deben realizarse bajo criterios razo-
nables, después de un adecuado análisis y tomando la decisión en base a
criterios claros y transparentes. Debe existir un equilibrio apropiado entre
beneficios, oportunidades, coste y riesgos, tanto a corto como a largo plazo.
4. Desempeño, las TI deben dar soporte a la organización, ofreciendo ser-
vicios y alcanzando los niveles y la calidad de los servicios requeridos por la
organización.
5. Cumplimiento, las TI deben cumplir con todas las leyes y normativas. Las
políticas y los procedimientos internos deben estar claramente defi- nidos,
implementados y apoyados.
6. Componente Humano, las políticas y procedimientos establecidos deben tener
en cuenta a las personas e incluir todas las cuestiones que rela- cionadas con
ellas que puedan influir en los procesos de negocio: competencia individual,
formación, trabajo en grupo, comunicación, etc.

123
GOBIERNO DE LAS TI PARA
UNIVERSIDADES

Tabla 8.2. Principios de Gobierno de las TI de la norma ISO 38500

Adaptado de ISO 38500 (2008)

1. RESPONSABILIDAD
Establecer las responsabilidades de cada individuo o grupo de personas dentro de la organización en relación a las TI.
2. ESTRATÉGIA
Hay que tener en cuenta el potencial de las TI a la hora de diseñar la estrategia actual y futura de la organización.
3. ADQUISICIÓN
Las adquisiciones de TI deben realizarse después de un adecuado análisis y tomando la decisión en base a criterios claros y
transparentes. Debe existir un equilibrio apropiado entre beneficios, oportunidades, coste y riesgos, tanto a corto como a largo
plazo.
4. DESEMPEÑO
Las TI deben dar soporte a la organización, ofreciendo servicios con el nivel de calidad requerido por la organización.
5. CUMPLIMIENTO
Las TI deben cumplir con todas las leyes y normativas y las políticas y los procedimientos internos deben estar claramente
definidos, implementados y apoyados.

6. FACTOR HUMANO
Las políticas y procedimientos establecidos deben incluir el máximo respeto hacia la componente humana, incorpo- rando todas las
necesidades propias de las personas que forman parte de los procesos de TI.

Modelo de gobierno

El modelo de gobierno se ilustra a través de los elementos que aparecen en la Figura 8.2.

Los directivos La norma establece que los directivos deberían gobernar las TI a través de 3 acciones:
deberían gobernar las TI a
través de las acciones de 1. Evaluar la utilización actual y futura de las TI. Los directivos deberían exami- nar
Evaluar, Dirigir y y tomar conciencia del estado actual y futuro de las TI, incluidas estrategias, propuestas
Monitorizas y siguiendo el y procedimientos establecidos (tanto interna como externamen- te). A la hora de
modelo que propone la evaluar la situación de las TI, el directivo debería tener en cuenta las presiones
norma ISO 38500 internas y externas a las que está sometido el negocio, como pueden ser los cambios
tecnológicos, económicos, tendencias sociales e influencias políticas. La evaluación
debería ser continua y tener en cuenta necesidades actuales y futuras del negocio
para poder alcanzar y mantener ventaja competitiva así como alcanzar los objetivos
específicos de las estra- tegias y propuestas que están siendo evaluadas.

2. Dirigir la preparación e implementación de los planes y políticas que asegu- ren

que la utilización de las TI alcanzan los objetivos de negocio. Los planes deberían
fijar el destino de las inversiones en proyectos y operaciones de TI. Las políticas
deberían establecer el nivel de servicio en la utilización de las TI. Los directivos
deben asegurarse de que se realice una adecuada implemen- tación de los proyectos
para convertirse en operaciones según los planes establecidos, teniendo en cuenta el
impacto en el negocio y en los procedi- mientos establecidos así como las
infraestructuras y sistemas de TI existentes. Los directivos deben promover una
cultura de Gobierno de las TI en su orga- nización, requiriendo a los gestores de TI
información periódica y respetando los seis principios del Gobierno de las TI.

124
 capítul
HERRAMIENTAS PARA LA IMPLANTACIÓN DEL GOBIERNO DE LAS TI: ISO 38500
8 o

Figura 8.1. Modelo de Gobierno de las TI de la norma ISO 38500

Adaptado de ISO 38500 (2008)

Presiones Necesidades
sobre la Gobierno de la
organización Corporativo organización
de las TI

EVALUAR

DIRIGIR MONITORIZAR

PROPUESTAS
PLANES
RENDIMIENTO

Procesos de negocio

PROYECTOS OPERACIONES

3. Monitorizar, mediante un adecuado sistema de medida, la adecuación a las políticas, procedimientos y planes establecidos
(tanto interna como externamente).

8.3.3. Guía de recomendaciones

El estándar también proporciona un conjunto de recomendaciones para el buen gobierno de las TI y propone una serie de prácticas
para implementar los principios descritos anteriormente (Tabla 8.3.). Las recomendaciones se describen de manera somera y sólo
son un punto de partida para los gestores de TI que deben completar estas guías a la hora de implementarlas, identificando cuales
son las acciones especificas necesarias para alcanzar los principios, teniendo en cuenta la naturaleza especial de cada organización
y realizando un análisis exhaustivo de las oportunidades y riesgos asociados con el uso de un recurso tecnológico concreto.

Las recomendaciones se describen de manera somera y sólo son un punto de partida para los
gobernantes de TI, que deben completarlas identificando cuales son las acciones especificas
necesarias para alcanzar los principios

125
GOBIERNO DE LAS TI PARA
UNIVERSIDADES
Tabla 8.3. Resumen de las recomendaciones de buen gobierno de las TI de la norma ISO 38500
Elaboración propia a partir de ISO 38500 (2008)
EVALUAR
RESPOSABILIDAD • Los modelos y opciones para
asignar responsabilidades
• Las capacidades de aquellos que
reciben la responsabilidad
ESTRATÉGIA •Los desarrollos de TI para
compro- bar que darán soporte
al negocio en un futuro
•Si las actividades de TI están
alinea- das con los objetivos de
negocio
•Si se gestionan los riesgos
relacio- nados con el uso de las
TI
ADQUISICIÓN •Diferentes opciones con ofertas
de TI en relación al coste y al
riesgo
DESEMPEÑO • Las propuestas operativas de los
gestores de TI para mantener la
capacidad del negocio
•El riesgo de las TI en relación a
la continuidad de las
operaciones de negocio
• El riesgo para la integridad de la
información
•La eficacia de las decisiones de
TI para el negocio
• El rendimiento eficiente del
sistema de gobierno de las TI
CUMPLIMIENTO • En qué medida se cumple la
legislación y las normas internas
establecidas
• El cumplimiento interno de los
procedimientos propios del
Gobierno de las TI establecido
en la organización
COMPONENTE •Que el componente humano está
identificado y se tiene en
HUMANO cuenta en todas las actividades
de TI
8.4. La ISO 38500 en relación a las universidades
La ISO 38500 tiene
un carácter global y es
valida
para todo tipo
de organizaciones,
independientemente de
su naturaleza, tamaño o
situación geográfica, por
126
DIRIGIR
• Que se lleven a cabo los planes
diseñados
• Que los directivos reciban la
información que necesitan para
tomar decisiones
•Que se diseñen políticas y
planes que aprovechen el valor
de las TI
• Que se innove en TI
• Que el procedimiento
de compra sea el adecuado
•Que se satisfagan las necesidades
de la organización
• Que se disponga de suficientes
recursos TI
•Que se proporcione a la
dirección la información
correcta y actuali- zada como
soporte a las decisio- nes
• Que se establezcan mecanismos
para comprobar el cumplimiento
de leyes, normas y estándares
• Que se establezcan políticas que
apoyenel usoy la integraciónde las
TI
• Que el personal de TI tenga un
comportamiento profesional y
respete los procedimientos
• Que se realice un uso
ético de las TI
• Que las actividades de TI sean
consistentes con el componente
humano
•Que sean identificados y
reporta- dos por cualquiera los
riesgos y oportunidades para
que sean estimados por los
directivos
MONITORIZAR
•Ver si están establecidos los
meca- nismos de Gobierno de
las TI
• Comprobar si se comprenden las
responsabilidades asignadas
• Medir si rinden adecuadamente
las responsabilidades asignadas
• Comprobar si se alcanzan los
objetivos en el plazo y con los
recursos planificados
•Medir los resultados para
compro- bar que se han
alcanzado los beneficios
esperados
• Comprobar que las inversiones
proporcionan las capacidades
esperadas
•Ver hasta que grado se
comparte los objetivos de la
adquisición con el proveedor
• Ver en que medida las TI dan
soporte al negocio
• Comprobar que la asignación de
recursos se prioriza en relación
a los objetivos de negocio
• Comprobar que se cumplen las
políticas y normas establecidas
• Realizar auditorias y redactar
informes del rendimiento y
cumplimiento
•Comprobar que las TI preservan
la privacidad y el conocimiento
estratégico.
•Si se percibe como importante
el componente humano
•Si se aplican las prácticas
adecua- das para hacerlo
consistente con el uso de las TI
tanto también es aplicable a
las universidades
 capítul
HERRAMIENTAS PARA LA IMPLANTACIÓN DEL GOBIERNO DE LAS TI: ISO 38500
Las universidades, son 8 o
organizaciones con características
propias y singulares, pero en lo que
respecta a esta norma deben tener el
mismo interés y ventajas al
implementarla que cualquier otra
organización. Es la propia norma la
que esta- blece su validez para todo
tipo de organizaciones,
independientemente de su naturaleza,
tamaño o situación geográfica.

Toomey (2009) establece que las

organizaciones que deseen implantar
la norma ISO 38500 deberían seguir
las siguientes recomendaciones, que
propongo sean consideradas también
por las universidades:
• Evaluar su comportamiento actual y
aprovechar las oportunidades que les
ofre- ce el estándar

127
GOBIERNO DE LAS TI PARA
UNIVERSIDADES

• Planificar un nivel apropiado de adopción del estándar, dedicándole finan-

ciación y estableciendo los principales hitos y objetivos El pilar fundamental de un
• Definir e implementar procedimientos que constituyan las directrices maes- tras sistema de gobierno de las
para dirigir y controlar el uso de las TI TI son las personas, y su
• Proponer el proceso de adopción de la norma como si se tratara de un pro- yecto, implementación puede fallar
o preferiblemente como un conjunto de proyectos interrelacionados si se confía a las personas
• Supervisar la adopción progresiva del estándar, comprobar que se ajustan a las inadecuadas
directrices del gobierno corporativo y medir los resultados para ase- gurarse de
que se ha conseguido lo planificado
• Definir responsabilidades y establecer claros e inequívocos responsables para
implementar las nuevas tareas de gobierno
• Asegurarse de que se lleva a cabo el ajuste estratégico, alineando las mejo- ras del
sistema de gobierno de las TI con los objetivos y el comportamiento global de la
organización
• Priorizar y asignar recursos para la mejora del sistema de gobierno solo donde las
inversiones sean necesarias y estén justificadas
• Establecer objetivos claros de rendimiento del sistema de gobierno, y defi- nir
procedimientos externos de medida del sistema
• Asegurarse de que las normas del sistema de gobierno están claras, y que su
cumplimiento puede ser fácilmente evaluado
• Reconocer que el pilar fundamental de un sistema de gobierno de las TI son las
personas, que tienen necesidades, aspiraciones y un amplio rango de
particularidades. Cambiar o implementar un nuevo sistema de gobierno de las TI
puede significar que todas las personas de la organización se sitúen en el camino
hacia el cambio, que para algunos puede ser un reto dema- siado complicado

Esta última tarea es la más complicada y la que puede provocar que falle la
implantación del sistema de gobierno de las TI si se confía a las personas inade-
cuadas.

Al principio del capítulo decíamos que necesitamos comunicar a todos los niveles de la organización las estructuras y los procesos
si queremos lograr el comportamiento deseado en el uso de las TI. En las universidades esto se debe lograr de varias maneras:
• El Comité de Dirección (Rector y Vicerrectores) deben clarificar las prioridades relacionas con las iniciativas de TI y
demostrar su compromiso con las mismas.
• El CIO debe liderar y asegurar el alineamiento entre el gobierno TI y el resto de los activos de la organización.
• A los “incredulos” hay que educarlos a través del dialogo y la comunicación. Escuchando sus comentarios, aten- diendo sus
preocupaciones, haciendo excepciones y, llegado el caso, cambiando mecanismos no efectivos.
• Hay que fomentar la comunicación de las inversiones en TI y de las métricas utilizadas para medir su éxito. Esta difusión
debería hacerse a través de la web y los medios de comunicación institucionales.

8.5. Conclusiones
La norma ISO 38500 se ha convertido desde su nacimiento en el mejor referente para aquellas organizaciones que dese- an
implantar sistemas de gobierno de las TI. El modelo y los principios propuestos por la norma deben contribuir a generar entre los
directivos la cultura necesaria para abordar la implantación de un sistema integral de gobierno de las TI, basa- do en las estructuras,
procesos y mecanismos que se han ido presentando a lo largo de este curso.
La efectividad de la norma está aun por demostrar debido a su juventud y faltan experiencias de referencia, pero estoy seguro de
que una adecuada adopción de la misma debe contribuir siempre, en mayor o menor medida, a la mejora del gobierno de las TI, y
por tanto del gobierno corporativo, de la universidad.

128
GOBIERNO DE LAS TI PARA
UNIVERSIDADES

8.6. Bibliografía
Recomendadas
La lectura de las siguientes referencias van a servir para consolidar los contenidos presentados en este capitulo por lo que le
recomendamos que no deje de leerlas.

Ballester (2009). ISO/IEC 38500, la norma para el Gobierno de las TIC. Normas y Estandares en Revista Audi-
toria y Seguridad, nº 32. http://www.revista-ays.com/DocsNum32/Normas/Ballester.pdf

ISO 38500 (2008). ISO/IEC 38500:2008 Corporate Governance of Information Technology.

http://www.iso.org/iso/pressrelease.htm?refid=Ref1135

Toomey, M. (2009). Waltzing with the Elephant: A comprehensive guide to directing and controlling information
technology. Infonomics Press. Melbourne. Australia. http://www.infonomics.com.au

Otras referencias
Estas referencias son interesantes para completar el conocimiento acerca de los contenidos expuestos en este capitulo pero no
recomendamos su lectura salvo que vaya a realizar un trabajo de análisis o de investigación más profundo:

ITGI (2006) CoBIT Mapping: Overview of internacional IT guidance (2ª Ed.). IT Governance Institute.
www.itgi.org

ITGI (2009) ITGI Facilita la Adopción de la ISO/IEC 38500:2008. IT Governance Institute.

www.itgi.org

128
 capítul
HERRAMIENTAS PARA LA IMPLANTACIÓN DEL GOBIERNO DE LAS TI: ISO 38500
8 o

sobre el
Autor
Antoni BOSCH PUJOL
Universidad Autónoma de Barcelona

Actualmente
• Profesor de la Universidad Autónoma de Barcelona
• Director General de Institute of Audit & IT-Governance (IAITG).
• Director del Data Privacy Institute (DPI-ISMS).
• Director del Máster en Auditoría, Seguridad, Gobierno y Derecho de las TIC (UAM).
• Director del Máster en IT-Governance. Universidad San Pablo CEU.
• Director del Máster en Auditoría y Protección de Datos. Universidad San Pablo CEU.
• Director del IT-Governance Think-Tank Group de Barcelona.
• Miembro del SC7/GT 25 de AENOR y coordinador del subgrupo de IT-Governance.
• Representante español en el subcomité ISO de IT-Governance (ISO 38500).
• Miembro Académico del European Corporate Governance Institute.
• Coordinador de la comunidad de IT-Governance en epractice.eu.

• Licenciado en Física Electrónica por la Universidad de Barcelona.

• Diplomado en Alta Dirección de Empresas por ESADE.
• Máster en Auditoría Informática.
• Técnico Superior en Prevención de Riesgos Laborales.
• Auditor Certificado en Sistemas de Información (CISA) por ISACA.
• Director Certificado en Seguridad de la Información (CISM) por ISACA.
• Certified in Governance of Enterprise IT (CGEIT) por ISACA.
• Diplomado en “Managing Information Technology of the Center for Informa- tion
Systems Research” at the MIT Sloan School of Management.
• Profesor de la UAB en el Departamento de Ingeniería de la Información y de las
Comunicaciones responsable de las asignaturas de Auditoría y Control de los
Sistemas de Información y IT-Governance.
• Es el Presidente Fundador del capítulo de Cataluña y Baleares de ISACA.
• Profesional con más de 25 años de experiencia y es asesor de diversas empre- sas
privadas y administraciones públicas en cuestiones relacionadas con el desarrollo
de estándares y políticas TIC, IT-Governance, ITIL, ISO 20000, ISO 27000, análisis
y gestión de riesgos tecnológicos, evaluaciones de controles, gestión de niveles de
servicio, protección de datos, gestión de incidentes, pla- nes de continuidad de
negocio, gestión de proyectos, asesoría de seguridad y Planes estratégicos TIC.

129