La gobernanza de las TIC puede definirse como un “marco de trabajo para el liderazgo, las estructuras organizativas y los procesos empresariales, normas y cumplimiento de esas normas, que garantizan que las TI de la organización apoyen y permitan la consecución de sus estrategias y objetivos”.
La ISO/IEC 38500 define la gobernanza corporativa de las TIC como “el sistema mediante el cual el uso actual y futuro de las TIC es dirigido y controlado”. Esto implica la evaluación y la dirección de la utilización de las TIC para apoyar la organización y la supervisión de este uso a efectos de lograr planes. Esta norma incluye la estrategia y las políticas para la utilización de las TIC en una organización.
La ISO/IEC 38500 establece seis principios de buena gobernanza corporativa de las TIC. Los principios expresan el comportamiento preferido para orientar la toma de decisiones.
Principio 1: Responsabilidad. Los individuos y los grupos dentro de una organización entienden y aceptan sus responsabilidades respecto, tanto de la oferta como de la demanda de TIC. Aquellos con responsabilidad en las acciones también tienen la autoridad de realizar esas acciones.
Principio 2: Estrategia. La estrategia empresarial de la organización tiene en cuenta las capacidades actuales y futuras de las TIC; los planes estratégicos de las TIC satisfacen las necesidades actuales y continuas de la estrategia empresarial de la organización.
Principio 3: Adquisición. Las adquisiciones de TIC se efectúan por razones válidas, con base en un análisis adecuado y continuo, con una toma de decisiones clara y transparente. Existe un equilibrio idóneo entre beneficios, oportunidades, costos y riesgos, tanto a corto plazo como a largo plazo.
Principio 4: Rendimiento. Las TIC se corresponden con la finalidad a la hora de apoyar a la organización, prestando servicios, niveles de servicios y calidad de los servicios que se requieren para satisfacer los requisitos empresariales actuales y futuros.
Principio 5: Conformidad. Las TIC dan cumplimiento a toda la legislación y la reglamentación obligatorias. Las políticas y prácticas se definen, aplican y ejecutan con claridad.
Principio 6: Comportamiento humano. Las políticas, prácticas y decisiones en materia de TIC, vienen a demostrar un respeto del comportamiento humano, incluidas las necesidades actuales y en evolución de todas las “personas en el proceso”.