View
218
Download
0
Category
Preview:
Citation preview
2
Fattori critici di successo
Critical Success Factor (CSF) Definiscono le azioni o gli elementi più importanti per
controllare i processi IT
Linee guida orientate alla gestione del processo
Devono essere definite in questa fase le “cose più importanti” per raggiungere gli obbiettivi del processo, dal punto di vista: Strategico
Tecnico
Organizzativo
Procedurale
3
Fattori critici di successo
Saranno quindi definiti:
Processi definiti e documentati
Politiche definite e documentate
Chiare competenze
Forte supporto “impegno” dei responsabili
Idonea comunicazione
Coerenti pratiche di comunicazione
4
Indicatori chiave di obbiettivo
Key Goal Indicator (KGI) Definiscono le misure per indicare ai responsabili se un
processo IT ha soddisfatto i requisiti aziendali
Orientati all’IT ma guidati dalle esigenze di business
Espressi in termini di: Disponibilità
Integrità e Riservatezza
Efficienza economica dei processi e delle operazioni
Conferma dei criteri di affidabilità, efficacia e conformità
KGI dice se abbiamo raggiunto l’obbiettivo
5
Indicatori chiave di
Prestazione
Key Performance Indicators (KPI)
Indicano ai responsabili che il processo IT sta
raggiungendo i suoi obbiettivi aziendali
È un controllo “a priori”, misura le prestazioni dei fattori
abilitanti dei processi IT
Spesso questi indicatori sono una misura per i fattori critici
di successo (anche se non c’è un rapporto diretto tra CSF
e KPI)
KPI dice quanto bene il processo si sta evolvendo
6
ESEMPIO: frequentare
l’università
Obbiettivo di alto livello
laurearsi in un tempo ragionevole e con un voto dignitoso
CSF
motivazione personale
“genitori assillanti”
frequenza costante delle lezioni
studio giorno per giorno
…
7
ESEMPIO: frequentare
l’università
KPI
votazione media
rapporto numero esami superati / anni
KGI
voto di laurea obiettivo
tempo di permanenza all’università obiettivo
CobiT - Cappellazzo
Pietro
8
Auditing
Importante funzione aziendale di assistenza
al management
Salvaguardia delle risorse aziendali
Verifica di accuratezza delle registrazioni contabili
Sviluppo di migliorie operative
Verifica di aderenza a policy aziendali e
regolamenti esterni
CobiT - Cappellazzo
Pietro
9
Rischi e Controlli
Rischio Possibilità che un evento indesiderato possa causare
perdita o danno
Controllo Prassi, procedura, strumento tecnico, policy attuata per
mitigare il rischio
Rischio residuo Componente del rischio che non risulta mitigata dai
controlli in atto
CobiT - Cappellazzo
Pietro
10
ESEMPIO: Attraversamento di
una strada
Valutazione dei rischi
Attraversare una statale in ora di punta ALTO
Attraversare una strada di campagna poco frequentata
MEDIO
Attraversare il parcheggio di un supermercato BASSO
Valutazione dei controlli
Guardare a destra e sinistra prima di attraversare
FORTE
Attraversare sulle strisce zebrate (occhi chiusi) DEBOLE
Attraversare al semaforo (occhi chiusi) FORTE
11
ESEMPIO: Attraversamento di
una strada
Applichiamo il modello ad un caso specifico:
Viale a 3 corsie per senso di marcia.
E’ possibile effettuare l’attraversamento
pedonale sulle strisce oppure al semaforo.
CobiT - Cappellazzo
Pietro
12
ESEMPIO: Attraversamento di
una strada
Completiamo quindi la fase di audit:
L’auditor ha analizzato il processo e ha verificato che il
controllo attuato dal management (attraversamento sulle
strisce) è debole
L’auditor comunica al management che il rischio residuo è
alto
Il management può decidere che investendo delle risorse
(spostarsi un po’ più avanti dove c’è un semaforo) può
abbassare il livello di rischio residuo
Ora la decisione di investimento, opportunamente
motivata, spetta al management
13
Audit Guidelines
Le linee guida per l’AUDIT sono la semplice
applicazione del framework di CobiT
Sono generiche, di alto livello, richiedono di fornire
al management l’assicurazione che determinati
obbiettivi di controllo vengano raggiunti
Forniscono una guida per preparare il Piano di Audit
14
Audit Guidelines
Obbiettivi delle Audit Guidelines:
Fornire al managment una ragionevole assicurazione che gli obbiettivi di controllo sono raggiunti
Indicare al Management azioni correttive
Avere comprensione dei requisiti di Business in relazione ai Rischi e relative misure di controllo
Valutare l’appropriato stato dei controlli
Avere certezza che gli obbiettivi di controllo lavorano come prescritto
15
Cos’è CobiT
COBIT: Control Objectives for Information
and related Tecnology
È una raccolta di manuali sviluppati per dare un
aiuto alle organizzazioni nel gestire i rischi dell’IT
Inoltre controlla che i processi IT siano coerenti
con gli obbiettivi business dell’azienda
CobiT - Cappellazzo
Pietro
16
A chi è destinato CobiT
Management
Per fornire un modello che aiuti nella comprensione dei rischi e una metodologia per la migrazione
Utenti
Per analizzare il livello di sicurezza e la qualità dei controlli in atto dei servizi IT di cui si usufruisce
Auditor
Per fornire una base metodologica all’analisi delle organizzazioni e dei sistemi IT, e fornire dei suggerimenti per il miglioramento dei controlli
17
Organizzazione del CobiT
Executive Summary Descrizione generale della metodologia
Framework Descrizione del metodo, con la descrizione degli
obbiettivi di controllo di alto livello
Control Objectives Descrizione dei controlli minimi da adottare,
Obbiettivi di controllo di dettaglio
Audit Guidelines Descrizione degli obbiettivi di controllo di Audit
Implementation Tool Set Come si utilizza la metodologia COBIT
Managment Guide Descrizione degli obbiettivi di controllo per il
managment
18
IT Governance
Definizione di IT governance per il modello CobiT Struttura di relazioni e di processi per dirigere e controllare
l’azienda al fine di raggiungere gli scopi della stessa apportando valore e bilanciando Rischi e Benefici dell’IT e dei suoi processi
L’IT è strategico per il business Aumentano le dipendenze con le informazioni e i sistemi
L’IT coinvolge grandi investimenti e grandi rischi La tecnologia si evolve in continuazione,
Cambia le organizzazioni e le pratiche di Business
La tecnologia può diventare inadeguata molto velocemente
19
IT Governance - framework -
È un ciclo continuo, in cui:
Si definiscono gli obbiettivi
Si pianificano le attività
Si svolgono le attività
Si misurano i risultati
Si fanno gli adeguati confronti
Definizione
20
Controllo
politiche, procedure, prassi e strutture
organizzative che forniscono garanzia nel
raggiungere gli obbiettivi aziendali
Obiettivo di controllo nell’IT:
declaratoria del risultato atteso o dell’obiettivo
atteso, l’implementazione di una procedura di
controllo in una particolare attività IT
CobiT - Cappellazzo
Pietro
21
CobiT: il framework
Il modello CobiT è strutturato in:
4 Domini
34 Processi
318 Obbiettivi
di controllo
22
Principi della metodologia
CobiT - definizioni -
Efficacia Le informazioni devono essere rilevanti e pertinenti ai processi aziendali
Efficienza Riguarda l’uso ottimale delle risorse (Produttività/Economicità)
Riservatezza Protezione delle informazioni da accessi non autorizzati
Integrità Accuratezza e Completezza delle informazioni
Disponibilità L’informazione deve essere disponibile quando viene richiesta dai processi
aziendali
Conformità Rispetto a leggi, regolamenti, accordi contrattuali a cui è soggetta l’azienda
Affidabilità Fornitura di appropriate informazioni alla direzione, per far fronte alle proprie
responsabilità
23
Principi della metodologia
CobiT - risorse -
Dati Oggetti di più ampia accezione strutturati e non, grafici,
multimediali
Applicazioni Sistemi comprensivi di procedure manuali e automatiche
Tecnologia Hardware, SO, DB, management system, networking, multimedia
Infrastrutture Risorse destinate ad ospitare e garantire il funzionamento dei
sistemi informatici
Risorse umane Conoscenze, professionalità e produttività necessarie a
pianificare, organizzare, acquisire, erogare, gestire e governare il sistema informativo e i relativi servizi
24
Domini CobiT: PO
Pianificazione & Organizzazione
Strategia e tecnica
Come l’IT può contribuire al raggiungimento degli
obbiettivi aziendali
Visione strategica con la pianificazione da parte del
Managment
25
Domini CobiT: PO - Processi -
DOMINI Cod. PROCESSI
Eff
icacia
Eff
icie
nza
Ris
erv
ate
zza
Inte
grità
Dis
ponib
ilità
Confo
rmità
Aff
idabili
tà
Ris
ors
e U
mane
Applic
azio
ni
Tecnolo
gia
Infr
astr
utt
ura
Dati
Pianificazione &
Organizzazione
P01 Definizione del piano strategico per l’IT P S V V V V V
P02 Definizione dell’architettura informativa P S S S V V
P03 Definizione dell’indirizzo tecnologico P S V V
P04 Definizione dell’organizzazione IT e delle sue relazioni P S V
P05 Gestione degli investimenti IT P P S V V V V
P06 Comunicazione degli indirizzi e degli obiettivi del management P V
P07 Gestione delle risorse umane P P V
P08 Conformità a leggi e norme P P S V V
P09 Valutazione dei rischi S S P P P S S V V V V V
P10 Gestione dei progetti P P V V V V
P11 Gestione della qualità P P P S V V V V
Criteri informazione Risorse IT
P aspetto primario
S aspetto secondario
V risorsa coinvolta
26
Domini CobiT: AI
Acquisizione & Implementazione
Identificare delle soluzioni IT da sviluppare o
acquistare
Gestione del cambiamento dei sistemi
CobiT - Cappellazzo
Pietro
27
Domini CobiT: AI - Processi -
DOMINI Cod. PROCESSI
Effic
acia
Effic
ienza
Ris
erv
ate
zza
Inte
grità
Dis
ponib
ilità
Confo
rmità
Affid
abilità
Ris
ors
e U
mane
Applicazio
ni
Tecnolo
gia
Infr
astr
uttura
Dati
Acquisizione &
Implementazione
AI1 Identificazione delle soluzioni P S V V V
AI2 Acquisizione e manutenzione del software applicativo P P S S S V
AI3 Acquisizione e manutenzione dell'architettura tecnologica P P S V
AI4 Sviluppo e manutenzione delle procedure IT P P S S S V V V V
AI5 Installazione e validazione dei sistemi P P S S V V V V V
AI6 Gestione del cambiamento P P P P S V V V V V
Criteri informazione Risorse IT
P aspetto primario
S aspetto secondario
V risorsa coinvolta
CobiT - Cappellazzo
Pietro
28
Domini CobiT: DS
Erogazione e Assistenza (Delivery & Support)
Gestione degli aspetti operativi dell’erogazione del servizio
Gestione della sicurezza dei sistemi
CobiT - Cappellazzo
Pietro
29
Domini CobiT: DS - Processi -
DOMINI Cod. PROCESSI
Eff
ica
cia
Eff
icie
nza
Ris
erv
ate
zza
Inte
grità
Dis
pon
ibili
tà
Co
nfo
rmità
Aff
idab
ilità
Ris
ors
e U
ma
ne
Ap
plic
azio
ni
Te
cn
olo
gia
Infr
astr
uttu
ra
Da
ti
Erogazione &
Assistenza (DS)
DS1 Definizione dei livelli di servizio P P S S S S S V V V V V
DS2 Gestione dei servizi di terze parti P P S S S S S V V V V V
DS3 Gestione delle prestazioni e del dimensionamento P P S V V V
DS4 Gestione della continuità del servizio P S P V V V V V
DS5 Gestione della sicurezza dei sistemi P P S S S V V V V V
DS6 Identificazione e attribuzione dei costi P P V V V V V
DS7 Formazione ed addestramento degli utenti P S V
DS8 Assistenza e consulenza agli utenti P P V V
DS9 Gestione della configurazione P S S V V V
DS10 Gestione di anomalie ed incidenti P P S V V V V V
DS11 Gestione dei dati P V
DS12 Gestione delle infrastrutture P P V
DS13 Attività operative e di sala macchine P P S S V V V V
Criteri informazione Risorse IT
P aspetto primario
S aspetto secondario
V risorsa coinvolta
CobiT - Cappellazzo
Pietro
30
Domini CobiT: MO
Monitoraggio
Valutazione periodica dei processi IT
Verifica di conformità con gli obbiettivi di controllo
CobiT - Cappellazzo
Pietro
31
Domini CobiT: MO - Processi -
DOMINI Cod. PROCESSI
Eff
ica
cia
Eff
icie
nza
Ris
erv
ate
zza
Inte
grità
Dis
pon
ibili
tà
Co
nfo
rmità
Aff
idab
ilità
Ris
ors
e U
ma
ne
Ap
plic
azio
ni
Te
cn
olo
gia
Infr
astr
uttu
ra
Da
ti
Monitoraggio
M1 Monitoraggio dei processi P P S S S S S V V V V V
M2 Valutazione dell’adeguatezza dei controlli interni P P S S S P S V V V V V
M3 Certificazione da terze parti P P S S S P S V V V V V
M4 Revisione indipendente dei controlli interni P P S S S P S V V V V V
Criteri informazione Risorse IT
P aspetto primario
S aspetto secondario
V risorsa coinvolta
CobiT - Cappellazzo
Pietro
32
Obbiettivi di controllo
Per ogni processo, il modello CobiT introduce degli obbiettivi di controllo minimi per il processo stesso Per ogni processo sono definiti da 3 a 30 obbiettivi di
controllo
Ogni obiettivo di controllo rappresenta requisiti che dovrebbero essere soddisfatti dai controlli in atto
Non sono mai fatti riferimenti a piattaforme tecnologiche
CobiT non dice quali siano i controlli da prevedere in un processo
dice gli obiettivi cui i controlli devono soddisfare
CobiT - Cappellazzo
Pietro
33
Obbiettivi di controllo
- esempio -
Delivery & Support
DS2 – Gestione dei servizi di terze parti
Obiettivo di controllo 4 – Requisiti delle terze parti
La Direzione dovrebbe assicurare che, prima della selezione, le potenziali terze parti siano qualificate in modo appropriato attraverso una valutazione delle loro capacità di erogare i servizi richiesti.
Non sono specificati rischi, ma sono deducibili: La selezione di un fornitore non affidabile comporta il rischio che
il servizio sia erogato con qualità scadente o non sia erogato, con possibili perdite economiche dirette o indirette per l’azienda
CobiT - Cappellazzo
Pietro
34
Management Guidelines
Le linee guida per il managment sono costituite da:
Modelli di maturità
Fattori critici di successo (CSF)
Indicatori chiave di obbiettivo (KGI)
Indicatori chiave di Prestazione (KPI)
Tutto questo fornisce un quadro di riferimento per i
responsabili per poter controllare e misurare l’IT
Recommended