ITIL - modello di gestione dellinfrastruttura in ottica di servizio e metodologia di certificazione del SI ing. Andrea Praitano

ITIL - modello di gestione ITIL - modello di gestione dell’infrastruttura in ottica di servizio e dell’infrastruttura in ottica di servizio e metodologia di certificazione del SImetodologia di certificazione del SI

ing. Andrea Praitano

04/12/2007Università degli studi “La Sapienza”

ing. Andrea [email protected]

2

ITIL

INFORMATION TECHNOLOGY

INFRASTRUCTURE LIBRARY



3

AgendaAgenda

• Definizioni fondamentali;

• Approccio al Servizio nel Mondo ICT;

• ITIL come modello di revisione dei processi;

• Modelli di miglioramento;

• Integrazione dei modelli;

• Perché adottare un modello;

• Diffusione di ITIL in Italia e nel Mondo;

• Evoluzione delle Metodologie;

• Conclusioni.



4

Definizioni principaliDefinizioni principali

“Gestione sistematica di un’impresa complessa, unica e di durata determinata, rivolta al raggiungimento di un obiettivo chiaro e predefinito

mediante un processo continuo di pianificazione e controllo di risorse differenziate e con vincoli interdipendenti di costi-tempi-qualità.”

Cos’è un Progetto?

Cos’è un Servizio IT?“Un insieme di funzioni fornite, per un periodo continuativo di tempo,

attraverso sistemi IT nel supportare uno o più aree di business. Può essere costituito da software, hardware e mezzi di comunicazione, ma il

cliente/customer e utente/user lo percepisce come una unica entità.”

Cos’è un Sistema IT?“Un insieme di componenti di tipo hardware, software e mezzi dii

comunicazione che costituiscono, interamente o in parte, l’infrastruttura IT di un’Organizzazione. Può essere dedicata o condivisa fra Funzioni o

Aziande/Clienti.”

ITILITIL

R.D.Archibald



5

• Progetto di un sistema di posta elettronica:

– Design della soluzione; Pianificazione dell’implementazione; Implementazione; Test/Collaudo.

• Sistema di posta elettronica:

– Hardware; Software (lato server e lato Client); LAN; Alimentazione; ecc.

• Servizio di posta elettronica:

– Invio e ricezione delle e-mail.

Definizioni fondamentaliDefinizioni fondamentali



6

Che cosa è un Servizio ITChe cosa è un Servizio IT

Un SERVIZIO IT può essere definito come un insieme di funzioni fornite attraverso

sistemi IT nel supportare uno o più aree di business (dipartimenti, agenzie, reparti,

ecc). Può essere costituito da software, hardware e mezzi di comunicazione, ma il

cliente/customer e utente/user lo percepisce come una unica entità.



7

AgendaAgenda









• Conclusioni.



8

Approccio al servizio nel mondo ITApproccio al servizio nel mondo IT

• Le Organizzazioni IT possono avere una struttura IT:

– Interna (Dipartimento IT - Insourcing);

– Esterna (Full Outsourcing);

– Subfornitori (Outsourcing parzionale).



9

Modello di riferimento 1/3Modello di riferimento 1/3



10




11




12




13

Accordi e contrattiAccordi e contratti

• Tra l’Organizzazione IT ed il Customer si definiscono:

– Service Level Agreement – SLA (accordo se IT interno, contratto se IT esterno);

• All’interno dell’Organizzazione IT si definiscono:

– Operational Level Agreement – OLA (con strutture interne);

– Underpinning Contract – UC (con strutture esterne).

Nota: una sottocomponente di SLA, OLA e UC sono i Livelli di Servizio.

Le Organizzazioni IT è opportuno che definiscano (sia internamente che con l’esterno) cosa possono erogare, come e con che prestazioni. (Service Catalogue – Service Portfolio)



14

Tipologia dell’IT e accordiTipologia dell’IT e accordi

CustomerCustomer CustomerCustomer CustomerCustomer

IT SystemsIT Systems IT SystemsIT Systems

IT ServiceIT Service

InternalInternal ExternalExternal

Customers

IT Service Department

Supplier & Maintenance

OLAOLA UCUC

SLASLA



15

AgendaAgenda









• Conclusioni.



16

Cos’è ITIL?Cos’è ITIL?

ITIL (Information Technology Infrastructure Library) è:

• Un framework maturo di best practice;

• È uno “Standard de facto” per l’erogazione dei servizi IT;

• Fornisce indicazioni per un set di processi ben integrati fra loro;

• È specifico per la gestione dei servizi IT (ma non solo);

• Si possono certificare le aziende (ISO 20000);

• Si possono certificare le competenze delle persone (ITIL Foundation, …)

• Fornisce un modello dei processi basato sui ruoli;

• È un modello esaustivo (considera tutti gli aspetti di un servizio IT);

• ………



17

Struttura Silos Struttura Integrata

Attività CoordinateAttività Disconnesse

?

silo silo silo silo

? Multidisciplinary Team

Process ManagementProcess Management

• Ogni organizzazione si prefigge di realizzare la propria vision, missione, obiettivi e Policy (top level strategic).

– Strutturare le attività, organizzandole in modo tale che si possa vedere come ogni gruppo di attività (Processi) contribuisca al business, e come queste siano ad esso relative.



18

Process ManagementProcess Management

• Un Processo è una serie di attività messe logicamente in relazione che conducono ad un obiettivo definito:

– Input, output, punti di monitoraggio.

• La struttura del processo di una organizzazione mostrerà:

– Che Cosa deve essere fatto.

– Quale è il risultato atteso.

– Come misurare se i risultati dei processi rispettano quelli attesi.

– Come i risultati di un processo influiscono su quelli di un altro processo



19

Process ModelProcess Model



20

Process ModelProcess Model



21

T

H

E

T

E

C

H

N

O

L

O

G

Y

T

H

E

B

U

S

I

N

E

S

S

Planning to Implement Service Management

Application Management

TheBusiness

Perspective

InfrastructureManagement

Service DeliveryService Delivery

Service SupportService Support

SecurityManagement

ITIL v2ITIL v2



22

ITIL v3ITIL v3

• Service Strategy;

• Service Design;

• Service Transition;

• Service Operation;

• Continual Service Improvement.



23

Processi “Core” di ITILProcessi “Core” di ITIL

• Event Management: è il processo che ha la responsabilità di monitorare tutti gli eventi che si verificano attraverso l’infrastruttura IT al fine di consentirne il normale funzionamento e anche per individuare e escalare condizioni eccezionali;

• Incident Management: è il processo che si concentra sul ripristino rapido del servizio agli Utenti al fine di minimizzare l’impatto sul Business;

• Request Fulfilment: è il processo che prevede la gestione delle richieste degli utenti o del Cliente che non sono generate come incidente da un ritardo o interruzione del servizio inaspettata;

• Problem Management: è il processo che ha la responsabilità della ricerca della causa che ha scatenato gli eventi e incidenti;



24


• Access Management: è il processo che ha la responsabilità di concedere ai soli utenti autorizzati il diritto di utilizzare un servizio, e limitando l’accesso agli utenti non autorizzati;

• Asset & Configuration Management: è il processo che ha la responsabilità di definire e controllare i componenti dei servizi e dell’infrastruttura e di mantenere accurate le informazioni sulla configurazione sullo storico, il pianificato e lo stato corrente dei servizi e delle infrastrutture;

• Change Management: è il processo che ha la responsabilità di governare tutti i cambiamenti che avvengono nell’infrastruttura e sui servizi;

• Release and Deployment Management: è il processo volto a sviluppare, testare e fornire la capacità di fornire i servizi specificati;



25


• Capacity Management: è il processo che ha la responsabilità di fornire la capacità richiesta per la gestione e la memorizzazione di dati, nei tempi giusti e nel modo più efficiente in termini di costi;

• Service Level Management: è il processo che ha la responsabilità di negoziare, definire, misurare, gestire e migliorare la qualità dei servizi IT ad un costo soddisfacente;

• ..........



26

Event ManagementEvent Management



27

Incident ManagementIncident Management



28

Process Management: processoProcess Management: processo

• Una procedura è una descrizione di attività messe logicamente in relazione, e da chi vengono eseguite (role-related). Una procedura può includere diverse fasi provenienti da diversi processi. Una procedura definisce chi fa cosa e le varianti dipendenti dall’organizzazione.

• Un insieme di istruzioni di lavoro (work instruction) definisce come dovrebbero essere eseguite una o più attività in una procedura.

I processi sono spesso descritti usando procedure e istruzioni di lavoro.I processi sono spesso descritti usando procedure e istruzioni di lavoro.



29

Procedura “Incident Identification”Procedura “Incident Identification”

• L’incidente è rilevato o riportato e viene creato un record dell’incidente.

– Assegnare un numero di riferimento dell’incidente.

– Registrazione delle informazioni diagnostiche di base.

– Supplemento di informazioni dell’incidente.

– Allarme.



30

AgendaAgenda









• Conclusioni.



31

AS IS

Costo

Best Practicesulla frontiera dell’efficienza

Qualità BassoAlto

Basso

AS IS

Inferiore alleBest Practice

Alto

TO BE

Michael Porter: Michael Porter: “La frontiera dell’efficienza”“La frontiera dell’efficienza”



32

AS IS

Costo

Best Practicesulla frontiera dell’efficienza

Qualità BassoAlto

Basso

B


Alto

TO BE

C

A

Decidere dove essere sulla frontiera è Strategia

Procedere verso la frontiera è Efficienza Operativa


http://images.google.it/imgres?imgurl=http://export.topproduct.nl/images/items/easyJet.gif&imgrefurl=http://www.topproduct.nl/onderwerp/D650307F-992E-47BE-8915-EAC382E8104C/o_score/00/30/Luchtvaart_alle_items.htm&h=160&w=160&sz=2&hl=it&start=4&tbnid=AQM4uFjwItZAnM:&tbnh=98&tbnw=98&prev=/images%3Fq%3Deasyjet%2B%26svnum%3D10%26hl%3Dit%26lr%3D



33

AS IS

Costo

Qualità BassoAlto

Basso

AS IS


Alto

TO BE

Innovazione




34

IS/ITAttinenza

Six Sigma

ISO 9000

National Awards(es. Baldrige)

Scorecards

Specifico

Olistico

Basso AltoLivello di astrazione

People CMM

Lean (Toyota)

2

3 4

TCOITIL CMM

CobiT

ISO 20000

MOFeTOM

1

Quale modello di miglioramento ?Quale modello di miglioramento ?

CMMCMM = Capability Maturity Model

COBITCOBIT = Control obj. for information and related Technology

eTOMeTOM = enhanced Telecom Op. Map

ITILITIL = IT Infrastructure Library

MOFMOF = Microsoft Op. Framework

TCOTCO = Total Cost of Ownership

ISO 20000ISO 20000 = IT svc. mgmt. standard

ISO 9000ISO 9000 = Quality mgmt. standard



35

IS/ITAttinenza

TCOITIL CMM

CobiT

Six Sigma

ISO 9000

National Awards(es. Baldrige)

Scorecards

Specifico

Olistico

Basso AltoLivello di astrazione

CMMCMM = Capability Maturity Model

COBITCOBIT = Control obj. for information and related Technology

eTOMeTOM = enhanced Telecom Op. Map

ITILITIL = IT Infrastructure Library

MOFMOF = Microsoft Op. Framework

TCOTCO = Total Cost of Ownership

ISO 20000ISO 20000 = IT svc. mgmt. standard

ISO 9000ISO 9000 = Quality mgmt. standard

People CMM

ISO 20000

Lean (Toyota)

MOFeTOM

Quale modello di miglioramento ?Quale modello di miglioramento ?



36

Modelli di riferimentoModelli di riferimento

• ITIL (ITIL (Information Technology Infrastructure LibraryInformation Technology Infrastructure Library):): modello di gestione

dei servizi IT basato su un approccio per processi. È stato creato dall’OGC

inglese. È un modello di Best Practice maturate inizialmente nel contesto

Britannico e adesso a livello globale. È un modello di riferimento per la gestione

operativa delle attività di supporto, gestione e cambiamenti relativamente

all’infrastruttura IT alle persone ed ai sistemi. Nel luglio del 2007 è stata

pubblicata la versione 3 del modello.

• COBIT (COBIT (Control Objectives for Information and related TechnologyControl Objectives for Information and related Technology):): è un

insieme di Best Practice per il governo dell’IT. È stato creato dall’Information

Systems Audit and Control Association (ISACA) e dal IT Governance Institute

(ITGI). Fornisce ai dirigenti, auditor ed utenti IT una serie di misure, indicatori,

processi e le migliori pratiche per l’uso, il Governo e controllo dell’IT di

un’azienda.



37


• CoSO (CoSO (Committee of Sponsoring Organizations of the Treadway Committee of Sponsoring Organizations of the Treadway

CommissionCommission): ): modello di Enterprise Risk Management con l’obiettivo di aiutare

le aziende a valutare ed a migliorare i propri sistemi di controllo interno;

• ISO 27001:ISO 27001: è una norma internazionale che fornisce i requisiti di un Sistema di

Gestione della Sicurezza nelle tecnologie dell’Informazione (Information Security

Management System - ISMS).

• ISO 20000:ISO 20000: evoluzione del BS 15000. È la norma ISO che certifica l’aderenza

dell’organizzazione IT a dei principi di riferimento. Può essere vista (in termini

semplicistici) come la certificazione di un’azienda ad ITIL.

• CMMI (Capability Maturity Model Integration): è una raccolta di best

practice per il miglioramento dei processi particolarmente focalizzato sui

processi di sviluppo e manutenzione, supporto prodotti e servizi.



38


• MOF (MOF (Microsoft Operation FrameworkMicrosoft Operation Framework):): Framework creato da Microsoft

aderente ad ITIL. È strutturato su due livelli, il più alto è astratto dalla tecnologia

mentre il più basso è legato agli strumenti.

• MSF (Microsoft Solution Framework): Framework creato da Microsoft e

relativo agli aspetti di sviluppo e di gestione.

• PMI (Project Management Institute) / PMBoK: raccoglie la conoscenza

disponibile nel campo del Project Management, inoltre raccoglie un lessico

comune.

• Prince2 (Projects IN Controlled Environments 2): Metodo di gestione dei

Progetti nato in ambito europeo, è molto indirizzato verso “la pratica” della

gestione dei progetti.

• MSP (Managing Successful Programmes): Metodo di gestione dei

Programmi nato in ambito europeo, è molto indirizzato verso “la pratica” della

gestione dei programmi.



39

Dove si posizionano i modelli fra di loro?Dove si posizionano i modelli fra di loro?



40

AgendaAgenda









• Conclusioni.



41

Strutture & Strutture & RuoliRuoli

PersonePersone

ControlliControlli

TecnologiaTecnologia

ProcessiProcessi

MetricheMetriche

ITIL – LimitatoITIL – LimitatoMOF MOF

ITILITILCOBIT – LimitatoCOBIT – LimitatoISO 27001 - LimitatoISO 27001 - Limitato

COBITCOBIT

ITILITILISO 27001 - LimitatoISO 27001 - Limitato

COBITCOBITISO 27001ISO 27001

??

Integrazione fra i diversi modelliIntegrazione fra i diversi modelli



42

Complementarietà ITIL / COBITComplementarietà ITIL / COBIT

• COBIT ed ITIL sono due modelli complementari che lavorano bene insieme in quanto hanno aree di sovrapposizione limitate: combinati forniscono governance (dove intervenire e che obiettivi porre), processi, linee guida di implementazione, soluzioni, strumenti di Audit per l’IT.

• ITIL si colloca ad un livello “più operativo” ed in particolare “Service Operation”.

• È da notare che ITIL non copre a pieno tutti gli Obiettivi di Controllo di COBIT.



43

AgendaAgenda









• Conclusioni.



44

Perché adottare un modelloPerché adottare un modello

• Sarbanes-Oxley Act/2002: è una legge emanata nel luglio 2002 dal governo

degli Stati Uniti d’America a seguito di diversi scandali contabili che hanno coinvolto importanti aziende americane come Enron, la società di revisione Andersen, WorldCom.

• Dlgs 231/2001: estende alle persone giuridiche la responsabilità per reati

commessi da persone fisiche che operano per la società. In aggiunta alla responsabilità della persona fisica che realizza l’illecito è introdotta la responsabilità per alcuni reati commessi nell’interesse o a vantaggio dell’azienda, da persone che rivestono funzioni di rappresentanza, di amministrazione o di direzione.

• Dlgs 262/2005: approvata a dicembre 2005, ha introdotto numerose novità

in materia di governance delle società italiane. In tale contesto, particolarmente innovative sono le disposizioni introdotte in tema di responsabilità e obblighi relativi all’informativa societaria (in analogia con quanto introdotto dal Sarbanes-Oxley Act).

• Certificazioni aziendali ISO 27001, ISO 20000, ISO 9000, ecc.



45

Sarbanes Oxley Act & ITILSarbanes Oxley Act & ITIL

• Il ruolo dei SI: la conformità alla SOX è responsabilità del Board aziendale non è richiesto un coinvolgimento specifico dell’IT, ma il CIO ha la responsabilità di documentare i processi che possono influenzare le informazioni finanziare.

• La sezione 404 della legge, dedicata ai “controlli interni” sui rapporti finanziari, è strettamente correlata ai processi IT di gestione delle informazioni e di integrità e conformità dei dati.

• La sezione 409 della legge, che obbliga le società a divulgare un “cambiamento importante” che influenza l’ambiente operativo/l’attività aziendale, ha un impatto sui processi IT per la gestione delle modifiche e delle configurazioni dei sistemi.

Nota: il Sarbanes-Oxley Act si applica anche su società italiane in quanto la normativa prevede l’obligatorietà per le società Statunitensi ma anche per le società straniere che hanno la proprietà di società Statunitensi.



46

SOX e i ControlliSOX e i Controlli

• Per l’effettuazione dei controlli la normativa fa, in primo luogo, riferimento alle raccomandazioni del Committee of the Sponsoring Organizations (Framework COSO).

• L’IT Governance Institute ha emesso un documento (IT Control Objectives for Sarbanes-Oxley), focalizzato sulla sezione 404 della SOX, dove sono inclusi i controlli di COBIT per 27 delle 34 aree di processo.



47

Il ruolo di ITILIl ruolo di ITIL

• Se COBIT definisce i controlli per l’IT in relazione ai processi aziendali, le Best Practice “ITIL”, mediante la definizione di un’organizzazione dei servizi basata su processi strutturati, facilitano e indirizzano di fatto circa la metà dei controlli COBIT.

• L’applicazione delle “Best Practice” ITIL di fatto facilita la verifica della conformità a SOX, ed in particolare assicura la copertura / prevenzione dei Rischi Finanziari.

• Applicare le “Best Practice” ITIL per ridisegnare i processi informatici e i servizi associati al di fine di:

– inserire tutti i controlli nei processi attinenti la gestione delle informazioni finanziarie in conformità al SOX.

– garantire l’integrità e la conformità dei dati



48

AgendaAgenda









• Conclusioni.



49

Nota: ITIL v3 è stato presentato a Giugno del 2007 ed i primi esami ITIL v3 sono stati resi disponibili a Luglio.

Diffusione ITIL in Italia (persone)Diffusione ITIL in Italia (persone)

Italy

ITIL 2007 Q123 2006 2005

Foundation V2 1.392 1.455 826

Foundation V3 89 - -

Foundation Bridge V3 4 - -

Practitioner clustered 37 46 1

Practitioner single 34 40 -

Service Manager (Service Support) 27 37 2

Service Manager (Service Delivery) 27 37 2

Other 2007 Q123 2006 2005

SQMF (ISO 20000) 15 12 -

Fonte:



50

Diffusione ITIL nel Mondo (persone)Diffusione ITIL nel Mondo (persone)

0

20000

40000

60000

80000

100000

120000

140000

2006

2005

2004

2003

2002

2001

2000

1999

1998

1997

1996

1995

1994

1993

Foundation

Practitioner

Manager

Fonte:



51

Diffusione ITIL nel Mondo (persone)Diffusione ITIL nel Mondo (persone)

0

1000

2000

3000

4000

5000

6000

7000

8000

2006

2005

2004

2003

2002

2001

2000

1999

1998

1997

1996

1995

1994

1993

Practitioner

Manager

Fonte:



52

Diffusione ITIL in Italia (aziende)Diffusione ITIL in Italia (aziende)

Soci GlobalSoci GlobalHP - Member since January 2002IBM - Member since January 2002

Computer Associates - Member since January 2002Sun Microsystems - Member since January 2002

Dimension Data - Member since January 2002EDS - Member since April 2005

Soci aziendaSoci azienda

ADFORALFA LAVAL

ALMAVIVA ITALIAARAGON PARTNERS

ATLAS REPLYATOS ORIGIN

AUDITEC AUTOGRILL

AXIOS SYSTEMS BASSNETBETWEEN

BMC SOFTWARECA

CAPGEMINICEMATCLUSIT

COGITEKCOMIFAR SERVICE

COMPUWARECON.NEXO'

CONSIPCONSOFT Sistemi

COREPLACSI PIEMONTE

DE AGOSTINI EDITOREDELOS

DHL EXPRESSEDSENEL

ETNOTEAMEURANETFABARIS

FRONT RANGEGENERALI SERVIZI INFORMATICI

GEWISS SpA

GFI ITALIAGRUPPO GNOSYS

GRUPPO TORINESE TRASPORTIHP Italia

IBMICONS - INNOVATIVE CONSULTING

I&T SERVIZIINVA S.p.A.

LOGIT CONSULTING SRLMEGA

SERENA SOFTWARE GROUPMICROSOFT Italia

NEPTUNY NETWORK ITALIA SpA

OMICRON GROUP PAT Srl

POSTE ITALIANE QUEST SOFTWARE

QUINT WELLINGTON REDWOODRAISAS

SECURICOMM ITALIASIAV Sistemi

SUN MicroSystemSTAFF AND LINE ITALIASVILUPPO ITALIA SpA

TELECOMTNT Italia

TORO ASSICURAZIONITSF- Tele Sistemi Ferroviari

T-SYSTEMS ITALIAVODAFONE

XECHZURICH INSURANCE COMPANY



53

AgendaAgenda









• Conclusioni.



54

Evoluzione delle MetodologieEvoluzione delle Metodologie

• 2007 ITIL v3

• 2006 COBIT 4.1

• 2008 PRINCE2

• 2004 PMI/PMBoK

• .........



55

AgendaAgenda









• Conclusioni.



56

ClonclusioniClonclusioni

• Esistono diversi modelli di riferimento che:

– A volte sono concorrenti;

– A volte sono complementari;

• È opportuno costruirsi un modello che integra diversi modelli (ad es. COSO, COBIT, ITIL, PRINCE2);

• L’adozione di modelli aiuta nell’ottenimento della Compliance a normative (SOX, 231, 262, ecc.) ed a standard (ISO 9000, ISO 27001, ISO 20000, ecc.);

• I modelli sono in costante evoluzione/aggiornamento, non è sempre necessario essere sull’ultimo “cavallo”, bisogna valutare se ne vale la pena l’adozione;

• ………



57

Conclusion

&Question TimeQuestion Time

……??



58

Non hai mai commesso un errore, non hai mai tentato qualcosa di nuovo.

A. Einstein

thanks

grazie

gracias

mercì

takta

bedankje

danke

Andrea Praitano328 8122642

[email protected]

Grazie.Grazie.

obrigado

Documents

ITIL - modello di gestione dellinfrastruttura in ottica di servizio e metodologia di certificazione del SI ing. Andrea Praitano