Sessione di studio AIEA 15 dicembre 2004, Milano. IT Governance Modello di gestione. Michele Barbi, CISA - Etnoteam

Transcript

1 Sessione di studio AIEA 15 dicembre 2004, Milano IT Governance Modello di gestione Michele Barbi, CISA - Etnoteam

2 Governo dell IT (COBIT) Una struttura di relazioni e di processi per dirigere e controllare l azienda al fine di raggiungere gli scopi della stessa apportando valore e bilanciando rischi e benefici dell IT e dei suoi processi Il governo dell IT prevede una struttura che collega i processi IT, le risorse IT ed il mondo dell informazione alle strategie ed agli obiettivi dell Azienda

3 Governo dell IT (COBIT) Una struttura di relazioni e di processi per dirigere e controllare l azienda al fine di raggiungere gli scopi della stessa apportando valore e bilanciando rischi e benefici dell IT e dei suoi processi Il governo dell IT prevede una struttura che collega i processi IT, le risorse IT ed il mondo dell informazione alle strategie ed agli obiettivi dell Azienda Le domande dell IT Manager: Ho una struttura di relazioni e di processi che mi garantisce il governo dell IT? Qual è il suo grado di maturità? Come e dove posso costruirla e/o migliorarla

4 Costruiamo un modello di gestione dell IT Governance

5 VERIFICA IMPLEMENTAZIONE

6 Maturità del Sistema di ITGovernance VERIFICA Analisi delle Componenti Gestione delle componenti Misura delle Componenti Implementazione delle componenti IMPLEMENTAZIONE Definizione delle componenti

7 Overview Maturità del Sistema di ITGovernance VERIFICA Analisi delle Componenti Gestione delle componenti Misura delle Componenti Implementazione delle componenti IMPLEMENTAZIONE Definizione delle componenti

8 Liv 1 Analisi del sistema di ITGovernance Overview Maturità del Sistema di ITGovernance Planning &organiztion Acquisition & implementation Delivery & Support Monitoring Approccio secondo Modello di Controllo (CobiT ) Definizione e condivisione del Modello di Maturità del Sistema di IT Governace Misura della maturità del Sistema di IT Governace (As is) Livello di Maturità necessario/atteso (To be) Individuazione degli ambiti di miglioramento Questo livello di analisi è inidrizzato al Vertice Aziendale o del comparto IT L intervento è mirato a fornire una misura di quanto siano presenti adeguati indicatori e/o controlli sulle singole componenti del comparto IT che preservano e/o avvertano dall insorgere di criticità. Permette di selezionare le aree di intervento più critiche che potranno essere oggetto degli interventi più specialistici previsti nei livelli 2 e 3 dell offerta

9 Overview Liv 1 Maturità del Sistema di ITGovernance assessment VERIFICA Analisi delle Componenti Gestione delle componenti Misura delle Componenti Implementazione delle componenti IMPLEMENTAZIONE Definizione delle componenti

10 Liv 2 (1/5) Planning & Organisation IT Strategy Processi IT Investimenti Analisi del Rischio HRS piano comun Progetti Qualità Analisi delle Componenti Acquisition & Implementation Parco applicativo Infr. tecn. Hw e reti Monitoraggio processi Monitoring adeguatezza Controlli Interni Qualità del Servizio/ CS costi Security e disponibilità/ continuità Supporto utenti & Formazione Delivery & Support Attività operative, Dati ed Infrastrut

11 Planning & Organisation Liv.2 (2/5) IT Strategy Investimenti HRS piano comun Analisi delle Componenti Processi IT Analisi del Rischio Progetti Qualità Questo blocco interessa i processi di pianificazione ed organizzazione: l insieme delle strategie attraverso cui l IT può meglio contribuire al perseguimento degli obiettivi aziendali. Le strategie devono essere pianificate, comunicate e gestite attraverso un adeguata organizzazione ed un adeguata infrastruttura tecnologica Gli assessment sono indirizzati ad analizzare gli aspetti di definizione/impostazione di: piano strategico, architettura, indirizzo tecnologico organizzazione (IT Strategy) gestione degli investimenti gestione delle risorse umane e del piano di comunicazione (HRS e piano comunicaz.) gestione dei processi IT assess risks gestione dei progetti sistema Qualità

12 Acquisition & Implementation Liv.2 (3/5) Analisi delle Componenti Parco applicativo Infr. tecn. Hw e reti Questo blocco interessa i processi di acquisizione ed implementazione : L insieme delle modalità attraverso cui le risorse informatiche vengono sviluppate, acquisite, implementate, integrate nei processi aziendali e manutenute gli assessment sono indirizzati ad analizzare gli aspetti di: Identificazione delle soluzioni, acquisizione e manutenzione delle applicazioni SW, sviluppo e manutenzione delle procedure, gestione delle modifiche (Parco applicativo); Acquisizione e mantenimento dell infrastruttura tecnologica, Installazione e verifica dei sistemi (Infrastruttura Tecnologica Hardware e reti)

13 Delivery & Support Liv.2 (4/5) Qualità del Servizio/ CS Security e disponibilità/ continuità Analisi delle Componenti costi Supporto utenti & Formazione Attività operative, Dati ed Infrastrut Questo blocco interessa i processi di erogazione e supporto: L insieme delle modalità e delle proprietà di rilascio dei servizi informatici (sicurezza, continuità, formazione, assistenza). Gli assessment sono indirizzati ad analizzare gli aspetti di: Definizione e gestione degli SLA, Gestione dei servizi esternalizzati, Gestione di Performance/Disponibilità (Qualità del Servizio/CS) Gestire la configurazione, i problemi, i dati, le infrastrutture, le attività Identificazione e controllo dei costi Formazione ed addestramento degli utenti disponibilità del servizio IT sicurezza e continuità

14 Liv.2 (5/5) Analisi delle Componenti Monitoring Monitoraggio processi adeguatezza Controlli Interni Questo blocco interessa i processi di monitoraggio: L insieme delle periodiche valutazioni dei processi informatici sotto l aspetto della qualità dei risultati e del soddisfacimento dei requisiti di controllo Gli assessment sono indirizzati ad analizzare: Il monitoraggio del raggiungimento degli obiettivi dei processi il monitoraggio del raggiungimento degli obiettivi dei controlli interni

15 Overview Liv 1 Maturità del Sistema di ITGovernance assessment VERIFICA Gestione delle componenti Liv 2 Analisi delle Componenti Audit operativo Liv 3 Misura delle Componenti Implementazione delle componenti IMPLEMENTAZIONE Definizione delle componenti

16 Liv 3 Audit operativo Misura delle Componenti Verifiche Ispettive ISO Certific. SFW Quality Analisi Gestione documentale Corporate IP Network Audit Audit sicurezza Prof. organizzativo BS7799/ISO17799 Audit sicurezza Prof. tecnologico intrusione Network performance Monitoring misura delle prestazioni della sicurezza informatica Gli interventi riportati al livello 3 sono ancora interventi di verifica di taglio molto operativo e permettono di effettuare misure puntuali sulle criticità esistenti Hanno valenza sia come naturale completamento delle attività dei livelli precedenti (a fronte di individuate aree di criticità/rischio), sia come esplicita esigenza dell azienda di verifica dello stato dell arte in questi specifici ambiti.

17 Overview Liv 1 Maturità del Sistema di ITGovernance assessment VERIFICA Gestione delle componenti Liv 2 Analisi delle Componenti Audit operativo Liv 3 Misura delle Componenti Implementazione delle componenti IMPLEMENTAZIONE Liv 4 Definizione delle componenti Metodologia

18 Liv 4 (1/5) Metodologia Definizione delle componenti Gli interventi riportati al livello 4 sono interventi di supporto all impostazione di adeguati strumenti di gestione e controllo. Hanno carattere molto operativo e permettono di dotare l azienda dei fondamentali strumenti di gestione e di Governance. Planning &organiztion Acquisition & implementation Delivery & Support E possibile adottare le linee guida offerte da un Modello (CobiT Monitoring ) seguendo un percorso IT-> Business Oppure seguendo un percorso inverso business->it raggruppando gli ambiti di intervento in quattro macro gruppi : IT Transformation Information Security & Network Consulting Business Intelligence e CRM Enterprise Portals & Knowledge Processes

19 Liv 4 (2/5) Metodologia Definizione delle componenti IT Transformation Riprogettazione Organizzazione IT Ridisegno Processi Definizione Piano Sistemi Definizione Piano Interventi Gestione Progetti SERVICE DEVELOPMENT.demand management.project management.solution delivery.testing.roll-out management SERVICE MANAGEMENT.service level management.continuity management.incident management.problem management.configuration & change management.security management INTERNAL SUPPORT SERVICES.quality assurance.budgeting & control.human resources management.procurement

20 Liv 4 (3/5) Metodologia Definizione delle componenti Information Security & Network Consulting Corporate IP Network Design Progettazione Sistemi di gestione della Sicurezza Progettazione soluzioni di sicurezza Formazione e sensibilizzazione sicurezza classificazione allarmi e gestione degli incidenti

21 Liv 4 (4/5) Metodologia Definizione delle componenti Business Intelligence e CRM Controllo di Gestione Management Reporting Budgeting & Simulation Analytical Revenue & Cost Accounting CRM & Customer Operations Sistemi di Business Intelligence Tableau de Bord per il CRM Sales & Marketing Cross Selling Reporting Commerciale Pianificazione campagne e acquisizione nuovi clienti Geo Marketing IT Vertical Cruscotti e Reporting Operativo Analisi comportamento Cliente su IVR ClickStram Analysis Program & Cost Management Vision 2000

22 Liv 4 (5/5) Metodologia Definizione delle componenti Enterprise Portals & Knowledge Processes Enterprise Portal Quality Knowledge Management

23 Overview Liv 1 Maturità del Sistema di ITGovernance assessment VERIFICA Gestione delle componenti Liv 2 Analisi delle Componenti Audit operativo Liv 3 Liv 5 Misura delle Componenti Implementazione delle componenti IMPLEMENTAZIONE Supporto operativo Liv 4 Definizione delle componenti Metodologia

24 Liv 5 Supporto operativo Implementazione delle componenti Supporto alla definizione del piano di audit IS, metodologie e strumenti di verifica Supporto alla definizione del sistema dei controlli interni IT Supporto certificazione BS7799/ISO17799 Supporto/monitoraggio efficacia azioni risolutive Gli interventi riportati al livello 5 sono interventi di supporto all impostazione di strumenti di gestione e di Governo del comparto IT

25 Overview Liv 1 Maturità del Sistema di ITGovernance assessment VERIFICA Liv 6 Gestione delle componenti Liv 2 Analisi delle Componenti Audit operativo Liv 3 Liv 5 Risorse Misura delle Componenti Implementazione delle componenti IMPLEMENTAZIONE Supporto operativo Liv 4 Definizione delle componenti Metodologia

26 Risorse Liv 6 Gestione delle componenti del sistema di ITGovernance Presidio indicatori Cruscotti PM e Project Office Temporaney management Ribilanciamento carichi ed assegnazione competenze Addestramento risorse operative ed utilizzo strumenti

27 Overview Liv 1 Maturità del Sistema di ITGovernance assessment VERIFICA Liv 2 Liv 6 Analisi delle Componenti Gestione delle componenti Audit operativo Liv 3 Liv 5 Risorse Misura delle Componenti Implementazione delle componenti IMPLEMENTAZIONE Supporto operativo Liv 4 Definizione delle componenti Metodologia

28 Conclusioni Un approccio strutturato da personalizzare, da presentare e da condividere Un metodo di lavoro Un modello di gestione in cui collaborano i diversi attori che gravitano intorno al mondo IT: la struttura, l Audit, la sicurezza, la Consulenza, ecc. Un sistema ciclico che permette di misurare ad ogni ciclo i miglioramenti, definire ed assegnare gli obiettivi e tarare gli strumenti Una metrica di posizionamento (strumenti, consulenza, attività, ecc.)