GOVERNANCE, CONTROL, Slide 1 di 34

Transcript

1 GOVERNANCE, CONTROL, and AUDIT for INFORMATION and RELATED TECHNOLOGY Slide 1 di 34

2 AIEA Associazione Italiana Information Systems Auditors COBIT Modello per il controllo interno sull IT Esercitazione Audit di un processo, selezione delle azioni di miglioramento

3 Gruppo di Ricerca: COBIT Narduzzo Orillo, CISA, CISM Consigliere AIEA, Slide 3 di 34

4 Agenda/1 L Auditor. Proviamo ad usare assieme COBIT: un processo abbastanza semplice e ben localizzato Una esercitazione per discutere assieme le potenzialità di COBIT e le difficoltà di utilizzo. DS01: Gestire i livelli di servizio DS01: richiami di FW, CO, AG, e standard Esercizio. Case study Esercizio Discussione Pranzo Slide 4 di 34

5 Agenda/2 Il Manager Proviamo ad usare assieme COBIT: una esercitazione per capire le criticità e individuare i migliori interventi Il Maturity Model DS01: richiami di MM Esercizio Alcuni esempi Discussione Slide 5 di 34

6 Informazioni (requisiti) MODELLO COBIT Modello dei processi IT Visione dell IT Modello dei requisiti di business per le informazioni Modello per la classificazione delle risorse IT Efficacia Disponibilità Efficienza Conformità Riservatezza Affidabilità Integrità Slide 6 di 34

7 Risorse IT Dati Modello dei processi IT Visione dell IT Modello dei requisiti di business per le informazioni Modello per la classificazione delle risorse IT Applicazioni Tecnologia Infrastrutture Risorse umane Slide 7 di 34

8 Relazioni fra i concetti CobiT Il Cubo CobiT Le attività utilizzano risorse per produrre informazioni Attività Risorse Domini Processi Attività Qualità Fiduciari Sicurezza Dati Applicativi Tecnologia Infrastrutture Risorse umane Attività Informazioni Risorse Informazioni Slide 8 di 34

9 Ob. di controllo di alto livello EXECUTIVE SUMMARY Per ciascun processo IT, una scheda: FRAMEWORK (With high-level Control Objectives) IMPLEMENTATION TOOL SET MANAGEMENT DETAILED CONTROL AUDIT GUIDELINES GUIDELINES OBJECTIVES Obiettivo aziendale che il processo persegue Macro-attività per il controllo del processo Aspetti da considerare nello svolgere le attività di controllo Slide 9 di 34

10 Erogazione & Assistenza: DS01: Definire e gestire i livelli di servizio P P S S S S S Il Controllo sul processo IT di definire e gestire i livelli di servizio che soddisfi il requisito aziendale di determinare una comune comprensione del livello di servizio richiesto è reso possibile dalla costituzione di accordi sul livello di servizio che formalizzino i criteri di erogazione delle prestazioni quale confronto per la misura della quantità e qualità del servizio e considera - accordi formali - definizioni di responsabilità - tempi di risposta e volumi - addebiti - garanzie di integrità - accordi di non pubblicazione - criteri sulla soddisfazione dell'utente - analisi costi/benefici dei livelli di servizio richiesti - monitoraggio e reporting Slide 10 di 34 Erogazione e Assistenza

11 Erogazione & Assistenza: DS01: Definire e gestire i livelli di servizio OBIETTIVI DI CONTROLLO 1.1 Metodologia per gli Accordi sul Livello di Servizio 1.2 Aspetti relativi agli Accordi sul Livello di Servizio 1.3 Procedure relative alle Prestazioni 1.4 Controllo e Reporting 1.5 Revisione degli Accordi sul Livello di Servizio e dei Contratti 1.6 Elementi addebitabili 1.7 Programma di Miglioramento del Servizio Slide 11 di 34

12 Erogazione & Assistenza: DS01: Definire e gestire i livelli di servizio AUDIT GUIDELINES 1. Rilevare il sistema di controllo del processo, comprendere la situazione (interviste, politiche, documentazione) 2. Valutazione dei controlli (responsabilità, politiche, insieme minimo di clausole) 3. Test (verifica di registrazioni e di relazioni) 4. Individuazione di fatti che indicano l esistenza di rischi (benchmark, verifiche, analisi dell adeguatezza, analisi del trattamento delle non conformità) Slide 12 di 34

13 Erogazione & Assistenza: DS01: Definire e gestire i livelli di servizio STANDARD Planning Use of Risk Assessment in Audit Planning Report Content and Form COBIT Audit Process Appendice V di Audit Guidelines Slide 13 di 34

14 Erogazione & Assistenza: DS01: Definire e gestire i livelli di servizio ESERCIZIO 1 Pianificare una verifica della gestione dei livelli di servizio nella vostra azienda /cliente usando COBIT come guida Finalità dell esercizio è quella di sperimentare come COBIT ci possa aiutare per preparare: elenco possibili rischi, elenco delle persone da intervistare, domande per intervista, elenco dei test, (15 minuti in gruppi di 2 auditor, presentazione di un programma di lavoro) Slide 14 di 34

15 Erogazione & Assistenza: DS01: Definire e gestire i livelli di servizio ESERCIZIO 2 Predisporre la relazione finale con rilievi e suggerimenti Finalità dell esercizio è quella di sperimentare come COBIT ci possa aiutare: sulla base della documentazione fornita, a riprogrammare l intervento ovvero a predisporre la relazione di audit e a rispondere alla domanda: le linee guida fornite da COBIT sono state efficaci? (15 minuti in gruppi di 2 auditor, presentazione di una relazione) Slide 15 di 34

16 Erogazione & Assistenza: DS01: Definire e gestire i livelli di servizio DISCUSSIONE SU ESERCIZI 1 e 2 Efficacia Individuazione rischi Individuazione priorità Individuazione ambiti Individuazione suggerimenti Efficienza Programma di lavoro: completo, equilibrato, ben indirizzato Tempo ridotto sia nella fase di preparazione che nella fase di esecuzione Slide 16 di 34

17 Seconda parte Slide 17 di 34

18 Management Guidelines Per i 34 processi IT: Indicatori chiave di obiettivo Modello di Maturità dei Processi per il Benchmarking: Indicatori chiave di prestazione Fattori critici di successo Legenda: 0 - non esistente 1 - iniziale/ad hoc 2 - ripetibile ma intituvo 3 - definito 4 - gestito e misurabile 5 - ottimizzato Slide 18 di 34

19 POSIZIONAMENTO MODELLO - COBIT Maturity Models for Self-Assessment Slide 19 di 34

20 POSIZIONAMENTO RILEVAZIONE (compilare con una X) NON Accordo Accordo N/ A Atte so PR. Testo Com p. Parz. Par z. Com pl. N/ A S I N O 16 Le politiche di sicurezza sono in corso di predisposizione X 17 Esiste un piano per la sicurezza informatica che guida l'analisi dei rischi e la realizzazione delle soluzioni. X 18 Le politiche di sicurezza e le procedure sono complete con specifiche direttive per la sicurezza informatica. X X Slide 20 di 34

21 POSIZIONAMENTO RILEVAZIONE - RISULTATO Posizionamento attuale es. punto di vista interno (self assessment) Posizionamento atteso nel breve periodo Posizionamento atteso nel medio periodo Slide 21 di 34

22 POSIZIONAMENTO RILEVAZIONE COSA DS01-Definire e gestire i livelli di servizio COME questionari COBIT: MM CHI n interviste a ruoli diversi RISULTATO Posizionamento attuale, atteso breve periodo, atteso lungo periodo Slide 22 di 34

23 POSIZIONAMENTO ESERCIZIO/1 Finalità dell esercizio: Individuare criticità legate alla compilazione, alla interpretazione dei dati, alla comunicazione del posizionamento Sperimentare la possibilità di individuare azioni di miglioramento (suggerimenti) Compilare il questionario consegnato Predisporre un documento con i suggerimenti Slide 23 di 34

24 POSIZIONAMENTO ESERCIZIO/2 COBIT MG pagina 13.. Lend themselves to do gap analysis to determine what needs to be done to achieve a chosen level Slide 24 di 34

25 POSIZIONAMENTO MODELLO - COBIT Average IT Governance Maturity Levels Slide 25 di 34

26 Posizionamento Risultato della compilazione Atteso MP Atteso BP Attuale 0 L0 L1 L2 L3 L4 L5 Slide 26 di 34

27 Posizionamento Ambito di miglioramento Atteso MP Atteso BP Attuale 0 L0 L1 L2 L3 L4 L5 Slide 27 di 34

28 POSIZIONAMENTO - AZIONI Atteso mp Atteso bp Attribuito Conformità 0 DSzz Poxx Aiyy Azioni: 1,2,3,.. Slide 28 di 34 Azioni: 5,.. Azioni: 17,

29 Le azioni - Esempio Per ogni requisito si definiscono delle azioni ritenute adeguate per migliorare il posizionamento passando al livello atteso Requis. Liv. Azione Pr. Imp. Cos. Principi o di separazi one dei ruoli e degli ambienti 1,33 a) Avviare una ricognizione delle esigenze presso le unità organizzative (aree, settori operativi). b) In base alle risultanze definire i gruppi e i profili individuali necessari. c) Se necessario provvedere ad una revisione organizzativa per separare ruoli incompatibili. alt a Circa 70gg consul ente 100 K Slide 29 di 34

30 ANALISI AZIONI Requisito (posizionamento, gap) Azioni Progetti Slide 30 di 34

31 QUALI AZIONI? Priorità A M B Un criterio: priorità, impatto, riduzione dei rischi, coerenza con business, B M A Costo Slide 31 di 34

32 AZIONI SELEZIONATE Atteso mp Atteso bp Attribuito Conformità 0 DSzz Poxx Aiyy Azioni: 1,2 Slide 32 di 34 Azioni: 6 Azioni: 12

33 MATURITY MODEL Slide 33 di 34 DISCUSSIONE SU ESERCIZIO 3 Efficacia Questionario: somministrazione Questionario: rielaborazione Posizionamento: valore aggiunto Benchmark Metrica per monitorare continous improvement Criticità Effettuare assieme ad altro standard Es. DS01 con ITIL Es. DS05 con BS7799

34 GOVERNANCE, CONTROL, and AUDIT for INFORMATION and RELATED TECHNOLOGY Slide 34 di 34