CObIT 5. Prof. Ing.Claudio Cilli. CIA, CISA, CISM, CGEIT, CRISC, CISSP, CSSLP, M.Inst.ISP

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "CObIT 5. Prof. Ing.Claudio Cilli. CIA, CISA, CISM, CGEIT, CRISC, CISSP, CSSLP, M.Inst.ISP cilli@di.uniroma1.it"

Transcript

1 CObIT 5 Prof. Ing.Claudio Cilli CIA, CISA, CISM, CGEIT, CRISC, CISSP, CSSLP, M.Inst.ISP

2 Indice della presentazione 1. Introduzione 2. ISO GRC (Governance Risk & Compliance) 4. CObIT 5 5. GRC in CObIT 5 6. CObIT 4.1 vs. CObIT 5 7. Modello di maturità 8. Implementare CObIT 2

3 Origine del problema Crescente dipendenza delle organizzazioni dalle reti e dai sistemi informatici Esposizione dei sistemi informatici ad eventi distruttivi Impatto degli eventi distruttivi sull attività aziendale Difficoltà di valutare e contenere i costi dei sistemi informativi Impossibilità di valutare i benefici che i sistemi informativi e la tecnologia apportano all organizzazione Patrimonio informativo visto come fattore di produzione! 3

4 Fino ad oggi: Iniziative sporadiche e parziali non accompagnate da evoluzione dei processi interni Inerzia organizzativa Domanda disaggregata in termini di requisiti funzionali e piattaforme di riferimento SCARSA SENSIBILITÀ : AUDIT E SICUREZZA VISTE COME COSTO! 4

5 Benefici aziendali? Le imprese e i loro dirigenti si sforzano di: Ottenere informazioni di qualità a supporto delle decisioni di business Generare valore dagli investimenti IT, ossia realizzare gli obiettivi strategici aziendali e realizzare vantaggi di business tramite l efficace innovativo uso dell IT Raggiungere l eccellenza operativa per mezzo dell efficiente e affidabile applicazione della tecnologia Mantenere ad un livello accettabile il rischio IT Ottimizzare il costo dei servizi e della tecnologia Come possono questi vantaggi essere realizzati per creare valore agli stakeholder? 5

6 Stakeholder value! Erogare valore agli stakeholder richiede buone capacità di governance e gestione delle informazioni e della tecnologia I board e il management devono considerare l IT come qualsiasi altra parte significativa del business L adeguamento ai requisiti legali e regolamentari legati all utilizzo delle informazioni e dei sistemi sta aumentando, minacciando il loro valore in caso di problemi COBIT 5 forniste un framework completo che assiste le organizzazioni a raggiungere I loro obiettivi e ad erogare valore tramite un efficace governance e gestione dei sistemi informatici 6

7 CObIT 5: Framework CObIT 5 aiuta le imprese a creare valore dall information technology mantenendo un bilanciamento tra benefici attesi e rischi, oltre ad aiutare ad ottimizzare l impego di risorse CObIT 5 consente all IT di essere governato in maniera olistica per tutta l impresa, considerando tutto il business end-to-end e le aree funzionali IT di responsabilità, considerando gli interessi connessi all IT degli stakeholder interni ed esterni I principi di CObIT 5 e gli abilitatori sono generici e utili per organizzazioni9 di ogni dimensione, sia commerciali che no-profit o pubbliche 7

8 8 CObIT 5: Principi

9 9 CObIT 5: Abilitatori (enablers)

10 Governance & Management Governance La governance assicura che gli obiettivi dell impresa siano raggiunti valutando (Evaluating) i bisogni degli stakeholder, le condizioni e le alternative; stabilendo la direzione (Direction) tramite la prioritizzazione e le scelte decisionali; e monitorando (Monitoring) le performance, la compliance e i progressi rispetto al piano [EDM] Management Il management pianifica (Plans), realizza (Builds), esegue (Runs) e monitorizza (Monitors) le attività allineandosi con la direzione stabilita dal governance body al fine di raggiungere gli obiettivi d impressa [PBRM] 10

11 In definitiva. COBIT 5 Unisce i cinque principi che consentono all impresa di realizzare un efficace framework di governance e management basato su un insieme olistico di sette abilitatori che ottimizza le informazioni e gli investimenti in tecnologia e le utilizza a beneficio degli stakeholder 11

12 12 LA ISO 15504

13 La ISO La norma ISO/IEC (1998) definisce un modello per la valutazione del livello di "maturità" dei processi di una organizzazione del settore IT La norma si compone di 9 parti, in forma di Technical Report, e definisce sia il modello dei processi (parte 2) che il modello di assessment (parte 5). La norma è stata sviluppata da un progetto promosso da ISO, denominato spice 13

14 ISO Struttura La norma definisce, oltre il modello dei processi e di assessment dei processi, una guida allo svolgimento di un assessment (parte 4), le caratteristiche degli assessors (parte 6), la guida per l'utilizzo del modello ai fini del miglioramento (parte 7), la guida per la capability determination (parte 8). La parte 1 è introduttiva, la 9 è il vocabolario Successivamente è stata emessa la nuova versione (2003) che ha semplificato la suddivisione accorpando alcune parti e introdotto ulteriori modifiche alle definizioni, per meglio integrarsi con la ISO MD 1 e 2 relativa alla certificazione del processo di sviluppo del software 14

15 Contenuti e principi Process Identifies changes to Examined by Process Assessment Identifies suitability of Process Improvement Cause Motivates Cause Capability Determination 15

16 Componenti (1998) Part 1 (I) Concepts and introductory guide Part 9 (N) Vocabulary Part 7 (I) Guide for process improvement Part 8 (I) Guide for supplier capability determination Part 6 (I) Guide to competency of assessors Part 3 (N) Performing an assessment Part 4 (I) Guide to performing an assessment Part 2 (N) A reference model for Process and capability Part 5 (I) Assessment model and Indicator guidance 16

17 Componenti ISO/IEC 15504: 2003 Part 1 Concepts and vocabulary Part 4 Guidance on using Assessment Results Part 2 Performing an Assessment Part 3 Guide on Performing Assessments Compliant Process Reference Model Part 5 Exemplar Assessment Model Cambiamenti dalla versione 1998 Part 1 & 9 >> Part 1 Part 2 & 3 >> Part 2 Part 7 & 8 >> Part 4 Part 4 & 6 >> Part 3 Part 5 >> Part 5 Il nome cambia da Software Process Assessment in Process Assessment Riduzione da 9 parti a 5 parti Aggiunta di un exemplar assessment method Introduzione dei Process Reference Models 17

18 Un modello bidimensionale La norma definisce un modello "bidimensionale" costituito da: 1. la dimensione del processo (la definizione del processo in termini di obiettivi, risultati misurabili attesi ed altre informazioni di livello alto, descrittive) 2. la dimensione del profilo di capacità dei processi, caratterizzata da una serie di attributi di processo che ne distinguono il livello di maturità rispetto ad una scala di valutazione ordinale [0-5] con 5 considerato il valore migliore Il posizionamento di un processo sulla scala di valutazione è funzione del possesso di determinati attributi caratteristici di ogni livello della scala misurabili attraverso indicatori 18

19 Definizioni Assessment: un esame, secondo regole formali, dei processi di una organizzazione, rispetto ad un modello di riferimento Un metodo di assessment richiede: una scala di misura (i livelli di capacità) i criteri di valutazione rispetto ai livelli della scala un meccanismo di rappresentazione dei risultati Capability determination: un esame, secondo regole formali, dei processi di una organizzazione, rispetto alla loro capacità di raggiungere un determinato obiettivo, condotto allo scopo di individuare i punti di forza e di debolezza ed i rischi associati alla attuazione dei processi secondo determinati requisiti Processes: l'insieme di processi utilizzati da una organizzazione per pianificare, gestire, eseguire, monitorare, controllare e migliorare le attività correlate al software Attributo di processo: una caratteristica misurabile della capacità di un processo Indicatore di processo: un indicatore che supporta la valutazione della capacità di raggiungimento di determinati livelli di attributi di processo Basepractice: una attività di software engineering o di management che consente il raggiungimento dello scopo di un determinato processo 19

20 Il modello dei processi I processi sono mappati su 4 livelli. II primo è formato da 3 macro categorie i Primari, quelli di Supporto e gli Organizzativi All'interno di queste macro categorie sono definite 5 ulteriori categorie di processo 1. Customer-Supplier (CUS) quelli che impattano direttamente sul cliente 2. Engineering (ENG) che direttamente specificano, implementano o mantengono il prodotto software 3. Support (SUP), i processi di supporto a tutti gli altri 4. Manageriali (MAN) ovvero quelli che gestiscono la conduzione del progetto 5. Organizzativi (ORG) che determinati gli obiettivi aziendali devono sviluppare i processi, le risorse e gli strumenti necessari a raggiungerli Il modello definisce un ulteriore terzo livello di processi, che ne comprende complessivamente 24 Esiste infine un quarto livello, costituito da 18 processi, ancora più di dettaglio, quasi tutti facenti parte dei Primari Rispetto alla si hanno 7 processi del tutto nuovi, 9 che sono estensione di quelli definiti nella ISO (1995) (Gestione del ciclo di vita del software) 20

21 Il profilo di capacità La dimensione del profilo di capacità dei processi si basa su un sistema di attributi di processo e di elementi di possesso di tali attributi che permettono di mappare il livello di maturità di un processo su una scala ordinale a 6 livelli (0-iniziale / 5-innovativo). I livelli sono praticamente gli stessi del CMM Gli attributi definiti nella norma sono 9: 1. Process performance - un processo raggiunge i suoi obiettivi, trasformando input identificabili in output identificabili 2. Performance management - l'attuazione di un processo è pianificata e controllata al fine di produrre risultati che rispondono agli obiettivi attesi 3. Work product management - l'attuazione di un processo è pianificata e controllata al fine di produrre risultati che siano appropriatamente documentati, controllati e verificati 4. Process definition - l'attuazione di un processo si basa su approcci standardizzati 5. Process resource - il processo può contare sulle risorse adeguate (umane, infrastrutture etc.) per essere attuato 6. Process measurement - i risultati raggiunti e le misure rilevate durante l'attuazione di un processo sono usati per assicurarsi che l'attuazione di tale processo supporti efficacemente il raggiungimento di specifici obiettivi 7. Process control - un processo è controllato attraverso la raccolta, analisi ed utilizzo delle misure di prodotto e di processo rilevate, al fine di correggere, se necessario, le sue modalità di attuazione 8. Process chanae - le modifiche alla definizione, gestione, attuazione di un processo sono controllate 9. Continuous improvement - le modifiche ad un processo sono identificate ed implementate al fine di assicurare il continuo miglioramento nel raggiungimento degli obiettivi rilevanti per la organizzazione 21

22 Gli attributi di processo Per ogni attributo la norma dà le condizioni che lo fanno considerare soddisfatto definendo inoltre 4 possibili livelli di possesso di un attributo: N - non posseduto (0-15% di possesso, non c'è evidenza, o ve ne è poca, del possesso di un attributo) P - parzialmente posseduto (16-50% di possesso, vi è evidenza di approccio sistematico al raggiungimento del possesso di un attributo e del raggiungimento di tale possesso, ma alcuni aspetti del possesso possono essere non prevedibili) L - largamente posseduto (51-85% di possesso, vi è evidenza di approccio sistematico al raggiungimento del possesso di un attributo e di un significativo livello di possesso di tale attributo, ma l'attuazione del processo può variare nelle diverse unità operative della organizzazione) F - (Fully) pienamente posseduto (86-100% di possesso, vi è evidenza di un completo e sistematico approccio e di un pieno raggiungimento del possesso dell'attributo e non esistono significative differenze nel modo di attuare il processo tra le diverse unità operative) 22

23 Livello di maturità In base al livello di possesso degli attributi, sono previsti 6 livelli di "maturità" dei processi: Livello 0 - processo incompleto. Il processo non è implementato o non raggiunge gli obiettivi. Non vi è evidenza di approcci sistematici agli attributi definiti Livello 1 - processo semplicemente attuato. Il processo viene messo in atto e raggiunge i suoi obiettivi. Non vi è evidenza di un approccio sistematico ad alcuno degli attributi definiti. Il raggiungimento di questo livello è dimostrato attraverso il possesso degli attributi di "process performance Livello 2 - processo gestito. Il processo è attuato ma anche pianificato, tracciato, verificato ed aggiustato se necessario, sulla base di obiettivi ben definiti. Il raggiungimento di questo livello è dimostrato attraverso il possesso degli attributi di "performance management" e "Work product management Livello 3- processo definito. Il processo è attuato, pianificato e controllato sulla base di procedure ben definite, basate sui principi del sw engineering. Il raggiungimento di questo livello è dimostrato attraverso il possesso degli attributi di "Process definition" e "Process resource Livello 4 - processo predicibile. Il processo è stabilizzato ed è attuato all'interno di definiti limiti riguardo i risultati attesi, le performance, le risorse impiegate etc. Il raggiungimento di questo livello è dimostrato attraverso il possesso degli attributi di "Process measurement" e "Process control Livello 5 - processo ottimizzante. Il processo è predicibile ed in grado di adattarsi per raggiungere obiettivi specifici e rilevanti per la organizzazione. Il raggiungimento di questo livello è dimostrato attraverso il possesso degli attributi di "Process change" e "Continuous improvement 23

24 Il modello di valutazione L'assessment si basa sulla valutazione di alcuni indicatori: 1. indicatori di process performance per la dimensione del processo 2. indicatori di process capability per la dimensione della capacità dei processi di raggiungere determinati obiettivi 24

25 Indicatori di Process Performance Le tipologie di indicatori di process performance definiti dalla norma sono 2: 1. Base practices - Le base practices (BP) sono attività di software engineering o di management che consentono il raggiungimento dello scopo di un determinato processo. La descrizione delle BP è ad un livello alto, astratto, che identifica "cosa" va fatto piuttosto che "come 2. Work product & Work Product Characteristics - I work products (WP) sono gli input e gli output del processo, e le loro caratteristiche L'esistenza di BP e WP, il loro effettivo contributo al raggiungimento degli obiettivi di processo, la loro adeguatezza a farlo, forniscono all assessor la evidenza delle prestazioni del processo. È possibile anche definire, a completamento delle base practices, delle advanced practices che individuano quali ulteriori attività è consigliabile implementare al fine di ottenere i risultati attesi con sufficiente qualità 25

26 Indicatori di capacità dei processi Gli indicatori di capacità dei processi sono 3: 1. Management practices 2. Practice Performance characteristics 3. Resource/Infrastructure caracteristics Le management practices (MP) sono le attività che devono essere implementate per soddisfare gli attributi di processo. Per ogni MP sono definite le practice performances characteristics (le caratteristiche che devono possedere le varie management practices, PPC) resource and infrastructure characteristics (le caratteristiche che devono possedere le risorse associate alle management practices, RIC) 26

27 GRC (GOVERNANCE RISK & COMPLIANCE) 27

28 GRC GRC: Governance, Risk management e Compliance Un termine sempre più utilizzato per come ombrello per comprendere questre tre aree dell attività aziendale Queste aree di attività si stanno sempre più allineando e integrando per migliorare le performance dell impresa e il soddisfacimento dei bisogni degli stakeholder 28

29 GRC: Definizioni GRC: Governance Esercizio dell autorità; controllo; governo; composizione Risk (management) rischio; pericolo; esposizione a perdita, danno o distruzione (l'atto o l arte di gestire; il modo di trattare, orientare, esercitare, o utilizzare, per uno scopo; comportamento; amministrazione; orientamento; controllo) Compliance Il rispetto e l'osservanza della legge; una concessione, come un desiderio, domanda, o proposta; concessione; presentazione Webster online dictionary 29

30 Tipi di Governance Esistono diversi tipi di governance: Corporate governance Project governance Information technology governance Environmental governance Economic and financial governance Ognuna di queste tipologie dispone di varie fonti per la guida, tutte con gli stessi obiettivi, ma con diversi termini e tecniche finalizzate al raggiungimento dei relativi obiettivi 30

31 Implementare la Governance L integrazione dell implementazione delle attività di GRC all interno di un organizzazione richiede un approccio sistematico per raggiungere affidabilmente gli obiettivo di business dei suoi stakeholders Tali approcci sono basati tipicamente su abilitatori di vario tipo (es.: principi, politiche, modelli, framework, strutture organizzative) 31

32 Un esempio del Modello GRC Dal OCEG Red Book GRC Capability Model versione

33 Corporate Governance of IT ISO/IEC 38500: 2008 Corporate governance of information technology 1.1 Scopo Lo standard fornisce i principi guida per gli amministratori di organizzazioni (tra cui proprietari, amministratori, senior manager, soci, dirigenti, o simili) per un utilizzo in modo efficace, efficiente e accettabile delle tecnologie dell'informazione (IT) all'interno delle loro organizzazioni Questo standard si applica alla governance dei processi di gestione (e decisioni) relative alle informazioni e ai servizi di comunicazione utilizzati da un'organizzazione. Questi processi possono essere controllati da specialisti IT all'interno dell'organizzazione o da fornitori esterni di servizi, o per unità di business all'interno dell'organizzazione 33

34 Corporate Governance of IT (cont.) ISO/IEC 38500: 2008 Corporate governance of information technology 2.1 Principi Principio 1: Responsibility Principio 2: Strategy Principio 3: Acquisition Principio 4: Performance Principio 5: Conformance Principio 6: Human Behaviour 34

35 Corporate Governance of IT (cont.) ISO/IEC 38500: 2008 Corporate governance of information technology 2.2 Modello I manager devono governare l IT tramite tre compiti principali: a) Valutare l utilizzo corrente e futuro dell IT b) Dirigere la preparazione e l implementazione di piani e politiche per assicurare che l utilizzo dell IT sia conforme agli obiettivi di business aziendali c) Monitorare l adeguamento alle politiche, e le performance rispetto ai piani 35

36 COBIT: Governance of Enterprise IT (GEIT) Governance of Enterprise IT Evolution of scope IT Governance Management Control Audit Val IT 2.0 (2008) Risk IT (2009) COBIT1 COBIT2 COBIT3 COBIT4.0/4.1 COBIT / A business framework from ISACA, at 36

37 37 COBIT 5

38 Panoramica su CObIT 5 COBIT 5 riunisce i cinque principi che consentono a un organizzazione di realizzare un efficace framework di governance e management basato su un insieme olistico di sette abilitatori che ottimizza l informazione e gli investimenti in tecnologia nonché il loro utilizzo a beneficio degli stakeholder 38

39 Il framework di CObIT 5 CObIT 5 aiuta le imprese a creare valore dall information technology mantenendo un bilanciamento tra benefici attesi e rischi, oltre ad aiutare ad ottimizzare l impego di risorse CObIT 5 consente all IT di essere governato in maniera olistica per tutta l impresa, considerando tutto il business end-to-end e le aree funzionali IT di responsabilità, considerando gli interessi connessi all IT degli stakeholder interni ed esterni I principi di CObIT 5 e gli abilitatori sono generici e utili per organizzazioni di ogni dimensione, sia commerciali che no-profit o pubbliche 39

40 40 CObIT 5: I 5 principi

41 41 COBIT 5: I 7 abilitatori

42 42 GRC IN COBIT 5

43 Governance (e Management) in COBIT 5 La Governance assicura che gli obiettivi siano raggiunti valutando le esigenze degli interessati, le condizioni e le opzioni; impostando la direzione tramite priorità e processo decisionale, e il monitoraggio delle prestazioni, il rispetto dei requisiti e il progresso rispetto alla direzione e agli obiettivi concordati (EDM) Il Management pianifica (plan), implementa (build), esegue (runs) e controlla (monitor) le attività in allineamento con le direzioni stabilite dal governance body per conseguire gli obiettivi dell impresa (PBRM) Esercitare governance e management efficacemente significa in pratica considerare tutti gli abilitatori. Il COBIT process reference model consente di concentrarsi facilmente sulle attività aziendali rilevanti 43

44 Governance in COBIT 5 Il COBIT 5 process reference model suddivide le pratiche e e le attività correlate all IT dell organizzazione in due aree principali governance e management con management ulteriormente divisa in domini e processi Il dominio GOVERNANCE contiene cinque processi di governance; all interno di ognuna sono definite le pratiche EDM (evaluate, direct & monitor) 01 Ensure governance framework setting and maintenance. 02 Ensure benefits delivery. 03 Ensure risk optimisation. 04 Ensure resource optimisation. 05 Ensure stakeholder transparency. I quattro domini MANAGEMENT sono in linea con le aree di responsabilità PBRM (plan, build, run & monitor) 44

45 45 Governance in COBIT 5 (cont.)

46 Risk Management in COBIT 5 Il dominio GOVERNANCE contiene cinque processi di governance, uno dei quali si focalizza sugli obiettivi degli stakeholder relativi al rischio: EDM03 Ensure risk optimisation Descrizione del Processo Ensure that the enterprise s risk appetite and tolerance are understood, articulated and communicated, and that risk to enterprise value related to the use of IT is identified and managed Obiettivo del Processo Ensure that IT-related enterprise risk does not exceed risk appetite and risk tolerance, the impact of IT risk to enterprise value is identified and managed, and the potential for compliance failures is minimised 46

47 Risk Management in COBIT 5 (cont.) Il dominio dell area MANAGEMENT Align, Plan & Organise contiene un processo risk-related: APO12 Manage risk Descrizione del Processo Continually identify, assess and reduce IT-related risk within levels of tolerance set by enterprise executive management Obiettivo del Processo Integrate the management of IT-related enterprise risk with overall ERM, and balance the costs and benefits of managing IT-related enterprise risk 47

48 48 Risk Management in COBIT 5 (cont.)

49 Risk Management in COBIT 5 (cont.) Tutte le attività aziendali hanno delle esposizioni ai rischi dovute a minacce provenienti dall ambiente che potrebbero sfruttare le vulnerabilità EDM03 Ensure risk optimisation garantisce che l approccio al rischio da parte degli stakeholder sia articolato in modo da dirigere il modo in cui i rischi che minacciano l impresa siano estiti APO12 Manage risk fa sì che l enterprise risk management (ERM) si organizzi in modo da garantire che la direzione stabilita dagli stakeholder sia seguita dall impresa Tutti gli altri processi comprendono pratiche e attività progettate per gestire i relativi rischi (evitare, ridurre/mitigare/ controllare, condividere/trasferire/accettare) 49

50 Risk Management in COBIT 5 (cont.) In aggiunta alle attività, COBIT 5 suggerisce per ogni processo accountability, e responsabilità per tutti i ruoli aziendali e le strutture di governance/management (carte RACI). Comprendono i ruoli relativi al rischio 50

51 Compliance in COBIT 5 Il dominio dell area MANAGEMENT Monitor, Evaluate & Assess contiene un processo specifico per la compliance: MEA03 Monitor, evaluate and assess compliance with external requirements Descrizione del Processo Evaluate that IT processes and IT-supported business processes are compliant with laws, regulations and contractual requirements. Obtain assurance that the requirements have been identified and complied with, and integrate IT compliance with overall enterprise compliance Obiettivo del Processo Ensure that the enterprise is compliant with all applicable external requirements 51

52 52 Compliance in COBIT 5 (cont.)

53 Compliance in COBIT 5 (cont.) Conformità legislativa e normativa è un elemento chiave della gestione efficace di un'impresa, e da qui la sua inclusione nel termine GRC e negli COBIT 5 Enterprise Goal e nell abilitatore che supporta la struttura del processo (MEA03) Oltre a MEA03, tutte le funzioni aziendali comprendono delle attività di controllo progettate per garantire il rispetto non solo a requisiti legislativi o regolamentari imposti dall'esterno, ma anche a principi interni di governance, politiche e procedure 53

54 Compliance in COBIT 5 (cont.) In aggiunta alle attività, COBIT 5 suggerisce per ogni processo accountability, e responsabilità per tutti i ruoli aziendali e le strutture di governance/management (carte RACI). Comprendono i ruoli relativi alla compliance 54

55 Stakeholder Value & Business Objectives Le organizzazioni (sia pubbliche che private) esistono al fine di creare valore per i loro stakeholder. Di conseguenza la creazione di valore è un obiettivo della governance Creazione di valore significa realizzare questi benefici con un utilizzo ottimale delle risorse e nello stesso tempo ottimizzare i rischi 55

56 Stakeholder Value & Business Objectives (cont.) Principio 1 - Meeting Stakeholder Needs: I bisogni degli stakeholder devono essere trasformati in una strategia aziendale concreata e fattibile Gli obiettivi a cascata di COBIT 5 traducono questi bisogni in obiettivi specifici, fattibili e personalizzati nel contesto dell impresa, del sistema informativo e infine negli abilitatori 56

57 Stakeholder Value & Business Objectives (cont.) I bisogni degli Stakeholder possono essere correlati a un insieme di obiettivi aziendali generici Questi goal sono stati determinati utilizzando la Balanced Scorecard (BSC) (Kaplan, Robert S.; David P. Norton; The Balanced Scorecard: Translating Strategy into Action, Harvard University Press, USA, 1996) Gli obiettivi aziendali consistono in un elenco di goal comunemente utilizzati che un azienda ha definito per se stessa Sebbene questa lista non è esaustiva, la maggior parte degli obiettivi di business di una qualsiasi organizzazione può essere mappata con uno o più di questi goal 57

58 Stakeholder Value & Business Objectives (cont.) 58

59 Stakeholder Value & Business Objectives (cont.) Questa organizzazione a cascata non è nuova in COBIT 5: è stata introdotta in COBIT 4.0 nel 2005 Gli utilizzatori di COBIT che hanno applicato questo modo di procede lo hanno trovato interessante e di valore Ma non tutti hanno notato questo vantaggio Poiché questa cascata supporta il principio relativo ai bisogni degli stakeholder, che è fondamentale in COBIT 5, è diventato un concetto preminente nella descrizione del framework Con l occasione, la cascata è stata rivista e aggiornata 59

60 Governance e Management definiti Che tipo di framework è COBIT? Un IT audit and control framework? COBIT (1996) e COBIT 2nd Edition (1998) Focus sugli Obiettivi di Controllo Un IT management framework? COBIT 3rd Edition (2000) Aggiunta delle Management Guidelines Un IT governance framework? COBIT 4.0 (2005) e COBIT 4.1 (2007) Aggiunta dei processi Governance e Compliance Eliminazione dei processi di Assurance Ma qual è la differenza tra governance and management? 60

61 Governance e Management definiti (cont.) Governance La governance assicura che gli obiettivi dell impresa siano raggiunti valutando (Evaluating) i bisogni degli stakeholder, le condizioni e le alternative; stabilendo la direzione (Direction) tramite la prioritizzazione e le scelte decisionali; e monitorando (Monitoring) le performance, la compliance e i progressi rispetto al piano [EDM] Management Il management pianifica (Plans), realizza (Builds), esegue (Runs) e monitorizza (Monitors) le attività allineandosi con la direzione stabilita dal governance body al fine di raggiungere gli obiettivi d impressa [PBRM] 61

62 Governance and Management Defined (cont.) Il COBIT 5 process reference model suddivide le pratiche e e le attività correlate all IT dell organizzazione in due aree principali governance e management con management ulteriormente divisa in domini e processi: Il dominio GOVERNANCE contiene cinque processi di governance; all interno di ognuna sono definite le pratiche EDM (evaluate, direct & monitor) I quattro domini MANAGEMENT sono in linea con le aree di responsabilità PBRM (plan, build, run & monitor) 62

63 63 COBIT 4.1 VS. COBIT 5

64 Cambiamenti presenti in CObIT 5 I principali cambiamenti apportati al framework, e che impattano l implementazione/miglioramento del GEIT sono: 1. Nuovi principi GEIT 2. Aumentato focus sugli abilitatori 3. Nuovo Process Reference Model 4. Processi nuovi e modificati 5. Pratiche e attività 6. Goal e metriche 7. Input e Output 8. Carte RACI 9. Process Capability Maturity Model e Assessment 64

65 65 1. Nuovi principi GEIT

66 1. Nuovi principi GEIT (cont.) I framework Val IT e Risk IT definiscono dei principi che ne sono alla base I feedback ricevuti hanno mostrato che i principi sono facili da comprendere e applicare in un contesto aziendale, consentendo di ottenere valore più efficacemente Anche la ISO/IEC incorpora dei principi finalizzati ad ottenere gli stessi benefici, anche sono leggermente diversi da quelli di COBIT 5 Chiara definizione ed enfasi sui principi di Governance 66

67 2. Aumentato focus sugli abilitatori COBIT 4.1 non prevedeva abilitatori! In realtà questo erano presenti, ma chiamati diversamente, esplicitamente o implicitamente 67

68 2. Aumentato focus sugli abilitatori (cont.) Informazioni, infrastrutture, applicazioni (servizi) e persone (persone, abilità e competenze) erano le risorse di COBIT 4.1 Principi, politiche e framework erano presenti in pochi processi di COBIT 4.1 I processi erano tuttavia centrali nell applicare COBIT 4.1 La struttura organizzativa è considerata nei ruoli Responsible, Accountable, Consulted o Informed (RACI) e nella loro definizione La cultura, l etica e comportamenti erano menzionati in pochi processi di COBIT

Marco Salvato, KPMG. AIEA Verona 25.11.2005

Marco Salvato, KPMG. AIEA Verona 25.11.2005 Information Systems Governance e analisi dei rischi con ITIL e COBIT Marco Salvato, KPMG Sessione di studio AIEA, Verona 25 Novembre 2005 1 Information Systems Governance L'Information Systems Governance

Dettagli

Software. Engineering

Software. Engineering Software Il modello CMMI Engineering nelle organizzazioni software Agenda Focalizzazione sul processo CMMI come modello per il miglioramento dei processi Struttura del modello CMMI Aree di processo Riferimenti

Dettagli

Misura delle performance dei processi con le metriche suggerite da COBIT e ITIL

Misura delle performance dei processi con le metriche suggerite da COBIT e ITIL Al servizio dei professionisti dell IT Governance Capitolo di Milano Misura delle performance dei processi con le metriche suggerite da COBIT e ITIL Valter Tozzini - ItSMF Italia Paola Belforte - ItSMF

Dettagli

IL BS7799 ALCUNI CONCETTI FONDAMENTALI. Relatore: Ing. Marcello Mistre, CISA marcello.mistre@sistinf.it BS 7799. Sistemi Informativi S.p.A.

IL BS7799 ALCUNI CONCETTI FONDAMENTALI. Relatore: Ing. Marcello Mistre, CISA marcello.mistre@sistinf.it BS 7799. Sistemi Informativi S.p.A. IL BS7799 Relatore: Ing. Marcello Mistre, CISA marcello.mistre@sistinf.it Sistemi Informativi S.p.A. ALCUNI CONCETTI FONDAMENTALI Sistemi Informativi S.p.A. 2 ATTIVITA DELLA SECURITY STUDIO, SVILUPPO ED

Dettagli

SU MISURA PER IL TUO TEAM, PRESSO IL TUO UFFICIO Training On-site

SU MISURA PER IL TUO TEAM, PRESSO IL TUO UFFICIO Training On-site SU MISURA PER IL TUO TEAM, PRESSO IL TUO UFFICIO Training On-site La Tecnologia evolve velocemente ed anche gli esperti IT più competenti hanno bisogno di una formazione costante per tenere il passo Come

Dettagli

La governance dei Servizi IT con COBIT, ITIL e ISO/IEC 20000

La governance dei Servizi IT con COBIT, ITIL e ISO/IEC 20000 La governance dei Servizi IT con COBIT, ITIL e ISO/IEC 20000 Autore: Maxime Sottini Consigliere itsmf Italia itsmf International IQC Officer CEO icons Innovative Consulting S.r.l. COBIT è un marchio registrato

Dettagli

IS Governance in action: l esperienza di eni

IS Governance in action: l esperienza di eni IS Governance in action: l esperienza di eni eni.com Giancarlo Cimmino Resp. ICT Compliance & Risk Management Contenuti L ICT eni: mission e principali grandezze IS Governance: il modello organizzativo

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 5 Marco Fusaro KPMG S.p.A. 1 CobiT: strumento per la comprensione di una

Dettagli

Qualification Program in IT Service Management according to ISO/IEC 20000. Cesare Gallotti Milano, 23 gennaio 2009

Qualification Program in IT Service Management according to ISO/IEC 20000. Cesare Gallotti Milano, 23 gennaio 2009 Qualification Program in IT Service Management according to ISO/IEC 20000 Cesare Gallotti Milano, 23 gennaio 2009 1 Agenda Presentazione Le norme della serie ISO/IEC 20000 L IT Service Management secondo

Dettagli

Panoramica su ITIL V3 ed esempio di implementazione del Service Design

Panoramica su ITIL V3 ed esempio di implementazione del Service Design Master Universitario di II livello in Interoperabilità Per la Pubblica Amministrazione e Le Imprese Panoramica su ITIL V3 ed esempio di implementazione del Service Design Lavoro pratico II Periodo didattico

Dettagli

Introduzione a COBIT 5 for Assurance

Introduzione a COBIT 5 for Assurance Introduzione a COBIT 5 for Assurance Andrea Pontoni 1 SPONSOR DELL EVENTO SPONSOR DI ISACA VENICE CHAPTER CON IL PATROCINIO DI 2 Agenda Obiettivi Assurance Definizione Drivers dell Assurance Vantaggi di

Dettagli

Corso Base ITIL V3 2008

Corso Base ITIL V3 2008 Corso Base ITIL V3 2008 PROXYMA Contrà San Silvestro, 14 36100 Vicenza Tel. 0444 544522 Fax 0444 234400 Email: proxyma@proxyma.it L informazione come risorsa strategica Nelle aziende moderne l informazione

Dettagli

Pubblicazioni COBIT 5

Pubblicazioni COBIT 5 Pubblicazioni COBIT 5 Marco Salvato CISA, CISM, CGEIT, CRISC, COBIT 5 Foundation, COBIT 5 Trainer 1 SPONSOR DELL EVENTO SPONSOR DI ISACA VENICE CHAPTER CON IL PATROCINIO DI 2 La famiglia COBIT 5 3 Aprile

Dettagli

IS Governance. Francesco Clabot Consulenza di processo. francesco.clabot@netcom-srl.it

IS Governance. Francesco Clabot Consulenza di processo. francesco.clabot@netcom-srl.it IS Governance Francesco Clabot Consulenza di processo francesco.clabot@netcom-srl.it 1 Fondamenti di ISO 20000 per la Gestione dei Servizi Informatici - La Norma - 2 Introduzione Che cosa è una norma?

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 4 Marco Fusaro KPMG S.p.A. 1 CobiT Obiettivi del CobiT (Control Objectives

Dettagli

La Governance come strumento di valorizzazione dell'it verso il business

La Governance come strumento di valorizzazione dell'it verso il business La Governance come strumento di valorizzazione dell'it verso il business Livio Selvini HP IT Governance Senior Consultant Vicenza, 24 novembre Hewlett-Packard Development Company, L.P. The information

Dettagli

CMMI-Dev V1.3. Capability Maturity Model Integration for Software Development, Version 1.3. Roma, 2012 Ercole Colonese

CMMI-Dev V1.3. Capability Maturity Model Integration for Software Development, Version 1.3. Roma, 2012 Ercole Colonese CMMI-Dev V1.3 Capability Maturity Model Integration for Software Development, Version 1.3 Roma, 2012 Agenda Che cos è il CMMI Costellazione di modelli Approccio staged e continuous Aree di processo Goals

Dettagli

Processi di Gestione dei Sistemi ICT

Processi di Gestione dei Sistemi ICT Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT Paolo Salvaneschi A3_1 V1.1 Processi di Gestione dei Sistemi ICT Il contenuto del documento è liberamente utilizzabile dagli studenti,

Dettagli

Il Capability Maturity Model CMM. Il Capability Maturity Model. Il concetto di maturità (2) Il concetto di capability. Rapporti tra i livelli

Il Capability Maturity Model CMM. Il Capability Maturity Model. Il concetto di maturità (2) Il concetto di capability. Rapporti tra i livelli Il Capability Maturity Model Il Capability Maturity Model CMM Il SW-CMM (SW - Capability Maturity Model) definisce un modello dei processi di sviluppo del software e un insieme di regole per il loro miglioramento.

Dettagli

Le norme della Qualità

Le norme della Qualità Le norme ISO9000 e la loro evoluzione L evoluzione delle ISO 9000 in relazione alla evoluzione delle prassi aziendali per la Qualita 3 Evoluzione della serie ISO 9000 2 1 Rev. 1 ISO 9000 Rev. 2 ISO 9000

Dettagli

PIRELLI ENTERPRISE RISK MANAGEMENT turn risk into a choice

PIRELLI ENTERPRISE RISK MANAGEMENT turn risk into a choice PIRELLI ENTERPRISE RISK MANAGEMENT turn risk into a choice OUR PHILOSOPHY PIRELLI ENTERPRISE RISK MANAGEMENT POLICY ERM MISSION manage risks in terms of prevention and mitigation proactively seize the

Dettagli

Tanta fatica solo per un bollino ne vale davvero la pena?

Tanta fatica solo per un bollino ne vale davvero la pena? Tanta fatica solo per un bollino ne vale davvero la pena? Relatori: Paolo SFERLAZZA Alberto PERRONE Relatori Paolo Sferlazza Security Advisor CISA,LA27001,LA22301,OPST, COBIT 5, ITIL,LA9001,ISFS, ITSM,ISMA

Dettagli

Corso di Amministrazione di Sistema Parte I ITIL C

Corso di Amministrazione di Sistema Parte I ITIL C Corso di Amministrazione di Sistema Parte I ITIL C Francesco Clabot Responsabile erogazione servizi tecnici 1 francesco.clabot@netcom-srl.it Fondamenti di ITIL per la Gestione dei Servizi Informatici IT

Dettagli

Catalogo Corsi. Aggiornato il 16/09/2013

Catalogo Corsi. Aggiornato il 16/09/2013 Catalogo Corsi Aggiornato il 16/09/2013 KINETIKON SRL Via Virle, n.1 10138 TORINO info@kinetikon.com http://www.kinetikon.com TEL: +39 011 4337062 FAX: +39 011 4349225 Sommario ITIL Awareness/Overview...

Dettagli

Severino Meregalli Head MIS Unit SDA Bocconi. SDA Bocconi - Severino Meregalli 1

Severino Meregalli Head MIS Unit SDA Bocconi. SDA Bocconi - Severino Meregalli 1 L adozione dei framework di IS Governance nella prospettiva del valore dei Sistemi Informativi: Il ruolo di COBIT SDA Bocconi AIEA Milano - ICT Ticino Manno, 27 Gennaio 2010 Severino Meregalli Head MIS

Dettagli

SharePoint Governance

SharePoint Governance SharePoint Governance SharePoint Governance Governance is a two-sided coin. A lot of people get annoyed with it, but without governance, SharePoint gets expensive and difficult to manage. (Global energy

Dettagli

L esperienza d integrazione in SSC

L esperienza d integrazione in SSC Roma, 10 dicembre 2010 Centro Congressi Cavour L esperienza d integrazione in SSC Approcci multimodello nelle pratiche aziendali Il presente documento contiene informazioni e dati di S.S.C. s.r.l., pertanto

Dettagli

Codice di autodisciplina e IT Governance

Codice di autodisciplina e IT Governance Codice di autodisciplina e IT Governance Settembre 2013 Indice Premessa ed obiettivi del documento 3 Breve presentazione del Codice di autodisciplina 4 Il modello di riferimento di IT Governance: perché

Dettagli

PMI. Management Maturity Model, OPM3 Second Edition 2008

PMI. Management Maturity Model, OPM3 Second Edition 2008 Nuovi standard PMI, certificazioni professionali e non solo Milano, 20 marzo 2009 PMI Organizational Project Management Maturity Model, OPM3 Second Edition 2008 Andrea Caccamese, PMP Prince2 Practitioner

Dettagli

La Norma ISO 21500-1 Ed. 1-2012 Guidance on project management

La Norma ISO 21500-1 Ed. 1-2012 Guidance on project management 1 Per conto di AICQ CN 1 - Autore Giovanni Mattana - V. Presidente AICQ CN Presidente della Commissione UNI Gestione per la Qualità e Metodi Statistici INTERNATIONAL STANDARD ISO 21500 Peculiarità della

Dettagli

Copyright SDA Bocconi Elisa Pozzoli - Gianluca Salviotti

Copyright SDA Bocconi Elisa Pozzoli - Gianluca Salviotti L adozione di COBIT come strumento di IS Governance. Stato dell arte, risultati e fattori critici di successo nelle esperienze analizzate. Elisa Pozzoli, Gianluca Salviotti Copyright SDA Bocconi Elisa

Dettagli

Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT. Paolo Salvaneschi A9_1 V1.3. Misura

Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT. Paolo Salvaneschi A9_1 V1.3. Misura Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT Paolo Salvaneschi A9_1 V1.3 Misura Il contenuto del documento è liberamente utilizzabile dagli studenti, per studio personale e per

Dettagli

L IT Risk Management e le strategie di business

L IT Risk Management e le strategie di business L IT Risk Management e le strategie di business Lugano, 16 Gennaio Agenda Protiviti Enterprise Risk Management IT Risk Management Case study 2 Chi siamo Protiviti è una società di consulenza indipendente

Dettagli

Classificazione Nuovo Esame PMP

Classificazione Nuovo Esame PMP Notizie sul nuovo esame PMP a partire dal Agosto 0 Classificazione Nuovo Esame PMP Questo è il link al documento del PMI: Crosswalk Between Current and New PMP Classifications del PMI Di seguito trovi

Dettagli

Fattori critici di successo

Fattori critici di successo CSF e KPI Fattori critici di successo Critical Success Factor (CSF) Definiscono le azioni o gli elementi più importanti per controllare i processi IT Linee guida orientate alla gestione del processo Devono

Dettagli

Sessione di Studio AIEA-ATED. La gestione del rischio informatico nel framework dei rischi operativi

Sessione di Studio AIEA-ATED. La gestione del rischio informatico nel framework dei rischi operativi Sessione di Studio AIEA-ATED La gestione del rischio informatico nel framework dei rischi operativi 24 Novembre 2014 Agenda La gestione del rischio operativo nel Gruppo ISP La gestione degli eventi operativi

Dettagli

Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer»

Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer» Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer» La security: esperienza vs conoscenza didattica Cosa può capitare avendone solo una delle due? Esperienza pregressa Conoscenza

Dettagli

Informazioni aziendali: il punto di vista del Chief Information Security Officer ed il supporto di COBIT 5 for Information Security

Informazioni aziendali: il punto di vista del Chief Information Security Officer ed il supporto di COBIT 5 for Information Security Informazioni aziendali: il punto di vista del Chief Information Security Officer ed il supporto di COBIT 5 for Information Security Jonathan Brera Venezia Mestre, 26 Ottobre 2012 1 Agenda Introduzione

Dettagli

Copyright SDA Bocconi Elisa Pozzoli - Gianluca Salviotti

Copyright SDA Bocconi Elisa Pozzoli - Gianluca Salviotti L adozione di COBIT come strumento di IS Governance. Stato dell arte, risultati e fattori critici di successo nelle esperienze analizzate. Elisa Pozzoli, Gianluca Salviotti Copyright SDA Bocconi Elisa

Dettagli

Quality gate. Sono eventi programmati regolarmente e condotti seguendo una procedura standard

Quality gate. Sono eventi programmati regolarmente e condotti seguendo una procedura standard Quality gate Nei punti chiave del processo di sviluppo del software, viene integrato un insieme di quality gate per monitorare la qualità del prodotto intermedio prima che quest ultimo possa passare al

Dettagli

Seminari Eucip, Esercizio e Supporto di Sistemi Informativi

Seminari Eucip, Esercizio e Supporto di Sistemi Informativi Seminari Eucip, Esercizio di Sistemi Informativi Service Delivery and Support Dipartimento di Informtica e Sistemistica Università di Roma La Sapienza ITIL.1 Relazioni con il.2 Pianificazione.3 Gestione

Dettagli

Una piattaforma enterprise per gestire e migliorare le iniziative di Governance, Risk e Compliance

Una piattaforma enterprise per gestire e migliorare le iniziative di Governance, Risk e Compliance Una piattaforma enterprise per gestire e migliorare le iniziative di Governance, Risk e Compliance Maria-Cristina Pasqualetti - Deloitte Salvatore De Masi Deloitte Andrea Magnaguagno - IBM Scenario La

Dettagli

ZeroUno Executive Dinner

ZeroUno Executive Dinner L ICT per il business nelle aziende italiane: mito o realtà? 30 settembre 2008 Milano, 30 settembre 2008 Slide 0 I principali obiettivi strategici delle aziende Quali sono i primi 3 obiettivi di business

Dettagli

A PROPOSITO DI ITIL IT SERVICE MANAGEMENT. Dove si trova ITIL...nel framework delle Best Practice?

A PROPOSITO DI ITIL IT SERVICE MANAGEMENT. Dove si trova ITIL...nel framework delle Best Practice? A PROPOSITO DI ITIL ITIL fornisce un framework di linee guida best practice per l IT Service Management. Fornisce un framework per la governance dell IT e si focalizza sulla continua misurazione e miglioramento

Dettagli

SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras

SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras 2 Introduzione Le architetture basate sui servizi (SOA) stanno rapidamente diventando lo standard de facto per lo sviluppo delle applicazioni aziendali.

Dettagli

CEPIS e-cb Italy Report. Roberto Bellini (da leggere su www.01net.it )

CEPIS e-cb Italy Report. Roberto Bellini (da leggere su www.01net.it ) CEPIS e-cb Italy Report Roberto Bellini (da leggere su www.01net.it ) Free online selfassessment tool Online services Enables the identification of competences needed for various ICT roles e-cf Competences

Dettagli

PMBOK Guide 3 rd Edition 2004

PMBOK Guide 3 rd Edition 2004 PMBOK Guide 3 rd Edition 2004 Un modello di riferimento per la gestione progetti a cura di Tiziano Villa, PMP febbraio 2006 PMI, PMP, CAPM, PMBOK, PgMP SM, OPM3 are either marks or registered marks of

Dettagli

IT FINANCIAL MANAGEMENT

IT FINANCIAL MANAGEMENT IT FINANCIAL MANAGEMENT L IT Financial Management è una disciplina per la pianificazione e il controllo economico-finanziario, di carattere sia strategico sia operativo, basata su un ampio insieme di metodologie

Dettagli

Sistemi elettronici per la sicurezza dei veicoli: presente e futuro. Il ruolo della norma ISO 26262 per la Sicurezza Funzionale

Sistemi elettronici per la sicurezza dei veicoli: presente e futuro. Il ruolo della norma ISO 26262 per la Sicurezza Funzionale 18 aprile 2012 Il punto di vista dell OEM sulla norma ISO 26262 per la Sicurezza Funzionale dei veicoli: la sfida dell integrazione nei processi aziendali Marco Bellotti Functional Safety Manager Contenuti

Dettagli

ESI International. Project Management & Business Analysis Solutions. www.esi-italy.it

ESI International. Project Management & Business Analysis Solutions. www.esi-italy.it ESI International Project Management & Business Analysis Solutions www.esi-italy.it Chi siamo Leader globali nei servizi di PERFORMANCE IMPROVEMENT in: Project Management Business Analysis Agile Project

Dettagli

Gli aspetti innovativi del Draft International Standard (DIS) ISO 9001:2015

Gli aspetti innovativi del Draft International Standard (DIS) ISO 9001:2015 Gli aspetti innovativi del Draft International Standard (DIS) ISO 9001:2015 I requisiti per la gestione del rischio presenti nel DIS della nuova ISO 9001:2015 Alessandra Peverini Perugia 9/09/2014 ISO

Dettagli

OSSERVATORIO IT GOVERNANCE. Premessa

OSSERVATORIO IT GOVERNANCE. Premessa OSSERVATORIO IT GOVERNANCE IL NUOVO STANDARD SUL PORTFOLIO MANAGEMENT DEL PROJECT MANAGEMENT INSTITUTE (PMI) a cura di Flavio De Trane, manager di HSPI (liberamente tratto dallo Standard sul Portfolio

Dettagli

1 - Ambito di applicazione del Project Management in banca

1 - Ambito di applicazione del Project Management in banca Creating Your Future PROJECT MANAGEMENT IN BANCA La governance dell innovazione in banca 1 Ambito di applicazione 2 Attività formativa 3 Competenze 4 Project Management Framework 1 - Ambito di applicazione

Dettagli

Come favorire la competitività e la sostenibilità con la nuova ISO 9001:2015

Come favorire la competitività e la sostenibilità con la nuova ISO 9001:2015 Come favorire la competitività e la sostenibilità con la nuova ISO 9001:2015 Lucio Galdangelo - Fieramilano 02/10/2014 Come cambierà la norma ISO 9001 2015 ISO 9001:2015 2012 New Work Item Proposal per

Dettagli

Qualifiche professionali per ITIL PRACTICES FOR SERVICE MANAGEMENT. Certificato ITIL Foundation in IT Service Management SYLLABUS

Qualifiche professionali per ITIL PRACTICES FOR SERVICE MANAGEMENT. Certificato ITIL Foundation in IT Service Management SYLLABUS Qualifiche professionali per ITIL PRACTICES FOR SERVICE MANAGEMENT Certificato ITIL Foundation in IT Service Management SYLLABUS Page 1 of 11 IL CERTIFICATO ITIL FOUNDATION IN IT SERVICE MANAGEMENT La

Dettagli

Esercizi per la redazione del Business Plan

Esercizi per la redazione del Business Plan Esercizi per la redazione del Business Plan Una società intende iniziare la sua attività l 1/1/2010 con un apporto in denaro di 20.000 euro. Dopo aver redatto lo Stato Patrimoniale iniziale all 1/1/2010

Dettagli

ValIT e Project Management: le indicazioni di ValIT per ripensare il governo di progetti e portfoli in Azienda

ValIT e Project Management: le indicazioni di ValIT per ripensare il governo di progetti e portfoli in Azienda IT Governance, Outsourcing e Porfolio/Project Management ValIT e Project Management: le indicazioni di ValIT per ripensare il governo di progetti e portfoli in Azienda Manno, Mercoledì, 21 Gennaio 2009

Dettagli

attività indipendente obiettiva assurance consulenza miglioramento approccio professionale sistematico valore aggiunto

attività indipendente obiettiva assurance consulenza miglioramento approccio professionale sistematico valore aggiunto MASTER AMLP 1 DEFINIZIONE L Internal Auditing è un'attività indipendente ed obiettiva di assurance e consulenza, finalizzata al miglioramento dell'efficacia e dell efficienza dell'organizzazione. Assiste

Dettagli

Proteggere il proprio Business con BSI.

Proteggere il proprio Business con BSI. Proteggere il proprio Business con BSI. Siamo i maggiori esperti nello standard ISO/IEC 27001, nato dalla nostra norma BS 7799: è per questo che CSA ci ha coinvolto nello sviluppo della Certificazione

Dettagli

La sicurezza secondo ITIL. Relazioni fra ITIL e la sicurezza Andrea Praitano Consigliere itsmf Italia

La sicurezza secondo ITIL. Relazioni fra ITIL e la sicurezza Andrea Praitano Consigliere itsmf Italia La sicurezza secondo ITIL Relazioni fra ITIL e la sicurezza Andrea Praitano Consigliere itsmf Italia Agenda itsmf Italia: cos è e che cosa fa; Cos è l IT Service Management; Introduzione a ITIL v3; Il

Dettagli

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS GETSOLUTION Via Ippolito Rosellini 12 I 20124 Milano Tel: + 39 (0)2 39661701 Fax: + 39 (0)2 39661800 info@getsolution.it www.getsolution.it AGENDA Overview

Dettagli

Insegnamento di Gestione e Organizzazione dei Progetti A.A. 2008/9

Insegnamento di Gestione e Organizzazione dei Progetti A.A. 2008/9 Insegnamento di Gestione e Organizzazione dei Progetti A.A. 2008/9 Lezione 12: Metodologie: controllo qualità P.M. Fase 3-4: tracking di progetto, introduzione Prof.ssa R. Folgieri email: folgieri@dico.unimi.it

Dettagli

La serie di Norme ISO 10000

La serie di Norme ISO 10000 La serie di Norme ISO 10000 Giovanni Mattana Giugno 2010 2 PERCHÉ UNA NUOVA ATTENZIONE ALLA SERIE DI NORME ISO 10000? La Norma Iso EN UNI 9001:2008, in vari punti specifici, ora rimanda alle norme della

Dettagli

Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED

Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED Quando parliamo di analisi dei rischi esaminiamo il cosiddetto concetto di information security risk management. Per

Dettagli

Costruiamo il Framework di Governance

Costruiamo il Framework di Governance Governare l IT Significa ricercare soluzioni che abbiano un giusto equilibrio tra benefici e rischi, con una corretta gestione delle risorse Richiede quindi visione «end-to-end» e rinnovata capacità di

Dettagli

ISO20000: il percorso di Poste Italiane verso la certificazione

ISO20000: il percorso di Poste Italiane verso la certificazione ISO20000: il percorso di Poste Italiane verso la certificazione Cristina Imperi Torino, 3 Luglio 2008 Il Profilo del Gruppo Poste Italiane 1 Poste Italiane è una delle realtà di servizi al cittadino e

Dettagli

Documentare, negoziare e concordare gli obiettivi di qualità e le responsabilità del Cliente e dei Fornitori nei Service Level Agreements (SLA);

Documentare, negoziare e concordare gli obiettivi di qualità e le responsabilità del Cliente e dei Fornitori nei Service Level Agreements (SLA); L economia della conoscenza presuppone che l informazione venga considerata come la risorsa strategica più importante che ogni organizzazione si trova a dover gestire. La chiave per la raccolta, l analisi,

Dettagli

ISO/IEC 27001 Versioni a confronto: 2005 vs 2013

ISO/IEC 27001 Versioni a confronto: 2005 vs 2013 ISO/IEC 27001 Versioni a confronto: 2005 vs 2013 Introduzione Il primo ottobre 2015 la normativa ISO/IEC 27001: 2005 verrà definitivamente sostituita dalla più recente versione del 2013: il periodo di

Dettagli

La norma ISO/IEC 27018: protezione dei dati personali nei servizi Public Cloud

La norma ISO/IEC 27018: protezione dei dati personali nei servizi Public Cloud La norma ISO/IEC 27018: protezione dei dati personali nei servizi Public Cloud Mariangela Fagnani ICT Security & Governance Senior Advisor Sernet SpA Sessione di Studio AIEA 19 Giugno 2015 Sernet e l offerta

Dettagli

IT Service Management, le best practice per la gestione dei servizi

IT Service Management, le best practice per la gestione dei servizi Il Framework ITIL e gli Standard di PMI : : possibili sinergie Milano, Venerdì, 11 Luglio 2008 IT Service Management, le best practice per la gestione dei servizi Maxime Sottini Slide 1 Agenda Introduzione

Dettagli

Progetto AURELIA: la via verso il miglioramento dei processi IT

Progetto AURELIA: la via verso il miglioramento dei processi IT Progetto AURELIA: la via verso il miglioramento dei processi IT Maurizio Coluccia Agenda BNL - BNP Paribas: IT Convergence Projects Il programma Il progetto Aurelia Il perimetro del progetto e le interfacce

Dettagli

Sinottico. Cobit 4.0 ISO 27001 (AS/NZS 4360 NIST 800-300)

Sinottico. Cobit 4.0 ISO 27001 (AS/NZS 4360 NIST 800-300) Sinottico Cobit 4.0 ISO 27001 (AS/NZS 4360 NIST 800-300) Indice generale Cobit 4.0...2 Pianificazione...2 Organizzazione...2 Acquisizione...3 Implementazione...3 Rilascio...4 Supporto...4 Monitoraggio/Valutazione...5

Dettagli

Corso di Amministrazione di Sistema Parte I ITIL A

Corso di Amministrazione di Sistema Parte I ITIL A Corso di Amministrazione di Sistema Parte I ITIL A Francesco Clabot Responsabile erogazione servizi tecnici 1 francesco.clabot@netcom-srl.it Fondamenti di ITIL per la Gestione dei Servizi Informatici IT

Dettagli

COBIT. COBIT è un modello di riferimento che comprende una raccolta di best practice

COBIT. COBIT è un modello di riferimento che comprende una raccolta di best practice COBIT Il COBIT (Control Objectives for Information and related Technology ) e' un set (freamework) di best practices per il management dell'it creato dall'isaca (Information Systems Audit and Control Association

Dettagli

Il sistema di governo dell ICT: ambiti di evoluzione del ruolo di COBIT in Enel

Il sistema di governo dell ICT: ambiti di evoluzione del ruolo di COBIT in Enel Il sistema di governo dell ICT: ambiti di evoluzione del ruolo di COBIT in Enel Mario Casodi ICT Governance / epm Convegno Nazionale AIEA Pisa, 21 maggio 2009 INDICE Introduzione Gestione della mappa dei

Dettagli

Qualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009

Qualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009 Qualification Program in Information Security Management according to ISO/IEC 27002 Cesare Gallotti Milano, 23 gennaio 2009 1 Agenda Presentazione Le norme della serie ISO/IEC 27000 La sicurezza delle

Dettagli

ITIL ( acura del Dottor Antonio Guzzo Responsabile CED del Comune di Praia a Mare)

ITIL ( acura del Dottor Antonio Guzzo Responsabile CED del Comune di Praia a Mare) ITIL ( acura del Dottor Antonio Guzzo Responsabile CED del Comune di Praia a Mare) ITIL è l acronimo di Information Technology Infrastructure Library e rappresenta un insieme di linee guida ispirate dalla

Dettagli

Introduzione ad ITIL. Information Technolgy Infrastructure Library. Che cos è ITIL. Una situazione critica. La sfida GOVERNO ICT GOVERNO ICT

Introduzione ad ITIL. Information Technolgy Infrastructure Library. Che cos è ITIL. Una situazione critica. La sfida GOVERNO ICT GOVERNO ICT Che cos è ITIL Sessione didattica su ITIL per Studenti di Ingegneria Informatica Politecnico di Torino Introduzione ad ITIL 17 Ottobre 2006 Information Technolgy Infrastructure Library COGITEK s.r.l. Via

Dettagli

Project Management e Business Analysis: the dynamic duo. Firenze, 25 Maggio 2011

Project Management e Business Analysis: the dynamic duo. Firenze, 25 Maggio 2011 Project Management e Business Analysis: the dynamic duo Firenze, 25 Maggio 2011 Grazie! Firenze, 25 Maggio 2011 Ing. Michele Maritato, MBA, PMP, CBAP 2 E un grazie particolare a www.sanmarcoinformatica.it

Dettagli

REALIZZARE IL PMO. Anna Maria Caccia - Matteo Coscia Milano, 15 Ottobre 2009

REALIZZARE IL PMO. Anna Maria Caccia - Matteo Coscia Milano, 15 Ottobre 2009 Il PMO come soluzione di business Linee guida per la realizzazione e il miglioramento continuo di un PMO aziendale REALIZZARE IL PMO Anna Maria Caccia - Matteo Coscia Milano, 15 Ottobre 2009 PMI-NIC -

Dettagli

Presentazione dell iniziativa ROSI

Presentazione dell iniziativa ROSI Presentazione dell iniziativa ROSI Return on Security Investment Sessione di Studio AIEA, Lugano 19 gennaio 2011 Alessandro Vallega Oracle Italia http://rosi.clusit.it 1 Agenda Il gruppo di lavoro Il metodo

Dettagli

SCD IS. Processi software. Processi Software. UniPD - 2009 - Ingegneria del Software mod. A 1. Definizioni. Modelli di ciclo di vita

SCD IS. Processi software. Processi Software. UniPD - 2009 - Ingegneria del Software mod. A 1. Definizioni. Modelli di ciclo di vita Processi software Anno accademico 2009/10 Ingegneria del mod. A Tullio Vardanega, tullio.vardanega@math.unipd.it SCD IS Definizioni Ciclo di vita Copre l evoluzione di un prodotto dal concepimento al ritiro

Dettagli

Osservatorio P 3 MO. Il PMO come strumento di diffusione ed enforcement della cultura di Project Management

Osservatorio P 3 MO. Il PMO come strumento di diffusione ed enforcement della cultura di Project Management 10-dic-2008 Osservatorio P 3 MO Il PMO come strumento di diffusione ed enforcement della cultura di Project Management Oscar Pepino Consigliere Esecutivo Reply S.p.A. 2 Sommario Gruppo Reply - scenario

Dettagli

Associazione Italiana Information Systems Auditors

Associazione Italiana Information Systems Auditors Associazione Italiana Information Systems Auditors Agenda AIEA - ruolo ed obiettivi ISACA - struttura e finalità La certificazione CISA La certificazione CISM 2 A I E A Costituita a Milano nel 1979 Finalità:

Dettagli

L utilizzo di CobiT per governare l ITl

L utilizzo di CobiT per governare l ITl ated ICT Ticino L utilizzo di CobiT per governare l IT L esperienza pratica di una banca locale Manno, 16 gennaio 2008 Ing. Roberto Fridel, RFr Consult info@rfrconsult.com www.rfrconsult.com Il relatore

Dettagli

Agenda. IT Governance e SOA. Strumenti di supporto alla governance. Vittoria Caranna vcaranna@imolinfo.it Marco Cimatti mcimatti@imolinfo.

Agenda. IT Governance e SOA. Strumenti di supporto alla governance. Vittoria Caranna vcaranna@imolinfo.it Marco Cimatti mcimatti@imolinfo. SOA Governance Vittoria Caranna vcaranna@imolinfo.it Marco Cimatti mcimatti@imolinfo.it Agenda IT Governance e SOA Strumenti di supporto alla governance 2 Importanza della Governance Service Oriented Architecture

Dettagli

UNI EN ISO 9001:2008 COSA CAMBIA

UNI EN ISO 9001:2008 COSA CAMBIA UNI EN ISO 9001:2008 COSA CAMBIA Scopo dell intervento Una panoramica sulle modifiche dell edizione 2008 della ISO 9001 per visualizzare la portata del cambiamento. I primi passi Individuare i cambiamenti

Dettagli

Corso di Amministrazione di Sistema Parte I ITIL 1

Corso di Amministrazione di Sistema Parte I ITIL 1 Corso di Amministrazione di Sistema Parte I ITIL 1 Francesco Clabot Responsabile erogazione servizi tecnici 1 francesco.clabot@netcom-srl.it Fondamenti di ITIL per la Gestione dei Servizi Informatici ITSM

Dettagli

ISO 9001:2015. Il processo di revisione 16/11/2014. Verso l ISO 9001:2015 gli steps del processo di revisione

ISO 9001:2015. Il processo di revisione 16/11/2014. Verso l ISO 9001:2015 gli steps del processo di revisione ISO 9001:2015 Il processo di revisione 1 Verso l ISO 9001:2015 gli steps del processo di revisione Marzo 2014: meeting ISO a Parigi ha completato la preparazione dell ISO/DIS 9001 (riesame dei commenti

Dettagli

Portfolio-Driven Performance Driving Business Results Across The Enterprise

Portfolio-Driven Performance Driving Business Results Across The Enterprise Portfolio-Driven Performance Driving Business Results Across The Enterprise IT Governance e Portfolio Management Supportare il Business The core business of tomorrow is a "new and different" idea today

Dettagli

N 1 alla versione bilingue (italiano-inglese) NORMA UNI EN ISO 9001 (novembre 2008) Sistemi di gestione per la qualità - Requisiti.

N 1 alla versione bilingue (italiano-inglese) NORMA UNI EN ISO 9001 (novembre 2008) Sistemi di gestione per la qualità - Requisiti. ERRATA CORRIGE N 1 alla versione bilingue (italiano-inglese) DEL 31 luglio 2009 NORMA UNI EN ISO 9001 (novembre 2008) TITOLO Sistemi di gestione per la qualità - Requisiti Punto della norma Pagina Oggetto

Dettagli

L importanza di ITIL V3

L importanza di ITIL V3 6HUYLFH'HOLYHU\DQG3URFHVV$XWRPDWLRQ L importanza di ITIL V3 IBM - IT Strategy & Architecture Claudio Valant Le Migliori Prassi (Best Practice) ITIL ƒ ƒ ƒ ƒ,7,/ VWDSHU,QIRUPDWLRQ7HFKQRORJ\,QIUDVWUXFWXUH

Dettagli

LA NUOVA ISO 9001:2015

LA NUOVA ISO 9001:2015 Aspettative e confronto con la versione 2008 Vincenzo Paolo Maria Rialdi Lead Auditor IRCA Amministratore Delegato e Direttore Tecnico Vevy Europe S.p.A. 2/9 BREVE STORIA DELLA NORMA ISO 9000 standard

Dettagli

Application Security Governance

Application Security Governance Application Security Governance 28 ottobre 2010 Francesco Baldi Security & Risk Management Practice Principal 1 AGENDA Problematiche di sicurezza applicativa Modello di riferimento Processo di sicurezza

Dettagli

La struttura della ISO 26000. Antonio Astone 26 giugno 2007

La struttura della ISO 26000. Antonio Astone 26 giugno 2007 La struttura della ISO 26000 Antonio Astone 26 giugno 2007 Description of operational principles (1/2) Operational principles guide how organizations act. They include: Accountability an organization should

Dettagli

Information Security (ISO/IEC 27001) e IT Service Management (ISO/IEC 20000-1)

Information Security (ISO/IEC 27001) e IT Service Management (ISO/IEC 20000-1) Information Security (ISO/IEC 27001) e IT Service Management (ISO/IEC 20000-1) Analisi delle interdipendenze e delle opportunità di integrazione dei due standard secondo la ISO/IEC FDIS 27013 17/09/2012

Dettagli

Comunità di pratica Nedcommunity Risk management, piano strategico e organi di governo: business case

Comunità di pratica Nedcommunity Risk management, piano strategico e organi di governo: business case Making the traveller s day better Comunità di pratica Nedcommunity Risk management, piano strategico e organi di governo: business case Milano, 2 Luglio 204 Group Enterprise Risk Management Contenuto del

Dettagli

COBIT 5 for Risk Marco Salvato

COBIT 5 for Risk Marco Salvato Marco Salvato CISA, CISM, CGEIT, CRISC, COBIT 5 Foundation, COBIT 5 Trainer 1 SPONSOR DELL EVENTO SPONSOR DI ISACA VENICE CHAPTER CON IL PATROCINIO DI 2 Obiettivi Illustrare i benefici, i drivers ed i

Dettagli

IL PROGETTO E LA GESTIONE DELLA QUALITA' NEI PROCESSI DI GLOBAL SERVICE

IL PROGETTO E LA GESTIONE DELLA QUALITA' NEI PROCESSI DI GLOBAL SERVICE IL PROGETTO E LA GESTIONE DELLA QUALITA' NEI PROCESSI DI GLOBAL SERVICE. PRESENTAZIONE DEL RAPPORTO TEROTEC QUALITY PLANNING AND CONTROL IN GLOBAL SERVICE PROCESSES PRESENTATION OF TEROTEC REPORT Autori

Dettagli

Competenze e organizzazione per progetti: applicazioni nel contesto sanitario

Competenze e organizzazione per progetti: applicazioni nel contesto sanitario Innovazione e Miglioramento Competenze e organizzazione per progetti: applicazioni nel contesto sanitario Policlinico Umberto I 4 giugno 2013 Luca Angerame Nello Iacono Agenda Perché un'organizzazione

Dettagli