CObIT 5. Prof. Ing.Claudio Cilli. CIA, CISA, CISM, CGEIT, CRISC, CISSP, CSSLP, M.Inst.ISP

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "CObIT 5. Prof. Ing.Claudio Cilli. CIA, CISA, CISM, CGEIT, CRISC, CISSP, CSSLP, M.Inst.ISP cilli@di.uniroma1.it"

Transcript

1 CObIT 5 Prof. Ing.Claudio Cilli CIA, CISA, CISM, CGEIT, CRISC, CISSP, CSSLP, M.Inst.ISP

2 Indice della presentazione 1. Introduzione 2. ISO GRC (Governance Risk & Compliance) 4. CObIT 5 5. GRC in CObIT 5 6. CObIT 4.1 vs. CObIT 5 7. Modello di maturità 8. Implementare CObIT 2

3 Origine del problema Crescente dipendenza delle organizzazioni dalle reti e dai sistemi informatici Esposizione dei sistemi informatici ad eventi distruttivi Impatto degli eventi distruttivi sull attività aziendale Difficoltà di valutare e contenere i costi dei sistemi informativi Impossibilità di valutare i benefici che i sistemi informativi e la tecnologia apportano all organizzazione Patrimonio informativo visto come fattore di produzione! 3

4 Fino ad oggi: Iniziative sporadiche e parziali non accompagnate da evoluzione dei processi interni Inerzia organizzativa Domanda disaggregata in termini di requisiti funzionali e piattaforme di riferimento SCARSA SENSIBILITÀ : AUDIT E SICUREZZA VISTE COME COSTO! 4

5 Benefici aziendali? Le imprese e i loro dirigenti si sforzano di: Ottenere informazioni di qualità a supporto delle decisioni di business Generare valore dagli investimenti IT, ossia realizzare gli obiettivi strategici aziendali e realizzare vantaggi di business tramite l efficace innovativo uso dell IT Raggiungere l eccellenza operativa per mezzo dell efficiente e affidabile applicazione della tecnologia Mantenere ad un livello accettabile il rischio IT Ottimizzare il costo dei servizi e della tecnologia Come possono questi vantaggi essere realizzati per creare valore agli stakeholder? 5

6 Stakeholder value! Erogare valore agli stakeholder richiede buone capacità di governance e gestione delle informazioni e della tecnologia I board e il management devono considerare l IT come qualsiasi altra parte significativa del business L adeguamento ai requisiti legali e regolamentari legati all utilizzo delle informazioni e dei sistemi sta aumentando, minacciando il loro valore in caso di problemi COBIT 5 forniste un framework completo che assiste le organizzazioni a raggiungere I loro obiettivi e ad erogare valore tramite un efficace governance e gestione dei sistemi informatici 6

7 CObIT 5: Framework CObIT 5 aiuta le imprese a creare valore dall information technology mantenendo un bilanciamento tra benefici attesi e rischi, oltre ad aiutare ad ottimizzare l impego di risorse CObIT 5 consente all IT di essere governato in maniera olistica per tutta l impresa, considerando tutto il business end-to-end e le aree funzionali IT di responsabilità, considerando gli interessi connessi all IT degli stakeholder interni ed esterni I principi di CObIT 5 e gli abilitatori sono generici e utili per organizzazioni9 di ogni dimensione, sia commerciali che no-profit o pubbliche 7

8 8 CObIT 5: Principi

9 9 CObIT 5: Abilitatori (enablers)

10 Governance & Management Governance La governance assicura che gli obiettivi dell impresa siano raggiunti valutando (Evaluating) i bisogni degli stakeholder, le condizioni e le alternative; stabilendo la direzione (Direction) tramite la prioritizzazione e le scelte decisionali; e monitorando (Monitoring) le performance, la compliance e i progressi rispetto al piano [EDM] Management Il management pianifica (Plans), realizza (Builds), esegue (Runs) e monitorizza (Monitors) le attività allineandosi con la direzione stabilita dal governance body al fine di raggiungere gli obiettivi d impressa [PBRM] 10

11 In definitiva. COBIT 5 Unisce i cinque principi che consentono all impresa di realizzare un efficace framework di governance e management basato su un insieme olistico di sette abilitatori che ottimizza le informazioni e gli investimenti in tecnologia e le utilizza a beneficio degli stakeholder 11

12 12 LA ISO 15504

13 La ISO La norma ISO/IEC (1998) definisce un modello per la valutazione del livello di "maturità" dei processi di una organizzazione del settore IT La norma si compone di 9 parti, in forma di Technical Report, e definisce sia il modello dei processi (parte 2) che il modello di assessment (parte 5). La norma è stata sviluppata da un progetto promosso da ISO, denominato spice 13

14 ISO Struttura La norma definisce, oltre il modello dei processi e di assessment dei processi, una guida allo svolgimento di un assessment (parte 4), le caratteristiche degli assessors (parte 6), la guida per l'utilizzo del modello ai fini del miglioramento (parte 7), la guida per la capability determination (parte 8). La parte 1 è introduttiva, la 9 è il vocabolario Successivamente è stata emessa la nuova versione (2003) che ha semplificato la suddivisione accorpando alcune parti e introdotto ulteriori modifiche alle definizioni, per meglio integrarsi con la ISO MD 1 e 2 relativa alla certificazione del processo di sviluppo del software 14

15 Contenuti e principi Process Identifies changes to Examined by Process Assessment Identifies suitability of Process Improvement Cause Motivates Cause Capability Determination 15

16 Componenti (1998) Part 1 (I) Concepts and introductory guide Part 9 (N) Vocabulary Part 7 (I) Guide for process improvement Part 8 (I) Guide for supplier capability determination Part 6 (I) Guide to competency of assessors Part 3 (N) Performing an assessment Part 4 (I) Guide to performing an assessment Part 2 (N) A reference model for Process and capability Part 5 (I) Assessment model and Indicator guidance 16

17 Componenti ISO/IEC 15504: 2003 Part 1 Concepts and vocabulary Part 4 Guidance on using Assessment Results Part 2 Performing an Assessment Part 3 Guide on Performing Assessments Compliant Process Reference Model Part 5 Exemplar Assessment Model Cambiamenti dalla versione 1998 Part 1 & 9 >> Part 1 Part 2 & 3 >> Part 2 Part 7 & 8 >> Part 4 Part 4 & 6 >> Part 3 Part 5 >> Part 5 Il nome cambia da Software Process Assessment in Process Assessment Riduzione da 9 parti a 5 parti Aggiunta di un exemplar assessment method Introduzione dei Process Reference Models 17

18 Un modello bidimensionale La norma definisce un modello "bidimensionale" costituito da: 1. la dimensione del processo (la definizione del processo in termini di obiettivi, risultati misurabili attesi ed altre informazioni di livello alto, descrittive) 2. la dimensione del profilo di capacità dei processi, caratterizzata da una serie di attributi di processo che ne distinguono il livello di maturità rispetto ad una scala di valutazione ordinale [0-5] con 5 considerato il valore migliore Il posizionamento di un processo sulla scala di valutazione è funzione del possesso di determinati attributi caratteristici di ogni livello della scala misurabili attraverso indicatori 18

19 Definizioni Assessment: un esame, secondo regole formali, dei processi di una organizzazione, rispetto ad un modello di riferimento Un metodo di assessment richiede: una scala di misura (i livelli di capacità) i criteri di valutazione rispetto ai livelli della scala un meccanismo di rappresentazione dei risultati Capability determination: un esame, secondo regole formali, dei processi di una organizzazione, rispetto alla loro capacità di raggiungere un determinato obiettivo, condotto allo scopo di individuare i punti di forza e di debolezza ed i rischi associati alla attuazione dei processi secondo determinati requisiti Processes: l'insieme di processi utilizzati da una organizzazione per pianificare, gestire, eseguire, monitorare, controllare e migliorare le attività correlate al software Attributo di processo: una caratteristica misurabile della capacità di un processo Indicatore di processo: un indicatore che supporta la valutazione della capacità di raggiungimento di determinati livelli di attributi di processo Basepractice: una attività di software engineering o di management che consente il raggiungimento dello scopo di un determinato processo 19

20 Il modello dei processi I processi sono mappati su 4 livelli. II primo è formato da 3 macro categorie i Primari, quelli di Supporto e gli Organizzativi All'interno di queste macro categorie sono definite 5 ulteriori categorie di processo 1. Customer-Supplier (CUS) quelli che impattano direttamente sul cliente 2. Engineering (ENG) che direttamente specificano, implementano o mantengono il prodotto software 3. Support (SUP), i processi di supporto a tutti gli altri 4. Manageriali (MAN) ovvero quelli che gestiscono la conduzione del progetto 5. Organizzativi (ORG) che determinati gli obiettivi aziendali devono sviluppare i processi, le risorse e gli strumenti necessari a raggiungerli Il modello definisce un ulteriore terzo livello di processi, che ne comprende complessivamente 24 Esiste infine un quarto livello, costituito da 18 processi, ancora più di dettaglio, quasi tutti facenti parte dei Primari Rispetto alla si hanno 7 processi del tutto nuovi, 9 che sono estensione di quelli definiti nella ISO (1995) (Gestione del ciclo di vita del software) 20

21 Il profilo di capacità La dimensione del profilo di capacità dei processi si basa su un sistema di attributi di processo e di elementi di possesso di tali attributi che permettono di mappare il livello di maturità di un processo su una scala ordinale a 6 livelli (0-iniziale / 5-innovativo). I livelli sono praticamente gli stessi del CMM Gli attributi definiti nella norma sono 9: 1. Process performance - un processo raggiunge i suoi obiettivi, trasformando input identificabili in output identificabili 2. Performance management - l'attuazione di un processo è pianificata e controllata al fine di produrre risultati che rispondono agli obiettivi attesi 3. Work product management - l'attuazione di un processo è pianificata e controllata al fine di produrre risultati che siano appropriatamente documentati, controllati e verificati 4. Process definition - l'attuazione di un processo si basa su approcci standardizzati 5. Process resource - il processo può contare sulle risorse adeguate (umane, infrastrutture etc.) per essere attuato 6. Process measurement - i risultati raggiunti e le misure rilevate durante l'attuazione di un processo sono usati per assicurarsi che l'attuazione di tale processo supporti efficacemente il raggiungimento di specifici obiettivi 7. Process control - un processo è controllato attraverso la raccolta, analisi ed utilizzo delle misure di prodotto e di processo rilevate, al fine di correggere, se necessario, le sue modalità di attuazione 8. Process chanae - le modifiche alla definizione, gestione, attuazione di un processo sono controllate 9. Continuous improvement - le modifiche ad un processo sono identificate ed implementate al fine di assicurare il continuo miglioramento nel raggiungimento degli obiettivi rilevanti per la organizzazione 21

22 Gli attributi di processo Per ogni attributo la norma dà le condizioni che lo fanno considerare soddisfatto definendo inoltre 4 possibili livelli di possesso di un attributo: N - non posseduto (0-15% di possesso, non c'è evidenza, o ve ne è poca, del possesso di un attributo) P - parzialmente posseduto (16-50% di possesso, vi è evidenza di approccio sistematico al raggiungimento del possesso di un attributo e del raggiungimento di tale possesso, ma alcuni aspetti del possesso possono essere non prevedibili) L - largamente posseduto (51-85% di possesso, vi è evidenza di approccio sistematico al raggiungimento del possesso di un attributo e di un significativo livello di possesso di tale attributo, ma l'attuazione del processo può variare nelle diverse unità operative della organizzazione) F - (Fully) pienamente posseduto (86-100% di possesso, vi è evidenza di un completo e sistematico approccio e di un pieno raggiungimento del possesso dell'attributo e non esistono significative differenze nel modo di attuare il processo tra le diverse unità operative) 22

23 Livello di maturità In base al livello di possesso degli attributi, sono previsti 6 livelli di "maturità" dei processi: Livello 0 - processo incompleto. Il processo non è implementato o non raggiunge gli obiettivi. Non vi è evidenza di approcci sistematici agli attributi definiti Livello 1 - processo semplicemente attuato. Il processo viene messo in atto e raggiunge i suoi obiettivi. Non vi è evidenza di un approccio sistematico ad alcuno degli attributi definiti. Il raggiungimento di questo livello è dimostrato attraverso il possesso degli attributi di "process performance Livello 2 - processo gestito. Il processo è attuato ma anche pianificato, tracciato, verificato ed aggiustato se necessario, sulla base di obiettivi ben definiti. Il raggiungimento di questo livello è dimostrato attraverso il possesso degli attributi di "performance management" e "Work product management Livello 3- processo definito. Il processo è attuato, pianificato e controllato sulla base di procedure ben definite, basate sui principi del sw engineering. Il raggiungimento di questo livello è dimostrato attraverso il possesso degli attributi di "Process definition" e "Process resource Livello 4 - processo predicibile. Il processo è stabilizzato ed è attuato all'interno di definiti limiti riguardo i risultati attesi, le performance, le risorse impiegate etc. Il raggiungimento di questo livello è dimostrato attraverso il possesso degli attributi di "Process measurement" e "Process control Livello 5 - processo ottimizzante. Il processo è predicibile ed in grado di adattarsi per raggiungere obiettivi specifici e rilevanti per la organizzazione. Il raggiungimento di questo livello è dimostrato attraverso il possesso degli attributi di "Process change" e "Continuous improvement 23

24 Il modello di valutazione L'assessment si basa sulla valutazione di alcuni indicatori: 1. indicatori di process performance per la dimensione del processo 2. indicatori di process capability per la dimensione della capacità dei processi di raggiungere determinati obiettivi 24

25 Indicatori di Process Performance Le tipologie di indicatori di process performance definiti dalla norma sono 2: 1. Base practices - Le base practices (BP) sono attività di software engineering o di management che consentono il raggiungimento dello scopo di un determinato processo. La descrizione delle BP è ad un livello alto, astratto, che identifica "cosa" va fatto piuttosto che "come 2. Work product & Work Product Characteristics - I work products (WP) sono gli input e gli output del processo, e le loro caratteristiche L'esistenza di BP e WP, il loro effettivo contributo al raggiungimento degli obiettivi di processo, la loro adeguatezza a farlo, forniscono all assessor la evidenza delle prestazioni del processo. È possibile anche definire, a completamento delle base practices, delle advanced practices che individuano quali ulteriori attività è consigliabile implementare al fine di ottenere i risultati attesi con sufficiente qualità 25

26 Indicatori di capacità dei processi Gli indicatori di capacità dei processi sono 3: 1. Management practices 2. Practice Performance characteristics 3. Resource/Infrastructure caracteristics Le management practices (MP) sono le attività che devono essere implementate per soddisfare gli attributi di processo. Per ogni MP sono definite le practice performances characteristics (le caratteristiche che devono possedere le varie management practices, PPC) resource and infrastructure characteristics (le caratteristiche che devono possedere le risorse associate alle management practices, RIC) 26

27 GRC (GOVERNANCE RISK & COMPLIANCE) 27

28 GRC GRC: Governance, Risk management e Compliance Un termine sempre più utilizzato per come ombrello per comprendere questre tre aree dell attività aziendale Queste aree di attività si stanno sempre più allineando e integrando per migliorare le performance dell impresa e il soddisfacimento dei bisogni degli stakeholder 28

29 GRC: Definizioni GRC: Governance Esercizio dell autorità; controllo; governo; composizione Risk (management) rischio; pericolo; esposizione a perdita, danno o distruzione (l'atto o l arte di gestire; il modo di trattare, orientare, esercitare, o utilizzare, per uno scopo; comportamento; amministrazione; orientamento; controllo) Compliance Il rispetto e l'osservanza della legge; una concessione, come un desiderio, domanda, o proposta; concessione; presentazione Webster online dictionary 29

30 Tipi di Governance Esistono diversi tipi di governance: Corporate governance Project governance Information technology governance Environmental governance Economic and financial governance Ognuna di queste tipologie dispone di varie fonti per la guida, tutte con gli stessi obiettivi, ma con diversi termini e tecniche finalizzate al raggiungimento dei relativi obiettivi 30

31 Implementare la Governance L integrazione dell implementazione delle attività di GRC all interno di un organizzazione richiede un approccio sistematico per raggiungere affidabilmente gli obiettivo di business dei suoi stakeholders Tali approcci sono basati tipicamente su abilitatori di vario tipo (es.: principi, politiche, modelli, framework, strutture organizzative) 31

32 Un esempio del Modello GRC Dal OCEG Red Book GRC Capability Model versione

33 Corporate Governance of IT ISO/IEC 38500: 2008 Corporate governance of information technology 1.1 Scopo Lo standard fornisce i principi guida per gli amministratori di organizzazioni (tra cui proprietari, amministratori, senior manager, soci, dirigenti, o simili) per un utilizzo in modo efficace, efficiente e accettabile delle tecnologie dell'informazione (IT) all'interno delle loro organizzazioni Questo standard si applica alla governance dei processi di gestione (e decisioni) relative alle informazioni e ai servizi di comunicazione utilizzati da un'organizzazione. Questi processi possono essere controllati da specialisti IT all'interno dell'organizzazione o da fornitori esterni di servizi, o per unità di business all'interno dell'organizzazione 33

34 Corporate Governance of IT (cont.) ISO/IEC 38500: 2008 Corporate governance of information technology 2.1 Principi Principio 1: Responsibility Principio 2: Strategy Principio 3: Acquisition Principio 4: Performance Principio 5: Conformance Principio 6: Human Behaviour 34

35 Corporate Governance of IT (cont.) ISO/IEC 38500: 2008 Corporate governance of information technology 2.2 Modello I manager devono governare l IT tramite tre compiti principali: a) Valutare l utilizzo corrente e futuro dell IT b) Dirigere la preparazione e l implementazione di piani e politiche per assicurare che l utilizzo dell IT sia conforme agli obiettivi di business aziendali c) Monitorare l adeguamento alle politiche, e le performance rispetto ai piani 35

36 COBIT: Governance of Enterprise IT (GEIT) Governance of Enterprise IT Evolution of scope IT Governance Management Control Audit Val IT 2.0 (2008) Risk IT (2009) COBIT1 COBIT2 COBIT3 COBIT4.0/4.1 COBIT / A business framework from ISACA, at 36

37 37 COBIT 5

38 Panoramica su CObIT 5 COBIT 5 riunisce i cinque principi che consentono a un organizzazione di realizzare un efficace framework di governance e management basato su un insieme olistico di sette abilitatori che ottimizza l informazione e gli investimenti in tecnologia nonché il loro utilizzo a beneficio degli stakeholder 38

39 Il framework di CObIT 5 CObIT 5 aiuta le imprese a creare valore dall information technology mantenendo un bilanciamento tra benefici attesi e rischi, oltre ad aiutare ad ottimizzare l impego di risorse CObIT 5 consente all IT di essere governato in maniera olistica per tutta l impresa, considerando tutto il business end-to-end e le aree funzionali IT di responsabilità, considerando gli interessi connessi all IT degli stakeholder interni ed esterni I principi di CObIT 5 e gli abilitatori sono generici e utili per organizzazioni di ogni dimensione, sia commerciali che no-profit o pubbliche 39

40 40 CObIT 5: I 5 principi

41 41 COBIT 5: I 7 abilitatori

42 42 GRC IN COBIT 5

43 Governance (e Management) in COBIT 5 La Governance assicura che gli obiettivi siano raggiunti valutando le esigenze degli interessati, le condizioni e le opzioni; impostando la direzione tramite priorità e processo decisionale, e il monitoraggio delle prestazioni, il rispetto dei requisiti e il progresso rispetto alla direzione e agli obiettivi concordati (EDM) Il Management pianifica (plan), implementa (build), esegue (runs) e controlla (monitor) le attività in allineamento con le direzioni stabilite dal governance body per conseguire gli obiettivi dell impresa (PBRM) Esercitare governance e management efficacemente significa in pratica considerare tutti gli abilitatori. Il COBIT process reference model consente di concentrarsi facilmente sulle attività aziendali rilevanti 43

44 Governance in COBIT 5 Il COBIT 5 process reference model suddivide le pratiche e e le attività correlate all IT dell organizzazione in due aree principali governance e management con management ulteriormente divisa in domini e processi Il dominio GOVERNANCE contiene cinque processi di governance; all interno di ognuna sono definite le pratiche EDM (evaluate, direct & monitor) 01 Ensure governance framework setting and maintenance. 02 Ensure benefits delivery. 03 Ensure risk optimisation. 04 Ensure resource optimisation. 05 Ensure stakeholder transparency. I quattro domini MANAGEMENT sono in linea con le aree di responsabilità PBRM (plan, build, run & monitor) 44

45 45 Governance in COBIT 5 (cont.)

46 Risk Management in COBIT 5 Il dominio GOVERNANCE contiene cinque processi di governance, uno dei quali si focalizza sugli obiettivi degli stakeholder relativi al rischio: EDM03 Ensure risk optimisation Descrizione del Processo Ensure that the enterprise s risk appetite and tolerance are understood, articulated and communicated, and that risk to enterprise value related to the use of IT is identified and managed Obiettivo del Processo Ensure that IT-related enterprise risk does not exceed risk appetite and risk tolerance, the impact of IT risk to enterprise value is identified and managed, and the potential for compliance failures is minimised 46

47 Risk Management in COBIT 5 (cont.) Il dominio dell area MANAGEMENT Align, Plan & Organise contiene un processo risk-related: APO12 Manage risk Descrizione del Processo Continually identify, assess and reduce IT-related risk within levels of tolerance set by enterprise executive management Obiettivo del Processo Integrate the management of IT-related enterprise risk with overall ERM, and balance the costs and benefits of managing IT-related enterprise risk 47

48 48 Risk Management in COBIT 5 (cont.)

49 Risk Management in COBIT 5 (cont.) Tutte le attività aziendali hanno delle esposizioni ai rischi dovute a minacce provenienti dall ambiente che potrebbero sfruttare le vulnerabilità EDM03 Ensure risk optimisation garantisce che l approccio al rischio da parte degli stakeholder sia articolato in modo da dirigere il modo in cui i rischi che minacciano l impresa siano estiti APO12 Manage risk fa sì che l enterprise risk management (ERM) si organizzi in modo da garantire che la direzione stabilita dagli stakeholder sia seguita dall impresa Tutti gli altri processi comprendono pratiche e attività progettate per gestire i relativi rischi (evitare, ridurre/mitigare/ controllare, condividere/trasferire/accettare) 49

50 Risk Management in COBIT 5 (cont.) In aggiunta alle attività, COBIT 5 suggerisce per ogni processo accountability, e responsabilità per tutti i ruoli aziendali e le strutture di governance/management (carte RACI). Comprendono i ruoli relativi al rischio 50

51 Compliance in COBIT 5 Il dominio dell area MANAGEMENT Monitor, Evaluate & Assess contiene un processo specifico per la compliance: MEA03 Monitor, evaluate and assess compliance with external requirements Descrizione del Processo Evaluate that IT processes and IT-supported business processes are compliant with laws, regulations and contractual requirements. Obtain assurance that the requirements have been identified and complied with, and integrate IT compliance with overall enterprise compliance Obiettivo del Processo Ensure that the enterprise is compliant with all applicable external requirements 51

52 52 Compliance in COBIT 5 (cont.)

53 Compliance in COBIT 5 (cont.) Conformità legislativa e normativa è un elemento chiave della gestione efficace di un'impresa, e da qui la sua inclusione nel termine GRC e negli COBIT 5 Enterprise Goal e nell abilitatore che supporta la struttura del processo (MEA03) Oltre a MEA03, tutte le funzioni aziendali comprendono delle attività di controllo progettate per garantire il rispetto non solo a requisiti legislativi o regolamentari imposti dall'esterno, ma anche a principi interni di governance, politiche e procedure 53

54 Compliance in COBIT 5 (cont.) In aggiunta alle attività, COBIT 5 suggerisce per ogni processo accountability, e responsabilità per tutti i ruoli aziendali e le strutture di governance/management (carte RACI). Comprendono i ruoli relativi alla compliance 54

55 Stakeholder Value & Business Objectives Le organizzazioni (sia pubbliche che private) esistono al fine di creare valore per i loro stakeholder. Di conseguenza la creazione di valore è un obiettivo della governance Creazione di valore significa realizzare questi benefici con un utilizzo ottimale delle risorse e nello stesso tempo ottimizzare i rischi 55

56 Stakeholder Value & Business Objectives (cont.) Principio 1 - Meeting Stakeholder Needs: I bisogni degli stakeholder devono essere trasformati in una strategia aziendale concreata e fattibile Gli obiettivi a cascata di COBIT 5 traducono questi bisogni in obiettivi specifici, fattibili e personalizzati nel contesto dell impresa, del sistema informativo e infine negli abilitatori 56

57 Stakeholder Value & Business Objectives (cont.) I bisogni degli Stakeholder possono essere correlati a un insieme di obiettivi aziendali generici Questi goal sono stati determinati utilizzando la Balanced Scorecard (BSC) (Kaplan, Robert S.; David P. Norton; The Balanced Scorecard: Translating Strategy into Action, Harvard University Press, USA, 1996) Gli obiettivi aziendali consistono in un elenco di goal comunemente utilizzati che un azienda ha definito per se stessa Sebbene questa lista non è esaustiva, la maggior parte degli obiettivi di business di una qualsiasi organizzazione può essere mappata con uno o più di questi goal 57

58 Stakeholder Value & Business Objectives (cont.) 58

59 Stakeholder Value & Business Objectives (cont.) Questa organizzazione a cascata non è nuova in COBIT 5: è stata introdotta in COBIT 4.0 nel 2005 Gli utilizzatori di COBIT che hanno applicato questo modo di procede lo hanno trovato interessante e di valore Ma non tutti hanno notato questo vantaggio Poiché questa cascata supporta il principio relativo ai bisogni degli stakeholder, che è fondamentale in COBIT 5, è diventato un concetto preminente nella descrizione del framework Con l occasione, la cascata è stata rivista e aggiornata 59

60 Governance e Management definiti Che tipo di framework è COBIT? Un IT audit and control framework? COBIT (1996) e COBIT 2nd Edition (1998) Focus sugli Obiettivi di Controllo Un IT management framework? COBIT 3rd Edition (2000) Aggiunta delle Management Guidelines Un IT governance framework? COBIT 4.0 (2005) e COBIT 4.1 (2007) Aggiunta dei processi Governance e Compliance Eliminazione dei processi di Assurance Ma qual è la differenza tra governance and management? 60

61 Governance e Management definiti (cont.) Governance La governance assicura che gli obiettivi dell impresa siano raggiunti valutando (Evaluating) i bisogni degli stakeholder, le condizioni e le alternative; stabilendo la direzione (Direction) tramite la prioritizzazione e le scelte decisionali; e monitorando (Monitoring) le performance, la compliance e i progressi rispetto al piano [EDM] Management Il management pianifica (Plans), realizza (Builds), esegue (Runs) e monitorizza (Monitors) le attività allineandosi con la direzione stabilita dal governance body al fine di raggiungere gli obiettivi d impressa [PBRM] 61

62 Governance and Management Defined (cont.) Il COBIT 5 process reference model suddivide le pratiche e e le attività correlate all IT dell organizzazione in due aree principali governance e management con management ulteriormente divisa in domini e processi: Il dominio GOVERNANCE contiene cinque processi di governance; all interno di ognuna sono definite le pratiche EDM (evaluate, direct & monitor) I quattro domini MANAGEMENT sono in linea con le aree di responsabilità PBRM (plan, build, run & monitor) 62

63 63 COBIT 4.1 VS. COBIT 5

64 Cambiamenti presenti in CObIT 5 I principali cambiamenti apportati al framework, e che impattano l implementazione/miglioramento del GEIT sono: 1. Nuovi principi GEIT 2. Aumentato focus sugli abilitatori 3. Nuovo Process Reference Model 4. Processi nuovi e modificati 5. Pratiche e attività 6. Goal e metriche 7. Input e Output 8. Carte RACI 9. Process Capability Maturity Model e Assessment 64

65 65 1. Nuovi principi GEIT

66 1. Nuovi principi GEIT (cont.) I framework Val IT e Risk IT definiscono dei principi che ne sono alla base I feedback ricevuti hanno mostrato che i principi sono facili da comprendere e applicare in un contesto aziendale, consentendo di ottenere valore più efficacemente Anche la ISO/IEC incorpora dei principi finalizzati ad ottenere gli stessi benefici, anche sono leggermente diversi da quelli di COBIT 5 Chiara definizione ed enfasi sui principi di Governance 66

67 2. Aumentato focus sugli abilitatori COBIT 4.1 non prevedeva abilitatori! In realtà questo erano presenti, ma chiamati diversamente, esplicitamente o implicitamente 67

68 2. Aumentato focus sugli abilitatori (cont.) Informazioni, infrastrutture, applicazioni (servizi) e persone (persone, abilità e competenze) erano le risorse di COBIT 4.1 Principi, politiche e framework erano presenti in pochi processi di COBIT 4.1 I processi erano tuttavia centrali nell applicare COBIT 4.1 La struttura organizzativa è considerata nei ruoli Responsible, Accountable, Consulted o Informed (RACI) e nella loro definizione La cultura, l etica e comportamenti erano menzionati in pochi processi di COBIT

Panoramica su ITIL V3 ed esempio di implementazione del Service Design

Panoramica su ITIL V3 ed esempio di implementazione del Service Design Master Universitario di II livello in Interoperabilità Per la Pubblica Amministrazione e Le Imprese Panoramica su ITIL V3 ed esempio di implementazione del Service Design Lavoro pratico II Periodo didattico

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 5 Marco Fusaro KPMG S.p.A. 1 CobiT: strumento per la comprensione di una

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 4 Marco Fusaro KPMG S.p.A. 1 CobiT Obiettivi del CobiT (Control Objectives

Dettagli

IS Governance. Francesco Clabot Consulenza di processo. francesco.clabot@netcom-srl.it

IS Governance. Francesco Clabot Consulenza di processo. francesco.clabot@netcom-srl.it IS Governance Francesco Clabot Consulenza di processo francesco.clabot@netcom-srl.it 1 Fondamenti di ISO 20000 per la Gestione dei Servizi Informatici - La Norma - 2 Introduzione Che cosa è una norma?

Dettagli

Marco Salvato, KPMG. AIEA Verona 25.11.2005

Marco Salvato, KPMG. AIEA Verona 25.11.2005 Information Systems Governance e analisi dei rischi con ITIL e COBIT Marco Salvato, KPMG Sessione di studio AIEA, Verona 25 Novembre 2005 1 Information Systems Governance L'Information Systems Governance

Dettagli

Processi di Gestione dei Sistemi ICT

Processi di Gestione dei Sistemi ICT Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT Paolo Salvaneschi A3_1 V1.1 Processi di Gestione dei Sistemi ICT Il contenuto del documento è liberamente utilizzabile dagli studenti,

Dettagli

Fattori critici di successo

Fattori critici di successo CSF e KPI Fattori critici di successo Critical Success Factor (CSF) Definiscono le azioni o gli elementi più importanti per controllare i processi IT Linee guida orientate alla gestione del processo Devono

Dettagli

IS Governance in action: l esperienza di eni

IS Governance in action: l esperienza di eni IS Governance in action: l esperienza di eni eni.com Giancarlo Cimmino Resp. ICT Compliance & Risk Management Contenuti L ICT eni: mission e principali grandezze IS Governance: il modello organizzativo

Dettagli

Software. Engineering

Software. Engineering Software Il modello CMMI Engineering nelle organizzazioni software Agenda Focalizzazione sul processo CMMI come modello per il miglioramento dei processi Struttura del modello CMMI Aree di processo Riferimenti

Dettagli

Corso Base ITIL V3 2008

Corso Base ITIL V3 2008 Corso Base ITIL V3 2008 PROXYMA Contrà San Silvestro, 14 36100 Vicenza Tel. 0444 544522 Fax 0444 234400 Email: proxyma@proxyma.it L informazione come risorsa strategica Nelle aziende moderne l informazione

Dettagli

IL BS7799 ALCUNI CONCETTI FONDAMENTALI. Relatore: Ing. Marcello Mistre, CISA marcello.mistre@sistinf.it BS 7799. Sistemi Informativi S.p.A.

IL BS7799 ALCUNI CONCETTI FONDAMENTALI. Relatore: Ing. Marcello Mistre, CISA marcello.mistre@sistinf.it BS 7799. Sistemi Informativi S.p.A. IL BS7799 Relatore: Ing. Marcello Mistre, CISA marcello.mistre@sistinf.it Sistemi Informativi S.p.A. ALCUNI CONCETTI FONDAMENTALI Sistemi Informativi S.p.A. 2 ATTIVITA DELLA SECURITY STUDIO, SVILUPPO ED

Dettagli

Le norme della Qualità

Le norme della Qualità Le norme ISO9000 e la loro evoluzione L evoluzione delle ISO 9000 in relazione alla evoluzione delle prassi aziendali per la Qualita 3 Evoluzione della serie ISO 9000 2 1 Rev. 1 ISO 9000 Rev. 2 ISO 9000

Dettagli

SU MISURA PER IL TUO TEAM, PRESSO IL TUO UFFICIO Training On-site

SU MISURA PER IL TUO TEAM, PRESSO IL TUO UFFICIO Training On-site SU MISURA PER IL TUO TEAM, PRESSO IL TUO UFFICIO Training On-site La Tecnologia evolve velocemente ed anche gli esperti IT più competenti hanno bisogno di una formazione costante per tenere il passo Come

Dettagli

Misura delle performance dei processi con le metriche suggerite da COBIT e ITIL

Misura delle performance dei processi con le metriche suggerite da COBIT e ITIL Al servizio dei professionisti dell IT Governance Capitolo di Milano Misura delle performance dei processi con le metriche suggerite da COBIT e ITIL Valter Tozzini - ItSMF Italia Paola Belforte - ItSMF

Dettagli

La Governance come strumento di valorizzazione dell'it verso il business

La Governance come strumento di valorizzazione dell'it verso il business La Governance come strumento di valorizzazione dell'it verso il business Livio Selvini HP IT Governance Senior Consultant Vicenza, 24 novembre Hewlett-Packard Development Company, L.P. The information

Dettagli

Pubblicazioni COBIT 5

Pubblicazioni COBIT 5 Pubblicazioni COBIT 5 Marco Salvato CISA, CISM, CGEIT, CRISC, COBIT 5 Foundation, COBIT 5 Trainer 1 SPONSOR DELL EVENTO SPONSOR DI ISACA VENICE CHAPTER CON IL PATROCINIO DI 2 La famiglia COBIT 5 3 Aprile

Dettagli

SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras

SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras 2 Introduzione Le architetture basate sui servizi (SOA) stanno rapidamente diventando lo standard de facto per lo sviluppo delle applicazioni aziendali.

Dettagli

Catalogo Corsi. Aggiornato il 16/09/2013

Catalogo Corsi. Aggiornato il 16/09/2013 Catalogo Corsi Aggiornato il 16/09/2013 KINETIKON SRL Via Virle, n.1 10138 TORINO info@kinetikon.com http://www.kinetikon.com TEL: +39 011 4337062 FAX: +39 011 4349225 Sommario ITIL Awareness/Overview...

Dettagli

Corso di Amministrazione di Sistema Parte I ITIL 1

Corso di Amministrazione di Sistema Parte I ITIL 1 Corso di Amministrazione di Sistema Parte I ITIL 1 Francesco Clabot Responsabile erogazione servizi tecnici 1 francesco.clabot@netcom-srl.it Fondamenti di ITIL per la Gestione dei Servizi Informatici ITSM

Dettagli

Qualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009

Qualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009 Qualification Program in Information Security Management according to ISO/IEC 27002 Cesare Gallotti Milano, 23 gennaio 2009 1 Agenda Presentazione Le norme della serie ISO/IEC 27000 La sicurezza delle

Dettagli

Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer»

Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer» Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer» La security: esperienza vs conoscenza didattica Cosa può capitare avendone solo una delle due? Esperienza pregressa Conoscenza

Dettagli

La governance dei Servizi IT con COBIT, ITIL e ISO/IEC 20000

La governance dei Servizi IT con COBIT, ITIL e ISO/IEC 20000 La governance dei Servizi IT con COBIT, ITIL e ISO/IEC 20000 Autore: Maxime Sottini Consigliere itsmf Italia itsmf International IQC Officer CEO icons Innovative Consulting S.r.l. COBIT è un marchio registrato

Dettagli

La Norma ISO 21500-1 Ed. 1-2012 Guidance on project management

La Norma ISO 21500-1 Ed. 1-2012 Guidance on project management 1 Per conto di AICQ CN 1 - Autore Giovanni Mattana - V. Presidente AICQ CN Presidente della Commissione UNI Gestione per la Qualità e Metodi Statistici INTERNATIONAL STANDARD ISO 21500 Peculiarità della

Dettagli

Qualification Program in IT Service Management according to ISO/IEC 20000. Cesare Gallotti Milano, 23 gennaio 2009

Qualification Program in IT Service Management according to ISO/IEC 20000. Cesare Gallotti Milano, 23 gennaio 2009 Qualification Program in IT Service Management according to ISO/IEC 20000 Cesare Gallotti Milano, 23 gennaio 2009 1 Agenda Presentazione Le norme della serie ISO/IEC 20000 L IT Service Management secondo

Dettagli

ESI International. Project Management & Business Analysis Solutions. www.esi-italy.it

ESI International. Project Management & Business Analysis Solutions. www.esi-italy.it ESI International Project Management & Business Analysis Solutions www.esi-italy.it Chi siamo Leader globali nei servizi di PERFORMANCE IMPROVEMENT in: Project Management Business Analysis Agile Project

Dettagli

Come favorire la competitività e la sostenibilità con la nuova ISO 9001:2015

Come favorire la competitività e la sostenibilità con la nuova ISO 9001:2015 Come favorire la competitività e la sostenibilità con la nuova ISO 9001:2015 Lucio Galdangelo - Fieramilano 02/10/2014 Come cambierà la norma ISO 9001 2015 ISO 9001:2015 2012 New Work Item Proposal per

Dettagli

Sistemi elettronici per la sicurezza dei veicoli: presente e futuro. Il ruolo della norma ISO 26262 per la Sicurezza Funzionale

Sistemi elettronici per la sicurezza dei veicoli: presente e futuro. Il ruolo della norma ISO 26262 per la Sicurezza Funzionale 18 aprile 2012 Il punto di vista dell OEM sulla norma ISO 26262 per la Sicurezza Funzionale dei veicoli: la sfida dell integrazione nei processi aziendali Marco Bellotti Functional Safety Manager Contenuti

Dettagli

Quality gate. Sono eventi programmati regolarmente e condotti seguendo una procedura standard

Quality gate. Sono eventi programmati regolarmente e condotti seguendo una procedura standard Quality gate Nei punti chiave del processo di sviluppo del software, viene integrato un insieme di quality gate per monitorare la qualità del prodotto intermedio prima che quest ultimo possa passare al

Dettagli

PMI. Management Maturity Model, OPM3 Second Edition 2008

PMI. Management Maturity Model, OPM3 Second Edition 2008 Nuovi standard PMI, certificazioni professionali e non solo Milano, 20 marzo 2009 PMI Organizational Project Management Maturity Model, OPM3 Second Edition 2008 Andrea Caccamese, PMP Prince2 Practitioner

Dettagli

SOA è solo tecnologia? Consigli utili su come approcciare un progetto SOA. Service Oriented Architecture

SOA è solo tecnologia? Consigli utili su come approcciare un progetto SOA. Service Oriented Architecture SOA è solo tecnologia? Consigli utili su come approcciare un progetto SOA Service Oriented Architecture Ormai tutti, nel mondo dell IT, conoscono i principi di SOA e i benefici che si possono ottenere

Dettagli

ISO Revisions Whitepaper

ISO Revisions Whitepaper ISO Revisions ISO Revisions ISO Revisions Whitepaper Processi e procedure Verso il cambiamento Processo vs procedura Cosa vuol dire? Il concetto di gestione per processi è stato introdotto nella versione

Dettagli

Il Capability Maturity Model CMM. Il Capability Maturity Model. Il concetto di maturità (2) Il concetto di capability. Rapporti tra i livelli

Il Capability Maturity Model CMM. Il Capability Maturity Model. Il concetto di maturità (2) Il concetto di capability. Rapporti tra i livelli Il Capability Maturity Model Il Capability Maturity Model CMM Il SW-CMM (SW - Capability Maturity Model) definisce un modello dei processi di sviluppo del software e un insieme di regole per il loro miglioramento.

Dettagli

Introduzione a COBIT 5 for Assurance

Introduzione a COBIT 5 for Assurance Introduzione a COBIT 5 for Assurance Andrea Pontoni 1 SPONSOR DELL EVENTO SPONSOR DI ISACA VENICE CHAPTER CON IL PATROCINIO DI 2 Agenda Obiettivi Assurance Definizione Drivers dell Assurance Vantaggi di

Dettagli

IT Risk-Assessment. Assessment: il ruolo dell Auditor nel processo. Davide SUSA - ACSec AIIA - Consigliere del Chapter di Roma

IT Risk-Assessment. Assessment: il ruolo dell Auditor nel processo. Davide SUSA - ACSec AIIA - Consigliere del Chapter di Roma IT Risk-Assessment Assessment: il ruolo dell Auditor nel processo. AIIA - Consigliere del Chapter di Roma Agenda Overview sul Risk-Management Il processo di Risk-Assessment Internal Auditor e Risk-Management

Dettagli

SharePoint Governance

SharePoint Governance SharePoint Governance SharePoint Governance Governance is a two-sided coin. A lot of people get annoyed with it, but without governance, SharePoint gets expensive and difficult to manage. (Global energy

Dettagli

Documentare, negoziare e concordare gli obiettivi di qualità e le responsabilità del Cliente e dei Fornitori nei Service Level Agreements (SLA);

Documentare, negoziare e concordare gli obiettivi di qualità e le responsabilità del Cliente e dei Fornitori nei Service Level Agreements (SLA); L economia della conoscenza presuppone che l informazione venga considerata come la risorsa strategica più importante che ogni organizzazione si trova a dover gestire. La chiave per la raccolta, l analisi,

Dettagli

A PROPOSITO DI ITIL IT SERVICE MANAGEMENT. Dove si trova ITIL...nel framework delle Best Practice?

A PROPOSITO DI ITIL IT SERVICE MANAGEMENT. Dove si trova ITIL...nel framework delle Best Practice? A PROPOSITO DI ITIL ITIL fornisce un framework di linee guida best practice per l IT Service Management. Fornisce un framework per la governance dell IT e si focalizza sulla continua misurazione e miglioramento

Dettagli

PIRELLI ENTERPRISE RISK MANAGEMENT turn risk into a choice

PIRELLI ENTERPRISE RISK MANAGEMENT turn risk into a choice PIRELLI ENTERPRISE RISK MANAGEMENT turn risk into a choice OUR PHILOSOPHY PIRELLI ENTERPRISE RISK MANAGEMENT POLICY ERM MISSION manage risks in terms of prevention and mitigation proactively seize the

Dettagli

La certificazione ISO/IEC 20000-1:2005: casi pratici

La certificazione ISO/IEC 20000-1:2005: casi pratici La certificazione ISO/IEC 20000-1:2005: casi pratici L esperienza DNV come Ente di Certificazione ISO 20000 di Cesare Gallotti e Fabrizio Monteleone La ISO/IEC 20000-1:2005 (che recepisce la BS 15000-1:2002

Dettagli

IPMA DELTA l Assessment in project management p e r l o r g a n i z z a z i o n e a z i e n d a l e

IPMA DELTA l Assessment in project management p e r l o r g a n i z z a z i o n e a z i e n d a l e IPMA DELTA l in project management p e r l o r g a n i z z a z i o n e a z i e n d a l e UNA UNA VISIONE A 360 INDIPENDENTE AL 100% P E R U N A MIG LIO R E C O M P ETITIVITÀ a product of L EFFETTO DELTA.

Dettagli

CMMI-Dev V1.3. Capability Maturity Model Integration for Software Development, Version 1.3. Roma, 2012 Ercole Colonese

CMMI-Dev V1.3. Capability Maturity Model Integration for Software Development, Version 1.3. Roma, 2012 Ercole Colonese CMMI-Dev V1.3 Capability Maturity Model Integration for Software Development, Version 1.3 Roma, 2012 Agenda Che cos è il CMMI Costellazione di modelli Approccio staged e continuous Aree di processo Goals

Dettagli

COME MISURARE UN SERVICE DESK IT

COME MISURARE UN SERVICE DESK IT OSSERVATORIO IT GOVERNANCE COME MISURARE UN SERVICE DESK IT A cura di Donatella Maciocia, consultant di HSPI Introduzione Il Service Desk, ovvero il gruppo di persone che è l interfaccia con gli utenti

Dettagli

Ciclo di Vita Evolutivo

Ciclo di Vita Evolutivo Ciclo di Vita Evolutivo Prof.ssa Enrica Gentile a.a. 2011-2012 Modello del ciclo di vita Stabiliti gli obiettivi ed i requisiti Si procede: All analisi del sistema nella sua interezza Alla progettazione

Dettagli

Associazione Italiana Information Systems Auditors

Associazione Italiana Information Systems Auditors Associazione Italiana Information Systems Auditors Agenda AIEA - ruolo ed obiettivi ISACA - struttura e finalità La certificazione CISA La certificazione CISM 2 A I E A Costituita a Milano nel 1979 Finalità:

Dettagli

UNI EN ISO 9001:2008 COSA CAMBIA

UNI EN ISO 9001:2008 COSA CAMBIA UNI EN ISO 9001:2008 COSA CAMBIA Scopo dell intervento Una panoramica sulle modifiche dell edizione 2008 della ISO 9001 per visualizzare la portata del cambiamento. I primi passi Individuare i cambiamenti

Dettagli

Il sistema di governo dell ICT: ambiti di evoluzione del ruolo di COBIT in Enel

Il sistema di governo dell ICT: ambiti di evoluzione del ruolo di COBIT in Enel Il sistema di governo dell ICT: ambiti di evoluzione del ruolo di COBIT in Enel Mario Casodi ICT Governance / epm Convegno Nazionale AIEA Pisa, 21 maggio 2009 INDICE Introduzione Gestione della mappa dei

Dettagli

INTERNAL AUDITING ROMA, 12 MAGGIO 2005 FORUM PA GIUSEPPE CERASOLI, CIA RESPONSABILE COMITATO PA

INTERNAL AUDITING ROMA, 12 MAGGIO 2005 FORUM PA GIUSEPPE CERASOLI, CIA RESPONSABILE COMITATO PA INTERNAL AUDITING ROMA, 12 MAGGIO 2005 FORUM PA Fondato a New York nel 1941 Presente in 160 paesi, conta ora più di 110.000 membri Ha sede negli USA ma la sua Governance è Globale Globali sono pure il

Dettagli

Università di Macerata Facoltà di Economia

Università di Macerata Facoltà di Economia Materiale didattico per il corso di Internal Auditing Anno accademico 2010-2011 Università di Macerata Facoltà di Economia Obiettivo della lezione ERM - Enterprise Risk Manangement Per eventuali comunicazioni:

Dettagli

Lista delle descrizioni dei Profili

Lista delle descrizioni dei Profili Lista delle descrizioni dei Profili La seguente lista dei Profili Professionali ICT è stata definita dal CEN Workshop on ICT Skills nell'ambito del Comitato Europeo di Standardizzazione. I profili fanno

Dettagli

PREMESSA. La norma ISO 50001, Energy management systems - Requirements with guidance for use, è stata sviluppata dall ISO Project Committee ISO/PC 242

PREMESSA. La norma ISO 50001, Energy management systems - Requirements with guidance for use, è stata sviluppata dall ISO Project Committee ISO/PC 242 PREMESSA. L'esigenza di una gestione più attenta e razionale dell'energia ha spinto diverse nazioni ad elaborare standard nazionali volontari, tra le quali anche gli Stati Uniti con MSE 2000:2005, introducendo

Dettagli

COBIT 5. l evoluzione rispetto CobiT 4.1. MIlano, 8 marzo Presentato da: Alberto Piamonte Capitolo di Milano

COBIT 5. l evoluzione rispetto CobiT 4.1. MIlano, 8 marzo Presentato da: Alberto Piamonte Capitolo di Milano COBIT 5 l evoluzione rispetto CobiT 4.1 MIlano, 8 marzo 2012 Presentato da: Alberto Piamonte alberto.piamonte@alice.it COBIT 5 Nel 2011 sono usciti: COBIT 5 Framework (85 pp) Principi Architettura Enablers

Dettagli

CORPORATE GOVERNANCE. Implementare una corporate governance efficace

CORPORATE GOVERNANCE. Implementare una corporate governance efficace CORPORATE GOVERNANCE Implementare una corporate governance efficace 2 I vertici aziendali affrontano una situazione in evoluzione Stiamo assistendo ad un cambiamento senza precedenti nel mondo della corporate

Dettagli

PMBOK Guide 3 rd Edition 2004

PMBOK Guide 3 rd Edition 2004 PMBOK Guide 3 rd Edition 2004 Un modello di riferimento per la gestione progetti a cura di Tiziano Villa, PMP febbraio 2006 PMI, PMP, CAPM, PMBOK, PgMP SM, OPM3 are either marks or registered marks of

Dettagli

Agenda. IT Governance e SOA. Strumenti di supporto alla governance. Vittoria Caranna vcaranna@imolinfo.it Marco Cimatti mcimatti@imolinfo.

Agenda. IT Governance e SOA. Strumenti di supporto alla governance. Vittoria Caranna vcaranna@imolinfo.it Marco Cimatti mcimatti@imolinfo. SOA Governance Vittoria Caranna vcaranna@imolinfo.it Marco Cimatti mcimatti@imolinfo.it Agenda IT Governance e SOA Strumenti di supporto alla governance 2 Importanza della Governance Service Oriented Architecture

Dettagli

Copyright SDA Bocconi Elisa Pozzoli - Gianluca Salviotti

Copyright SDA Bocconi Elisa Pozzoli - Gianluca Salviotti L adozione di COBIT come strumento di IS Governance. Stato dell arte, risultati e fattori critici di successo nelle esperienze analizzate. Elisa Pozzoli, Gianluca Salviotti Copyright SDA Bocconi Elisa

Dettagli

ISO/IEC 27001 Versioni a confronto: 2005 vs 2013

ISO/IEC 27001 Versioni a confronto: 2005 vs 2013 ISO/IEC 27001 Versioni a confronto: 2005 vs 2013 Introduzione Il primo ottobre 2015 la normativa ISO/IEC 27001: 2005 verrà definitivamente sostituita dalla più recente versione del 2013: il periodo di

Dettagli

Seminari Eucip, Esercizio e Supporto di Sistemi Informativi

Seminari Eucip, Esercizio e Supporto di Sistemi Informativi Seminari Eucip, Esercizio di Sistemi Informativi Service Delivery and Support Dipartimento di Informtica e Sistemistica Università di Roma La Sapienza ITIL.1 Relazioni con il.2 Pianificazione.3 Gestione

Dettagli

Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology

Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology Davide Lizzio CISA CRISC Venezia Mestre, 26 Ottobre 2012 Informazioni Aziendali: Il processo di

Dettagli

Il processo di sviluppo sicuro. Kimera Via Bistolfi, 49 20134 Milano www.kimera.it info@kimera.it

Il processo di sviluppo sicuro. Kimera Via Bistolfi, 49 20134 Milano www.kimera.it info@kimera.it Il processo di sviluppo sicuro Kimera Via Bistolfi, 49 20134 Milano www.kimera.it info@kimera.it Kimera Via Bistolfi, 49 20134 Milano www.kimera.it info@kimera.it Argomenti: Perchè farlo Il processo di

Dettagli

CEPIS e-cb Italy Report. Roberto Bellini (da leggere su www.01net.it )

CEPIS e-cb Italy Report. Roberto Bellini (da leggere su www.01net.it ) CEPIS e-cb Italy Report Roberto Bellini (da leggere su www.01net.it ) Free online selfassessment tool Online services Enables the identification of competences needed for various ICT roles e-cf Competences

Dettagli

Classificazione Nuovo Esame PMP

Classificazione Nuovo Esame PMP Notizie sul nuovo esame PMP a partire dal Agosto 0 Classificazione Nuovo Esame PMP Questo è il link al documento del PMI: Crosswalk Between Current and New PMP Classifications del PMI Di seguito trovi

Dettagli

Copyright SDA Bocconi Elisa Pozzoli - Gianluca Salviotti

Copyright SDA Bocconi Elisa Pozzoli - Gianluca Salviotti L adozione di COBIT come strumento di IS Governance. Stato dell arte, risultati e fattori critici di successo nelle esperienze analizzate. Elisa Pozzoli, Gianluca Salviotti Copyright SDA Bocconi Elisa

Dettagli

Università degli studi dell Aquila. Sistemi informativi aziendali 9 C.F.U.

Università degli studi dell Aquila. Sistemi informativi aziendali 9 C.F.U. Università degli studi dell Aquila Sistemi informativi aziendali 9 C.F.U. Ing. Gaetanino Paolone (gaetanino.paolone@univaq.it) Prof. Dr. Luciano Fratocchi (luciano.fratocchi@univaq.it) Contenuti (2 ore)

Dettagli

Sottotitolo Sinergie tra standard e cenni alla ISO/IEC 27013

Sottotitolo Sinergie tra standard e cenni alla ISO/IEC 27013 Sottotitolo Sinergie tra standard e cenni alla ISO/IEC 27013 Autore Fabio Guasconi Lo standard ISO/IEC 27001 Sistema di Gestione per la Sicurezza delle Informazioni (SGSI o ISMS). Applicabile ad organizzazioni

Dettagli

IT FINANCIAL MANAGEMENT

IT FINANCIAL MANAGEMENT IT FINANCIAL MANAGEMENT L IT Financial Management è una disciplina per la pianificazione e il controllo economico-finanziario, di carattere sia strategico sia operativo, basata su un ampio insieme di metodologie

Dettagli

Comunità di pratica Nedcommunity Risk management, piano strategico e organi di governo: business case

Comunità di pratica Nedcommunity Risk management, piano strategico e organi di governo: business case Making the traveller s day better Comunità di pratica Nedcommunity Risk management, piano strategico e organi di governo: business case Milano, 2 Luglio 204 Group Enterprise Risk Management Contenuto del

Dettagli

attività indipendente obiettiva assurance consulenza miglioramento approccio professionale sistematico valore aggiunto

attività indipendente obiettiva assurance consulenza miglioramento approccio professionale sistematico valore aggiunto MASTER AMLP 1 DEFINIZIONE L Internal Auditing è un'attività indipendente ed obiettiva di assurance e consulenza, finalizzata al miglioramento dell'efficacia e dell efficienza dell'organizzazione. Assiste

Dettagli

ZeroUno Executive Dinner

ZeroUno Executive Dinner L ICT per il business nelle aziende italiane: mito o realtà? 30 settembre 2008 Milano, 30 settembre 2008 Slide 0 I principali obiettivi strategici delle aziende Quali sono i primi 3 obiettivi di business

Dettagli

IL PROGETTO E LA GESTIONE DELLA QUALITA' NEI PROCESSI DI GLOBAL SERVICE

IL PROGETTO E LA GESTIONE DELLA QUALITA' NEI PROCESSI DI GLOBAL SERVICE IL PROGETTO E LA GESTIONE DELLA QUALITA' NEI PROCESSI DI GLOBAL SERVICE. PRESENTAZIONE DEL RAPPORTO TEROTEC QUALITY PLANNING AND CONTROL IN GLOBAL SERVICE PROCESSES PRESENTATION OF TEROTEC REPORT Autori

Dettagli

Corso di Amministrazione di Sistema Parte I ITIL C

Corso di Amministrazione di Sistema Parte I ITIL C Corso di Amministrazione di Sistema Parte I ITIL C Francesco Clabot Responsabile erogazione servizi tecnici 1 francesco.clabot@netcom-srl.it Fondamenti di ITIL per la Gestione dei Servizi Informatici IT

Dettagli

Gli aspetti innovativi del Draft International Standard (DIS) ISO 9001:2015

Gli aspetti innovativi del Draft International Standard (DIS) ISO 9001:2015 Gli aspetti innovativi del Draft International Standard (DIS) ISO 9001:2015 I requisiti per la gestione del rischio presenti nel DIS della nuova ISO 9001:2015 Alessandra Peverini Perugia 9/09/2014 ISO

Dettagli

Application Security Governance

Application Security Governance Application Security Governance 28 ottobre 2010 Francesco Baldi Security & Risk Management Practice Principal 1 AGENDA Problematiche di sicurezza applicativa Modello di riferimento Processo di sicurezza

Dettagli

Sessione di Studio AIEA-ATED. La gestione del rischio informatico nel framework dei rischi operativi

Sessione di Studio AIEA-ATED. La gestione del rischio informatico nel framework dei rischi operativi Sessione di Studio AIEA-ATED La gestione del rischio informatico nel framework dei rischi operativi 24 Novembre 2014 Agenda La gestione del rischio operativo nel Gruppo ISP La gestione degli eventi operativi

Dettagli

Università di Macerata Facoltà di Economia

Università di Macerata Facoltà di Economia Materiale didattico per il corso di Internal Auditing Anno accademico 2011-2012 Università di Macerata Facoltà di Economia 1 Obiettivo della lezione QUALITY ASSESSMENT REVIEW I KEY PERFORMANCE INDICATORS

Dettagli

PER UNA PUBBLICA AMMINISTRAZIONE DI QUALITÀ

PER UNA PUBBLICA AMMINISTRAZIONE DI QUALITÀ PER UNA PUBBLICA AMMINISTRAZIONE DI QUALITÀ La qualità dei servizi e delle politiche pubbliche è essenziale per la competitività del sistema economico e per il miglioramento delle condizioni di vita dei

Dettagli

Proteggere il proprio Business con BSI.

Proteggere il proprio Business con BSI. Proteggere il proprio Business con BSI. Siamo i maggiori esperti nello standard ISO/IEC 27001, nato dalla nostra norma BS 7799: è per questo che CSA ci ha coinvolto nello sviluppo della Certificazione

Dettagli

RSM01. Pag. 1/9 Rev.03. Regolamento VSSM. E. Stanghellini R. De Pari. S. Ronchi R. De Pari 03 11/02/2015. S. Ronchi R. De Pari

RSM01. Pag. 1/9 Rev.03. Regolamento VSSM. E. Stanghellini R. De Pari. S. Ronchi R. De Pari 03 11/02/2015. S. Ronchi R. De Pari Pag. 1/9 03 11/02/2015 Modificata da EA a IAF la denominazione dei Settori merceologici. S. Ronchi R. De Pari E. Stanghellini R. De Pari 02 03/01/2014 Modificata ragione sociale 01 10/04/2012 Aggiornamento

Dettagli

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi

Dettagli

Tanta fatica solo per un bollino ne vale davvero la pena?

Tanta fatica solo per un bollino ne vale davvero la pena? Tanta fatica solo per un bollino ne vale davvero la pena? Relatori: Paolo SFERLAZZA Alberto PERRONE Relatori Paolo Sferlazza Security Advisor CISA,LA27001,LA22301,OPST, COBIT 5, ITIL,LA9001,ISFS, ITSM,ISMA

Dettagli

Stefano Leofreddi Senior Vice President Risk Management Integrato. 1 Ottobre 2014, Roma

Stefano Leofreddi Senior Vice President Risk Management Integrato. 1 Ottobre 2014, Roma Il Risk Management Integrato in eni Stefano Leofreddi Senior Vice President Risk Management Integrato 1 Ottobre 2014, Roma Indice - Sviluppo del Modello RMI - Governance e Policy - Processo e Strumenti

Dettagli

MEGA INTERNATIONAL MANAGING ENTERPRISE COMPLEXITY

MEGA INTERNATIONAL MANAGING ENTERPRISE COMPLEXITY MEGA INTERNATIONAL MANAGING ENTERPRISE COMPLEXITY 2 MANAGING ENTERPRISE COMPLEXITY Oggi il mondo del business è in rapida evoluzione. Le decisioni devono essere prese sempre più velocemente e sotto pressione.

Dettagli

Una piattaforma enterprise per gestire e migliorare le iniziative di Governance, Risk e Compliance

Una piattaforma enterprise per gestire e migliorare le iniziative di Governance, Risk e Compliance Una piattaforma enterprise per gestire e migliorare le iniziative di Governance, Risk e Compliance Maria-Cristina Pasqualetti - Deloitte Salvatore De Masi Deloitte Andrea Magnaguagno - IBM Scenario La

Dettagli

La condensazione della nuvola

La condensazione della nuvola La condensazione della nuvola BS ISO/IEC 27001: 2005 e cloud computing Come si trattano i gas? Rendendoli liquidi Comprimendoli e inserendoli in contenitori CONDENSANDOLI allora possono essere trattati,

Dettagli

Progetto AURELIA: la via verso il miglioramento dei processi IT

Progetto AURELIA: la via verso il miglioramento dei processi IT Progetto AURELIA: la via verso il miglioramento dei processi IT Maurizio Coluccia Agenda BNL - BNP Paribas: IT Convergence Projects Il programma Il progetto Aurelia Il perimetro del progetto e le interfacce

Dettagli

INIZIATIVA TESI. ISACA VENICE promuove le best practice proposte da ISACA e la collaborazione fra le Università e le Imprese del triveneto

INIZIATIVA TESI. ISACA VENICE promuove le best practice proposte da ISACA e la collaborazione fra le Università e le Imprese del triveneto INIZIATIVA TESI ISACA VENICE promuove le best practice proposte da ISACA e la collaborazione fra le Università e le Imprese del triveneto In linea con la sua mission e con le indicazioni del Comitato Strategico,

Dettagli

N 1 alla versione bilingue (italiano-inglese) NORMA UNI EN ISO 9001 (novembre 2008) Sistemi di gestione per la qualità - Requisiti.

N 1 alla versione bilingue (italiano-inglese) NORMA UNI EN ISO 9001 (novembre 2008) Sistemi di gestione per la qualità - Requisiti. ERRATA CORRIGE N 1 alla versione bilingue (italiano-inglese) DEL 31 luglio 2009 NORMA UNI EN ISO 9001 (novembre 2008) TITOLO Sistemi di gestione per la qualità - Requisiti Punto della norma Pagina Oggetto

Dettagli

XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti?

XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti? XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti? L innovazione applicata ai controlli: il caso della cybersecurity Tommaso Stranieri Partner di

Dettagli

OSSERVATORIO IT GOVERNANCE. Premessa

OSSERVATORIO IT GOVERNANCE. Premessa OSSERVATORIO IT GOVERNANCE IL NUOVO STANDARD SUL PORTFOLIO MANAGEMENT DEL PROJECT MANAGEMENT INSTITUTE (PMI) a cura di Flavio De Trane, manager di HSPI (liberamente tratto dallo Standard sul Portfolio

Dettagli

Il Sistema di Governo della Sicurezza delle Informazioni di SIA

Il Sistema di Governo della Sicurezza delle Informazioni di SIA Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA Scopo del documento: Redatto da: Verificato da: Approvato da: Codice documento: Classificazione: Dominio di applicazione:

Dettagli

Presentazione. agili e flessibili; costantemente aderenti al business model ed alla sua evoluzione geografica e temporale;

Presentazione. agili e flessibili; costantemente aderenti al business model ed alla sua evoluzione geografica e temporale; Presentazione Blu Consulting è una società di consulenza direzionale certificata ISO 9001:2008, fondata da Mauro Masciarelli nel 2009, specializzata nella revisione delle strategie di business, adeguamento

Dettagli

BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY.

BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY. BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY. BUSINESS RISK CONSULTING PROCESS OPTIMIZATION Mappatura as is dei processi, definizione dello stato to be, gap analysis, definizione ed implementazione

Dettagli

DIGITAL TRANSFORMATION. Trasformazione del business nell era digitale: Sfide e Opportunità per i CIO

DIGITAL TRANSFORMATION. Trasformazione del business nell era digitale: Sfide e Opportunità per i CIO DIGITAL TRANSFORMATION Trasformazione del business nell era digitale: Sfide e Opportunità per i CIO AL VOSTRO FIANCO NELLA DIGITAL TRANSFORMATION Le nuove tecnologie, tra cui il cloud computing, i social

Dettagli

Informazioni aziendali: il punto di vista del Chief Information Security Officer ed il supporto di COBIT 5 for Information Security

Informazioni aziendali: il punto di vista del Chief Information Security Officer ed il supporto di COBIT 5 for Information Security Informazioni aziendali: il punto di vista del Chief Information Security Officer ed il supporto di COBIT 5 for Information Security Jonathan Brera Venezia Mestre, 26 Ottobre 2012 1 Agenda Introduzione

Dettagli

Il Working Partnership

Il Working Partnership Il Working Partnership Il Working Partnership è uno strumento/risorsa per tutti coloro che sono interessati allo sviluppo e al miglioramento del lavoro di partnership. Lo strumento deriva da un precedente

Dettagli

È costituito dagli atteggiamenti e dalle azioni del board e del management rispetto all'importanza del controllo all'interno.

È costituito dagli atteggiamenti e dalle azioni del board e del management rispetto all'importanza del controllo all'interno. Glossario Internal Auditing Fonte: Associazione Italiana Internal Audit (AIIA) www.aiiaweb.it Adeguato controllo Un controllo è adeguato se viene pianificato e organizzato (progettato) dal management in

Dettagli

Costi, ricavi IT e Audit. Fabio Nervegna Cell. 335-5377988 fabio.nervegna@altran.it

Costi, ricavi IT e Audit. Fabio Nervegna Cell. 335-5377988 fabio.nervegna@altran.it Costi, ricavi IT e Audit Fabio Nervegna Cell. 335-5377988 fabio.nervegna@altran.it 1 Premessa 2 Idea: la genesi 3 Le motivazioni 4 Descrizione tematica: idea e contesto, obiettivi 5 Approccio metodologico

Dettagli

IT Governance: scelte e soluzioni. Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010

IT Governance: scelte e soluzioni. Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010 IT Governance: scelte e soluzioni Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010 Agenda 1. Presentazione 2. IT Governance 3. I quadri di riferimento 4. Le attività di controllo 5. Privacy

Dettagli

Corso ed esame Foundation Certificate

Corso ed esame Foundation Certificate Training Partner Corso ed esame Foundation Certificate MILANO E ROMA Autunno 2015 Docenti qualificati grazie ai quali Quasi il 100% dei partecipanti ai nostri corsi ha superato l esame, con punteggi oltre

Dettagli

Services Portfolio «Energy Management» Servizi per l implementazione dell Energy Management

Services Portfolio «Energy Management» Servizi per l implementazione dell Energy Management Services Portfolio «Energy Management» Servizi per l implementazione dell Energy Management 2015 Summary Chi siamo Il modello operativo di Quality Solutions Contesto di riferimento Framework Lo standard

Dettagli

Qualifiche professionali per ITIL PRACTICES FOR SERVICE MANAGEMENT. Certificato ITIL Foundation in IT Service Management SYLLABUS

Qualifiche professionali per ITIL PRACTICES FOR SERVICE MANAGEMENT. Certificato ITIL Foundation in IT Service Management SYLLABUS Qualifiche professionali per ITIL PRACTICES FOR SERVICE MANAGEMENT Certificato ITIL Foundation in IT Service Management SYLLABUS Page 1 of 11 IL CERTIFICATO ITIL FOUNDATION IN IT SERVICE MANAGEMENT La

Dettagli