CObIT 5. Prof. Ing.Claudio Cilli. CIA, CISA, CISM, CGEIT, CRISC, CISSP, CSSLP, M.Inst.ISP

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "CObIT 5. Prof. Ing.Claudio Cilli. CIA, CISA, CISM, CGEIT, CRISC, CISSP, CSSLP, M.Inst.ISP cilli@di.uniroma1.it"

Transcript

1 CObIT 5 Prof. Ing.Claudio Cilli CIA, CISA, CISM, CGEIT, CRISC, CISSP, CSSLP, M.Inst.ISP

2 Indice della presentazione 1. Introduzione 2. ISO GRC (Governance Risk & Compliance) 4. CObIT 5 5. GRC in CObIT 5 6. CObIT 4.1 vs. CObIT 5 7. Modello di maturità 8. Implementare CObIT 2

3 Origine del problema Crescente dipendenza delle organizzazioni dalle reti e dai sistemi informatici Esposizione dei sistemi informatici ad eventi distruttivi Impatto degli eventi distruttivi sull attività aziendale Difficoltà di valutare e contenere i costi dei sistemi informativi Impossibilità di valutare i benefici che i sistemi informativi e la tecnologia apportano all organizzazione Patrimonio informativo visto come fattore di produzione! 3

4 Fino ad oggi: Iniziative sporadiche e parziali non accompagnate da evoluzione dei processi interni Inerzia organizzativa Domanda disaggregata in termini di requisiti funzionali e piattaforme di riferimento SCARSA SENSIBILITÀ : AUDIT E SICUREZZA VISTE COME COSTO! 4

5 Benefici aziendali? Le imprese e i loro dirigenti si sforzano di: Ottenere informazioni di qualità a supporto delle decisioni di business Generare valore dagli investimenti IT, ossia realizzare gli obiettivi strategici aziendali e realizzare vantaggi di business tramite l efficace innovativo uso dell IT Raggiungere l eccellenza operativa per mezzo dell efficiente e affidabile applicazione della tecnologia Mantenere ad un livello accettabile il rischio IT Ottimizzare il costo dei servizi e della tecnologia Come possono questi vantaggi essere realizzati per creare valore agli stakeholder? 5

6 Stakeholder value! Erogare valore agli stakeholder richiede buone capacità di governance e gestione delle informazioni e della tecnologia I board e il management devono considerare l IT come qualsiasi altra parte significativa del business L adeguamento ai requisiti legali e regolamentari legati all utilizzo delle informazioni e dei sistemi sta aumentando, minacciando il loro valore in caso di problemi COBIT 5 forniste un framework completo che assiste le organizzazioni a raggiungere I loro obiettivi e ad erogare valore tramite un efficace governance e gestione dei sistemi informatici 6

7 CObIT 5: Framework CObIT 5 aiuta le imprese a creare valore dall information technology mantenendo un bilanciamento tra benefici attesi e rischi, oltre ad aiutare ad ottimizzare l impego di risorse CObIT 5 consente all IT di essere governato in maniera olistica per tutta l impresa, considerando tutto il business end-to-end e le aree funzionali IT di responsabilità, considerando gli interessi connessi all IT degli stakeholder interni ed esterni I principi di CObIT 5 e gli abilitatori sono generici e utili per organizzazioni9 di ogni dimensione, sia commerciali che no-profit o pubbliche 7

8 8 CObIT 5: Principi

9 9 CObIT 5: Abilitatori (enablers)

10 Governance & Management Governance La governance assicura che gli obiettivi dell impresa siano raggiunti valutando (Evaluating) i bisogni degli stakeholder, le condizioni e le alternative; stabilendo la direzione (Direction) tramite la prioritizzazione e le scelte decisionali; e monitorando (Monitoring) le performance, la compliance e i progressi rispetto al piano [EDM] Management Il management pianifica (Plans), realizza (Builds), esegue (Runs) e monitorizza (Monitors) le attività allineandosi con la direzione stabilita dal governance body al fine di raggiungere gli obiettivi d impressa [PBRM] 10

11 In definitiva. COBIT 5 Unisce i cinque principi che consentono all impresa di realizzare un efficace framework di governance e management basato su un insieme olistico di sette abilitatori che ottimizza le informazioni e gli investimenti in tecnologia e le utilizza a beneficio degli stakeholder 11

12 12 LA ISO 15504

13 La ISO La norma ISO/IEC (1998) definisce un modello per la valutazione del livello di "maturità" dei processi di una organizzazione del settore IT La norma si compone di 9 parti, in forma di Technical Report, e definisce sia il modello dei processi (parte 2) che il modello di assessment (parte 5). La norma è stata sviluppata da un progetto promosso da ISO, denominato spice 13

14 ISO Struttura La norma definisce, oltre il modello dei processi e di assessment dei processi, una guida allo svolgimento di un assessment (parte 4), le caratteristiche degli assessors (parte 6), la guida per l'utilizzo del modello ai fini del miglioramento (parte 7), la guida per la capability determination (parte 8). La parte 1 è introduttiva, la 9 è il vocabolario Successivamente è stata emessa la nuova versione (2003) che ha semplificato la suddivisione accorpando alcune parti e introdotto ulteriori modifiche alle definizioni, per meglio integrarsi con la ISO MD 1 e 2 relativa alla certificazione del processo di sviluppo del software 14

15 Contenuti e principi Process Identifies changes to Examined by Process Assessment Identifies suitability of Process Improvement Cause Motivates Cause Capability Determination 15

16 Componenti (1998) Part 1 (I) Concepts and introductory guide Part 9 (N) Vocabulary Part 7 (I) Guide for process improvement Part 8 (I) Guide for supplier capability determination Part 6 (I) Guide to competency of assessors Part 3 (N) Performing an assessment Part 4 (I) Guide to performing an assessment Part 2 (N) A reference model for Process and capability Part 5 (I) Assessment model and Indicator guidance 16

17 Componenti ISO/IEC 15504: 2003 Part 1 Concepts and vocabulary Part 4 Guidance on using Assessment Results Part 2 Performing an Assessment Part 3 Guide on Performing Assessments Compliant Process Reference Model Part 5 Exemplar Assessment Model Cambiamenti dalla versione 1998 Part 1 & 9 >> Part 1 Part 2 & 3 >> Part 2 Part 7 & 8 >> Part 4 Part 4 & 6 >> Part 3 Part 5 >> Part 5 Il nome cambia da Software Process Assessment in Process Assessment Riduzione da 9 parti a 5 parti Aggiunta di un exemplar assessment method Introduzione dei Process Reference Models 17

18 Un modello bidimensionale La norma definisce un modello "bidimensionale" costituito da: 1. la dimensione del processo (la definizione del processo in termini di obiettivi, risultati misurabili attesi ed altre informazioni di livello alto, descrittive) 2. la dimensione del profilo di capacità dei processi, caratterizzata da una serie di attributi di processo che ne distinguono il livello di maturità rispetto ad una scala di valutazione ordinale [0-5] con 5 considerato il valore migliore Il posizionamento di un processo sulla scala di valutazione è funzione del possesso di determinati attributi caratteristici di ogni livello della scala misurabili attraverso indicatori 18

19 Definizioni Assessment: un esame, secondo regole formali, dei processi di una organizzazione, rispetto ad un modello di riferimento Un metodo di assessment richiede: una scala di misura (i livelli di capacità) i criteri di valutazione rispetto ai livelli della scala un meccanismo di rappresentazione dei risultati Capability determination: un esame, secondo regole formali, dei processi di una organizzazione, rispetto alla loro capacità di raggiungere un determinato obiettivo, condotto allo scopo di individuare i punti di forza e di debolezza ed i rischi associati alla attuazione dei processi secondo determinati requisiti Processes: l'insieme di processi utilizzati da una organizzazione per pianificare, gestire, eseguire, monitorare, controllare e migliorare le attività correlate al software Attributo di processo: una caratteristica misurabile della capacità di un processo Indicatore di processo: un indicatore che supporta la valutazione della capacità di raggiungimento di determinati livelli di attributi di processo Basepractice: una attività di software engineering o di management che consente il raggiungimento dello scopo di un determinato processo 19

20 Il modello dei processi I processi sono mappati su 4 livelli. II primo è formato da 3 macro categorie i Primari, quelli di Supporto e gli Organizzativi All'interno di queste macro categorie sono definite 5 ulteriori categorie di processo 1. Customer-Supplier (CUS) quelli che impattano direttamente sul cliente 2. Engineering (ENG) che direttamente specificano, implementano o mantengono il prodotto software 3. Support (SUP), i processi di supporto a tutti gli altri 4. Manageriali (MAN) ovvero quelli che gestiscono la conduzione del progetto 5. Organizzativi (ORG) che determinati gli obiettivi aziendali devono sviluppare i processi, le risorse e gli strumenti necessari a raggiungerli Il modello definisce un ulteriore terzo livello di processi, che ne comprende complessivamente 24 Esiste infine un quarto livello, costituito da 18 processi, ancora più di dettaglio, quasi tutti facenti parte dei Primari Rispetto alla si hanno 7 processi del tutto nuovi, 9 che sono estensione di quelli definiti nella ISO (1995) (Gestione del ciclo di vita del software) 20

21 Il profilo di capacità La dimensione del profilo di capacità dei processi si basa su un sistema di attributi di processo e di elementi di possesso di tali attributi che permettono di mappare il livello di maturità di un processo su una scala ordinale a 6 livelli (0-iniziale / 5-innovativo). I livelli sono praticamente gli stessi del CMM Gli attributi definiti nella norma sono 9: 1. Process performance - un processo raggiunge i suoi obiettivi, trasformando input identificabili in output identificabili 2. Performance management - l'attuazione di un processo è pianificata e controllata al fine di produrre risultati che rispondono agli obiettivi attesi 3. Work product management - l'attuazione di un processo è pianificata e controllata al fine di produrre risultati che siano appropriatamente documentati, controllati e verificati 4. Process definition - l'attuazione di un processo si basa su approcci standardizzati 5. Process resource - il processo può contare sulle risorse adeguate (umane, infrastrutture etc.) per essere attuato 6. Process measurement - i risultati raggiunti e le misure rilevate durante l'attuazione di un processo sono usati per assicurarsi che l'attuazione di tale processo supporti efficacemente il raggiungimento di specifici obiettivi 7. Process control - un processo è controllato attraverso la raccolta, analisi ed utilizzo delle misure di prodotto e di processo rilevate, al fine di correggere, se necessario, le sue modalità di attuazione 8. Process chanae - le modifiche alla definizione, gestione, attuazione di un processo sono controllate 9. Continuous improvement - le modifiche ad un processo sono identificate ed implementate al fine di assicurare il continuo miglioramento nel raggiungimento degli obiettivi rilevanti per la organizzazione 21

22 Gli attributi di processo Per ogni attributo la norma dà le condizioni che lo fanno considerare soddisfatto definendo inoltre 4 possibili livelli di possesso di un attributo: N - non posseduto (0-15% di possesso, non c'è evidenza, o ve ne è poca, del possesso di un attributo) P - parzialmente posseduto (16-50% di possesso, vi è evidenza di approccio sistematico al raggiungimento del possesso di un attributo e del raggiungimento di tale possesso, ma alcuni aspetti del possesso possono essere non prevedibili) L - largamente posseduto (51-85% di possesso, vi è evidenza di approccio sistematico al raggiungimento del possesso di un attributo e di un significativo livello di possesso di tale attributo, ma l'attuazione del processo può variare nelle diverse unità operative della organizzazione) F - (Fully) pienamente posseduto (86-100% di possesso, vi è evidenza di un completo e sistematico approccio e di un pieno raggiungimento del possesso dell'attributo e non esistono significative differenze nel modo di attuare il processo tra le diverse unità operative) 22

23 Livello di maturità In base al livello di possesso degli attributi, sono previsti 6 livelli di "maturità" dei processi: Livello 0 - processo incompleto. Il processo non è implementato o non raggiunge gli obiettivi. Non vi è evidenza di approcci sistematici agli attributi definiti Livello 1 - processo semplicemente attuato. Il processo viene messo in atto e raggiunge i suoi obiettivi. Non vi è evidenza di un approccio sistematico ad alcuno degli attributi definiti. Il raggiungimento di questo livello è dimostrato attraverso il possesso degli attributi di "process performance Livello 2 - processo gestito. Il processo è attuato ma anche pianificato, tracciato, verificato ed aggiustato se necessario, sulla base di obiettivi ben definiti. Il raggiungimento di questo livello è dimostrato attraverso il possesso degli attributi di "performance management" e "Work product management Livello 3- processo definito. Il processo è attuato, pianificato e controllato sulla base di procedure ben definite, basate sui principi del sw engineering. Il raggiungimento di questo livello è dimostrato attraverso il possesso degli attributi di "Process definition" e "Process resource Livello 4 - processo predicibile. Il processo è stabilizzato ed è attuato all'interno di definiti limiti riguardo i risultati attesi, le performance, le risorse impiegate etc. Il raggiungimento di questo livello è dimostrato attraverso il possesso degli attributi di "Process measurement" e "Process control Livello 5 - processo ottimizzante. Il processo è predicibile ed in grado di adattarsi per raggiungere obiettivi specifici e rilevanti per la organizzazione. Il raggiungimento di questo livello è dimostrato attraverso il possesso degli attributi di "Process change" e "Continuous improvement 23

24 Il modello di valutazione L'assessment si basa sulla valutazione di alcuni indicatori: 1. indicatori di process performance per la dimensione del processo 2. indicatori di process capability per la dimensione della capacità dei processi di raggiungere determinati obiettivi 24

25 Indicatori di Process Performance Le tipologie di indicatori di process performance definiti dalla norma sono 2: 1. Base practices - Le base practices (BP) sono attività di software engineering o di management che consentono il raggiungimento dello scopo di un determinato processo. La descrizione delle BP è ad un livello alto, astratto, che identifica "cosa" va fatto piuttosto che "come 2. Work product & Work Product Characteristics - I work products (WP) sono gli input e gli output del processo, e le loro caratteristiche L'esistenza di BP e WP, il loro effettivo contributo al raggiungimento degli obiettivi di processo, la loro adeguatezza a farlo, forniscono all assessor la evidenza delle prestazioni del processo. È possibile anche definire, a completamento delle base practices, delle advanced practices che individuano quali ulteriori attività è consigliabile implementare al fine di ottenere i risultati attesi con sufficiente qualità 25

26 Indicatori di capacità dei processi Gli indicatori di capacità dei processi sono 3: 1. Management practices 2. Practice Performance characteristics 3. Resource/Infrastructure caracteristics Le management practices (MP) sono le attività che devono essere implementate per soddisfare gli attributi di processo. Per ogni MP sono definite le practice performances characteristics (le caratteristiche che devono possedere le varie management practices, PPC) resource and infrastructure characteristics (le caratteristiche che devono possedere le risorse associate alle management practices, RIC) 26

27 GRC (GOVERNANCE RISK & COMPLIANCE) 27

28 GRC GRC: Governance, Risk management e Compliance Un termine sempre più utilizzato per come ombrello per comprendere questre tre aree dell attività aziendale Queste aree di attività si stanno sempre più allineando e integrando per migliorare le performance dell impresa e il soddisfacimento dei bisogni degli stakeholder 28

29 GRC: Definizioni GRC: Governance Esercizio dell autorità; controllo; governo; composizione Risk (management) rischio; pericolo; esposizione a perdita, danno o distruzione (l'atto o l arte di gestire; il modo di trattare, orientare, esercitare, o utilizzare, per uno scopo; comportamento; amministrazione; orientamento; controllo) Compliance Il rispetto e l'osservanza della legge; una concessione, come un desiderio, domanda, o proposta; concessione; presentazione Webster online dictionary 29

30 Tipi di Governance Esistono diversi tipi di governance: Corporate governance Project governance Information technology governance Environmental governance Economic and financial governance Ognuna di queste tipologie dispone di varie fonti per la guida, tutte con gli stessi obiettivi, ma con diversi termini e tecniche finalizzate al raggiungimento dei relativi obiettivi 30

31 Implementare la Governance L integrazione dell implementazione delle attività di GRC all interno di un organizzazione richiede un approccio sistematico per raggiungere affidabilmente gli obiettivo di business dei suoi stakeholders Tali approcci sono basati tipicamente su abilitatori di vario tipo (es.: principi, politiche, modelli, framework, strutture organizzative) 31

32 Un esempio del Modello GRC Dal OCEG Red Book GRC Capability Model versione

33 Corporate Governance of IT ISO/IEC 38500: 2008 Corporate governance of information technology 1.1 Scopo Lo standard fornisce i principi guida per gli amministratori di organizzazioni (tra cui proprietari, amministratori, senior manager, soci, dirigenti, o simili) per un utilizzo in modo efficace, efficiente e accettabile delle tecnologie dell'informazione (IT) all'interno delle loro organizzazioni Questo standard si applica alla governance dei processi di gestione (e decisioni) relative alle informazioni e ai servizi di comunicazione utilizzati da un'organizzazione. Questi processi possono essere controllati da specialisti IT all'interno dell'organizzazione o da fornitori esterni di servizi, o per unità di business all'interno dell'organizzazione 33

34 Corporate Governance of IT (cont.) ISO/IEC 38500: 2008 Corporate governance of information technology 2.1 Principi Principio 1: Responsibility Principio 2: Strategy Principio 3: Acquisition Principio 4: Performance Principio 5: Conformance Principio 6: Human Behaviour 34

35 Corporate Governance of IT (cont.) ISO/IEC 38500: 2008 Corporate governance of information technology 2.2 Modello I manager devono governare l IT tramite tre compiti principali: a) Valutare l utilizzo corrente e futuro dell IT b) Dirigere la preparazione e l implementazione di piani e politiche per assicurare che l utilizzo dell IT sia conforme agli obiettivi di business aziendali c) Monitorare l adeguamento alle politiche, e le performance rispetto ai piani 35

36 COBIT: Governance of Enterprise IT (GEIT) Governance of Enterprise IT Evolution of scope IT Governance Management Control Audit Val IT 2.0 (2008) Risk IT (2009) COBIT1 COBIT2 COBIT3 COBIT4.0/4.1 COBIT / A business framework from ISACA, at 36

37 37 COBIT 5

38 Panoramica su CObIT 5 COBIT 5 riunisce i cinque principi che consentono a un organizzazione di realizzare un efficace framework di governance e management basato su un insieme olistico di sette abilitatori che ottimizza l informazione e gli investimenti in tecnologia nonché il loro utilizzo a beneficio degli stakeholder 38

39 Il framework di CObIT 5 CObIT 5 aiuta le imprese a creare valore dall information technology mantenendo un bilanciamento tra benefici attesi e rischi, oltre ad aiutare ad ottimizzare l impego di risorse CObIT 5 consente all IT di essere governato in maniera olistica per tutta l impresa, considerando tutto il business end-to-end e le aree funzionali IT di responsabilità, considerando gli interessi connessi all IT degli stakeholder interni ed esterni I principi di CObIT 5 e gli abilitatori sono generici e utili per organizzazioni di ogni dimensione, sia commerciali che no-profit o pubbliche 39

40 40 CObIT 5: I 5 principi

41 41 COBIT 5: I 7 abilitatori

42 42 GRC IN COBIT 5

43 Governance (e Management) in COBIT 5 La Governance assicura che gli obiettivi siano raggiunti valutando le esigenze degli interessati, le condizioni e le opzioni; impostando la direzione tramite priorità e processo decisionale, e il monitoraggio delle prestazioni, il rispetto dei requisiti e il progresso rispetto alla direzione e agli obiettivi concordati (EDM) Il Management pianifica (plan), implementa (build), esegue (runs) e controlla (monitor) le attività in allineamento con le direzioni stabilite dal governance body per conseguire gli obiettivi dell impresa (PBRM) Esercitare governance e management efficacemente significa in pratica considerare tutti gli abilitatori. Il COBIT process reference model consente di concentrarsi facilmente sulle attività aziendali rilevanti 43

44 Governance in COBIT 5 Il COBIT 5 process reference model suddivide le pratiche e e le attività correlate all IT dell organizzazione in due aree principali governance e management con management ulteriormente divisa in domini e processi Il dominio GOVERNANCE contiene cinque processi di governance; all interno di ognuna sono definite le pratiche EDM (evaluate, direct & monitor) 01 Ensure governance framework setting and maintenance. 02 Ensure benefits delivery. 03 Ensure risk optimisation. 04 Ensure resource optimisation. 05 Ensure stakeholder transparency. I quattro domini MANAGEMENT sono in linea con le aree di responsabilità PBRM (plan, build, run & monitor) 44

45 45 Governance in COBIT 5 (cont.)

46 Risk Management in COBIT 5 Il dominio GOVERNANCE contiene cinque processi di governance, uno dei quali si focalizza sugli obiettivi degli stakeholder relativi al rischio: EDM03 Ensure risk optimisation Descrizione del Processo Ensure that the enterprise s risk appetite and tolerance are understood, articulated and communicated, and that risk to enterprise value related to the use of IT is identified and managed Obiettivo del Processo Ensure that IT-related enterprise risk does not exceed risk appetite and risk tolerance, the impact of IT risk to enterprise value is identified and managed, and the potential for compliance failures is minimised 46

47 Risk Management in COBIT 5 (cont.) Il dominio dell area MANAGEMENT Align, Plan & Organise contiene un processo risk-related: APO12 Manage risk Descrizione del Processo Continually identify, assess and reduce IT-related risk within levels of tolerance set by enterprise executive management Obiettivo del Processo Integrate the management of IT-related enterprise risk with overall ERM, and balance the costs and benefits of managing IT-related enterprise risk 47

48 48 Risk Management in COBIT 5 (cont.)

49 Risk Management in COBIT 5 (cont.) Tutte le attività aziendali hanno delle esposizioni ai rischi dovute a minacce provenienti dall ambiente che potrebbero sfruttare le vulnerabilità EDM03 Ensure risk optimisation garantisce che l approccio al rischio da parte degli stakeholder sia articolato in modo da dirigere il modo in cui i rischi che minacciano l impresa siano estiti APO12 Manage risk fa sì che l enterprise risk management (ERM) si organizzi in modo da garantire che la direzione stabilita dagli stakeholder sia seguita dall impresa Tutti gli altri processi comprendono pratiche e attività progettate per gestire i relativi rischi (evitare, ridurre/mitigare/ controllare, condividere/trasferire/accettare) 49

50 Risk Management in COBIT 5 (cont.) In aggiunta alle attività, COBIT 5 suggerisce per ogni processo accountability, e responsabilità per tutti i ruoli aziendali e le strutture di governance/management (carte RACI). Comprendono i ruoli relativi al rischio 50

51 Compliance in COBIT 5 Il dominio dell area MANAGEMENT Monitor, Evaluate & Assess contiene un processo specifico per la compliance: MEA03 Monitor, evaluate and assess compliance with external requirements Descrizione del Processo Evaluate that IT processes and IT-supported business processes are compliant with laws, regulations and contractual requirements. Obtain assurance that the requirements have been identified and complied with, and integrate IT compliance with overall enterprise compliance Obiettivo del Processo Ensure that the enterprise is compliant with all applicable external requirements 51

52 52 Compliance in COBIT 5 (cont.)

53 Compliance in COBIT 5 (cont.) Conformità legislativa e normativa è un elemento chiave della gestione efficace di un'impresa, e da qui la sua inclusione nel termine GRC e negli COBIT 5 Enterprise Goal e nell abilitatore che supporta la struttura del processo (MEA03) Oltre a MEA03, tutte le funzioni aziendali comprendono delle attività di controllo progettate per garantire il rispetto non solo a requisiti legislativi o regolamentari imposti dall'esterno, ma anche a principi interni di governance, politiche e procedure 53

54 Compliance in COBIT 5 (cont.) In aggiunta alle attività, COBIT 5 suggerisce per ogni processo accountability, e responsabilità per tutti i ruoli aziendali e le strutture di governance/management (carte RACI). Comprendono i ruoli relativi alla compliance 54

55 Stakeholder Value & Business Objectives Le organizzazioni (sia pubbliche che private) esistono al fine di creare valore per i loro stakeholder. Di conseguenza la creazione di valore è un obiettivo della governance Creazione di valore significa realizzare questi benefici con un utilizzo ottimale delle risorse e nello stesso tempo ottimizzare i rischi 55

56 Stakeholder Value & Business Objectives (cont.) Principio 1 - Meeting Stakeholder Needs: I bisogni degli stakeholder devono essere trasformati in una strategia aziendale concreata e fattibile Gli obiettivi a cascata di COBIT 5 traducono questi bisogni in obiettivi specifici, fattibili e personalizzati nel contesto dell impresa, del sistema informativo e infine negli abilitatori 56

57 Stakeholder Value & Business Objectives (cont.) I bisogni degli Stakeholder possono essere correlati a un insieme di obiettivi aziendali generici Questi goal sono stati determinati utilizzando la Balanced Scorecard (BSC) (Kaplan, Robert S.; David P. Norton; The Balanced Scorecard: Translating Strategy into Action, Harvard University Press, USA, 1996) Gli obiettivi aziendali consistono in un elenco di goal comunemente utilizzati che un azienda ha definito per se stessa Sebbene questa lista non è esaustiva, la maggior parte degli obiettivi di business di una qualsiasi organizzazione può essere mappata con uno o più di questi goal 57

58 Stakeholder Value & Business Objectives (cont.) 58

59 Stakeholder Value & Business Objectives (cont.) Questa organizzazione a cascata non è nuova in COBIT 5: è stata introdotta in COBIT 4.0 nel 2005 Gli utilizzatori di COBIT che hanno applicato questo modo di procede lo hanno trovato interessante e di valore Ma non tutti hanno notato questo vantaggio Poiché questa cascata supporta il principio relativo ai bisogni degli stakeholder, che è fondamentale in COBIT 5, è diventato un concetto preminente nella descrizione del framework Con l occasione, la cascata è stata rivista e aggiornata 59

60 Governance e Management definiti Che tipo di framework è COBIT? Un IT audit and control framework? COBIT (1996) e COBIT 2nd Edition (1998) Focus sugli Obiettivi di Controllo Un IT management framework? COBIT 3rd Edition (2000) Aggiunta delle Management Guidelines Un IT governance framework? COBIT 4.0 (2005) e COBIT 4.1 (2007) Aggiunta dei processi Governance e Compliance Eliminazione dei processi di Assurance Ma qual è la differenza tra governance and management? 60

61 Governance e Management definiti (cont.) Governance La governance assicura che gli obiettivi dell impresa siano raggiunti valutando (Evaluating) i bisogni degli stakeholder, le condizioni e le alternative; stabilendo la direzione (Direction) tramite la prioritizzazione e le scelte decisionali; e monitorando (Monitoring) le performance, la compliance e i progressi rispetto al piano [EDM] Management Il management pianifica (Plans), realizza (Builds), esegue (Runs) e monitorizza (Monitors) le attività allineandosi con la direzione stabilita dal governance body al fine di raggiungere gli obiettivi d impressa [PBRM] 61

62 Governance and Management Defined (cont.) Il COBIT 5 process reference model suddivide le pratiche e e le attività correlate all IT dell organizzazione in due aree principali governance e management con management ulteriormente divisa in domini e processi: Il dominio GOVERNANCE contiene cinque processi di governance; all interno di ognuna sono definite le pratiche EDM (evaluate, direct & monitor) I quattro domini MANAGEMENT sono in linea con le aree di responsabilità PBRM (plan, build, run & monitor) 62

63 63 COBIT 4.1 VS. COBIT 5

64 Cambiamenti presenti in CObIT 5 I principali cambiamenti apportati al framework, e che impattano l implementazione/miglioramento del GEIT sono: 1. Nuovi principi GEIT 2. Aumentato focus sugli abilitatori 3. Nuovo Process Reference Model 4. Processi nuovi e modificati 5. Pratiche e attività 6. Goal e metriche 7. Input e Output 8. Carte RACI 9. Process Capability Maturity Model e Assessment 64

65 65 1. Nuovi principi GEIT

66 1. Nuovi principi GEIT (cont.) I framework Val IT e Risk IT definiscono dei principi che ne sono alla base I feedback ricevuti hanno mostrato che i principi sono facili da comprendere e applicare in un contesto aziendale, consentendo di ottenere valore più efficacemente Anche la ISO/IEC incorpora dei principi finalizzati ad ottenere gli stessi benefici, anche sono leggermente diversi da quelli di COBIT 5 Chiara definizione ed enfasi sui principi di Governance 66

67 2. Aumentato focus sugli abilitatori COBIT 4.1 non prevedeva abilitatori! In realtà questo erano presenti, ma chiamati diversamente, esplicitamente o implicitamente 67

68 2. Aumentato focus sugli abilitatori (cont.) Informazioni, infrastrutture, applicazioni (servizi) e persone (persone, abilità e competenze) erano le risorse di COBIT 4.1 Principi, politiche e framework erano presenti in pochi processi di COBIT 4.1 I processi erano tuttavia centrali nell applicare COBIT 4.1 La struttura organizzativa è considerata nei ruoli Responsible, Accountable, Consulted o Informed (RACI) e nella loro definizione La cultura, l etica e comportamenti erano menzionati in pochi processi di COBIT

IS Governance. Francesco Clabot Consulenza di processo. francesco.clabot@netcom-srl.it

IS Governance. Francesco Clabot Consulenza di processo. francesco.clabot@netcom-srl.it IS Governance Francesco Clabot Consulenza di processo francesco.clabot@netcom-srl.it 1 Fondamenti di ISO 20000 per la Gestione dei Servizi Informatici - La Norma - 2 Introduzione Che cosa è una norma?

Dettagli

Panoramica su ITIL V3 ed esempio di implementazione del Service Design

Panoramica su ITIL V3 ed esempio di implementazione del Service Design Master Universitario di II livello in Interoperabilità Per la Pubblica Amministrazione e Le Imprese Panoramica su ITIL V3 ed esempio di implementazione del Service Design Lavoro pratico II Periodo didattico

Dettagli

Fattori critici di successo

Fattori critici di successo CSF e KPI Fattori critici di successo Critical Success Factor (CSF) Definiscono le azioni o gli elementi più importanti per controllare i processi IT Linee guida orientate alla gestione del processo Devono

Dettagli

IS Governance in action: l esperienza di eni

IS Governance in action: l esperienza di eni IS Governance in action: l esperienza di eni eni.com Giancarlo Cimmino Resp. ICT Compliance & Risk Management Contenuti L ICT eni: mission e principali grandezze IS Governance: il modello organizzativo

Dettagli

Processi di Gestione dei Sistemi ICT

Processi di Gestione dei Sistemi ICT Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT Paolo Salvaneschi A3_1 V1.1 Processi di Gestione dei Sistemi ICT Il contenuto del documento è liberamente utilizzabile dagli studenti,

Dettagli

SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras

SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras 2 Introduzione Le architetture basate sui servizi (SOA) stanno rapidamente diventando lo standard de facto per lo sviluppo delle applicazioni aziendali.

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 5 Marco Fusaro KPMG S.p.A. 1 CobiT: strumento per la comprensione di una

Dettagli

Corso di Amministrazione di Sistema Parte I ITIL 1

Corso di Amministrazione di Sistema Parte I ITIL 1 Corso di Amministrazione di Sistema Parte I ITIL 1 Francesco Clabot Responsabile erogazione servizi tecnici 1 francesco.clabot@netcom-srl.it Fondamenti di ITIL per la Gestione dei Servizi Informatici ITSM

Dettagli

La Norma ISO 21500-1 Ed. 1-2012 Guidance on project management

La Norma ISO 21500-1 Ed. 1-2012 Guidance on project management 1 Per conto di AICQ CN 1 - Autore Giovanni Mattana - V. Presidente AICQ CN Presidente della Commissione UNI Gestione per la Qualità e Metodi Statistici INTERNATIONAL STANDARD ISO 21500 Peculiarità della

Dettagli

Marco Salvato, KPMG. AIEA Verona 25.11.2005

Marco Salvato, KPMG. AIEA Verona 25.11.2005 Information Systems Governance e analisi dei rischi con ITIL e COBIT Marco Salvato, KPMG Sessione di studio AIEA, Verona 25 Novembre 2005 1 Information Systems Governance L'Information Systems Governance

Dettagli

Qualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009

Qualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009 Qualification Program in Information Security Management according to ISO/IEC 27002 Cesare Gallotti Milano, 23 gennaio 2009 1 Agenda Presentazione Le norme della serie ISO/IEC 27000 La sicurezza delle

Dettagli

Corso Base ITIL V3 2008

Corso Base ITIL V3 2008 Corso Base ITIL V3 2008 PROXYMA Contrà San Silvestro, 14 36100 Vicenza Tel. 0444 544522 Fax 0444 234400 Email: proxyma@proxyma.it L informazione come risorsa strategica Nelle aziende moderne l informazione

Dettagli

IT Risk-Assessment. Assessment: il ruolo dell Auditor nel processo. Davide SUSA - ACSec AIIA - Consigliere del Chapter di Roma

IT Risk-Assessment. Assessment: il ruolo dell Auditor nel processo. Davide SUSA - ACSec AIIA - Consigliere del Chapter di Roma IT Risk-Assessment Assessment: il ruolo dell Auditor nel processo. AIIA - Consigliere del Chapter di Roma Agenda Overview sul Risk-Management Il processo di Risk-Assessment Internal Auditor e Risk-Management

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 4 Marco Fusaro KPMG S.p.A. 1 CobiT Obiettivi del CobiT (Control Objectives

Dettagli

Catalogo Corsi. Aggiornato il 16/09/2013

Catalogo Corsi. Aggiornato il 16/09/2013 Catalogo Corsi Aggiornato il 16/09/2013 KINETIKON SRL Via Virle, n.1 10138 TORINO info@kinetikon.com http://www.kinetikon.com TEL: +39 011 4337062 FAX: +39 011 4349225 Sommario ITIL Awareness/Overview...

Dettagli

Sistemi elettronici per la sicurezza dei veicoli: presente e futuro. Il ruolo della norma ISO 26262 per la Sicurezza Funzionale

Sistemi elettronici per la sicurezza dei veicoli: presente e futuro. Il ruolo della norma ISO 26262 per la Sicurezza Funzionale 18 aprile 2012 Il punto di vista dell OEM sulla norma ISO 26262 per la Sicurezza Funzionale dei veicoli: la sfida dell integrazione nei processi aziendali Marco Bellotti Functional Safety Manager Contenuti

Dettagli

Quality gate. Sono eventi programmati regolarmente e condotti seguendo una procedura standard

Quality gate. Sono eventi programmati regolarmente e condotti seguendo una procedura standard Quality gate Nei punti chiave del processo di sviluppo del software, viene integrato un insieme di quality gate per monitorare la qualità del prodotto intermedio prima che quest ultimo possa passare al

Dettagli

Le norme della Qualità

Le norme della Qualità Le norme ISO9000 e la loro evoluzione L evoluzione delle ISO 9000 in relazione alla evoluzione delle prassi aziendali per la Qualita 3 Evoluzione della serie ISO 9000 2 1 Rev. 1 ISO 9000 Rev. 2 ISO 9000

Dettagli

Università di Macerata Facoltà di Economia

Università di Macerata Facoltà di Economia Materiale didattico per il corso di Internal Auditing Anno accademico 2010-2011 Università di Macerata Facoltà di Economia Obiettivo della lezione ERM - Enterprise Risk Manangement Per eventuali comunicazioni:

Dettagli

La Governance come strumento di valorizzazione dell'it verso il business

La Governance come strumento di valorizzazione dell'it verso il business La Governance come strumento di valorizzazione dell'it verso il business Livio Selvini HP IT Governance Senior Consultant Vicenza, 24 novembre Hewlett-Packard Development Company, L.P. The information

Dettagli

Associazione Italiana Information Systems Auditors

Associazione Italiana Information Systems Auditors Associazione Italiana Information Systems Auditors Agenda AIEA - ruolo ed obiettivi ISACA - struttura e finalità La certificazione CISA La certificazione CISM 2 A I E A Costituita a Milano nel 1979 Finalità:

Dettagli

COME MISURARE UN SERVICE DESK IT

COME MISURARE UN SERVICE DESK IT OSSERVATORIO IT GOVERNANCE COME MISURARE UN SERVICE DESK IT A cura di Donatella Maciocia, consultant di HSPI Introduzione Il Service Desk, ovvero il gruppo di persone che è l interfaccia con gli utenti

Dettagli

Software. Engineering

Software. Engineering Software Il modello CMMI Engineering nelle organizzazioni software Agenda Focalizzazione sul processo CMMI come modello per il miglioramento dei processi Struttura del modello CMMI Aree di processo Riferimenti

Dettagli

IL BS7799 ALCUNI CONCETTI FONDAMENTALI. Relatore: Ing. Marcello Mistre, CISA marcello.mistre@sistinf.it BS 7799. Sistemi Informativi S.p.A.

IL BS7799 ALCUNI CONCETTI FONDAMENTALI. Relatore: Ing. Marcello Mistre, CISA marcello.mistre@sistinf.it BS 7799. Sistemi Informativi S.p.A. IL BS7799 Relatore: Ing. Marcello Mistre, CISA marcello.mistre@sistinf.it Sistemi Informativi S.p.A. ALCUNI CONCETTI FONDAMENTALI Sistemi Informativi S.p.A. 2 ATTIVITA DELLA SECURITY STUDIO, SVILUPPO ED

Dettagli

Stefano Leofreddi Senior Vice President Risk Management Integrato. 1 Ottobre 2014, Roma

Stefano Leofreddi Senior Vice President Risk Management Integrato. 1 Ottobre 2014, Roma Il Risk Management Integrato in eni Stefano Leofreddi Senior Vice President Risk Management Integrato 1 Ottobre 2014, Roma Indice - Sviluppo del Modello RMI - Governance e Policy - Processo e Strumenti

Dettagli

La certificazione CISM

La certificazione CISM La certificazione CISM Firenze, 19 maggio 2005 Daniele Chieregato Agenda Ruolo del Security Manager Certificati CISM Domini Requisiti Ruolo del Security Manager La gestione della Sicurezza Informatica

Dettagli

Pubblicazioni COBIT 5

Pubblicazioni COBIT 5 Pubblicazioni COBIT 5 Marco Salvato CISA, CISM, CGEIT, CRISC, COBIT 5 Foundation, COBIT 5 Trainer 1 SPONSOR DELL EVENTO SPONSOR DI ISACA VENICE CHAPTER CON IL PATROCINIO DI 2 La famiglia COBIT 5 3 Aprile

Dettagli

Il processo di sviluppo sicuro. Kimera Via Bistolfi, 49 20134 Milano www.kimera.it info@kimera.it

Il processo di sviluppo sicuro. Kimera Via Bistolfi, 49 20134 Milano www.kimera.it info@kimera.it Il processo di sviluppo sicuro Kimera Via Bistolfi, 49 20134 Milano www.kimera.it info@kimera.it Kimera Via Bistolfi, 49 20134 Milano www.kimera.it info@kimera.it Argomenti: Perchè farlo Il processo di

Dettagli

I Sistemi Gestione Energia e il ruolo dell energy manager

I Sistemi Gestione Energia e il ruolo dell energy manager I Sistemi Gestione Energia e il ruolo dell energy manager Valentina Bini, FIRE 27 marzo, Napoli 1 Cos è la FIRE La Federazione Italiana per l uso Razionale dell Energia è un associazione tecnico-scientifica

Dettagli

INTERNAL AUDITING ROMA, 12 MAGGIO 2005 FORUM PA GIUSEPPE CERASOLI, CIA RESPONSABILE COMITATO PA

INTERNAL AUDITING ROMA, 12 MAGGIO 2005 FORUM PA GIUSEPPE CERASOLI, CIA RESPONSABILE COMITATO PA INTERNAL AUDITING ROMA, 12 MAGGIO 2005 FORUM PA Fondato a New York nel 1941 Presente in 160 paesi, conta ora più di 110.000 membri Ha sede negli USA ma la sua Governance è Globale Globali sono pure il

Dettagli

Sistemi di Gestione: cosa ci riserva il futuro? Novità Normative e Prospettive

Sistemi di Gestione: cosa ci riserva il futuro? Novità Normative e Prospettive Comitato SGQ Comitato Ambiente Sistemi di Gestione: cosa ci riserva il futuro? Novità Normative e Prospettive Mercoledì, 23 febbraio 2005 - Palazzo FAST (Aula Morandi) Piazzale Morandi, 2 - Milano E' una

Dettagli

Lista delle descrizioni dei Profili

Lista delle descrizioni dei Profili Lista delle descrizioni dei Profili La seguente lista dei Profili Professionali ICT è stata definita dal CEN Workshop on ICT Skills nell'ambito del Comitato Europeo di Standardizzazione. I profili fanno

Dettagli

SharePoint Governance

SharePoint Governance SharePoint Governance SharePoint Governance Governance is a two-sided coin. A lot of people get annoyed with it, but without governance, SharePoint gets expensive and difficult to manage. (Global energy

Dettagli

PMI. Management Maturity Model, OPM3 Second Edition 2008

PMI. Management Maturity Model, OPM3 Second Edition 2008 Nuovi standard PMI, certificazioni professionali e non solo Milano, 20 marzo 2009 PMI Organizational Project Management Maturity Model, OPM3 Second Edition 2008 Andrea Caccamese, PMP Prince2 Practitioner

Dettagli

SU MISURA PER IL TUO TEAM, PRESSO IL TUO UFFICIO Training On-site

SU MISURA PER IL TUO TEAM, PRESSO IL TUO UFFICIO Training On-site SU MISURA PER IL TUO TEAM, PRESSO IL TUO UFFICIO Training On-site La Tecnologia evolve velocemente ed anche gli esperti IT più competenti hanno bisogno di una formazione costante per tenere il passo Come

Dettagli

ISO Revisions Whitepaper

ISO Revisions Whitepaper ISO Revisions ISO Revisions ISO Revisions Whitepaper Processi e procedure Verso il cambiamento Processo vs procedura Cosa vuol dire? Il concetto di gestione per processi è stato introdotto nella versione

Dettagli

ESI International. Project Management & Business Analysis Solutions. www.esi-italy.it

ESI International. Project Management & Business Analysis Solutions. www.esi-italy.it ESI International Project Management & Business Analysis Solutions www.esi-italy.it Chi siamo Leader globali nei servizi di PERFORMANCE IMPROVEMENT in: Project Management Business Analysis Agile Project

Dettagli

Misura delle performance dei processi con le metriche suggerite da COBIT e ITIL

Misura delle performance dei processi con le metriche suggerite da COBIT e ITIL Al servizio dei professionisti dell IT Governance Capitolo di Milano Misura delle performance dei processi con le metriche suggerite da COBIT e ITIL Valter Tozzini - ItSMF Italia Paola Belforte - ItSMF

Dettagli

La certificazione ISO/IEC 20000-1:2005: casi pratici

La certificazione ISO/IEC 20000-1:2005: casi pratici La certificazione ISO/IEC 20000-1:2005: casi pratici L esperienza DNV come Ente di Certificazione ISO 20000 di Cesare Gallotti e Fabrizio Monteleone La ISO/IEC 20000-1:2005 (che recepisce la BS 15000-1:2002

Dettagli

Corso di Amministrazione di Sistema Parte I ITIL 2

Corso di Amministrazione di Sistema Parte I ITIL 2 Corso di Amministrazione di Sistema Parte I ITIL 2 Francesco Clabot Responsabile erogazione servizi tecnici 1 francesco.clabot@netcom-srl.it Fondamenti di ITIL per la Gestione dei Servizi Informatici IT

Dettagli

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi

Dettagli

È costituito dagli atteggiamenti e dalle azioni del board e del management rispetto all'importanza del controllo all'interno.

È costituito dagli atteggiamenti e dalle azioni del board e del management rispetto all'importanza del controllo all'interno. Glossario Internal Auditing Fonte: Associazione Italiana Internal Audit (AIIA) www.aiiaweb.it Adeguato controllo Un controllo è adeguato se viene pianificato e organizzato (progettato) dal management in

Dettagli

PROFILO AZIENDALE 2011

PROFILO AZIENDALE 2011 PROFILO AZIENDALE 2011 NET STUDIO Net Studio è un azienda che ha sede in Toscana ma opera in tutta Italia e in altri paesi Europei per realizzare attività di Consulenza, System Integration, Application

Dettagli

Classificazione Nuovo Esame PMP

Classificazione Nuovo Esame PMP Notizie sul nuovo esame PMP a partire dal Agosto 0 Classificazione Nuovo Esame PMP Questo è il link al documento del PMI: Crosswalk Between Current and New PMP Classifications del PMI Di seguito trovi

Dettagli

L ultima versione di ITIL: V3 Elementi salienti

L ultima versione di ITIL: V3 Elementi salienti L ultima versione di ITIL: V3 Elementi salienti Federico Corradi Workshop SIAM Cogitek Milano, 17/2/2009 COGITEK s.r.l. Via Montecuccoli 9 10121 TORINO Tel. 0115660912 Fax. 0115132623Cod. Fisc.. E Part.

Dettagli

Sottotitolo Sinergie tra standard e cenni alla ISO/IEC 27013

Sottotitolo Sinergie tra standard e cenni alla ISO/IEC 27013 Sottotitolo Sinergie tra standard e cenni alla ISO/IEC 27013 Autore Fabio Guasconi Lo standard ISO/IEC 27001 Sistema di Gestione per la Sicurezza delle Informazioni (SGSI o ISMS). Applicabile ad organizzazioni

Dettagli

La norma ISO 50001 per il risparmio energetico delle aziende

La norma ISO 50001 per il risparmio energetico delle aziende La norma ISO 50001 per il risparmio energetico delle aziende La norma UNI CEI EN ISO 50001:2011 Sistemi di gestione dell energia Requisiti e linee guida per l uso è la versione ufficiale italiana della

Dettagli

Modulo 1 Concetti di base della Qualità

Modulo 1 Concetti di base della Qualità Syllabus rev. 1.04 Modulo 1 Concetti di base della Qualità Il seguente Syllabus è relativo al Modulo 1, Concetti e approcci di base per la gestione della qualità in una organizzazione, e fornisce i fondamenti

Dettagli

Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology

Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology Davide Lizzio CISA CRISC Venezia Mestre, 26 Ottobre 2012 Informazioni Aziendali: Il processo di

Dettagli

Sistemi di misurazione delle performance

Sistemi di misurazione delle performance Sistemi di misurazione delle performance 1 Agenda Cos è la misurazione delle performance e a cosa serve? Tipi di indicatori Outcome Requisiti minimi Come gestire la performance. 2 Che cos e la misurazione

Dettagli

1- Corso di IT Strategy

1- Corso di IT Strategy Descrizione dei Corsi del Master Universitario di 1 livello in IT Governance & Compliance INPDAP Certificated III Edizione A. A. 2011/12 1- Corso di IT Strategy Gli analisti di settore riportano spesso

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 3 Marco Fusaro KPMG S.p.A. 1 IT Governance IT Governance E il processo di

Dettagli

Il modello ERM come strumento trasversale per la gestione dei rischi e le sue implicazioni operative e gestionali. Roma, 6 giugno 2013 1

Il modello ERM come strumento trasversale per la gestione dei rischi e le sue implicazioni operative e gestionali. Roma, 6 giugno 2013 1 Il modello ERM come strumento trasversale per la gestione dei rischi e le sue implicazioni operative e gestionali Roma, 6 giugno 2013 1 Fondata nel 1972 142 soci 50 associati Fatturato complessivo dei

Dettagli

MANUALE DELLA QUALITÀ Pag. 1 di 10

MANUALE DELLA QUALITÀ Pag. 1 di 10 MANUALE DELLA QUALITÀ Pag. 1 di 10 INDICE IL SISTEMA DI GESTIONE DELLA QUALITÀ Requisiti generali Responsabilità Struttura del sistema documentale e requisiti relativi alla documentazione Struttura dei

Dettagli

I modelli normativi. I modelli per l eccellenza. I modelli di gestione per la qualità

I modelli normativi. I modelli per l eccellenza. I modelli di gestione per la qualità 1 I modelli di gestione per la qualità I modelli normativi I modelli per l eccellenza Entrambi i modelli si basano sull applicazione degli otto principi del TQM 2 I modelli normativi I modelli normativi

Dettagli

Qualification Program in IT Service Management according to ISO/IEC 20000. Cesare Gallotti Milano, 23 gennaio 2009

Qualification Program in IT Service Management according to ISO/IEC 20000. Cesare Gallotti Milano, 23 gennaio 2009 Qualification Program in IT Service Management according to ISO/IEC 20000 Cesare Gallotti Milano, 23 gennaio 2009 1 Agenda Presentazione Le norme della serie ISO/IEC 20000 L IT Service Management secondo

Dettagli

SOA è solo tecnologia? Consigli utili su come approcciare un progetto SOA. Service Oriented Architecture

SOA è solo tecnologia? Consigli utili su come approcciare un progetto SOA. Service Oriented Architecture SOA è solo tecnologia? Consigli utili su come approcciare un progetto SOA Service Oriented Architecture Ormai tutti, nel mondo dell IT, conoscono i principi di SOA e i benefici che si possono ottenere

Dettagli

PREMESSA. La norma ISO 50001, Energy management systems - Requirements with guidance for use, è stata sviluppata dall ISO Project Committee ISO/PC 242

PREMESSA. La norma ISO 50001, Energy management systems - Requirements with guidance for use, è stata sviluppata dall ISO Project Committee ISO/PC 242 PREMESSA. L'esigenza di una gestione più attenta e razionale dell'energia ha spinto diverse nazioni ad elaborare standard nazionali volontari, tra le quali anche gli Stati Uniti con MSE 2000:2005, introducendo

Dettagli

XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti?

XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti? XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti? L innovazione applicata ai controlli: il caso della cybersecurity Tommaso Stranieri Partner di

Dettagli

LE COMPETENZE DI FUNDRAISING (CF) INSEGNATE AL MASTER

LE COMPETENZE DI FUNDRAISING (CF) INSEGNATE AL MASTER LE COMPETENZE DI FUNDRAISING (CF) INSEGNATE AL MASTER Indice INTRODUZIONE... 3 CF1 - SVILUPPARE IL CASO PER IL FUNDRAISING... 4 CF 1.1 : INDIVIDUARE LE NECESSITÀ DI FUNDRAISING DI UN ORGANIZZAZIONE NONPROFIT;...

Dettagli

Norme per l organizzazione - ISO serie 9000

Norme per l organizzazione - ISO serie 9000 Norme per l organizzazione - ISO serie 9000 Le norme cosiddette organizzative definiscono le caratteristiche ed i requisiti che sono stati definiti come necessari e qualificanti per le organizzazioni al

Dettagli

IMPLEMENTAZIONE di un SISTEMA di GESTIONE AMBIENTALE (secondo la norma UNI EN ISO 14001-2004)

IMPLEMENTAZIONE di un SISTEMA di GESTIONE AMBIENTALE (secondo la norma UNI EN ISO 14001-2004) Dott. Marco SALVIA IMPLEMENTAZIONE di un SISTEMA di GESTIONE AMBIENTALE (secondo la norma UNI EN ISO 14001-2004) Dr. Marco SALVIA 1 Perché gestire la variabile ambientale in azienda? 1. Perché rappresenta

Dettagli

Università degli studi dell Aquila. Sistemi informativi aziendali 9 C.F.U.

Università degli studi dell Aquila. Sistemi informativi aziendali 9 C.F.U. Università degli studi dell Aquila Sistemi informativi aziendali 9 C.F.U. Ing. Gaetanino Paolone (gaetanino.paolone@univaq.it) Prof. Dr. Luciano Fratocchi (luciano.fratocchi@univaq.it) Contenuti (2 ore)

Dettagli

TECNICHE DI VALUTAZIONE DEL RISCHIO

TECNICHE DI VALUTAZIONE DEL RISCHIO Per conto di AICQ CN 1 - Autore Giovanni Mattana - Consigliere di Giunta AICQ CN Presidente della Commissione UNI per i Sistemi di Qualità La norma è intesa come un supporto per la Iso 31000 e fornisce

Dettagli

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Convegno sulla Sicurezza delle Informazioni La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Giambattista Buonajuto Lead Auditor BS7799 Professionista indipendente Le norme

Dettagli

Come favorire la competitività e la sostenibilità con la nuova ISO 9001:2015

Come favorire la competitività e la sostenibilità con la nuova ISO 9001:2015 Come favorire la competitività e la sostenibilità con la nuova ISO 9001:2015 Lucio Galdangelo - Fieramilano 02/10/2014 Come cambierà la norma ISO 9001 2015 ISO 9001:2015 2012 New Work Item Proposal per

Dettagli

IT Governance: scelte e soluzioni. Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010

IT Governance: scelte e soluzioni. Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010 IT Governance: scelte e soluzioni Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010 Agenda 1. Presentazione 2. IT Governance 3. I quadri di riferimento 4. Le attività di controllo 5. Privacy

Dettagli

Comunità di pratica Nedcommunity Risk management, piano strategico e organi di governo: business case

Comunità di pratica Nedcommunity Risk management, piano strategico e organi di governo: business case Making the traveller s day better Comunità di pratica Nedcommunity Risk management, piano strategico e organi di governo: business case Milano, 2 Luglio 204 Group Enterprise Risk Management Contenuto del

Dettagli

Modulo 1 Concetti di base della Qualità

Modulo 1 Concetti di base della Qualità Syllabus rev. 1.03 Modulo 1 Concetti di base della Qualità Il seguente Syllabus è relativo al Modulo 1, Concetti e approcci di base per la gestione della qualità in una organizzazione, e fornisce i fondamenti

Dettagli

ISO/IEC 2700:2013. Principali modifiche e piano di transizione alla nuova edizione. DNV Business Assurance. All rights reserved.

ISO/IEC 2700:2013. Principali modifiche e piano di transizione alla nuova edizione. DNV Business Assurance. All rights reserved. ISO/IEC 2700:2013 Principali modifiche e piano di transizione alla nuova edizione ISO/IEC 27001 La norma ISO/IEC 27001, Information technology - Security techniques - Information security management systems

Dettagli

N 1 alla versione bilingue (italiano-inglese) NORMA UNI EN ISO 9001 (novembre 2008) Sistemi di gestione per la qualità - Requisiti.

N 1 alla versione bilingue (italiano-inglese) NORMA UNI EN ISO 9001 (novembre 2008) Sistemi di gestione per la qualità - Requisiti. ERRATA CORRIGE N 1 alla versione bilingue (italiano-inglese) DEL 31 luglio 2009 NORMA UNI EN ISO 9001 (novembre 2008) TITOLO Sistemi di gestione per la qualità - Requisiti Punto della norma Pagina Oggetto

Dettagli

Agenda. IT Governance e SOA. Strumenti di supporto alla governance. Vittoria Caranna vcaranna@imolinfo.it Marco Cimatti mcimatti@imolinfo.

Agenda. IT Governance e SOA. Strumenti di supporto alla governance. Vittoria Caranna vcaranna@imolinfo.it Marco Cimatti mcimatti@imolinfo. SOA Governance Vittoria Caranna vcaranna@imolinfo.it Marco Cimatti mcimatti@imolinfo.it Agenda IT Governance e SOA Strumenti di supporto alla governance 2 Importanza della Governance Service Oriented Architecture

Dettagli

Business Process Management

Business Process Management Business Process Management Comprendere, gestire, organizzare e migliorare i processi di business Caso di studio a cura della dott. Danzi Francesca e della prof. Cecilia Rossignoli 1 Business process Un

Dettagli

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 FIRMA: RIS DATA DI EMISSIONE: 13/3/2015 INDICE INDICE...2 CHANGELOG...3 RIFERIMENTI...3 SCOPO E OBIETTIVI...4 CAMPO DI APPLICAZIONE...4 POLICY...5

Dettagli

Qualità è il grado in cui un insieme di caratteristiche intrinseche soddisfa i requisiti (UNI EN ISO 9000:2005)

Qualità è il grado in cui un insieme di caratteristiche intrinseche soddisfa i requisiti (UNI EN ISO 9000:2005) La Qualità secondo ISO Qualità è l insieme delle proprietà e delle caratteristiche di un prodotto o di un servizio che conferiscono ad esso la capacità di soddisfare esigenze espresse o implicite (UNI

Dettagli

INIZIATIVA TESI. ISACA VENICE promuove le best practice proposte da ISACA e la collaborazione fra le Università e le Imprese del triveneto

INIZIATIVA TESI. ISACA VENICE promuove le best practice proposte da ISACA e la collaborazione fra le Università e le Imprese del triveneto INIZIATIVA TESI ISACA VENICE promuove le best practice proposte da ISACA e la collaborazione fra le Università e le Imprese del triveneto In linea con la sua mission e con le indicazioni del Comitato Strategico,

Dettagli

IT Service Management

IT Service Management IT Service Management ITIL: I concetti chiave ed il livello di adozione nelle aziende italiane Matteo De Angelis, itsmf Italia (I) 1 Chi è itsmf italia 12 th May 2011 - Bolzano itsmf (IT Service Management

Dettagli

Rational Unified Process Introduzione

Rational Unified Process Introduzione Rational Unified Process Introduzione G.Raiss - A.Apolloni - 4 maggio 2001 1 Cosa è E un processo di sviluppo definito da Booch, Rumbaugh, Jacobson (autori dell Unified Modeling Language). Il RUP è un

Dettagli

Università di Macerata Facoltà di Economia

Università di Macerata Facoltà di Economia Materiale didattico per il corso di Internal Auditing Anno accademico 2011-2012 Università di Macerata Facoltà di Economia 1 Obiettivo della lezione QUALITY ASSESSMENT REVIEW I KEY PERFORMANCE INDICATORS

Dettagli

CORPORATE GOVERNANCE. Implementare una corporate governance efficace

CORPORATE GOVERNANCE. Implementare una corporate governance efficace CORPORATE GOVERNANCE Implementare una corporate governance efficace 2 I vertici aziendali affrontano una situazione in evoluzione Stiamo assistendo ad un cambiamento senza precedenti nel mondo della corporate

Dettagli

RSM01. Pag. 1/9 Rev.03. Regolamento VSSM. E. Stanghellini R. De Pari. S. Ronchi R. De Pari 03 11/02/2015. S. Ronchi R. De Pari

RSM01. Pag. 1/9 Rev.03. Regolamento VSSM. E. Stanghellini R. De Pari. S. Ronchi R. De Pari 03 11/02/2015. S. Ronchi R. De Pari Pag. 1/9 03 11/02/2015 Modificata da EA a IAF la denominazione dei Settori merceologici. S. Ronchi R. De Pari E. Stanghellini R. De Pari 02 03/01/2014 Modificata ragione sociale 01 10/04/2012 Aggiornamento

Dettagli

La norma UNI EN ISO 14001:2004

La norma UNI EN ISO 14001:2004 La norma COS È UNA NORMA La normazione volontaria Secondo la Direttiva Europea 98/34/CE del 22 giugno 1998: "norma" è la specifica tecnica approvata da un organismo riconosciuto a svolgere attività normativa

Dettagli

Il modello di ottimizzazione SAM

Il modello di ottimizzazione SAM Il modello di ottimizzazione control, optimize, grow Il modello di ottimizzazione Il modello di ottimizzazione è allineato con il modello di ottimizzazione dell infrastruttura e fornisce un framework per

Dettagli

Application Security Governance

Application Security Governance Application Security Governance 28 ottobre 2010 Francesco Baldi Security & Risk Management Practice Principal 1 AGENDA Problematiche di sicurezza applicativa Modello di riferimento Processo di sicurezza

Dettagli

Presentazione. agili e flessibili; costantemente aderenti al business model ed alla sua evoluzione geografica e temporale;

Presentazione. agili e flessibili; costantemente aderenti al business model ed alla sua evoluzione geografica e temporale; Presentazione Blu Consulting è una società di consulenza direzionale certificata ISO 9001:2008, fondata da Mauro Masciarelli nel 2009, specializzata nella revisione delle strategie di business, adeguamento

Dettagli

IT governance & management. program

IT governance & management. program IT governance & management Executive program VI EDIZIONE / GENNAIO - maggio 2016 PERCHÉ QUESTO PROGRAMMA Nell odierno scenario competitivo l ICT si pone come un fattore abilitante dei servizi di business

Dettagli

Progetto AURELIA: la via verso il miglioramento dei processi IT

Progetto AURELIA: la via verso il miglioramento dei processi IT Progetto AURELIA: la via verso il miglioramento dei processi IT Maurizio Coluccia Agenda BNL - BNP Paribas: IT Convergence Projects Il programma Il progetto Aurelia Il perimetro del progetto e le interfacce

Dettagli

I modelli normativi. I modelli per l eccellenza. I modelli di gestione per la qualità. ! I modelli normativi. ! I modelli per l eccellenza

I modelli normativi. I modelli per l eccellenza. I modelli di gestione per la qualità. ! I modelli normativi. ! I modelli per l eccellenza 1 I modelli di gestione per la qualità I modelli normativi I modelli per l eccellenza Entrambi i modelli si basano sull applicazione degli otto principi del TQM 2 I modelli normativi I modelli normativi

Dettagli

Configuration Management

Configuration Management Configuration Management Obiettivi Obiettivo del Configuration Management è di fornire un modello logico dell infrastruttura informatica identificando, controllando, mantenendo e verificando le versioni

Dettagli

Determinanti, modelli di diffusione e impatto di medical device cost saving nel Servizio Sanitario Nazionale

Determinanti, modelli di diffusione e impatto di medical device cost saving nel Servizio Sanitario Nazionale Determinanti, modelli di diffusione e impatto di medical device cost saving nel Servizio Sanitario Nazionale Documento elaborato dall Alta Scuola di Economia e Management dei Sistemi Sanitari Nell ambito

Dettagli

GUIDA SULL'APPROCCIO PER PROCESSI DEI SISTEMI DI GESTIONE PER LA QUALITÀ

GUIDA SULL'APPROCCIO PER PROCESSI DEI SISTEMI DI GESTIONE PER LA QUALITÀ GUIDA SULL'APPROCCIO PER PROCESSI DEI SISTEMI DI GESTIONE PER LA QUALITÀ 1) Introduzione Questo documento guida vuol aiutare gli utilizzatori delle norme serie ISO 9000:2000 a comprendere i concetti e

Dettagli

Corso di Amministrazione di Sistema Parte I ITIL C

Corso di Amministrazione di Sistema Parte I ITIL C Corso di Amministrazione di Sistema Parte I ITIL C Francesco Clabot Responsabile erogazione servizi tecnici 1 francesco.clabot@netcom-srl.it Fondamenti di ITIL per la Gestione dei Servizi Informatici IT

Dettagli

IL PERFORMANCE MANAGEMENT

IL PERFORMANCE MANAGEMENT IT PROFESSIONAL SERVICES UNA SOLUZIONE PER IL PERFORMANCE MANAGEMENT for Enterprise Gestire il portfolio applicativo monitorando qualità, produttività e costi dello sviluppo applicativo Overview ARGOMENTI:

Dettagli

Corso di Specializzazione in Gestione dei Servizi IT Motivazioni, contenuti, obiettivi

Corso di Specializzazione in Gestione dei Servizi IT Motivazioni, contenuti, obiettivi Corso di Specializzazione in Gestione dei Servizi IT Motivazioni, contenuti, obiettivi 4 febbraio 2013 Tullio Vardanega Dipartimento di Matematica Università di Padova tullio.vardanega@math.unipd.it David

Dettagli

L attività dell Internal Audit. G.M. Mirabelli

L attività dell Internal Audit. G.M. Mirabelli L attività dell Internal Audit G.M. Mirabelli Milano 13 ottobre 2006 Obiettivi della presentazione Evidenziare i compiti che nel nuovo Codice di autodisciplina sono assegnati all Internal Auditing, se

Dettagli

A PROPOSITO DI ITIL IT SERVICE MANAGEMENT. Dove si trova ITIL...nel framework delle Best Practice?

A PROPOSITO DI ITIL IT SERVICE MANAGEMENT. Dove si trova ITIL...nel framework delle Best Practice? A PROPOSITO DI ITIL ITIL fornisce un framework di linee guida best practice per l IT Service Management. Fornisce un framework per la governance dell IT e si focalizza sulla continua misurazione e miglioramento

Dettagli

La condensazione della nuvola

La condensazione della nuvola La condensazione della nuvola BS ISO/IEC 27001: 2005 e cloud computing Come si trattano i gas? Rendendoli liquidi Comprimendoli e inserendoli in contenitori CONDENSANDOLI allora possono essere trattati,

Dettagli

Analisi e gestione del rischio. ing. Daniele Perucchini Fondazione Ugo Bordoni dperucchini@fub.it

Analisi e gestione del rischio. ing. Daniele Perucchini Fondazione Ugo Bordoni dperucchini@fub.it Analisi e gestione del rischio ing. Daniele Perucchini Fondazione Ugo Bordoni dperucchini@fub.it ISCOM e infrastrutture critiche www.iscom.gov.it Premessa Prima di iniziare qualsiasi considerazione sull'analisi

Dettagli

Un'efficace gestione del rischio per ottenere vantaggi competitivi

Un'efficace gestione del rischio per ottenere vantaggi competitivi Un'efficace gestione del rischio per ottenere vantaggi competitivi Luciano Veronese - RSA Technology Consultant Marco Casazza - RSA Technology Consultant 1 Obiettivi della presentazione Dimostrare come

Dettagli

BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY.

BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY. BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY. BUSINESS RISK CONSULTING PROCESS OPTIMIZATION Mappatura as is dei processi, definizione dello stato to be, gap analysis, definizione ed implementazione

Dettagli