COBIT. COBIT è un modello di riferimento che comprende una raccolta di best practice

Transcript

1 COBIT Il COBIT (Control Objectives for Information and related Technology ) e' un set (freamework) di best practices per il management dell'it creato dall'isaca (Information Systems Audit and Control Association ), e dall'itgi (IT Governance Institute) nel E' stato successivamente aggiornato nel 1996, 1998, 2000 e Dicembre 2005 (COBIT 4.0). COBIT è un IT governance framework, con una serie di tool di supporto, che permette ai manager di colmare il gap tra i requisiti di controllo, le tematiche tecnologiche ed i rischi di business. COBIT permette la definizione di chiare politiche e di buone prassi per il controllo IT in tutta l organizzazione. L ultima versione, COBIT 4.0, enfatizza gli aspetti relativi alle conformità di legge, aiuta le organizzazioni ad aumentare il valore che si può ottenere dall IT, facilita l allineamento strategico, semplifica l adozione del framework stesso. COBIT è un modello di riferimento che comprende una raccolta di best practice A chi si rivolge Cobit? COBIT è pensato per essere usato in tre ambiti diversi: il management: per aiutare i manager al fine di bilanciare i rischi e controllare gli investimenti in un settore (l IT) spesso difficile da comprendere e di cui non si conoscono a priori rapidi mutamenti; gli auditor: per fornire una linea guida nel lavoro di costruzione di una opinione riguardo al livello di garanzia su ambiti posti a verifica e fornire consigli al management su controlli interni necessari; gli utenti: per ottenere garanzie sulla sicurezza e sul controllo dei servizi IT forniti o all interno dell ente/azienda o da terze parti. Attraverso l utilizzo di COBIT l IT Governance è finalizzata a: Provide a business focus to enable alignment between business and IT objectives Establish a process orientation to define the scope and extent of coverage, with a defined structure enabling easy navigation of content Be generally acceptable by being consistent with accepted IT good practices and standards and independent of specific technologies Supply a common language with a set of terms and definitions that are generally understandable by all stakeholders Help meet regulatory requirements by being consistent with generally accepted corporate governance standards (e.g., COSO) and IT controls expected by regulators and external auditors Passiamo ora ad esaminare quali sono i 5 concetti fondamentali della IT Governance cosi dettagliati: 1) Strategic alignment (allineamento strategico) della sicurezza delle informazioni con la strategia di business per contribuire a perseguire gli obiettivi dell azienda; 2) Risk management effettuando appropriate misure per gestire e mitigare i rischi e ridurre il potenziale impatto sulle risorse informative ad un livello accettabile; 3) Resource management utilizzando la conoscenza della sicurezza informatica e la gestione efficiente ed efficace dell infrastruttura; 4) Performance measurement attraverso la misura, il monitoraggio ed il reporting secondo metriche dell IT Governance per assicurare che gli obiettivi aziendali siano perseguiti; 5) Value delivery attraverso l ottimizzazione degli investimenti effettuati nel perseguimento degli obiettivi aziendali. Si vedano in dettaglio i due grafici successivi:

2 Gli obiettivi di COBIT Nella versione emessa nel 1996 si dichiara che: Mission of COBIT is to research, develop, publicize and promote an authoritative, up-to-date, international set of generally accepted information technology control objectives for day-to-day use by business managers and auditors ; Managers, auditors, and users benefit from the development of COBIT because it helps them understand their IT systems and decide the level of security and control that is necessary to protect their companies assets through the development of an IT governance model. COBIT non è una certificazione in quanto non prevede l ottenimento di una certificazione: è piuttosto un modo strutturato per pianificare, gestire e monitorare l attività di una organizzazione che fa uso di sistemi IT. Infatti COBIT si prefigge di fornire ai manager, agli auditor e agli utenti IT un insieme riconosciuto di misure, indicatori, processi e best practices al fine di assisterli nella massimizzazione dei benefici che si possono ottenere con l utilizzo ragionato dell Information Technology nell ente/azienda. Origini storiche La prima edizione di COBIT fu pubblicata nel 1996, poi modificata nel 1998 alle quali si aggiunsero le Linee Guida per il Management. Nel 2000 viene pubblicata la terza edizione (pubblicata in internet nel 2003) che viene poi rivista nel dicembre Attualmente è disponibile la versione 4.1 sul sito dell ISACA (

3 Quando parliamo di Cobit ci si fa riferimento ad alcune parole chiave come: 1) Control Il termine controllo è definito come le politiche, le procedure, le pratiche e le strutture organizzative progettate per fornire ragionevoli garanzie che gli obiettivi di business saranno raggiunti e eventi indesiderati verranno prevenuti o riconosciuti o corretti; 2) IT control objective Il termine obiettivo di controllo IT è definito come lo scopo da raggiungere in ambito IT attraverso l utilizzo delle procedure di controllo. 1) IT governance Il termine IT governance è definito come una struttura di relazioni e processi per dirigere e controllare l ente/azienda al fine di realizzare gli obiettivi. COBIT come si evince dal seguente grafico è: business-focused (focalizzato sul business) process-oriented (orientato al processo) control-based (basato sul controllo) measurement-driven (misura gudata)

4 L approccio di COBIT individua tre piani logici per l approntamento della metodologia: Information criteria IT processes IT resources COBIT introduce sette Information Criteria (Business Requirements) che derivano dall applicazione dei concetti di Quality, Security e Fiduciary: 1. Effectiveness - Deals with information being relevant and pertinent to the business process as well as being delivered in a timely, correct, consistent and usable manner; 2. Efficiency - Concerns the provision of information through the optimal (most productive and economical) use of resources;

5 3. Confidentiality - Concerns the protection of sensitive information from unauthorised disclosure; 4. Integrity - Relates to the accuracy and completeness of information as well as to its validity in accordance with business values and expectations; 5. Availability - Relates to information being available when required by the business process now and in the future. It also concerns the safeguarding of necessary resources and associated capabilities; 6. Compliance - Deals with complying with those laws, regulations and contractual arrangements to which the business process is subject, i.e., externally imposed business criteria; 7. Reliability of information - Relates to the provision of appropriate information for management to operate the entity and for management to exercise its financial and compliance reporting responsibilities. COBIT è strutturato in 4 domini che sono Plan and Organization (pianifica ed organizza), Acquire and Implement (acquisisci ed implementa), Delivery and Support (consegna e supporta), Monitor and Evaluate (Controlla e valuta). Tale modello si esplicita nel seguente grafico: Ogni dominio raggruppa dei processi ad alto livello (34 HL Process ->obiettivi di controllo) mentre ogni processo (obiettivo di controllo) è in relazione ad un gruppo di controlli e best practice (>300) In questo caso le risorse IT sono: a) Information (Data) - Informazione nel suo senso più ampio, strutturata non strutturata, grafica, sonora, etc; b) Application systems - L insieme delle procedure manuali o automatiche; Infrastructures (Technology and Facilities) - Hardware, operating systems, database management systems, networking, multimedia (Technology ), e tutte le risorse necessarie per supportare i sistemi di elaborazione delle informazioni (Facilities); c) People - Competenze degli addetti, consapevolezza e produttività. Modello di maturità Il modello di maturità (Maturity Model) di COBIT si può applicare a ogni processo. Infatti esso stesso dà una visione concreta di dove si posiziona l ente/azienda e della direzione da imprimere ai miglioramenti.

6 Gli attributi del modello di maturità I sei attributi del modello di maturità sono i seguenti: Awareness and communication, Policies, standards and procedures, Tools and automation, Skills and expertise, Responsibility and accountability, Goal setting and measurement

7 I ruoli Chief executive officer (CEO) Chief financial officer (CFO) Business executives Chief information officer (CIO) Business process owner Head operations Chief architect Head development Head IT administration (for large enterprises, the head of functions such as human resources, budgeting and internal control) The project management officer (PMO) or function Compliance, audit, risk and security (groups with control responsibilities but not operational IT responsibilities) Dottor Antonio Guzzo Responsabile CED del Comune di Praia a Mare