Impianto della Funzione di Governo dell ICT

Transcript

1

2 Impianto della Funzione di Governo dell ICT AIEA Sessione di studio Renato Alessandroni, CISA, CGEIT, CISM, PMP Roma, 1 ottobre 2012 Questo materiale non può essere considerato esaustivo senza i commenti che lo hanno accompagnato. 2

3 Obiettivo dell incontro Presentare l esperienza di Iccrea BancaImpresa nell impianto della Funzione di Governo dell ICT aziendale, evidenziando: le motivazioni e le esigenze alla base della decisione di impianto della funzione l approccio, gli strumenti utilizzati i risultati della fase di progettazione organizzativa della Funzione l piano di implementazione i fattori critici di successo 3

4 IT Governance una definizione «Insieme di attività e procedure tese ad assicurare: l allineamento tra gli obiettivi dell azienda e quelli relativi ai Sistemi Informativi l apporto di valore al business da parte dell IT la mitigazione dei rischi in ambito IT» Fonte: ISACA - CISA Review Manual 4

5 In dettaglio IT Governance una definizione (segue) «Struttura organizzativa IT e la gestione delle risorse umane Strategia IT e il processo di sviluppo, approvazione, implementazione e manutenzione di tale strategia Policy, gli standard, le procedure aziendali ed i processi di sviluppo, approvazione, implementazione e manutenzione Attività di investimento, utilizzo e allocazione delle risorse IT Strategie e policy per la definizione dei contratti IT e le attività di gestione di tali contratti Attività di gestione dei rischi Attività di monitoraggio e assurance» Fonte: estratto da ISACA CISA Review Manual) 5

6 Il Progetto 6

7 L esigenza di fondo La gestione dei Sistemi Informativi aziendali necessita sempre più di un approccio strutturato di governo degli stessi, capace sia di supportare le Direzioni e gli Utenti nella corretta gestione della domanda di servizi IT e/o di progetti che di attivare, nel caso, gli opportuni meccanismi e/o soluzioni per soddisfarla 7

8 Il Progetto analisi realizzazione Fase 1 Progettazione interventi e quick- win Fase 2 A Impianto della Funzione Fase 2 B Implementazione Soluzioni di governo Attivita Scenario di riferimento a medio termine (business e IT) Livello di maturità IT attuale e target (Processi / Servizi / Struttura) Gap analysis Proposta di intervento (inclusi quick- w in) Recruiting Struttura organizzativa Regolamento aziendale Kick-off struttura I meccanismi operativi Progettazione micro Implementazione singole soluzioni di Processo IT di Servizio IT Controllo dell evoluzione (consolidamento) Gestione del Progetto maggio 2011 nov gen 2012 giugno

9 Il Progetto Obiettivo e valore atteso Profilo sistema di controllo ICT IBI Organizzazione del Progetto La fase di studio L approccio I risultati I quick win 9

10 Obiettivo e valore atteso Obiettivo: progettare e implementare evoluzioni di Processo e di Servizio, nonché le eventuali evoluzioni di Struttura, dei Sistemi Informativi di IBI Valore atteso: innalzare il livello di definizione e strutturazione delle attività operative e di controllo inerenti le fasi del ciclo di vita del software, al fine di far evolvere il sistema di relazione con i Clienti e con i Fornitori di Servizi dei Sistemi Informativi (innalzamento del livello di qualità del Servizio erogato dai Sistemi Informativi di IBI) 10

11 Profilo SCI-IT Interventi di Audit Area di Intervento sui Processi IT M odelli di riferimento standard (Cobit; ITIL) Modello di riferim ento interno (m odello dei Processi IBI ai fini BIA- Contintuità Ope ra tiva) Processi di Pianificazione e Organizzazione IT Definizione del Piano Strategico per l IT Processi di sviluppo del software Individuazione delle soluzioni (make or buy ) Acquisizione, sviluppo e manutenzione del software applicativo Sviluppo e manutenzione delle procedure (dei sistemi applicativi) Installazione e certificazione dei sistemi applicativi Gestione delle m odifiche Change m anagem ent Processi di erogazione e supporto (dei servizi IT) Definizione dei livelli di servizio Gestione della sicurezza logica dei sistemi Gestione delle anomalie e degli incidenti Gestione delle attività operative Gestione della Continuità di Servizio (Continuità Operativa) Service M anagement 11

12 Profilo SCI-IT - Piano Strategico IT + Interventi Piano Strategico IT : evoluzione dei Sistemi Applicativi verso/per mezzo di (omissis) documentazione, tracciatura delle modifiche, progressiva adozione di processi strutturati di sviluppo del software e di change management, gestione delle richieste, etc. Interventi intrapresi: elaborazione ed emanazione di specifiche procedure organizzative relative a: Processo di Individuazione delle soluzione di automazione (make or buy) Processi di Gestione degli Incidenti Gestione dei Problemi 12

13 Profilo SCI-IT - Indicazioni Capogruppo per l evoluzione Strategia di outsourcing IT: Organizzazione in outsourcing delle attività inerenti i processi di elaborazione consolidati e rilasciati / presi in carico (operation) Funzioni / struttura: Change Management e Service Management distinti rispetto alle Funzioni deputate allo sviluppo del Software Metodologie e Standard in staff al Responsabile Sistemi Informativi Risorse Consolidamento / potenziamento della struttura in linea 13

14 Roadmap per l evoluzione presentata al CdA Sequenzialità delle Fasi utilizzata solo per agevolare la rappresentazione grafica 14

15 L approccio al Progetto Governo dei Sistemi Informativi di IBI Dirigere e controllare con logica unitaria i progetti di evoluzione e gli investimenti Allineamento necessità business e investimenti/costi IT (asset e risorse umane) Gestione del livello di rischio IT Qualità attesa Qualità progettata Qualità offerta Qualità percepita Ruoli e responsabilità Processi operativi e di controllo Struttura Qualità dei Servizi IT Dimensioni considerate Equilibrio organizzativo 15

16 Rischi / opportunità / scenario di riferimento Rischi: Proceduralizzazione delle attività dei Sistemi Informativi incompatibile con le esigenze di Servizio manifestate dagli Utenti Opportunità: Maggiore definizione e standardizzazione delle attività dei sistemi informativi Miglioramento del Sistema di Controllo interno IT Scenario di riferimento: Esternalizzazione delle attività sistemistiche e di gestione (operation) 16

17 Struttura di Progetto Sponsor (Direzione Generale (DG e VDGV) Comitato Guida PM DG ; VDGV ; Capogruppo Sistemi Informativi e Processi Organizzativi Utenti reppresentativi (DG Controllata; Resp. Area) Invitato permanente: Audit Comitato Tecnico Sist. Inf.vi e Processi Organizzativi Sviluèpo Applicativo Altri (invitati) 17

18 Piano delle attività (Fase 1 ) 18

19 Progetto Fase 1 Fase 1 Progettazione interventi e quick- win Deliverable Catalogo dei Servizi Information Technology (IT) Livello di maturità attuale dei Processi IT Livello di maturità target dei Processi IT Gap di Processo, di Servizio, di Struttura Organizzativa Piano delle implementazioni (interventi in scope e interventi out of scope ) Piano delle attività Fase 2 (realizzazione) 19

20 Piano delle Attività Fase 1 ID Nome attività % mpletame maggio giugno luglio agosto settembreottobre novembredicembre gennaio febbraio marzo 1 Progetto Evoluzione organizzativa e di Governo (EOG) - F 26% 2 Inizio Progetto 100% 8 Esecuzione Fase 1 - Progettazione interventi e quick 32% 9 Monitoraggio interventi sulle risorse (deliberati nel 20% CT, PM CdA del 4/3/2011) 10 Identificazione dei quick-win 30% 11 Definizione processo IT di Individuazione 45% CT delle soluzioni (make or buy) 12 Definizione processo di gestione degli Incid 28% 13 Servizi IT esternalizzati all'ist 45% CT 14 Servizi IT gestiti da BAL 5% CT 15 Definizione processo di gestione del Problemi 0% CT 16 Scenario di riferimento a medio termine (3 anni) 96% 17 Alnalisi scenario di business 100% CT 18 Analisi scenario IT 100% CT 19 Elaborazione scenario di riferimento 80% 22/06 20 Mappa attività IT (processi) a medio termine (3 a 93% 21 Adozione e personalizzazione modello di riferimento per l'analisi 100% CT 22 Rilevazione del livello di maturità attuale dei 100% CT processi IT 23 Identificazione del livello di maturità target dei processi IT 100% CT 24 Elaborazione catalogo dei Servizi IT 90% 25 Pubblicazione catalogo dei Servizi IT 0% 26 Gap analysis 0% 27 Identificazione dei gap operativi (Processi, Ser 0% 28 Identificazione dei gap di controllo (Processi, S 0% 29 Identificazione dei gap di struttura organizzativ 0% 30 Identificazione interventi 0% 31 Elaborazione proposta di intervento 0% 32 Approvazione proposta di intervento 0% 33 Elaborazione Piano di Progetto - Fase 2 0% 34 Approvazione Piano di Progetto - Fase 2 0% 35 Monitoraggio 20% 42 Chiusura Progetto - Fase 1 0% 22/06 CT CT CT CT 31/10 PM, CT 30/11 30/11 20

21 Oggetti sviluppati 21

22 Oggetti sviluppati Scenario di riferimento Mappa attività IT Livello di Maturità Proposta (Piano) di intervento 22

23 Obiettivi Scenario di riferimento Verificare gli elementi di stabilità o di instabilità che possono avere riflessi sull elaborazione del nuovo modello operativo dell ICT (processi, servizi, strutture) Indirizzare l approccio al cambiamento (perimetro, modalità) (cfr. nel seguito: Linee guida per il Progetto ) 23

24 Elaborazione Scenario Il mercato (business) Come si presenta IBI sul mercato Gli obiettivi strategici aziendali Gli obiettivi strategici IT Il profilo IT di IBI Scenario di riferimento Il Piano Triennale Il Piano Strategico IT Il Piano Progetti aziendale Sintesi Scenario Linee Guida 24

25 Sintesi Scenario Scenario di riferimento Alta Rilevanza dell IT ai fini del raggiungimento degli obiettivi strategici aziendali Necessità di dover/poter reagire agli aggiustamenti aziendali conseguenti a un mercato non stabile Numerosità elementi ad Alta Rilevanza / Alto Impatto presenti nella Strategia IT Eterogeneità degli elementi a Alta Rilevanza / Alto Impatto presenti nella Strategia IT 25

26 Linee guida Scenario di riferimento Linea Guida per il Progetto: Prevedere momenti di controllo (per conferma o variazione) del Piano delle Attività, in funzione dell avanzamento degli altri interventi medianti i quali si realizza la Strategia IT Linea guida per Identificazione del Livello di Maturità Target dei Processi IT : Se il livello di Maturità Target > del Livello di Maturità attuale à posizionamento del primo a un solo livello al sopra dell attuale. Ciò in linea anche con le linee guida all evoluzione del Livello di Maturità indicate dal SEI e con quanto osservato presso realtà del mercato domestico (lavori ABILab) 26

27 Caratteristiche del modello utilizzato Mappa attività IT Modello a doppia entrata COBIT e ITIL Immediata riferibilità ad altre best practices (SEI) Immediato riferimento a Interventi svolti nel passato (IBI, Audit) e/o in corso Benchmark disponibili Cosa fanno gli altri (es: ABILab) Organizzazione in Cluster di Attività dove: COBIT: cosa fare ITIL (+ SEI): come fare 27

28 Mappa Attività IT Mappa attività IT Mappa delle Attività Cluster di Attività Cobit Processes PO1 Define a strategic IT plan PO3 Determine technological direction PO5 Manage the IT investment PO9 Assess and manage IT risks PO10 Manage projects AI1 Identify automated solutions AI2 Acquire and maintain application software AI5 Procure IT resources AI6 Manage changes AI7 Install and accredit solutions and changes ITIL Processes ST 4.6 Evaluation ST 4.1 Transition planning and support ST 4.2 Change management ST 4.6 Evaluation SO 4.3 Request fulfilment ST 4.5 Service validation and testing ST 4.6 Evaluation 28

29 Mappa Attività IT (segue) Mappa attività IT Mappa delle Attività Cobit Processes DS1 Define and manage service levels DS2 Manage third-party services DS3 Manage performance and capacity DS4 Ensure continuous service DS5 Ensure systems security DS8 Manage service desk and incidents DS10 Manage problems ME1 Monitor and evaluate IT performance ITIL Processes SD 4.1 Service catalogue management SD 4.2 Service level management SD 4.7 Supplier management SD 4.3 Capacity management SD 4.4 Availability management SO 4.1 Event management SD 4.5 IT service continuity management SD 4.6 Information security management SO 4.5 Access management SO 4.1 Event management SO 4.2 Incident management SO 4.4 Problem management 29

30 Il Maturity Model Livello di Maturità Strumento largamente utilizzato e maturo ai fini della valutazione dei Processi IT Sviluppato da Carnegie Mellon University Software Engineering Institute (SEI) Definizione Degree of process improvement across a predefined set of process areas in which all goals in the set are attained Utilizzato anche da ITIL, COBIT Allineato al MM di SEI Non esistente Iniziale Ripetibile Definito Gestito Ottimizzato Rappresentazione Grafica

31 Approccio Livello di Maturità Sviluppo di un package per i valutatori nota operativa materiale di supporto (es: Best Practices) Valutazione individuale del LdM actual e target Confronto in plenaria e valutazione finale Linea guida per la valutazione, derivata dall Analisi dello Scenario: Se il livello di Maturità Target > del Livello di Maturità attuale à posizionamento del primo a un solo livello al sopra dell attuale. Ciò in linea anche con le linee guida all evoluzione del Livello di Maturità indicate dal SEI e con quanto osservato presso realtà del mercato domestico (lavori ABILab) 31

32 Il Livello di Maturità - actual e target Valutazione del Livello di Maturità dei Processi IT Livello di Maturità Cobit Processes Self asse ssm ent OLD target indicat o - OLD Benc hmar k - dispo nibile MATU RITY LEVEL ACTU AL MATU RITY LEVEL TARG ET (3 ANNI ) ITIL Processes PO1 Define a strategic IT plan PO3 Determine technological direction PO5 Manage the IT investment PO9 Assess and manage IT risks ST 4.6 Evaluation PO10 Manage projects 4 5 3,5 2 3 AI1 Identify automated solutions AI2 Acquire and maintain application software AI5 Procure IT resources NA NA 3 3 AI6 Manage changes 2 3 3,5 2 3 ST 4.1 Transition planning and support 2 3 ST 4.2 Change management 2 3 ST 4.6 Evaluation 2 3 SO 4.3 Request fulfilment AI7 Install and accredit solutions and changes ST 4.5 Service validation and testing 1 2 ST 4.6 Evaluation 32

33 Il Livello di Maturità - actual e target Livello di Maturità Valutazione del Livello di Maturità dei Processi IT Cobit Processes Self asse ssm ent OLD target indicat o - OLD Benc hmar k - dispo nibile MATU RITY LEVEL ACTU AL MATU RITY LEVEL TARG ET (3 ANNI ) ITIL Processes DS1 Define and manage service levels 2 4 2,5 1 2 SD 4.1 Service catalogue management 1 2 SD 4.2 Service level management DS2 Manage third-party services 3 3 NA 1 2 SD 4.7 Supplier management DS3 Manage performance and capacity 3 3 NA 2 3 SD 4.3 Capacity management DS4 Ensure continuous service 2 4 < DS5 Ensure systems security SD 4.4 Availability management 2 3 SO 4.1 Event management SD 4.5 IT service continuity management SD 4.6 Information security management 2 3 SO 4.5 Access management DS8 Manage service desk and incidents 3 4 3,5 2 3 SO 4.1 Event management 2 3 SO 4.2 Incident management DS10 Manage problems 3 4 3,5 2 3 SO 4.4 Problem management ME1 Monitor and evaluate IT performance 2 3 NA

34 Gap Analysis approccio Scenario Business e IT Gap Analysis Mappa Attività IT quali processi / servizi IT livello di maturità attuale e target Gap Analysis caratteristiche di processo / servizio mancanti per raggiungere il livello di maturità target 34

35 Proposta di Intervento approccio Proposta Intervento Scenario Business e IT Mappa Attività IT quali processi / servizi IT livello di maturità attuale e target Gap Analysis caratteristiche di processo / servizio da implementare per raggiungere il livello di maturità target Proposta di Intervento progettazione degli interventi prioritizzazione degli interventi stima dell impegno 35

36 Premessa alla proposta di Intervento Fase 2 Proposta Intervento La Proposta di Intervento per la Fase 2 del Progetto risponde ai seguenti indirizzi formulati dal Comitato Guida di Progetto: chiusura delle attività di Progetto entro 18 mesi dall avvio rafforzamento tempestivo del processo di Change Management anticipazione degli interventi previsto per il processo di Problem Management Previsione di una sola UO con compiti di gestione dei sistemi di Information Security e di Continuità operativa 36

37 Commento alla proposta di Intervento Fase 2 (segue) Proposta Intervento La Proposta di Intervento per la Fase 2 richiede: una elevata attenzione alla gestione del cambiamento (IT ma anche, e in alcuni casi soprattutto, lato Utente) un forte commitment della Direzione Aziendale e dei Responsabili di Struttura verso l adozione di nuove o diverse modalità operative nell organizzazione e nella erogazione dei Servizi IT 37

38 Proposta di Intervento Fase 2 Stream Oggetto 1 tr tr tr 2012 Scheduling 4 tr tr tr 2013 Proposta Intervento A - PM e Processi direzionali Project Management e gestione struttura elapsed Demand Management elapsed Define a strategic IT plan Monitor and evaluate IT performance elapsed elapsed B - Sicurezza e CO Information security management elapsed Service continuity management elapsed C - Service Management Service catalogue management elapsed Request fulfilment elapsed Service Desk elapsed Incident management Problem management Service level management Event management Capacity management Availability management Supplier management elapsed elapsed elapsed elapsed elapsed elapsed elapsed D - Change Management Change management elapsed Service validation and testing Acquire and maintain application software elapsed elapsed E - PMO Aziendale Manage projects elapsed attività di progetto attività di progetto + avvio processo attività di processo 38

39 Proposta di Intervento Fase 2 Servizi Generali Program Management Sistemi Informativi e Proc. Organizzativi Processi e Procedure Gestione Sistemi Proposta Intervento Sistemi Gestionali Sistemi Credito Sistemi sintesi Sistemi applicativi IT Governance Information Security Manager Change Manager Service Manager UO Ruolo funzionale Funzione Information Security Manager Attribuzioni Gestisce il Sistema aziendale di Continuità operativa Sviluppa e gestisce il Sistema aziendale di gestione della sicurezza delle informazioni Implementa sui sistemi di Identity e Access Management le griglie funzionali di accesso ai dati e alle funzioni, predisposte da Sviluppo Sistemi in collaborazione con l owner dei dati e delle funzioni (utente) Crea le utenze di accesso ai dati e alle funzioni, sulle base delle indicazioni ricevute e in aderenza alle normative in tema di gestione della sicurezza logica Presidia il funzionamento dei sistemi automatici di Identity e Access Management Change Manager Interviene nel processo di sviluppo del software, in collaborazione con Sviluppo Sistemi, nelle fasi di certificazione e collaudo utente delle nuove applicazioni al fine di presidiare che tali fasi si svolgano nel rispetto delle metodologie e degli standard sul ciclo di vita del software Presidia, attraverso attività di pianificazione e coordinamento, il passaggio in produzione delle nuove applicazioni opportunamente collaudate. A tal fine, interfaccia le strutture operative per verificare la corretta presa in carico delle applicazioni rilasciate, secondo il protocollo definito con le stesse Presidia il funzionamento dei sistemi automatici di change management Service Manager Presidia il Livello di Servizio erogato sia da parte dei Sistemi Informativi di IBI che da parte dei terzi Gestisce e manutiene il Catalogo dei Servizi IT di IBI Presidia i processi di Gestione delle Richieste di Servizi IT, di Incident Management e di Problem Management Presidia il funzionamento dei sistemi automatici di Desk Management 39

40 COSA Proposta di inetrvento - Action plan CHI (entro quando) Piano di Attività gestire rischi di Progetto gestire condizionamenti tra gli stream PMO Progetto durata del Progetto primi 6 mesi di Progetto Risorse identificare e assegnare N risorse entro il 1/1/2012 identificare e assegnare M risorse entro 30/06/2012 Struttura istituzione U.O. IT Governance e ruoli funzionali Risorse Umane e Organizzazione / Sistemi Informativi e Processi organizzativi N risorse entro 1/1/2012 M risorse entro 30/06/2012 Risorse Umane e Organizzazione / Sistemi Informativi e Processi organizzativi 1/1/

41 Strumenti SAL ultimo Comitato Guida 41

42 Stato avanzamento lavori - Risultati raggiunti / delivery - - Oggetti in rilascio con il presente CG - ü Analisi Scenario di riferimento (business e IT) ü Mappa delle attività IT di IBI ü Livello di Maturità attuale e target delle attività IT di IBI ü Gap Analysis Soluzioni e Piano degli Interventi Master Plan Fase 2 ü Catalogo dei Servizi IT di IBI e processo di Service Catalogue Management Processo di gestione della Richiesta di Servizi IT di IBI Processo di gestione dei Problemi relativi ai Servizi IT di IBI Processo di Gestione degli Incidenti relativi ai Servizi IT di IBI Review Identif.ne delle soluzioni Attività in piano Att. extra piano Attività in piano Attività conclusa in rilascio in rilascio riscadenzata 42

43 Grazie per l attenzione 43

44 ma non è finita qui Il 4 settembre 2012 la Banca d Italia ha pubblicato un documento di consultazione di modifica delle attuali disposizioni in materia di sistema dei controlli interni, sistema informativo e continuità operativa delle banche e dei gruppi bancari Titolo V; Capitolo 8 Sistema informativo: I Disposizioni di carattere generale II - Governo e organizzazione dell ICT III La gestione del rischio informatico IV Il sistema di gestione della sicurezza informatica V Il sistema di gestione dei dati VI L esternalizzazione di sistemi e servizi ICT Titolo V; Capitolo 9 Disposizioni in materia di continuità operativa 44

45 ma non è finita qui (segue) RELAZIONE PRELIMINARE SULL ANALISI D IMPATTO (pag. 5) Il sistema informativo Anche il sistema informativo ricopre un ruolo fondamentale per il perseguimento degli obiettivi strategici e operativi degli intermediari. Nella proposta normativa vengono declinati in particolare i principi generali di governo e organizzazione dell ICT nella banca e nel gruppo bancario. Sono indicati i processi di gestione essenziali e le misure minime di sicurezza da adottare, al fine di aumentare la capacità per le banche di contenere efficacemente il rischio operativo e di fronteggiare in modo tempestivo ed efficiente le esigenze di evoluzione e cambiamento. Le concrete misure da adottare potranno essere individuate dall intermediario sulla base della complessità della sua operatività e in linea con standard e best practices internazionali. (omissis). CObIT ITIL ISO

46