per non perdere tempo

Transcript

1 per non perdere tempo Alberto Piamonte GOAL MC Gianpaolo Besenzoni CISALPINA PREVIDENZA SPA Milano, 29 ottobre 2003 AIEA Corso COBIT pratico 1

2 Agenda Cisalpina Previdenza: la compagnia VITA di FinecoGroup gruppo bancario CAPITALIA Lo scenario di riferimento I fattori scatenanti Le esigenze del servizio ICT I vincoli Perche ricorrere a Cobit Il progetto in CP Obiettivi I passi fondamentali Principali risultati diretti e indiretti Il Case Study odierno Ripercorrere le fasi del progetto insieme Milano, 29 ottobre 2003 AIEA Corso COBIT pratico 2

3 Cisalpina Previdenza Human Human Resources: Resources: Internal Internal (11 (11 of of them them IT) IT) Technical Technical Reserves Reserves (Assets (Assets under under management) management) ( /000): ( /000): Products Lines Capital Saving Safety Index-linked Unit-linked (Single Premium/Recurring Premium) Traditional Products : Term Insurance Long Term Care Individual Pension Plans Milano, 29 ottobre 2003 AIEA Corso COBIT pratico 3

4 100% 100% FINECO VITA Milano, 29 ottobre 2003 AIEA Corso COBIT pratico 4

5 Lo scenario di riferimento I fattori scatenanti SpinOff graduale dal gruppo RealeMutuaAssicurazioni Impianto di un nuovo S.I. ( start from scratch) Continue evoluzioni/integrazioni/fusioni di Gruppo Due Diligence, Data Room, Assessment, Audit, Controlli interni, Ispezioni ISVAP Fusione per incorporazione di Roma Vita Nascita di FINECO VITA (dal ma decorre dal ) Elevata visibilità nel Gruppo Punto di riferimento come compagnia prodotto VITA del gruppo.sotto continua osservazione Milano, 29 ottobre 2003 AIEA Corso COBIT pratico 5

6 Lo scenario di riferimento Le esigenze del servizio ICT Strutturare la funzione ICT in processi gestibili e monitorabili Necessità di riferimenti sicuri ed affidabili Dimostrabilità / documentabilità Imparare a: Fare, Cambiare, Evolversi continuamente Costruire un Meta-firewall Milano, 29 ottobre 2003 AIEA Corso COBIT pratico 6

7 Lo scenario di riferimento I vincoli Dimensione della struttura ICT Numerosi progetti il tempo non e mai sufficiente Milano, 29 ottobre 2003 AIEA Corso COBIT pratico 7

8 Perché ricorrere a Cobit Trovare un modello di riferimento per essere Time to Governance Soccorso CobiT come Cook book Pianificazione cobit Bussola Misura Milano, 29 ottobre 2003 AIEA Corso COBIT pratico 8

9 Il progetto CP Gruppo di progetto formato da: Funzionari del servizio ICT (4) Direttore dei Sistemi Informativi (1) Internal Auditor (coinvolto dall inizio!) (1) Supporto esterno tecnico/metodologico (1) Obiettivi Trovare un modello di riferimento per essere time to governance Identificare le aree di miglioramento Misurarsi sul Maturity Model Piano operativo di adeguamento Milano, 29 ottobre 2003 AIEA Corso COBIT pratico 9

10 Il progetto CP I passi fondamentali Partenza: dicembre 2002 Sessione informativa / formativa sulla Metodologia Cobit Self-Assessment sui 34 processi Importance/Performance/Risk/Responsible Condivisione / normalizzazione dei 12 processi su cui lavorare Confronto con il Maturity Model Situazione As is Situazione To be (marzo 2003) COBIT PIANO DI ADEGUAMENTO Costituzione dei gruppi di lavoro Sessioni di avvio, assegnazione dei compiti e tempificazione Definizione delle fonti e raccolta del materiale Risposta alle domande secondo Forms Valutazione dell importanza relativa delfi obiettici di controllo di dettgalio Aggiunta o rimozione di obiettivi di controllo di dettaglio Sessione di valutazione del Maturity Model Revisione dei Criteri di Audit 1PO1 Define a strategic IT plan 2 PO2 Define the information architecture 3 PO9 Assess risk 4PO10Manage projects 5 AI3 Acquire & maintain technology architecture 6AI6 Manage changes 7 DS1 Define service levels 8DS2 Manage third party services 9 DS4 Ensure continuous service 10 DS5 Ensure system security 11 DS10 Manage problems & incidents 12 M1 Monitor the process Media Contesti simili Obiettivo Cisalpina 2003 Situazione Miglioramenti pianificati Milano, 29 ottobre 2003 AIEA Corso COBIT pratico 10

11 Il progetto CP Risultati diretti e indiretti Piena Coscienza e Consapevolezza del grado di maturita / adeguatezza del sistema informativo basata su un modello / framework di riferimento e non su sensazioni Unico linguaggio / metodo / approccio con l internal auditor Punto di riferimento / to do list per ogni area / macroprocesso cui si vuole autovalutarsi/confrontarsi/miglirorarsi Milano, 29 ottobre 2003 AIEA Corso COBIT pratico 11

12 Il case study odierno Ripercorrere le fasi del progetto La sessione informativa/formativa su Cobit L autovalutazione dei processi Il rischio percepito e rischio calcolato La scelta dei processi La fase di Assessment Il confronto con il Maturity Model Gli obiettivi di adeguamento Il Piano operativo di miglioramento I controlli periodici dell Internal Auditing Un caso pratico: le policy Milano, 29 ottobre 2003 AIEA Corso COBIT pratico 12

13 1 - Orientamento Milano, 29 ottobre 2003 AIEA Corso COBIT pratico 13

14 Milano, 29 ottobre 2003 AIEA Corso COBIT pratico 14

15 IT Governance Self-Assessment Importance RISK Performance Importance = How important for the organisation on a scale from 1 (not at all) to 5 (very) Performance = How well is it done from 1 (don t know or badly) to 5 (very well) Audited = Yes, No or? Formality = Is there a contract, SLA, or a clearly documented Procedure? (Yes, No or?) Accountable = Name or don t know COBIT s Domains and Processes Who Does It? IT Other Outside Don t Know Audited Formality Who is Accountable? Planning & Organisation PO1 Define a Strategic IT Plan PO2 Define the Information Architecture PO3 Determine Technological Direction PO4 Define the IT Organisation and Relationships PO5 Manage the IT Investment PO6 Communicate Management Aims and Direction PO7 Manage Human Resources PO8 Ensure Compliance with External Requirements PO9 Assess Risks PO10 Manage Projects PO11 Manage Quality Acquisition & Implementation AI1 Identify Automated Solutions AI2 Acquire and Maintain Application Software AI3 Acquire and Maintain Technology Infrastructure AI4 Develop and Maintain Procedures AI5 Install and Accredit Systems AI6 Manage Changes Delivery & Support DS1 Define and Manage Service Levels DS2 Manage Third-Party Services DS3 Manage Performance and Capacity DS4 Ensure Continuous Service DS5 Ensure System Security DS6 Identify and Allocate Costs DS7 Educate and Train Users DS8 Assist and Advise Customers DS9 Manage the Configuration DS10 Manage Problems and Incidents DS11 Manage Data DS12 Manage Facilities DS13 Manage Operations Monitoring M1 Monitor the Processes M2 Assess Internal Control Adequacy M3 Obtain Independent Assurance M4 Provide for Independent Audit Milano, 29 ottobre 2003 AIEA Corso COBIT pratico 15

16 Pensare in termini di processi e responsabilità piuttosto che di funzioni e prodotti Milano, 29 ottobre 2003 AIEA Corso COBIT pratico 16

17 Provate a compilare una scheda Milano, 29 ottobre 2003 AIEA Corso COBIT pratico 17

20 Sensibilità relativa 90,00 90,00 80,00 80,00 70,00 70,00 60,00 60,00 50,00 50,00 40,00 40,00 30,00 30,00 Importanza Importanza Prestazione Prestazione Rischio C Rischio C Rischio P Rischio P 20,00 20,00 10,00 10,00 0,00 0,00 Efficacia Efficienza Riservatezza Integrità Disponibilità Compliance Affidabilità Efficacia Efficienza Riservatezza Integrità Disponibilità Compliance Affidabilità Information Information Criteria Criteria Milano, 29 ottobre 2003 AIEA Corso COBIT pratico 20

22 .. a questo punto cosa fareste? discussione Milano, 29 ottobre 2003 AIEA Corso COBIT pratico 22

23 2 Noi siamo partiti per l Assessment Per ogni processo individuato: Costituzione dei gruppi di lavoro Sessione di avvio, assegnazione dei compiti e tempificazione Definizione delle fonti e raccolta del materiale Valutazione dell importanza relativa degli obiettivi di controllo di dettaglio Aggiunta o rimozione di obiettivi di controllo di dettaglio Sessione di valutazione del Maturity Model Revisione dei Criteri di Audit Milano, 29 ottobre 2003 AIEA Corso COBIT pratico 23

28 Aggiungete i vostri controlli Milano, 29 ottobre 2003 AIEA Corso COBIT pratico 28

30 Inesistente Iniziale Ripetibile Definito Gestito Ottimizzato LEGENDA DEI SIMBOLI Stato attuale dell impresa Standard Internazionale Miglior pratica del settore Strategia dell impresa LEGENDA DELLE CLASSIFICAZIONI 0 Inesistente I processi di gestione non sono affatto applicati 1 Iniziale I processi sono ad hoc e disorganizzati 2 Ripetibile I processi seguono un regolare modello 3 Definito I processi sono documentati e comunicati 4 Gestito I processi sono monitorati e misurati 5 Ottimizzato Le prassi ottimali sono seguite ed ottimizzate Milano, 29 ottobre 2003 AIEA Corso COBIT pratico 30

32 .. a questo punto cosa fareste? discussione Milano, 29 ottobre 2003 AIEA Corso COBIT pratico 32

33 3 Dalla teoria alla pratica Milano, 29 ottobre 2003 AIEA Corso COBIT pratico 33

34 3 Dalla teoria alla pratica GAP PROGETTI 11 AA 22 BB 33 CC nn mm Impatto 10 Progetti ad alta priorità T 3 5 S 1 P 5 O 2 Costo/Rischio Milano, 29 ottobre 2003 AIEA Corso COBIT pratico 34

38 Un esempio Le Policy di Sicurezza Milano, 29 ottobre 2003 AIEA Corso COBIT pratico 38

39 Policy di sicurezza strutturate Good Practice Definire le Policy in base ai requisiti derivanti dalle esigenze di Business. Strutturare le Policy secondo una gerarchia di classi ne incrementa: la flessibilità la facilità di gestirne l evoluzione e la diffusione. Attraverso tale strutturazione diventa inoltre possibile governare l ampio spettro di Policy necessarie a regolamentare il comportamento : delle persone, l accesso ai dati, l impiego delle risorse presenti in azienda. Milano, 29 ottobre 2003 AIEA Corso COBIT pratico 39

40 La Le Policy gerarchia sulla delle Sicurezza Policy sulla Sicurezza Statuto sulla sulla Sicurezza Policy Policy 11 Policy Policy 22 Policy n Policy n Standard Standard Linea Guida Linea Guida Procedura Procedura Procedura Procedura Procedura Milano, 29 ottobre 2003 AIEA Corso COBIT pratico 40

41 Perché ricorrere a CobiT Trovare un modello di riferimento per il Time to Governance Soccorso CobiT come Cook book Pianificazione CobiT Bussola Misura Milano, 29 ottobre 2003 AIEA Corso COBIT pratico 41

42 Discussione Milano, 29 ottobre 2003 AIEA Corso COBIT pratico 42