IT Governance and Compliance A comprehensive approach

Transcript

1 IT Governance and Compliance A comprehensive approach Livio Selvini Senior Business Consultant livio.selvini@hp.com Technology for better business outcomes 2007 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice

2 Agenda Legame tra ITG e compliance Il framework di riferimento (COBIT) L approccio HP ai progetti ITG Un esempio di compliance sul framework 2 April 15, 2008

3 Abstract La Compliance e' una responsabilità della Direzione Aziendale e consiste nel garantire l'adeguamento a leggi, direttive interne e standard. In questo processo di adeguamento, data la sempre maggiore importanza dei sistemi informativi, la Direzione IT e' direttamente coinvolta e spesso gioca un ruolo fondamentale. Il tema della compliance viene tipicamente affrontato come un male necessario ed e' percepito come un puro costo. Un approccio comprensivo, basato sulla Governance IT e quindi guidato dagli obiettivi di Allineamento Strategico, Valore delle Realizzazioni, Misurazione delle prestazioni, Gestione del Rischio e Gestione delle risorse, permette di adempiere alle richieste di Compliance ottenendo risultati significativi e con costi contenuti. 3 April 15, 2008

4 Regulatory Compliance La compliance rientra nelle responsabilità del Board e del management esecutivo. Viene ottenuta attraverso l aderenza con le direttive e normative interne e con le disposizioni di legge e normative esterne implementando e attuando: strutture organizzative; processi; attività; controlli. 4 April 15, 2008

5 IT Governance L IT Governance rientra nelle responsabilità del Board e del management esecutivo. E parte integrante della Corporate Governance dell impresa e si compone di aspetti di leadership, strutture organizzative, processi che assicurano che l organizzazione IT sia di sostegno e sia uno strumento della strategia e degli obiettivi dell azienda. IT Governance Institute (ITGI) 5 April 15, 2008

6 IT Governance and Compliance (IT) IT Governance e Compliance (IT) sono entrambe responsabilità del Board e del management esecutivo. E possibile raggiungere gli obiettivi di IT Governance e di Compliance (IT) attraverso un approccio comune e integrato, implementando innanzitutto un impianto di IT Governance completo e successivamente coprendo i requisiti di Compliance (IT). 6 April 15, 2008

7 IT Governance Framework

8 IT Governance Framework Quale frmework scegliere? Esistono innumerevoli framework di IT Governance, ma la scelta va indirizzata verso quanti considerino l IT nel suo intero ciclo di vita e che forniscano anche indicazioni in merito a: strutture organizzative; processi; attività; controlli. 8 April 15, 2008

9 IT Governance Framework Control Objectives for Information and related Technology (COBIT) Ciclo di vita dell IT: Pianificazione e Organizzazione; Acquisizione e Implementazione; Esercizio e Supporto Monitoraggio e Valutazione. Indirizza: Processi; Ruoli e responsabilità; Obiettivi di controllo; Livelli di maturità. MONITOR AND EVALUATE BUSINESS OBJECTIVES AND GOVERNANCE OBJECTIVES Efficiency Effectiveness Compliance DELIVER AND SUPPORT INFORMATION Reliability IT RESOURCES Applications Information Infrastructure People Integrity Availability Confidentiality ACQUIRE AND IMPLEMENT PLAN AND ORGANISE 9 April 15, 2008

10 COBIT and IT Governance IT Governance Institute ISACA e IT Governance Institute hanno emanato documenti in ambito IT Governance a supporto dell analisi, dell implementazione e della definizione dei controlli: IT Assurance Guide IT Governance Implementation Guide COBIT control Practices 10 April 15, 2008

11 COBIT and Compliance IT Governance Institute IT Governance Institute ha emanato documenti in ambito compliance: IT Control Objectives for Sarbanes-Oxley THE ROLE OF IT IN THE DESIGN AND IMPLEMENTATION OF INTERNAL CONTROL OVER FINANCIAL REPORTING IT Control Objectives for Basel II THE IMPORTANCE OF GOVERNANCE AND RISK MANAGEMENT FOR COMPLIANCE 11 April 15, 2008

12 COBIT Mapping IT Governance Institute IT Governance Institute ha, inoltre, emanato documenti di mapping con innumerevoli standard: COBIT Mapping: Mapping of NIST SP Rev 1 With COBIT 4.1 November 2007 COBIT Mapping: Mapping of TOGAF 8.1 With COBIT 4.0 June 2007 COBIT Mapping: Mapping of CMMI for Development V1.2 With COBIT 4.0 March 2007 COBIT Mapping: Mapping of ITIL With COBIT 4.0 January 2007 COBIT Mapping: Mapping of PRINCE2 With COBIT 4.0 January 2007 COBIT Mapping: Mapping of ISO/IEC 17799: 2005 With COBIT 4.0 December 2006 COBIT Mapping: Mapping PMBOK to COBIT 4.0 August 2006 COBIT Mapping: Mapping SEI's CMM for Software to COBIT 4.0 August 2006 COBIT Mapping to ISO/IEC :2000 With COBIT, 2nd Edition May 2006 COBIT Mapping Overview of International IT Guidance 2nd Edition April April 15, 2008

13 Approccio

14 Approccio I servizi in ambito IT Governance e Compliance Assessment e GAP analisys verso il framework di riferimento; Definizione dell impianto di IT Governance; Processi e procedure organizzative (COBIT); Obiettivi di controllo. Implementazione del sistema di governance IT: Processi e procedure operativi (ITIL, ISO 20000, ISO 27001); Strumenti di supporto; Monitoraggio e miglioramento continuo 14 April 15, 2008

15 Approccio Assessment e GAP analisys L assessment e suddiviso in: analisi documentale; interviste; testing sul campo. Ha l obiettivo di individuare gap rispetto alle metodologie e gap di: documentazione; conoscenza; esecuzione; controllo; comunicazione; percezione. Analisi Documentale Gap di conoscenza Gap di documentazione Gap di percezione Interviste Gap di esecuzione Gap di controllo Gap di comunicazione Testing sul campo 15 April 15, 2008

16 Approccio Definizione dell impianto di IT Governance La definizione dell impianto di IT Governance ha l obiettivo di definire: Processo Processo Processo Processo Dominio Dominio Processo Processo i processi organizzativi; Sottoprocesso Sottoprocesso Sottoprocesso Sottoprocesso le procedure organizzative; Fase Fase Fase Fase Fase Fase gli obiettivi di controllo. Attività Attività PROCESSO PROCESSO Attività 1 Attività 2 Attività 3 Attività 1 Attività 2 Attività 3 Attività 1 Attività 2 Attività 3 Marketing Amministr Sviluppo Attività 1 Attività 2 Attività 3 Gestione 16 April 15, 2008

17 Approccio Implementazione del sistema di governance IT L implementazione del sistema di IT Governance ha l obiettivo di rendere operativo l impianto di IT Governance attraverso: la definizione dei processi e procedure operative (ITIL); l implementazione di strumenti di supporto. STRATEGY Demand and portfolio management Project and Portfolio Management Center CIO office SOA transformation Business Outcomes APPLICATIONS Quality assurance Quality Center Performance validation Performance Center Service Mgmt. Center OPERATIONS Business service management Business Availability Center ITSM/ITIL V3 Change and Config. Center Identity Center SOA Center Security assessment Service-driven operations CTO office SPI Dynamics solutions Operations Center Network Mgmt. Center 17 April 15, 2008

18 Definizione e implementazione Mappatura controlli-requisiti In fase di definizione e implementazione del sistema di governo IT, vengono documentati: gli obiettivi di controllo coperti; le esigenze di compliance da soddisfare; le impostazioni attive per soddisfare le esigenze di compliance. 18 April 15, 2008

19 In sintesi Benefici Miglior controllo dei sistemi informativi; Automazione dei processi e dei controlli; Compliance; Riduzione dei costi a seguito di nuove esigenze normative. 19 April 15, 2008

20 Esempio

21 IT Governance e Compliance Un esempio: Privacy e COBIT Red Line: addressed Color: moderately or rarely addressed Gray: not adressed Plan and Organize PO1 Define a Strategic IT Plan PO2 Define the Information Architecture PO3 Determine Technological Direction PO4 Define the IT Processes, Organization and Relationships PO5 Manage the IT Investment PO6 Communicate Management Aims and Direction Monitor and Evaluate PO7 Manage IT Human Resources Acquire and Implement ME1 Monitor and Evaluate IT Performance PO8 Manage Quality AI1 Identify Automated Solutions ME2 Monitor and Evaluate Internal Control PO9 Assess and Manage IT Risks AI2 Acquire and Maintain Application Software ME3 Ensure Regulatory Compliance PO10 Manage Projects AI3 Acquire and Maintain Technology Infrastructure ME4 Provide IT Governance Deliver and Support AI4 Enable Operation and Use DS1 Define and Manage Service Levels DS2 Manage Third-party Services AI5 Procure IT Resources AI6 Manage Changes DS3 Manage Performance and Capacity AI7 Install and Accredit Solutions and Changes DS4 Ensure Continuous Service DS5 Ensure Systems Security DS6 Identify and Allocate Costs DS7 Educate and Train Users DS8 Manage Service Desk and Incidents DS9 Manage the Configuration DS10 Manage Problems DS11 Manage Data DS12 Manage the Physical Environment 21 April 15, 2008 DS13 Manage Operations

22 IT Governance e Compliance Un esempio: Privacy e COBIT Privacy Allegato B Art 18 Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale. DS11.5 Salvataggio e Ripristino Definire e implementare procedure per il salvataggio e ripristino di sistemi, dati e documentazione in linea con i fabbisogni di business ed i piani di continuità. Verificare la conformità con le procedure di back up, e verificare la capacità ed il tempo necessario per un ripristino completo e di successo. Testare il salvataggio dei supporti di memorizzazione ed il processo di ripristino. Soddisfare un requisito di Compliance comporta la documentazione del nuovo requisito e una specificazione / restrizione di quanto già presente. 22 April 15, 2008

23 IT Governance e Compliance Un esempio: Privacy e COBIT Privacy Allegato B Art 16 I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui all'art. 615-quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale.. DS5.9 Prevenzione, rilevazione e correzione del sofware malevolo Assicurare che misure preventive, di rilevazione e correttive siano in essere (specialmente aggiornamento delle patch di sicurezza e controllo dei virus) presso tutta l organizzazione per proteggere i sistemi informativi e le tecnologie da malware (virus, worms, spywere, spam, sviluppo interno di software fraudolento, etc.) Soddisfare un requisito di Compliance comporta la documentazione del nuovo requisito e una specificazione / restrizione di quanto già presente. 23 April 15, 2008

24 Grazie! Livio Selvini Senior Business Consultant Technology for better business outcomes 2007 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice