Processi di Gestione dei Sistemi ICT

Transcript

1 Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT Paolo Salvaneschi A3_1 V1.1 Processi di Gestione dei Sistemi ICT Il contenuto del documento è liberamente utilizzabile dagli studenti, per studio personale e per supporto a lezioni universitarie. Ogni altro uso è riservato, e deve essere preventivamente autorizzato dall autore. Sono graditi commenti o suggerimenti per il miglioramento del materiale

2 INDICE Relazione tra governo e gestione Processi Standard di riferimento I processi che esaminiamo Orientamento al servizio A3 Processi gestione ICT Paolo Salvaneschi 2

3 ISO/IEC 38500:2008 Relazioni tra governo e gestione Governo Interfaccia Gestione A1 Governo sistemi ICT Paolo Salvaneschi 3

4 Relazioni tra governo e gestione Allineamento al business Nei Sistemi Informativi: Relazione tra il top management e l IT Relazione tra la Direzione IT e le Direzioni Business Nelle Software / System House: Relazione tra la Direzione e le strutture operative A2 Strutture organizzative Paolo Salvaneschi 4

5 Relazioni tra governo e gestione Allineamento al business Stabilire gli obiettivi del business Tradurre gli obiettivi del business in obiettivi dell IT Identificare e organizzare adeguati processi IT Generare piani di azione, vincoli e costi condivisi A2 Strutture organizzative Paolo Salvaneschi 5

6 Relazioni tra governo e gestione Allineamento al business Rendere visibili e comprensibili le attività al management Fornire misure sull andamento dei piani Generare informazioni utili alla gestione degli eventi imprevisti e dei rischi Fornire misure e valutazioni sulla qualità dei processi A2 Strutture organizzative Paolo Salvaneschi 6

7 Relazioni tra governo e gestione Allineamento al business Condividere obiettivi e punti di vista Stabilire una comprensione condivisa dei processi in atto basata su un linguaggio comune Scambiare informazioni e supporto A2 Strutture organizzative Paolo Salvaneschi 7

8 Processi ISO/IEC 38500:2008 Interfaccia Gestione A3 Processi gestione ICT Paolo Salvaneschi 8

9 Processi Quali processi? Come gestire? Definire e organizzare i processi Definire obiettivi Misurare Retroagire Riferimenti normativi Molte norme/ guide: COBIT, ITIL, ISO 9001, ISO12207, A3 Processi gestione ICT Paolo Salvaneschi 9

10 Processi Norme/ guide: COBIT Framework gestionale ITIL Servizi ISO 9001:2008 Sistema qualità ISO/IEC 12207:2008 Processi software ISO/IEC Maturità ISO 27001Security A3 Processi gestione ICT Paolo Salvaneschi 10

11 COBIT Control Objectives for Information and related Technology A3 Processi gestione ICT Paolo Salvaneschi 11

12 Modello (framework) per il governo e la gestione dell ICT creato nel 1992 da: Associazione americana degli auditor dei sistemi informativi: Information Systems Audit and Control Association - ISACA Standard di riferimento Istituto indipendente senza scopo di lucro: IT Governance Institute (ITGI) COBIT A3 Processi gestione ICT Paolo Salvaneschi 12

13 Modello orientato ai processi per il governo e la gestione dell IT E un tool adatto per: Business management IT management IT process managers IT Auditors Standard di riferimento Fornisce good practices È principalmente focalizzato sugli aspetti di controllo dei processi piuttosto che sugli aspetti operativi. COBIT A3 Processi gestione ICT Paolo Salvaneschi 13

14 Il punto di vista CHE ADOTTIAMO: COBIT è utilizzato come framework entro cui ospitare altri standard che dettagliano gli aspetti operativi di specifici processi A3 Processi gestione ICT Paolo Salvaneschi 14

15 COBIT Framework Guida per l audit Guida per il management senza indicazioni operative ITIL ISO 9001 ISO ISO ISO Standard operativi per specifici processi Process assessment A3 Processi gestione ICT Paolo Salvaneschi 15

16 COBIT Identifica 34 Processi IT appartenenti a 4 aree Pianificazione e Organizzazione (PO) Acquisizione e Implementazione (AI) Erogazione e Supporto (DS) Monitoraggio e Valutazione (ME) COBIT A3 Processi gestione ICT Paolo Salvaneschi 16

17 Pianificazione e Organizzazione (PO) PO1 Definire un Piano Strategico per l'it PO2 Definire l architettura informatica PO3 Definire gli indirizzi tecnologici PO4 Definire i processi, l organizzazione e le relazioni dell IT PO5 Gestire gli investimenti IT PO6 Comunicare gli obiettivi e gli orientamenti della direzione PO7 Gestire le risorse umane dell IT PO8 Gestire la Qualità PO9 Valutare e Gestire i Rischi Informatici PO10 Gestire i Progetti COBIT A3 Processi gestione ICT Paolo Salvaneschi 17

18 Acquisizione e Implementazione (AI) AI1 Identificare soluzioni automatizzate AI2 Acquisire e mantenere il software applicativo AI3 Acquisire e mantenere l infrastruttura tecnologica AI4 Permettere il funzionamento e l uso AI5 Approvvigionamento delle risorse IT AI6 Gestire le modifiche AI7 Installare e certificare soluzioni e modifiche COBIT A3 Processi gestione ICT Paolo Salvaneschi 18

19 Erogazione e Supporto (DS) DS1 Definire e gestire i livelli di servizio DS2 Gestire i servizi di terze parti DS3 Gestire le prestazioni e la capacità produttiva DS4 Assicurare la continuità di servizio DS5 Garantire la sicurezza dei sistemi DS6 Identificare e attribuire i costi DS7 Formare e addestrare gli utenti DS8 Gestione del Service Desk e degli incidenti DS9 Gestione della configurazione DS10 Gestione dei problemi DS11 Gestione dei dati DS12 Gestione dell ambiente fisico DS13 Gestione delle operazioni COBIT A3 Processi gestione ICT Paolo Salvaneschi 19

20 Monitoraggio e Valutazione (ME) ME1 Monitorare e valutare le prestazioni dell IT ME2 Monitorare e valutare i controlli interni ME3 Assicurare la conformità alla normativa ME4 Istituzione dell IT Governance COBIT Per ogni processo COBIT fornisce (esempio). A3 Processi gestione ICT Paolo Salvaneschi 20

21 COBIT A3 Processi gestione ICT Paolo Salvaneschi 21

22 COBIT A3 Processi gestione ICT Paolo Salvaneschi 22

23 COBIT A3 Processi gestione ICT Paolo Salvaneschi 23

24 COBIT A3 Processi gestione ICT Paolo Salvaneschi 24

25 COBIT A3 Processi gestione ICT Paolo Salvaneschi 25

26 COBIT è uno strumento di aiuto alla comprensione e gestione dell IT da parte di tutte le parti interessate (direzione generale, auditors, direzione IT) un linguaggio comune COBIT Non contiene guide operative per la costruzione di specifici processi Non è uno strumento per la certificazione Non è uno strumento per la valutazione di maturità dei processi A3 Processi gestione ICT Paolo Salvaneschi 26

27 ITIL V2 Service delivery (certificazione ISO 20000) Service support (certificazione ISO 20000) ICT Infrastructure Management Application Management Security Management Planning to Implement Service Management The Business Perspective ITIL V3 (2007) Inclusione dei contenuti V2 in un ciclo di vita: strategia, progettazione, transizione, operatività e miglioramento dei servizi ITIL A3 Processi gestione ICT Paolo Salvaneschi 27

28 ITIL (IT Infrastructure Library) provides a framework of best practice guidance for IT Service Management A3 Processi gestione ICT Paolo Salvaneschi 28

29 Service delivery Standard di riferimento ITIL A3 Processi gestione ICT Paolo Salvaneschi 29

30 Service support Standard di riferimento ITIL A3 Processi gestione ICT Paolo Salvaneschi 30

31 ITIL La qualità del servizio ICT Infrastructure Management ITIL A3 Processi gestione ICT Paolo Salvaneschi 31

32 Application Management ITIL A3 Processi gestione ICT Paolo Salvaneschi 32

33 Security Management Standard di riferimento ITIL A3 Processi gestione ICT Paolo Salvaneschi 33

34 Planning to Implement Service Management ITIL A3 Processi gestione ICT Paolo Salvaneschi 34

35 The Business Perspective ITIL A3 Processi gestione ICT Paolo Salvaneschi 35

36 ISO (International Organization for Standardization) Organizzazione internazionale, nata nel 1947, che si occupa di definire gli standard in tutti i settori produttivi, di cui fanno parte gli enti normativi nazionali di più di 130 paesi. Standard ISO (o norme): Sistema metrico decimale Sistemi di filettatura di viti e bulloni Definizione dei processi software Definizione di sistemi di gestione della qualità. A3 Processi gestione ICT Paolo Salvaneschi 36

37 La norma ISO 9001: 2008 Definisce i criteri di gestione dei sistemi qualità delle organizzazioni e si rivolge a tutte le organizzazioni che desiderano sviluppare un Sistema Qualità Ogni organizzazione che vuole seguire la norma deve seguire i criteri definiti dalla norma adattandoli alla propria tipologia di organizzazione Azienda manifatturiera Software house Ospedale.. A3 Processi gestione ICT Paolo Salvaneschi 37

38 Sistema di gestione per la qualità: Sistema di gestione per guidare e tenere sotto controllo un organizzazione con riferimento alla qualità Assicurare la qualità dei prodotti e dei servizi Realizzare un miglioramento continuo dei processi aziendali A3 Processi gestione ICT Paolo Salvaneschi 38

39 Sistema di gestione per la qualità di una azienda che sviluppa software: Definire i propri processi produttivi Definire le procedure da seguire (per progettare, per controllare, per gestire versioni e configurazioni del software, per gestire le segnalazioni di errore dei clienti ) Definire standard di documentazione Misurare la qualità dei processi e dei prodotti e instaurare un processo di valutazione periodica e di decisione per il miglioramento A3 Processi gestione ICT Paolo Salvaneschi 39

40 Certificazione Un organizzazione che realizza un sistema qualità corrispondente alla norma ISO 9001: 2008 può chiedere di essere certificata rispetto alla norma Per uno specifico insieme di prodotti e servizi Esempio: Consulenza, progettazione, sviluppo, installazione di sistemi software Commercializzazione e assistenza hardware e software Commercializzazione e assistenza hardware e software per telecomunicazioni A3 Processi gestione ICT Paolo Salvaneschi 40

41 Perché far certificare un azienda? Effettuare un salto di qualità formalizzando e razionalizzando i processi aziendali Passare da un livello di qualità individuale ad un livello ingegnerizzato e industrializzato dell organizzazione (qualità di impresa) Attivare un processo di miglioramento continuo Ottenere un certificato considerato referenza e prerequisito per poter partecipare a gare A3 Processi gestione ICT Paolo Salvaneschi 41

42 Come è costruito / documentato un Sistema qualità: Manuale della qualità. Raccoglie tutti gli aspetti di gestione della qualità Richiama tutte le procedure e gli specifici strumenti messi in atto per gestire la qualità Procedure gestionali Istruzioni di lavoro Schemi di documenti A3 Processi gestione ICT Paolo Salvaneschi 42

43 ISO un sistema di gestione della qualità basato sui processi ed il miglioramento continuativo A3 Processi gestione ICT Paolo Salvaneschi 43

44 ISO/IEC 12207:2008 Systems and software engineering -- Software life cycle processes A3 Processi gestione ICT Paolo Salvaneschi 44

45 ISO/IEC Information technology - Process assessment Basata sui processi definiti dalla norma ISO Incompleto (Incomplete) Il processo non è implementato o comunque non raggiunge i risultati attesi 1 Eseguito Il processo implementato raggiunge lo scopo ed i (Performed) risultati attesi 2 Gestito (Managed) 3 Stabilito (Established) 4 Prevedibile (Predictable) 5 Ottimizzante (Optimizing) Il processo Eseguito produce risultati che soddisfano i requisiti espressi, nei tempi definiti e con le risorse allocate. Il processo Gestito è eseguito sulla base di un processo standardizzato e raggiunge risultati predefiniti. Il processo Stabilito è eseguito costantemente, entro limiti stabiliti quantitativamente e raggiungendo costantemente i risultati predefiniti. Il processo Prevedibile cambia dinamicamente per rispondere efficacemente ai bisogni di business attuali e futuri. A3 Processi gestione ICT Paolo Salvaneschi 45

46 ISO ed i modelli di maturità 2004 COMUNICAZIONE AS COMUNICAZIONE AS400 GESTIONE GPIA3 GPIA2 GPIA1 GCNF3 GCNF2 GPER1 GDOC1 COM2 KNM1KNM2 COM1 MIGL2 MIGL1 CON6 CON5 CON4 ACQ SVIL1 SVIL2SVIL3 SVIL4 MAN2 CON1 CON2 CON3 SVILUPPO, ESERCIZIO ED EVOLUZIONE SVIL5 SVIL6 SVIL7 SVIL8 ESE1 ESE2 ESE3 MAN1 COMUNICAZIONE GESTIONE RETAIL GPIA3 GPIA2 GPIA1 GCNF3 GPER1 GCNF2 GDOC1 COM2 KNM1KNM2 COM1 MIGL2 MIGL1 CON6 CON5 CON4 ACQ SVIL1 SVIL2SVIL3 SVILUPPO, ESERCIZIO ED EVOLUZIONE SVIL4 SVIL5 SVIL6 SVIL7 SVIL8 ESE1 ESE2 ESE3 MAN1 MAN2 CON1 CON2 CON3 CONTROLLO GESTIONE Valutazione Confronto GPIA3 GPIA2 GPIA1 GCNF3 GCNF2 GDOC1 4 ACQ1 KNM1 KNM2 COM2 SVIL1 SVIL2 SVIL3 COM1 SVIL4 GPER1 MIGL2 MIGL1 CON6 CON5 CON SVIL5 SVILUPPO, SVIL6 ESERCIZIO ED EVOLUZIONE SVIL7 SVIL8 ESE1 ESE2 ESE3 MAN1 MAN2 CON1 CON2 CON3 CONTROLLO Azzurro: stato 2004 Rosso: obiettivi di miglioramento definiti dopo la valutazione del 2004 AS400 A3 Processi gestione ICT CONTROLLO Paolo Salvaneschi 46

47 ISO Politica di gestione della sicurezza di un Sistema Informativo (certificazione di processo). ISO guida (best practices) ISO (Common Criteria) Procedure e misure tecniche per gestire la sicurezza durante il ciclo di vita di un sistema IT (certificazione di prodotto). Definire e validare un dato livello di security A3 Processi gestione ICT Paolo Salvaneschi 47

48 I processi che esaminiamo Quali processi esaminiamo? Gestione dello sviluppo software Acquisizione di prodotti e servizi Gestione operativa e supporto Evoluzione Pianificazione Misura Gestione della conoscenza A3 Processi gestione ICT Paolo Salvaneschi 48

49 Orientamento al servizio Quale è il punto di vista che supportiamo? Orientamento al servizio delle organizzazioni IT Considerare i consumatori dei propri servizi non soltanto come utenti ma come Clienti Allargare la focalizzazione sulle tecnologie, per includere l attenzione ai processi Passare da una organizzazione IT reattiva ad una propositiva Arricchire i tradizionali skill IT con nuove capacità orientate al Cliente, imparando ad ascoltare il Cliente A3 Processi gestione ICT Paolo Salvaneschi 49