Information Systems Governance e analisi dei rischi con ITIL e COBIT Marco Salvato, KPMG Sessione di studio AIEA, Verona 25 Novembre 2005 1
Information Systems Governance L'Information Systems Governance può essere definita come la gestione competente e adeguata di risorse, persone e informazioni con l'obiettivo di ottimizzare il valore, la sicurezza e i controlli dei processi aziendali. 2
Information Systems Governance L approccio KPMG alla ISG è focalizzato su: Revisione della strategia Analisi degli investimenti IT Gestione attiva degli asset it Aumento Del valore Analisi e gestione rischi Benchmarking delle performance IS, rispetto a best practice Verifica della gestione outsourcer Aumento Delle Performance Revisione delle regole e della protezione dei dati Revisione delle licenze Conformità alle leggi Regole e Conformità 3
Information Systems Governance Requisiti aziendali Allineato Qualità del Servizio Costo del Servizio Economico Migliore Tempo Tempo Rischi Normativi Valore & Equilibrio Non compliance Tempo Tempo Rischi IT Prestazioni Sicuro Controllato Veloce Tempo Tempo 4
Information Systems Governance Fasi IT Strategic IT Performance IT Risk Strong senior management Business and IT alignment IT Vision & IT Strategy Awareness Business Cases Measurements and KPIs Reporting People Systems Processes IT Organisational Structure Relationship IT Benchmarking Benefits Realization Auditing & Assurance Project Risk 5
Information Systems Governance Assessment Aree coinvolte nell analisi della metodologia IS Governance: Governance Framework Organizational Framework Strategic Planning Structures Policies and Standards Operational Processes Solution Development Project Security Availability Service Financial Operations IS Audit Support Change 6
Business Drivers Trovare il giusto equilibrio tra rischio, valore e costo Risk Rischio Performance Valore Costo Investment 7
Risk Performance Risk Risk Value Cost Investment Contingencies Identified Risks Business Goals Controls Compliance & Reporting 8
Performance Performance Risk Risk Value Cost Investment Process Optimization Systems Business Goals Organization & People Metrics & Measurement 9
Investment Performance Risk Risk Value Cost Investment Resource Justified Spending Business Goals Cost Reduction Sourcing 10
Information Systems Governance Indicatori Per garantire una metodologia completa ed un controllo centralizzato sulla sicurezza informativa della realtà aziendale, la metodologia si può avvalere di indicatori che si posso suddividere in quattro macro aree: 1. Security Key Indicators (SKI) Parametri che modellano lo stato della sicurezza informatica all interno della realtà aziendale monitorata. 2. IT Key Performance Indicators (ITKPI) Parametri che caratterizzano lo stato delle risorse hardware della rete informatica aziendale. 3. Users Performance Indicators (UPI) Parametri indicanti le caratteristiche dell interazione degli utenti e dei processi strettamente coinvolti con gli stessi. 4. Outsourcers SLA Indicators (SLA) Parametri per la verifica del rispetto dei vincoli di servizio relativi ad outsourcers/fornitori. 11
Analisi dei rischi utilizzando ITIL & COBIT 12
Struttura ITIL ITIL è composto da una serie di moduli di gestione di Servizi che danno una descrizione dei Processi legati ai più importanti Servizi IT. I moduli che compongono ITIL sono i seguenti: Service Support Service Delivery ICT Infrastructure Application indirizza la funzione di: Service Desk - sviluppo ed ampliamento dell Help Desk, ed i Processi: Incident, Problem, Change, Configuration, Release indirizza i Processi: Service Level, Availability, IT Services Continuity, Capacity, Financial of IT Services Gestione dei Costi dei Servizi Fornisce un set di best practice per la gestione dell intera infrastruttura IT e fornisce un framework per i seguenti argomenti: Network Service, Operation, System, Computer Installation e Acceptance Questo modulo, che è uno dei più recenti, copre il ciclo di vita dello sviluppo software e del successivo utilizzo e pone l accento sulle interrelazioni tra la progettazione e sviluppo delle Applicazioni ed i successivi Servizi Security Planning to implement Service The Business Perspective Spiega come organizzare e mantenere la sicurezza sull infrastruttura IT. Il libro è scritto con la prospettiva di un Manager IT e contiene i seguenti argomenti: Problem, Business Continuity Planning, Financial and Costing, Control e Success Factors. L obiettivo di questa pubblicazione è quello di fornire al lettore dei punti chiave da considerare quando si sceglie di pianificare l implementazione dell IT Service. Il libro spiega quli sono gli step necessari per implementare o migliorare l erogazione dei servizi IT. Copre un range di argomenti riguardanti l erogazione dei servizi IT come parte integrante di un unico requisito di business. Gli argomenti trattati sono: Business Continuity, Partnership and outsourcing. 13
Contenuti ITIL Struttura La seguente figura illustra l intero ambiente ITIL e la relativa struttura all interno della quale sono sviluppati i moduli. Inoltre essa illustra le relazioni che ognuno dei moduli ha con il Business e con la Tecnologia. T H E B U S I N E S S Business Perspective Planning to implement Service Service Delivery Service Service Support IT Infrastructure Security T H E T E C H N O L O G Y Application 14
Struttura COBIT I 318 obiettivi di controllo sono strutturati in 34 processi definiti in 4 domini: Planning & Organization Acquisition & Implementation Delivery & Support Monitoring PO (11 processi) AI (6 processi) DS (13 processi) MO (4 processi) AI PO DS MO 15
Mapping ITIL vs COBIT COBIT e ITIL si possono definire complementari, anche se differiscono per molti aspetti e per gli obiettivi che si prepongono. E possibile comunque associare la maggior parte dei controlli COBIT nei processi definiti in ITIL e viceversa. PO AI DS ITIL Service Support & Service Delivery M Proiezione sui domini CobiT 16
Mapping ITIL vs COBIT 17
Mapping ITIL vs COBIT (+) Best Practice ITIL sono state mappate su questo processo (-) Nessuna Best Practice ITIL è stata mappata su questo processo 18
Esempio Help Desk 19
Esempio: Analisi dei rischi e benchmarking per il processo di Help Desk (Service Desk) Obiettivo: Analisi dei rischi e benchmarking per il processo di Help Desk (Service Desk). Richiesta: Utilizzare COBIT per i controlli e ITIL per il confronto con la best practice. 20
Esempio: Analisi dei rischi e benchmarking per il processo di Help Desk (Service Desk) Metodologia seguita: - Verifica corrispondenza tra processi ITIL e obiettivi di controllo COBIT - Selezione dei processi ITIL utili per l analisi - Selezione dei processi COBIT utili per l analisi - Definizione metrica e sistema di scoring per l analisi dei rischi (rischio-controllo-rischio residuo) per il confronto con la best practice ITIL (bilanciato sui Critical Success Factors (CSF) e Key Performance Indicators (KPI) ove presenti) per il risultato finale - Produzione reportistica e due Remediation Plan: uno derivante dal rischio residuo associato al controllo uno derivante dal confronto con la best practice ITIL 21
Service Desk: verifica corrispondenza/copertura ITIL COBIT Processi COBIT selezionati: DS5 Garantire la sicurezza dei sistemi DS8 Assistere e dare consulenza ai clienti PO4 Definire l organizzazione e le relazioni IT PO7 Gestire le risorse umane PO8 Assicurare la conformità ai requisiti esterni 22
Service Desk: verifica corrispondenza/copertura COBIT ITIL Processi ITIL selezionati nel Service Support: 4 The Service Desk 5 Incident 6 Problem 7 Configuration 8 Change 9 Release 23
Service Desk: scelta processi Overview Il modulo Service Support (Supporto Servizi) descrive i processi associati con il supporto e le attività di manutenzione giornaliere e con la manutenzione dei servizi IT. Questo modulo si occupa dei seguenti processi di supporto e manutenzione: Incident Problem Change Configuration Release Inoltre si occupa della funzione di Service Desk come evoluzione dell Help Desk. 24
Service Desk: concetti Service Desk (secondo ITIL) Descrizione E il punto centrale di contatto tra il cliente e l area IT per tutto ciò che riguarda i servizi IT. Il Service Desk non è un processo, bensì una funzione all interno dell organizzazione dei servizi, e il ruolo che ricopre fa si che sia di rilevante importanza. Funzione principale Agire come punto di contatto e coordinare clienti, servizi interni all organizzazione e fornitori esterni. La determinazione di una struttura di service desk e la selezione di uno staff appropriato dipendono da un certo numero di fattori inerenti l organizzazione. La funzione di service Desk è flessibile, nel senso che si adegua ai cambiamenti dell organizzazione. 25
Service Desk: definizione modello del processo Struttura Esistono tre tipologie di Service Desk di seguito descritte: Local Service Desk: Ogni settore all interno dell organizzazione ha la propria Service Desk Unit. Il vantaggio è che ci si focalizza maggiormente sui singoli bisogni Central Service Desk: Una sola Service Desk per l intera organizzazione. Il vantaggio è una maggior facilità nel trattamento e nella standardizzazione dei processi. Virtual Service Desk Organizations: Combina gli aspetti sopraccitati. Le informazioni vengono gestite centralmente e rese disponibili globalmente. Le Service Desk locali forniscono supporto on-site al cliente, mentre la Service Desk centrale è responsabile della gestione di tutte le richieste e dell organizzazione dei servizi coinvolti. 26
Service Desk: sintesi dei processi selezionati Processi COBIT selezionati: DS5 Garantire la sicurezza dei sistemi DS8 Assistere e dare consulenza ai clienti PO4 Definire l organizzazione e le relazioni IT PO7 Gestire le risorse umane PO8 Assicurare la conformità ai requisiti esterni MODELLO DI SCORING SUL RISCHIO RESIDUO (VALORI DA 1 A 5) 5 Processi ITIL selezionati nel Service Support: 4 The Service Desk 6 Problem 7 Configuration 8 Change 9 Release GRADO DI MATURITA RISPETTO ALLA BEST PRACTICE ITIL (VALORI DA 1 A 5) 5 27
Service Desk: sintesi del modello di scoring Per i processi COBIT selezionati: DS5 DS8 PO4 PO7 PO8 RISCHIO = Funz( Impatto, Probabilità ) Valori 1-5 CONTROLLO Valori 1-5 RISCHIO RESIDUO = RISCHIO CONTROLLO Valori 1-5 Per i processi ITIL selezionati: SS 4 SS 6 SS 7 SS 8 SS 9 GRADO DI MATURITA 1 2 3 4 5 DESCRIZIONE Carente Necessita miglioramenti Sufficiente Gestito Ottimizzato 28
Sintesi dei rischi e dei controlli 29
Rappresentazione del rischio residuo 30
Commento Riguardo ITIL: Definire e condividere la tecnica di valutazione con particolare attenzione al peso dei processi definiti come best practice, dei KPI, dei CSF, delle metriche, Definire e condividere i processi e le aree di applicabilità Riguardo CobiT: Selezionare e analizzare per intero (se applicabile) i processi coinvolti anche solo parzialmente Non deve necessariamente essere definita una metrica di scoring complessiva. 31
IS Governance e metodologie Per quanto riguarda l utilizzo delle principali metodologie di analisi dei rischi a supporto dei servizi di IS Audit / Sicurezza / IT Governance, la tabella sottostante riassume i principali abbinamenti (in certi casi la copertura è parziale): Controlli Metriche, benchmarking, KPIs, CSFs Organizzazione e ruoli Processi Risorse COBIT, ISO17799, best practice COBIT Online, best practice, CMMi, ITIL COBIT, ISO17799, ITIL, CMMi COBIT, ISO17799, ITIL, CMMi CMMi, best practice Tecnologie ISO17799, best practice 32
Sessione di studio AIEA, Verona 25 Novembre 2005 Riferimenti Marco Salvato KPMG S.p.A. 0422-5767312 msalvato@kpmg.it www.kpmg.it 33