Sessione di studio AIEA 15 dicembre 2004, Milano IT Governance Modello di gestione Michele Barbi, CISA - Etnoteam
Governo dell IT (COBIT) Una struttura di relazioni e di processi per dirigere e controllare l azienda al fine di raggiungere gli scopi della stessa apportando valore e bilanciando rischi e benefici dell IT e dei suoi processi Il governo dell IT prevede una struttura che collega i processi IT, le risorse IT ed il mondo dell informazione alle strategie ed agli obiettivi dell Azienda
Governo dell IT (COBIT) Una struttura di relazioni e di processi per dirigere e controllare l azienda al fine di raggiungere gli scopi della stessa apportando valore e bilanciando rischi e benefici dell IT e dei suoi processi Il governo dell IT prevede una struttura che collega i processi IT, le risorse IT ed il mondo dell informazione alle strategie ed agli obiettivi dell Azienda Le domande dell IT Manager: Ho una struttura di relazioni e di processi che mi garantisce il governo dell IT? Qual è il suo grado di maturità? Come e dove posso costruirla e/o migliorarla
Costruiamo un modello di gestione dell IT Governance
VERIFICA IMPLEMENTAZIONE
Maturità del Sistema di ITGovernance VERIFICA Analisi delle Componenti Gestione delle componenti Misura delle Componenti Implementazione delle componenti IMPLEMENTAZIONE Definizione delle componenti
Overview Maturità del Sistema di ITGovernance VERIFICA Analisi delle Componenti Gestione delle componenti Misura delle Componenti Implementazione delle componenti IMPLEMENTAZIONE Definizione delle componenti
Liv 1 Analisi del sistema di ITGovernance Overview Maturità del Sistema di ITGovernance Planning &organiztion Acquisition & implementation Delivery & Support Monitoring Approccio secondo Modello di Controllo (CobiT ) Definizione e condivisione del Modello di Maturità del Sistema di IT Governace Misura della maturità del Sistema di IT Governace (As is) Livello di Maturità necessario/atteso (To be) Individuazione degli ambiti di miglioramento Questo livello di analisi è inidrizzato al Vertice Aziendale o del comparto IT L intervento è mirato a fornire una misura di quanto siano presenti adeguati indicatori e/o controlli sulle singole componenti del comparto IT che preservano e/o avvertano dall insorgere di criticità. Permette di selezionare le aree di intervento più critiche che potranno essere oggetto degli interventi più specialistici previsti nei livelli 2 e 3 dell offerta
Overview Liv 1 Maturità del Sistema di ITGovernance assessment VERIFICA Analisi delle Componenti Gestione delle componenti Misura delle Componenti Implementazione delle componenti IMPLEMENTAZIONE Definizione delle componenti
Liv 2 (1/5) Planning & Organisation IT Strategy Processi IT Investimenti Analisi del Rischio HRS piano comun Progetti Qualità Analisi delle Componenti Acquisition & Implementation Parco applicativo Infr. tecn. Hw e reti Monitoraggio processi Monitoring adeguatezza Controlli Interni Qualità del Servizio/ CS costi Security e disponibilità/ continuità Supporto utenti & Formazione Delivery & Support Attività operative, Dati ed Infrastrut
Planning & Organisation Liv.2 (2/5) IT Strategy Investimenti HRS piano comun Analisi delle Componenti Processi IT Analisi del Rischio Progetti Qualità Questo blocco interessa i processi di pianificazione ed organizzazione: l insieme delle strategie attraverso cui l IT può meglio contribuire al perseguimento degli obiettivi aziendali. Le strategie devono essere pianificate, comunicate e gestite attraverso un adeguata organizzazione ed un adeguata infrastruttura tecnologica Gli assessment sono indirizzati ad analizzare gli aspetti di definizione/impostazione di: piano strategico, architettura, indirizzo tecnologico organizzazione (IT Strategy) gestione degli investimenti gestione delle risorse umane e del piano di comunicazione (HRS e piano comunicaz.) gestione dei processi IT assess risks gestione dei progetti sistema Qualità
Acquisition & Implementation Liv.2 (3/5) Analisi delle Componenti Parco applicativo Infr. tecn. Hw e reti Questo blocco interessa i processi di acquisizione ed implementazione : L insieme delle modalità attraverso cui le risorse informatiche vengono sviluppate, acquisite, implementate, integrate nei processi aziendali e manutenute gli assessment sono indirizzati ad analizzare gli aspetti di: Identificazione delle soluzioni, acquisizione e manutenzione delle applicazioni SW, sviluppo e manutenzione delle procedure, gestione delle modifiche (Parco applicativo); Acquisizione e mantenimento dell infrastruttura tecnologica, Installazione e verifica dei sistemi (Infrastruttura Tecnologica Hardware e reti)
Delivery & Support Liv.2 (4/5) Qualità del Servizio/ CS Security e disponibilità/ continuità Analisi delle Componenti costi Supporto utenti & Formazione Attività operative, Dati ed Infrastrut Questo blocco interessa i processi di erogazione e supporto: L insieme delle modalità e delle proprietà di rilascio dei servizi informatici (sicurezza, continuità, formazione, assistenza). Gli assessment sono indirizzati ad analizzare gli aspetti di: Definizione e gestione degli SLA, Gestione dei servizi esternalizzati, Gestione di Performance/Disponibilità (Qualità del Servizio/CS) Gestire la configurazione, i problemi, i dati, le infrastrutture, le attività Identificazione e controllo dei costi Formazione ed addestramento degli utenti disponibilità del servizio IT sicurezza e continuità
Liv.2 (5/5) Analisi delle Componenti Monitoring Monitoraggio processi adeguatezza Controlli Interni Questo blocco interessa i processi di monitoraggio: L insieme delle periodiche valutazioni dei processi informatici sotto l aspetto della qualità dei risultati e del soddisfacimento dei requisiti di controllo Gli assessment sono indirizzati ad analizzare: Il monitoraggio del raggiungimento degli obiettivi dei processi il monitoraggio del raggiungimento degli obiettivi dei controlli interni
Overview Liv 1 Maturità del Sistema di ITGovernance assessment VERIFICA Gestione delle componenti Liv 2 Analisi delle Componenti Audit operativo Liv 3 Misura delle Componenti Implementazione delle componenti IMPLEMENTAZIONE Definizione delle componenti
Liv 3 Audit operativo Misura delle Componenti Verifiche Ispettive ISO Certific. SFW Quality Analisi Gestione documentale Corporate IP Network Audit Audit sicurezza Prof. organizzativo BS7799/ISO17799 Audit sicurezza Prof. tecnologico intrusione Network performance Monitoring misura delle prestazioni della sicurezza informatica Gli interventi riportati al livello 3 sono ancora interventi di verifica di taglio molto operativo e permettono di effettuare misure puntuali sulle criticità esistenti Hanno valenza sia come naturale completamento delle attività dei livelli precedenti (a fronte di individuate aree di criticità/rischio), sia come esplicita esigenza dell azienda di verifica dello stato dell arte in questi specifici ambiti.
Overview Liv 1 Maturità del Sistema di ITGovernance assessment VERIFICA Gestione delle componenti Liv 2 Analisi delle Componenti Audit operativo Liv 3 Misura delle Componenti Implementazione delle componenti IMPLEMENTAZIONE Liv 4 Definizione delle componenti Metodologia
Liv 4 (1/5) Metodologia Definizione delle componenti Gli interventi riportati al livello 4 sono interventi di supporto all impostazione di adeguati strumenti di gestione e controllo. Hanno carattere molto operativo e permettono di dotare l azienda dei fondamentali strumenti di gestione e di Governance. Planning &organiztion Acquisition & implementation Delivery & Support E possibile adottare le linee guida offerte da un Modello (CobiT Monitoring ) seguendo un percorso IT-> Business Oppure seguendo un percorso inverso business->it raggruppando gli ambiti di intervento in quattro macro gruppi : IT Transformation Information Security & Network Consulting Business Intelligence e CRM Enterprise Portals & Knowledge Processes
Liv 4 (2/5) Metodologia Definizione delle componenti IT Transformation Riprogettazione Organizzazione IT Ridisegno Processi Definizione Piano Sistemi Definizione Piano Interventi Gestione Progetti SERVICE DEVELOPMENT.demand management.project management.solution delivery.testing.roll-out management SERVICE MANAGEMENT.service level management.continuity management.incident management.problem management.configuration & change management.security management INTERNAL SUPPORT SERVICES.quality assurance.budgeting & control.human resources management.procurement
Liv 4 (3/5) Metodologia Definizione delle componenti Information Security & Network Consulting Corporate IP Network Design Progettazione Sistemi di gestione della Sicurezza Progettazione soluzioni di sicurezza Formazione e sensibilizzazione sicurezza classificazione allarmi e gestione degli incidenti
Liv 4 (4/5) Metodologia Definizione delle componenti Business Intelligence e CRM Controllo di Gestione Management Reporting Budgeting & Simulation Analytical Revenue & Cost Accounting CRM & Customer Operations Sistemi di Business Intelligence Tableau de Bord per il CRM Sales & Marketing Cross Selling Reporting Commerciale Pianificazione campagne e acquisizione nuovi clienti Geo Marketing IT Vertical Cruscotti e Reporting Operativo Analisi comportamento Cliente su IVR ClickStram Analysis Program & Cost Management Vision 2000
Liv 4 (5/5) Metodologia Definizione delle componenti Enterprise Portals & Knowledge Processes Enterprise Portal Quality Knowledge Management
Overview Liv 1 Maturità del Sistema di ITGovernance assessment VERIFICA Gestione delle componenti Liv 2 Analisi delle Componenti Audit operativo Liv 3 Liv 5 Misura delle Componenti Implementazione delle componenti IMPLEMENTAZIONE Supporto operativo Liv 4 Definizione delle componenti Metodologia
Liv 5 Supporto operativo Implementazione delle componenti Supporto alla definizione del piano di audit IS, metodologie e strumenti di verifica Supporto alla definizione del sistema dei controlli interni IT Supporto certificazione BS7799/ISO17799 Supporto/monitoraggio efficacia azioni risolutive Gli interventi riportati al livello 5 sono interventi di supporto all impostazione di strumenti di gestione e di Governo del comparto IT
Overview Liv 1 Maturità del Sistema di ITGovernance assessment VERIFICA Liv 6 Gestione delle componenti Liv 2 Analisi delle Componenti Audit operativo Liv 3 Liv 5 Risorse Misura delle Componenti Implementazione delle componenti IMPLEMENTAZIONE Supporto operativo Liv 4 Definizione delle componenti Metodologia
Risorse Liv 6 Gestione delle componenti del sistema di ITGovernance Presidio indicatori Cruscotti PM e Project Office Temporaney management Ribilanciamento carichi ed assegnazione competenze Addestramento risorse operative ed utilizzo strumenti
Overview Liv 1 Maturità del Sistema di ITGovernance assessment VERIFICA Liv 2 Liv 6 Analisi delle Componenti Gestione delle componenti Audit operativo Liv 3 Liv 5 Risorse Misura delle Componenti Implementazione delle componenti IMPLEMENTAZIONE Supporto operativo Liv 4 Definizione delle componenti Metodologia
Conclusioni Un approccio strutturato da personalizzare, da presentare e da condividere Un metodo di lavoro Un modello di gestione in cui collaborano i diversi attori che gravitano intorno al mondo IT: la struttura, l Audit, la sicurezza, la Consulenza, ecc. Un sistema ciclico che permette di misurare ad ogni ciclo i miglioramenti, definire ed assegnare gli obiettivi e tarare gli strumenti Una metrica di posizionamento (strumenti, consulenza, attività, ecc.)