CObIT 5 Prof. Ing.Claudio Cilli CIA, CISA, CISM, CGEIT, CRISC, CISSP, CSSLP, M.Inst.ISP cilli@di.uniroma1.it
Indice della presentazione 1. Introduzione 2. ISO 155504 3. GRC (Governance Risk & Compliance) 4. CObIT 5 5. GRC in CObIT 5 6. CObIT 4.1 vs. CObIT 5 7. Modello di maturità 8. Implementare CObIT 2
Origine del problema Crescente dipendenza delle organizzazioni dalle reti e dai sistemi informatici Esposizione dei sistemi informatici ad eventi distruttivi Impatto degli eventi distruttivi sull attività aziendale Difficoltà di valutare e contenere i costi dei sistemi informativi Impossibilità di valutare i benefici che i sistemi informativi e la tecnologia apportano all organizzazione Patrimonio informativo visto come fattore di produzione! 3
Fino ad oggi: Iniziative sporadiche e parziali non accompagnate da evoluzione dei processi interni Inerzia organizzativa Domanda disaggregata in termini di requisiti funzionali e piattaforme di riferimento SCARSA SENSIBILITÀ : AUDIT E SICUREZZA VISTE COME COSTO! 4
Benefici aziendali? Le imprese e i loro dirigenti si sforzano di: Ottenere informazioni di qualità a supporto delle decisioni di business Generare valore dagli investimenti IT, ossia realizzare gli obiettivi strategici aziendali e realizzare vantaggi di business tramite l efficace innovativo uso dell IT Raggiungere l eccellenza operativa per mezzo dell efficiente e affidabile applicazione della tecnologia Mantenere ad un livello accettabile il rischio IT Ottimizzare il costo dei servizi e della tecnologia Come possono questi vantaggi essere realizzati per creare valore agli stakeholder? 5
Stakeholder value! Erogare valore agli stakeholder richiede buone capacità di governance e gestione delle informazioni e della tecnologia I board e il management devono considerare l IT come qualsiasi altra parte significativa del business L adeguamento ai requisiti legali e regolamentari legati all utilizzo delle informazioni e dei sistemi sta aumentando, minacciando il loro valore in caso di problemi COBIT 5 forniste un framework completo che assiste le organizzazioni a raggiungere I loro obiettivi e ad erogare valore tramite un efficace governance e gestione dei sistemi informatici 6
CObIT 5: Framework CObIT 5 aiuta le imprese a creare valore dall information technology mantenendo un bilanciamento tra benefici attesi e rischi, oltre ad aiutare ad ottimizzare l impego di risorse CObIT 5 consente all IT di essere governato in maniera olistica per tutta l impresa, considerando tutto il business end-to-end e le aree funzionali IT di responsabilità, considerando gli interessi connessi all IT degli stakeholder interni ed esterni I principi di CObIT 5 e gli abilitatori sono generici e utili per organizzazioni9 di ogni dimensione, sia commerciali che no-profit o pubbliche 7
8 CObIT 5: Principi
9 CObIT 5: Abilitatori (enablers)
Governance & Management Governance La governance assicura che gli obiettivi dell impresa siano raggiunti valutando (Evaluating) i bisogni degli stakeholder, le condizioni e le alternative; stabilendo la direzione (Direction) tramite la prioritizzazione e le scelte decisionali; e monitorando (Monitoring) le performance, la compliance e i progressi rispetto al piano [EDM] Management Il management pianifica (Plans), realizza (Builds), esegue (Runs) e monitorizza (Monitors) le attività allineandosi con la direzione stabilita dal governance body al fine di raggiungere gli obiettivi d impressa [PBRM] 10
In definitiva. COBIT 5 Unisce i cinque principi che consentono all impresa di realizzare un efficace framework di governance e management basato su un insieme olistico di sette abilitatori che ottimizza le informazioni e gli investimenti in tecnologia e le utilizza a beneficio degli stakeholder 11
12 LA ISO 15504
La ISO 15504 La norma ISO/IEC 15504 (1998) definisce un modello per la valutazione del livello di "maturità" dei processi di una organizzazione del settore IT La norma si compone di 9 parti, in forma di Technical Report, e definisce sia il modello dei processi (parte 2) che il modello di assessment (parte 5). La norma è stata sviluppata da un progetto promosso da ISO, denominato spice 13
ISO 15504 Struttura La norma definisce, oltre il modello dei processi e di assessment dei processi, una guida allo svolgimento di un assessment (parte 4), le caratteristiche degli assessors (parte 6), la guida per l'utilizzo del modello ai fini del miglioramento (parte 7), la guida per la capability determination (parte 8). La parte 1 è introduttiva, la 9 è il vocabolario Successivamente è stata emessa la nuova versione (2003) che ha semplificato la suddivisione accorpando alcune parti e introdotto ulteriori modifiche alle definizioni, per meglio integrarsi con la ISO 12207 MD 1 e 2 relativa alla certificazione del processo di sviluppo del software 14
Contenuti e principi Process Identifies changes to Examined by Process Assessment Identifies suitability of Process Improvement Cause Motivates Cause Capability Determination 15
Componenti (1998) Part 1 (I) Concepts and introductory guide Part 9 (N) Vocabulary Part 7 (I) Guide for process improvement Part 8 (I) Guide for supplier capability determination Part 6 (I) Guide to competency of assessors Part 3 (N) Performing an assessment Part 4 (I) Guide to performing an assessment Part 2 (N) A reference model for Process and capability Part 5 (I) Assessment model and Indicator guidance 16
Componenti ISO/IEC 15504: 2003 Part 1 Concepts and vocabulary Part 4 Guidance on using Assessment Results Part 2 Performing an Assessment Part 3 Guide on Performing Assessments Compliant Process Reference Model Part 5 Exemplar Assessment Model Cambiamenti dalla versione 1998 Part 1 & 9 >> Part 1 Part 2 & 3 >> Part 2 Part 7 & 8 >> Part 4 Part 4 & 6 >> Part 3 Part 5 >> Part 5 Il nome cambia da Software Process Assessment in Process Assessment Riduzione da 9 parti a 5 parti Aggiunta di un exemplar assessment method Introduzione dei Process Reference Models 17
Un modello bidimensionale La norma definisce un modello "bidimensionale" costituito da: 1. la dimensione del processo (la definizione del processo in termini di obiettivi, risultati misurabili attesi ed altre informazioni di livello alto, descrittive) 2. la dimensione del profilo di capacità dei processi, caratterizzata da una serie di attributi di processo che ne distinguono il livello di maturità rispetto ad una scala di valutazione ordinale [0-5] con 5 considerato il valore migliore Il posizionamento di un processo sulla scala di valutazione è funzione del possesso di determinati attributi caratteristici di ogni livello della scala misurabili attraverso indicatori 18
Definizioni Assessment: un esame, secondo regole formali, dei processi di una organizzazione, rispetto ad un modello di riferimento Un metodo di assessment richiede: una scala di misura (i livelli di capacità) i criteri di valutazione rispetto ai livelli della scala un meccanismo di rappresentazione dei risultati Capability determination: un esame, secondo regole formali, dei processi di una organizzazione, rispetto alla loro capacità di raggiungere un determinato obiettivo, condotto allo scopo di individuare i punti di forza e di debolezza ed i rischi associati alla attuazione dei processi secondo determinati requisiti Processes: l'insieme di processi utilizzati da una organizzazione per pianificare, gestire, eseguire, monitorare, controllare e migliorare le attività correlate al software Attributo di processo: una caratteristica misurabile della capacità di un processo Indicatore di processo: un indicatore che supporta la valutazione della capacità di raggiungimento di determinati livelli di attributi di processo Basepractice: una attività di software engineering o di management che consente il raggiungimento dello scopo di un determinato processo 19
Il modello dei processi I processi sono mappati su 4 livelli. II primo è formato da 3 macro categorie i Primari, quelli di Supporto e gli Organizzativi All'interno di queste macro categorie sono definite 5 ulteriori categorie di processo 1. Customer-Supplier (CUS) quelli che impattano direttamente sul cliente 2. Engineering (ENG) che direttamente specificano, implementano o mantengono il prodotto software 3. Support (SUP), i processi di supporto a tutti gli altri 4. Manageriali (MAN) ovvero quelli che gestiscono la conduzione del progetto 5. Organizzativi (ORG) che determinati gli obiettivi aziendali devono sviluppare i processi, le risorse e gli strumenti necessari a raggiungerli Il modello definisce un ulteriore terzo livello di processi, che ne comprende complessivamente 24 Esiste infine un quarto livello, costituito da 18 processi, ancora più di dettaglio, quasi tutti facenti parte dei Primari Rispetto alla 12207 si hanno 7 processi del tutto nuovi, 9 che sono estensione di quelli definiti nella ISO 12207 (1995) (Gestione del ciclo di vita del software) 20
Il profilo di capacità La dimensione del profilo di capacità dei processi si basa su un sistema di attributi di processo e di elementi di possesso di tali attributi che permettono di mappare il livello di maturità di un processo su una scala ordinale a 6 livelli (0-iniziale / 5-innovativo). I livelli sono praticamente gli stessi del CMM Gli attributi definiti nella norma sono 9: 1. Process performance - un processo raggiunge i suoi obiettivi, trasformando input identificabili in output identificabili 2. Performance management - l'attuazione di un processo è pianificata e controllata al fine di produrre risultati che rispondono agli obiettivi attesi 3. Work product management - l'attuazione di un processo è pianificata e controllata al fine di produrre risultati che siano appropriatamente documentati, controllati e verificati 4. Process definition - l'attuazione di un processo si basa su approcci standardizzati 5. Process resource - il processo può contare sulle risorse adeguate (umane, infrastrutture etc.) per essere attuato 6. Process measurement - i risultati raggiunti e le misure rilevate durante l'attuazione di un processo sono usati per assicurarsi che l'attuazione di tale processo supporti efficacemente il raggiungimento di specifici obiettivi 7. Process control - un processo è controllato attraverso la raccolta, analisi ed utilizzo delle misure di prodotto e di processo rilevate, al fine di correggere, se necessario, le sue modalità di attuazione 8. Process chanae - le modifiche alla definizione, gestione, attuazione di un processo sono controllate 9. Continuous improvement - le modifiche ad un processo sono identificate ed implementate al fine di assicurare il continuo miglioramento nel raggiungimento degli obiettivi rilevanti per la organizzazione 21
Gli attributi di processo Per ogni attributo la norma dà le condizioni che lo fanno considerare soddisfatto definendo inoltre 4 possibili livelli di possesso di un attributo: N - non posseduto (0-15% di possesso, non c'è evidenza, o ve ne è poca, del possesso di un attributo) P - parzialmente posseduto (16-50% di possesso, vi è evidenza di approccio sistematico al raggiungimento del possesso di un attributo e del raggiungimento di tale possesso, ma alcuni aspetti del possesso possono essere non prevedibili) L - largamente posseduto (51-85% di possesso, vi è evidenza di approccio sistematico al raggiungimento del possesso di un attributo e di un significativo livello di possesso di tale attributo, ma l'attuazione del processo può variare nelle diverse unità operative della organizzazione) F - (Fully) pienamente posseduto (86-100% di possesso, vi è evidenza di un completo e sistematico approccio e di un pieno raggiungimento del possesso dell'attributo e non esistono significative differenze nel modo di attuare il processo tra le diverse unità operative) 22
Livello di maturità In base al livello di possesso degli attributi, sono previsti 6 livelli di "maturità" dei processi: Livello 0 - processo incompleto. Il processo non è implementato o non raggiunge gli obiettivi. Non vi è evidenza di approcci sistematici agli attributi definiti Livello 1 - processo semplicemente attuato. Il processo viene messo in atto e raggiunge i suoi obiettivi. Non vi è evidenza di un approccio sistematico ad alcuno degli attributi definiti. Il raggiungimento di questo livello è dimostrato attraverso il possesso degli attributi di "process performance Livello 2 - processo gestito. Il processo è attuato ma anche pianificato, tracciato, verificato ed aggiustato se necessario, sulla base di obiettivi ben definiti. Il raggiungimento di questo livello è dimostrato attraverso il possesso degli attributi di "performance management" e "Work product management Livello 3- processo definito. Il processo è attuato, pianificato e controllato sulla base di procedure ben definite, basate sui principi del sw engineering. Il raggiungimento di questo livello è dimostrato attraverso il possesso degli attributi di "Process definition" e "Process resource Livello 4 - processo predicibile. Il processo è stabilizzato ed è attuato all'interno di definiti limiti riguardo i risultati attesi, le performance, le risorse impiegate etc. Il raggiungimento di questo livello è dimostrato attraverso il possesso degli attributi di "Process measurement" e "Process control Livello 5 - processo ottimizzante. Il processo è predicibile ed in grado di adattarsi per raggiungere obiettivi specifici e rilevanti per la organizzazione. Il raggiungimento di questo livello è dimostrato attraverso il possesso degli attributi di "Process change" e "Continuous improvement 23
Il modello di valutazione L'assessment si basa sulla valutazione di alcuni indicatori: 1. indicatori di process performance per la dimensione del processo 2. indicatori di process capability per la dimensione della capacità dei processi di raggiungere determinati obiettivi 24
Indicatori di Process Performance Le tipologie di indicatori di process performance definiti dalla norma sono 2: 1. Base practices - Le base practices (BP) sono attività di software engineering o di management che consentono il raggiungimento dello scopo di un determinato processo. La descrizione delle BP è ad un livello alto, astratto, che identifica "cosa" va fatto piuttosto che "come 2. Work product & Work Product Characteristics - I work products (WP) sono gli input e gli output del processo, e le loro caratteristiche L'esistenza di BP e WP, il loro effettivo contributo al raggiungimento degli obiettivi di processo, la loro adeguatezza a farlo, forniscono all assessor la evidenza delle prestazioni del processo. È possibile anche definire, a completamento delle base practices, delle advanced practices che individuano quali ulteriori attività è consigliabile implementare al fine di ottenere i risultati attesi con sufficiente qualità 25
Indicatori di capacità dei processi Gli indicatori di capacità dei processi sono 3: 1. Management practices 2. Practice Performance characteristics 3. Resource/Infrastructure caracteristics Le management practices (MP) sono le attività che devono essere implementate per soddisfare gli attributi di processo. Per ogni MP sono definite le practice performances characteristics (le caratteristiche che devono possedere le varie management practices, PPC) resource and infrastructure characteristics (le caratteristiche che devono possedere le risorse associate alle management practices, RIC) 26
GRC (GOVERNANCE RISK & COMPLIANCE) 27
GRC GRC: Governance, Risk management e Compliance Un termine sempre più utilizzato per come ombrello per comprendere questre tre aree dell attività aziendale Queste aree di attività si stanno sempre più allineando e integrando per migliorare le performance dell impresa e il soddisfacimento dei bisogni degli stakeholder 28
GRC: Definizioni GRC: Governance Esercizio dell autorità; controllo; governo; composizione Risk (management) rischio; pericolo; esposizione a perdita, danno o distruzione (l'atto o l arte di gestire; il modo di trattare, orientare, esercitare, o utilizzare, per uno scopo; comportamento; amministrazione; orientamento; controllo) Compliance Il rispetto e l'osservanza della legge; una concessione, come un desiderio, domanda, o proposta; concessione; presentazione Webster online dictionary 29
Tipi di Governance Esistono diversi tipi di governance: Corporate governance Project governance Information technology governance Environmental governance Economic and financial governance Ognuna di queste tipologie dispone di varie fonti per la guida, tutte con gli stessi obiettivi, ma con diversi termini e tecniche finalizzate al raggiungimento dei relativi obiettivi 30
Implementare la Governance L integrazione dell implementazione delle attività di GRC all interno di un organizzazione richiede un approccio sistematico per raggiungere affidabilmente gli obiettivo di business dei suoi stakeholders Tali approcci sono basati tipicamente su abilitatori di vario tipo (es.: principi, politiche, modelli, framework, strutture organizzative) 31
Un esempio del Modello GRC Dal OCEG Red Book GRC Capability Model versione 2.1 32
Corporate Governance of IT ISO/IEC 38500: 2008 Corporate governance of information technology 1.1 Scopo Lo standard fornisce i principi guida per gli amministratori di organizzazioni (tra cui proprietari, amministratori, senior manager, soci, dirigenti, o simili) per un utilizzo in modo efficace, efficiente e accettabile delle tecnologie dell'informazione (IT) all'interno delle loro organizzazioni Questo standard si applica alla governance dei processi di gestione (e decisioni) relative alle informazioni e ai servizi di comunicazione utilizzati da un'organizzazione. Questi processi possono essere controllati da specialisti IT all'interno dell'organizzazione o da fornitori esterni di servizi, o per unità di business all'interno dell'organizzazione 33
Corporate Governance of IT (cont.) ISO/IEC 38500: 2008 Corporate governance of information technology 2.1 Principi 2.1.1 Principio 1: Responsibility 2.1.2 Principio 2: Strategy 2.1.3 Principio 3: Acquisition 2.1.4 Principio 4: Performance 2.1.5 Principio 5: Conformance 2.1.6 Principio 6: Human Behaviour 34
Corporate Governance of IT (cont.) ISO/IEC 38500: 2008 Corporate governance of information technology 2.2 Modello I manager devono governare l IT tramite tre compiti principali: a) Valutare l utilizzo corrente e futuro dell IT b) Dirigere la preparazione e l implementazione di piani e politiche per assicurare che l utilizzo dell IT sia conforme agli obiettivi di business aziendali c) Monitorare l adeguamento alle politiche, e le performance rispetto ai piani 35
COBIT: Governance of Enterprise IT (GEIT) Governance of Enterprise IT Evolution of scope IT Governance Management Control Audit Val IT 2.0 (2008) Risk IT (2009) COBIT1 COBIT2 COBIT3 COBIT4.0/4.1 COBIT 5 1996 1998 2000 2005/7 2012 A business framework from ISACA, at www.isaca.org/cobit 36
37 COBIT 5
Panoramica su CObIT 5 COBIT 5 riunisce i cinque principi che consentono a un organizzazione di realizzare un efficace framework di governance e management basato su un insieme olistico di sette abilitatori che ottimizza l informazione e gli investimenti in tecnologia nonché il loro utilizzo a beneficio degli stakeholder 38
Il framework di CObIT 5 CObIT 5 aiuta le imprese a creare valore dall information technology mantenendo un bilanciamento tra benefici attesi e rischi, oltre ad aiutare ad ottimizzare l impego di risorse CObIT 5 consente all IT di essere governato in maniera olistica per tutta l impresa, considerando tutto il business end-to-end e le aree funzionali IT di responsabilità, considerando gli interessi connessi all IT degli stakeholder interni ed esterni I principi di CObIT 5 e gli abilitatori sono generici e utili per organizzazioni di ogni dimensione, sia commerciali che no-profit o pubbliche 39
40 CObIT 5: I 5 principi
41 COBIT 5: I 7 abilitatori
42 GRC IN COBIT 5
Governance (e Management) in COBIT 5 La Governance assicura che gli obiettivi siano raggiunti valutando le esigenze degli interessati, le condizioni e le opzioni; impostando la direzione tramite priorità e processo decisionale, e il monitoraggio delle prestazioni, il rispetto dei requisiti e il progresso rispetto alla direzione e agli obiettivi concordati (EDM) Il Management pianifica (plan), implementa (build), esegue (runs) e controlla (monitor) le attività in allineamento con le direzioni stabilite dal governance body per conseguire gli obiettivi dell impresa (PBRM) Esercitare governance e management efficacemente significa in pratica considerare tutti gli abilitatori. Il COBIT process reference model consente di concentrarsi facilmente sulle attività aziendali rilevanti 43
Governance in COBIT 5 Il COBIT 5 process reference model suddivide le pratiche e e le attività correlate all IT dell organizzazione in due aree principali governance e management con management ulteriormente divisa in domini e processi Il dominio GOVERNANCE contiene cinque processi di governance; all interno di ognuna sono definite le pratiche EDM (evaluate, direct & monitor) 01 Ensure governance framework setting and maintenance. 02 Ensure benefits delivery. 03 Ensure risk optimisation. 04 Ensure resource optimisation. 05 Ensure stakeholder transparency. I quattro domini MANAGEMENT sono in linea con le aree di responsabilità PBRM (plan, build, run & monitor) 44
45 Governance in COBIT 5 (cont.)
Risk Management in COBIT 5 Il dominio GOVERNANCE contiene cinque processi di governance, uno dei quali si focalizza sugli obiettivi degli stakeholder relativi al rischio: EDM03 Ensure risk optimisation Descrizione del Processo Ensure that the enterprise s risk appetite and tolerance are understood, articulated and communicated, and that risk to enterprise value related to the use of IT is identified and managed Obiettivo del Processo Ensure that IT-related enterprise risk does not exceed risk appetite and risk tolerance, the impact of IT risk to enterprise value is identified and managed, and the potential for compliance failures is minimised 46
Risk Management in COBIT 5 (cont.) Il dominio dell area MANAGEMENT Align, Plan & Organise contiene un processo risk-related: APO12 Manage risk Descrizione del Processo Continually identify, assess and reduce IT-related risk within levels of tolerance set by enterprise executive management Obiettivo del Processo Integrate the management of IT-related enterprise risk with overall ERM, and balance the costs and benefits of managing IT-related enterprise risk 47
48 Risk Management in COBIT 5 (cont.)
Risk Management in COBIT 5 (cont.) Tutte le attività aziendali hanno delle esposizioni ai rischi dovute a minacce provenienti dall ambiente che potrebbero sfruttare le vulnerabilità EDM03 Ensure risk optimisation garantisce che l approccio al rischio da parte degli stakeholder sia articolato in modo da dirigere il modo in cui i rischi che minacciano l impresa siano estiti APO12 Manage risk fa sì che l enterprise risk management (ERM) si organizzi in modo da garantire che la direzione stabilita dagli stakeholder sia seguita dall impresa Tutti gli altri processi comprendono pratiche e attività progettate per gestire i relativi rischi (evitare, ridurre/mitigare/ controllare, condividere/trasferire/accettare) 49
Risk Management in COBIT 5 (cont.) In aggiunta alle attività, COBIT 5 suggerisce per ogni processo accountability, e responsabilità per tutti i ruoli aziendali e le strutture di governance/management (carte RACI). Comprendono i ruoli relativi al rischio 50
Compliance in COBIT 5 Il dominio dell area MANAGEMENT Monitor, Evaluate & Assess contiene un processo specifico per la compliance: MEA03 Monitor, evaluate and assess compliance with external requirements Descrizione del Processo Evaluate that IT processes and IT-supported business processes are compliant with laws, regulations and contractual requirements. Obtain assurance that the requirements have been identified and complied with, and integrate IT compliance with overall enterprise compliance Obiettivo del Processo Ensure that the enterprise is compliant with all applicable external requirements 51
52 Compliance in COBIT 5 (cont.)
Compliance in COBIT 5 (cont.) Conformità legislativa e normativa è un elemento chiave della gestione efficace di un'impresa, e da qui la sua inclusione nel termine GRC e negli COBIT 5 Enterprise Goal e nell abilitatore che supporta la struttura del processo (MEA03) Oltre a MEA03, tutte le funzioni aziendali comprendono delle attività di controllo progettate per garantire il rispetto non solo a requisiti legislativi o regolamentari imposti dall'esterno, ma anche a principi interni di governance, politiche e procedure 53
Compliance in COBIT 5 (cont.) In aggiunta alle attività, COBIT 5 suggerisce per ogni processo accountability, e responsabilità per tutti i ruoli aziendali e le strutture di governance/management (carte RACI). Comprendono i ruoli relativi alla compliance 54
Stakeholder Value & Business Objectives Le organizzazioni (sia pubbliche che private) esistono al fine di creare valore per i loro stakeholder. Di conseguenza la creazione di valore è un obiettivo della governance Creazione di valore significa realizzare questi benefici con un utilizzo ottimale delle risorse e nello stesso tempo ottimizzare i rischi 55
Stakeholder Value & Business Objectives (cont.) Principio 1 - Meeting Stakeholder Needs: I bisogni degli stakeholder devono essere trasformati in una strategia aziendale concreata e fattibile Gli obiettivi a cascata di COBIT 5 traducono questi bisogni in obiettivi specifici, fattibili e personalizzati nel contesto dell impresa, del sistema informativo e infine negli abilitatori 56
Stakeholder Value & Business Objectives (cont.) I bisogni degli Stakeholder possono essere correlati a un insieme di obiettivi aziendali generici Questi goal sono stati determinati utilizzando la Balanced Scorecard (BSC) (Kaplan, Robert S.; David P. Norton; The Balanced Scorecard: Translating Strategy into Action, Harvard University Press, USA, 1996) Gli obiettivi aziendali consistono in un elenco di goal comunemente utilizzati che un azienda ha definito per se stessa Sebbene questa lista non è esaustiva, la maggior parte degli obiettivi di business di una qualsiasi organizzazione può essere mappata con uno o più di questi goal 57
Stakeholder Value & Business Objectives (cont.) 58
Stakeholder Value & Business Objectives (cont.) Questa organizzazione a cascata non è nuova in COBIT 5: è stata introdotta in COBIT 4.0 nel 2005 Gli utilizzatori di COBIT che hanno applicato questo modo di procede lo hanno trovato interessante e di valore Ma non tutti hanno notato questo vantaggio Poiché questa cascata supporta il principio relativo ai bisogni degli stakeholder, che è fondamentale in COBIT 5, è diventato un concetto preminente nella descrizione del framework Con l occasione, la cascata è stata rivista e aggiornata 59
Governance e Management definiti Che tipo di framework è COBIT? Un IT audit and control framework? COBIT (1996) e COBIT 2nd Edition (1998) Focus sugli Obiettivi di Controllo Un IT management framework? COBIT 3rd Edition (2000) Aggiunta delle Management Guidelines Un IT governance framework? COBIT 4.0 (2005) e COBIT 4.1 (2007) Aggiunta dei processi Governance e Compliance Eliminazione dei processi di Assurance Ma qual è la differenza tra governance and management? 60
Governance e Management definiti (cont.) Governance La governance assicura che gli obiettivi dell impresa siano raggiunti valutando (Evaluating) i bisogni degli stakeholder, le condizioni e le alternative; stabilendo la direzione (Direction) tramite la prioritizzazione e le scelte decisionali; e monitorando (Monitoring) le performance, la compliance e i progressi rispetto al piano [EDM] Management Il management pianifica (Plans), realizza (Builds), esegue (Runs) e monitorizza (Monitors) le attività allineandosi con la direzione stabilita dal governance body al fine di raggiungere gli obiettivi d impressa [PBRM] 61
Governance and Management Defined (cont.) Il COBIT 5 process reference model suddivide le pratiche e e le attività correlate all IT dell organizzazione in due aree principali governance e management con management ulteriormente divisa in domini e processi: Il dominio GOVERNANCE contiene cinque processi di governance; all interno di ognuna sono definite le pratiche EDM (evaluate, direct & monitor) I quattro domini MANAGEMENT sono in linea con le aree di responsabilità PBRM (plan, build, run & monitor) 62
63 COBIT 4.1 VS. COBIT 5
Cambiamenti presenti in CObIT 5 I principali cambiamenti apportati al framework, e che impattano l implementazione/miglioramento del GEIT sono: 1. Nuovi principi GEIT 2. Aumentato focus sugli abilitatori 3. Nuovo Process Reference Model 4. Processi nuovi e modificati 5. Pratiche e attività 6. Goal e metriche 7. Input e Output 8. Carte RACI 9. Process Capability Maturity Model e Assessment 64
65 1. Nuovi principi GEIT
1. Nuovi principi GEIT (cont.) I framework Val IT e Risk IT definiscono dei principi che ne sono alla base I feedback ricevuti hanno mostrato che i principi sono facili da comprendere e applicare in un contesto aziendale, consentendo di ottenere valore più efficacemente Anche la ISO/IEC 38500 incorpora dei principi finalizzati ad ottenere gli stessi benefici, anche sono leggermente diversi da quelli di COBIT 5 Chiara definizione ed enfasi sui principi di Governance 66
2. Aumentato focus sugli abilitatori COBIT 4.1 non prevedeva abilitatori! In realtà questo erano presenti, ma chiamati diversamente, esplicitamente o implicitamente 67
2. Aumentato focus sugli abilitatori (cont.) Informazioni, infrastrutture, applicazioni (servizi) e persone (persone, abilità e competenze) erano le risorse di COBIT 4.1 Principi, politiche e framework erano presenti in pochi processi di COBIT 4.1 I processi erano tuttavia centrali nell applicare COBIT 4.1 La struttura organizzativa è considerata nei ruoli Responsible, Accountable, Consulted o Informed (RACI) e nella loro definizione La cultura, l etica e comportamenti erano menzionati in pochi processi di COBIT 4.1 68