CObIT 5. Prof. Ing.Claudio Cilli. CIA, CISA, CISM, CGEIT, CRISC, CISSP, CSSLP, M.Inst.ISP cilli@di.uniroma1.it

Documenti analoghi
Associazione Italiana Information Systems Auditors

IS Governance. Francesco Clabot Consulenza di processo.

Corso di Amministrazione di Sistema Parte I ITIL 1

Quality gate. Sono eventi programmati regolarmente e condotti seguendo una procedura standard

Qualità è il grado in cui un insieme di caratteristiche intrinseche soddisfa i requisiti (UNI EN ISO 9000:2005)

1- Corso di IT Strategy

INTERNAL AUDITING ROMA, 12 MAGGIO 2005 FORUM PA GIUSEPPE CERASOLI, CIA RESPONSABILE COMITATO PA

ISO/IEC 2700:2013. Principali modifiche e piano di transizione alla nuova edizione. DNV Business Assurance. All rights reserved.

I modelli normativi. I modelli per l eccellenza. I modelli di gestione per la qualità. ! I modelli normativi. ! I modelli per l eccellenza

Università di Macerata Facoltà di Economia

Fattori critici di successo

IT Risk-Assessment. Assessment: il ruolo dell Auditor nel processo. Davide SUSA - ACSec AIIA - Consigliere del Chapter di Roma

Appendice III. Competenza e definizione della competenza

Politica per la Sicurezza

SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras

I SISTEMI DI GESTIONE DELLA SALUTE E SICUREZZA SUL LAVORO: OHSAS AV2/07/11 ARTEMIDE.

QUESTIONARIO 3: MATURITA ORGANIZZATIVA

ISO 9001:2015 e ISO 14001:2015

La certificazione CISM

Il modello di ottimizzazione SAM

Norme per l organizzazione - ISO serie 9000

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

MANDATO INTERNAL AUDIT

UNI EN ISO 9001:2008 Sistemi di Gestione per la Qualità: requisiti e guida per l uso

Configuration Management

I NUOVI MODELLI ORGANIZZATIVI E TECNOLOGICI A SUPPORTO DELL EFFICIENZA AZIENDALE

MANDATO DI AUDIT DI GRUPPO

Panoramica su ITIL V3 ed esempio di implementazione del Service Design

Processi di Gestione dei Sistemi ICT

Audit & Sicurezza Informatica. Linee di servizio

Gestire il rischio di processo: una possibile leva di rilancio del modello di business

MANUALE DELLA QUALITÀ Pag. 1 di 6

Sistemi di misurazione e valutazione delle performance

03. Il Modello Gestionale per Processi

Ciclo di vita dimensionale

INTEGRAZIONE E CONFRONTO DELLE LINEE GUIDA UNI-INAIL CON NORME E STANDARD (Ohsas 18001, ISO, ecc.) Dott.ssa Monica Bianco Edizione: 1 Data:

PROGETTO TECNICO SISTEMA DI GESTIONE QUALITA IN CONFORMITÀ ALLA NORMA. UNI EN ISO 9001 (ed. 2008) n. 03 del 31/01/09 Salvatore Ragusa

Project Cycle Management La programmazione della fase di progettazione esecutiva. La condivisione dell idea progettuale.

Business Process Management

CORSO BUSINESS CONTINUITY AND DISASTER RECOVERY MANAGEMENT LE 10 PROFESSIONAL PRACTICES

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ITSMS (IT SERVICE MANAGEMENT SYSTEMS) AUDITOR/RESPONSABILI GRUPPO DI AUDIT

Il modello ERM come strumento trasversale per la gestione dei rischi e le sue implicazioni operative e gestionali. Roma, 6 giugno

ISA 610 e ISA 620 L'utilizzo durante la revisione dei revisori interni e degli esperti. Corso di revisione legale dei conti progredito

CAPITOLO CAPIT Tecnologie dell ecnologie dell info inf rmazione e controllo

25/11/14 ORGANIZZAZIONE AZIENDALE. Tecnologie dell informazione e controllo

MANUALE DELLA QUALITÀ SIF CAPITOLO 08 (ED. 01) MISURAZIONI, ANALISI E MIGLIORAMENTO

G.Pietro Trovesi Sistema di gestione per la Sicurezza delle Informazioni

Modello dei controlli di secondo e terzo livello

Piano di gestione della qualità

UN ESEMPIO DI VALUTAZIONE

LA CERTIFICAZIONE. Dr.ssa Eletta Cavedoni Responsabile Qualità Cosmolab srl Tortona

Sistemi di Gestione: cosa ci riserva il futuro? Novità Normative e Prospettive

SISTEMI DI MISURAZIONE DELLA PERFORMANCE

A cura di Giorgio Mezzasalma

Organizzazione e pianificazione delle attività di marketing

5.1.1 Politica per la sicurezza delle informazioni

I modelli normativi. I modelli per l eccellenza. I modelli di gestione per la qualità

PASSAGGIO ALLA ISO 9000:2000 LA GESTIONE DELLE PICCOLE AZIENDE IN OTTICA VISION

Direzione Centrale Sistemi Informativi

La norma ISO 9001:08 ha apportato modifiche alla normativa precedente in

La Norma ISO Ed Guidance on project management

ACCREDIA L ENTE ITALIANO DI ACCREDITAMENTO

Diventa fondamentale che si verifichi una vera e propria rivoluzione copernicana, al fine di porre al centro il cliente e la sua piena soddisfazione.

Project Management. Modulo: Introduzione. prof. ing. Guido Guizzi

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

SVILUPPO, CERTIFICAZIONE E MIGLIORAMENTO DEL SISTEMA DI GESTIONE PER LA SICUREZZA SECONDO LA NORMA BS OHSAS 18001:2007

I Sistemi di Gestione Integrata Qualità, Ambiente e Sicurezza alla luce delle novità delle nuove edizioni delle norme ISO 9001 e 14001

QUESTIONARIO 1: PROCESSO DI AUTOVALUTAZIONE

Progetto AURELIA: la via verso il miglioramento dei processi IT

IL MODELLO SCOR. Agenda. La Supply Chain Il Modello SCOR SCOR project roadmap. Prof. Giovanni Perrone Ing. Lorena Scarpulla. Engineering.

La reingegnerizzazione dei processi nella Pubblica Amministrazione

La Formazione: elemento chiave nello Sviluppo del Talento. Enzo De Palma Business Development Director

IS Governance in action: l esperienza di eni

UNI CEI Certificazione dei servizi energetici

AUDITOR D.Lgs 231/01. Seminario ACIQ SICEV Sessione di Aggiornamento Dedicata ai Registri SICEV SICEP. Milano 28 Settembre 2012.

Sistemi informativi secondo prospettive combinate

Incident Management. Obiettivi. Definizioni. Responsabilità. Attività. Input

Sistemi di misurazione delle performance

Implementare un sistema di analisi e gestione del rischio rende efficace e concreto il modello 231

La certificazione dei sistemi di gestione della sicurezza ISO e BS 7799

LA GESTIONE DELLE INFORMAZIONI IN AZIENDA: LA FUNZIONE SISTEMI INFORMATIVI 173 7/001.0

Città di Montalto Uffugo (Provincia di Cosenza) SISTEMA DI MISURAZIONE E VALUTAZIONE DELLA PERFORMANCE

IT Governance: scelte e soluzioni. Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010

I SISTEMI DI GESTIONE DELLA SICUREZZA

Le fattispecie di riuso

MANUALE DELLA QUALITA Revisione: Sezione 4 SISTEMA DI GESTIONE PER LA QUALITA

Meno rischi. Meno costi. Risultati migliori.

ANALISI. Questionario per il personale ASI. Data Sezione del documento / Motivo della revisione Revisione Prima emissione documento A

L IT a supporto della condivisione della conoscenza

POLITICA DI COESIONE

La gestione della qualità nelle aziende aerospaziali

SISTEMA DI GESTIONE PER LA QUALITA Capitolo 4

EA 03 Prospetto economico degli oneri complessivi 1

Il modello veneto di Bilancio Sociale Avis

Metodologie per l identificazione e la qualificazione del rischio nell attività del Collegio Sindacale

PROJECT MANAGEMENT SERVIZI DI PROJECT MANAGEMENT DI ELEVATA PROFESSIONALITÀ

CERTIFICAZIONE ISO 14001

Evidenziare le modalità con le quali l azienda agrituristica produce valore per i clienti attraverso la gestione dei propri processi.

Il Risk Management Integrato in eni

Un approccio complessivo alla Gestione della Performance Aziendale. Sestri Levante maggio 2003

Transcript:

CObIT 5 Prof. Ing.Claudio Cilli CIA, CISA, CISM, CGEIT, CRISC, CISSP, CSSLP, M.Inst.ISP cilli@di.uniroma1.it

Indice della presentazione 1. Introduzione 2. ISO 155504 3. GRC (Governance Risk & Compliance) 4. CObIT 5 5. GRC in CObIT 5 6. CObIT 4.1 vs. CObIT 5 7. Modello di maturità 8. Implementare CObIT 2

Origine del problema Crescente dipendenza delle organizzazioni dalle reti e dai sistemi informatici Esposizione dei sistemi informatici ad eventi distruttivi Impatto degli eventi distruttivi sull attività aziendale Difficoltà di valutare e contenere i costi dei sistemi informativi Impossibilità di valutare i benefici che i sistemi informativi e la tecnologia apportano all organizzazione Patrimonio informativo visto come fattore di produzione! 3

Fino ad oggi: Iniziative sporadiche e parziali non accompagnate da evoluzione dei processi interni Inerzia organizzativa Domanda disaggregata in termini di requisiti funzionali e piattaforme di riferimento SCARSA SENSIBILITÀ : AUDIT E SICUREZZA VISTE COME COSTO! 4

Benefici aziendali? Le imprese e i loro dirigenti si sforzano di: Ottenere informazioni di qualità a supporto delle decisioni di business Generare valore dagli investimenti IT, ossia realizzare gli obiettivi strategici aziendali e realizzare vantaggi di business tramite l efficace innovativo uso dell IT Raggiungere l eccellenza operativa per mezzo dell efficiente e affidabile applicazione della tecnologia Mantenere ad un livello accettabile il rischio IT Ottimizzare il costo dei servizi e della tecnologia Come possono questi vantaggi essere realizzati per creare valore agli stakeholder? 5

Stakeholder value! Erogare valore agli stakeholder richiede buone capacità di governance e gestione delle informazioni e della tecnologia I board e il management devono considerare l IT come qualsiasi altra parte significativa del business L adeguamento ai requisiti legali e regolamentari legati all utilizzo delle informazioni e dei sistemi sta aumentando, minacciando il loro valore in caso di problemi COBIT 5 forniste un framework completo che assiste le organizzazioni a raggiungere I loro obiettivi e ad erogare valore tramite un efficace governance e gestione dei sistemi informatici 6

CObIT 5: Framework CObIT 5 aiuta le imprese a creare valore dall information technology mantenendo un bilanciamento tra benefici attesi e rischi, oltre ad aiutare ad ottimizzare l impego di risorse CObIT 5 consente all IT di essere governato in maniera olistica per tutta l impresa, considerando tutto il business end-to-end e le aree funzionali IT di responsabilità, considerando gli interessi connessi all IT degli stakeholder interni ed esterni I principi di CObIT 5 e gli abilitatori sono generici e utili per organizzazioni9 di ogni dimensione, sia commerciali che no-profit o pubbliche 7

8 CObIT 5: Principi

9 CObIT 5: Abilitatori (enablers)

Governance & Management Governance La governance assicura che gli obiettivi dell impresa siano raggiunti valutando (Evaluating) i bisogni degli stakeholder, le condizioni e le alternative; stabilendo la direzione (Direction) tramite la prioritizzazione e le scelte decisionali; e monitorando (Monitoring) le performance, la compliance e i progressi rispetto al piano [EDM] Management Il management pianifica (Plans), realizza (Builds), esegue (Runs) e monitorizza (Monitors) le attività allineandosi con la direzione stabilita dal governance body al fine di raggiungere gli obiettivi d impressa [PBRM] 10

In definitiva. COBIT 5 Unisce i cinque principi che consentono all impresa di realizzare un efficace framework di governance e management basato su un insieme olistico di sette abilitatori che ottimizza le informazioni e gli investimenti in tecnologia e le utilizza a beneficio degli stakeholder 11

12 LA ISO 15504

La ISO 15504 La norma ISO/IEC 15504 (1998) definisce un modello per la valutazione del livello di "maturità" dei processi di una organizzazione del settore IT La norma si compone di 9 parti, in forma di Technical Report, e definisce sia il modello dei processi (parte 2) che il modello di assessment (parte 5). La norma è stata sviluppata da un progetto promosso da ISO, denominato spice 13

ISO 15504 Struttura La norma definisce, oltre il modello dei processi e di assessment dei processi, una guida allo svolgimento di un assessment (parte 4), le caratteristiche degli assessors (parte 6), la guida per l'utilizzo del modello ai fini del miglioramento (parte 7), la guida per la capability determination (parte 8). La parte 1 è introduttiva, la 9 è il vocabolario Successivamente è stata emessa la nuova versione (2003) che ha semplificato la suddivisione accorpando alcune parti e introdotto ulteriori modifiche alle definizioni, per meglio integrarsi con la ISO 12207 MD 1 e 2 relativa alla certificazione del processo di sviluppo del software 14

Contenuti e principi Process Identifies changes to Examined by Process Assessment Identifies suitability of Process Improvement Cause Motivates Cause Capability Determination 15

Componenti (1998) Part 1 (I) Concepts and introductory guide Part 9 (N) Vocabulary Part 7 (I) Guide for process improvement Part 8 (I) Guide for supplier capability determination Part 6 (I) Guide to competency of assessors Part 3 (N) Performing an assessment Part 4 (I) Guide to performing an assessment Part 2 (N) A reference model for Process and capability Part 5 (I) Assessment model and Indicator guidance 16

Componenti ISO/IEC 15504: 2003 Part 1 Concepts and vocabulary Part 4 Guidance on using Assessment Results Part 2 Performing an Assessment Part 3 Guide on Performing Assessments Compliant Process Reference Model Part 5 Exemplar Assessment Model Cambiamenti dalla versione 1998 Part 1 & 9 >> Part 1 Part 2 & 3 >> Part 2 Part 7 & 8 >> Part 4 Part 4 & 6 >> Part 3 Part 5 >> Part 5 Il nome cambia da Software Process Assessment in Process Assessment Riduzione da 9 parti a 5 parti Aggiunta di un exemplar assessment method Introduzione dei Process Reference Models 17

Un modello bidimensionale La norma definisce un modello "bidimensionale" costituito da: 1. la dimensione del processo (la definizione del processo in termini di obiettivi, risultati misurabili attesi ed altre informazioni di livello alto, descrittive) 2. la dimensione del profilo di capacità dei processi, caratterizzata da una serie di attributi di processo che ne distinguono il livello di maturità rispetto ad una scala di valutazione ordinale [0-5] con 5 considerato il valore migliore Il posizionamento di un processo sulla scala di valutazione è funzione del possesso di determinati attributi caratteristici di ogni livello della scala misurabili attraverso indicatori 18

Definizioni Assessment: un esame, secondo regole formali, dei processi di una organizzazione, rispetto ad un modello di riferimento Un metodo di assessment richiede: una scala di misura (i livelli di capacità) i criteri di valutazione rispetto ai livelli della scala un meccanismo di rappresentazione dei risultati Capability determination: un esame, secondo regole formali, dei processi di una organizzazione, rispetto alla loro capacità di raggiungere un determinato obiettivo, condotto allo scopo di individuare i punti di forza e di debolezza ed i rischi associati alla attuazione dei processi secondo determinati requisiti Processes: l'insieme di processi utilizzati da una organizzazione per pianificare, gestire, eseguire, monitorare, controllare e migliorare le attività correlate al software Attributo di processo: una caratteristica misurabile della capacità di un processo Indicatore di processo: un indicatore che supporta la valutazione della capacità di raggiungimento di determinati livelli di attributi di processo Basepractice: una attività di software engineering o di management che consente il raggiungimento dello scopo di un determinato processo 19

Il modello dei processi I processi sono mappati su 4 livelli. II primo è formato da 3 macro categorie i Primari, quelli di Supporto e gli Organizzativi All'interno di queste macro categorie sono definite 5 ulteriori categorie di processo 1. Customer-Supplier (CUS) quelli che impattano direttamente sul cliente 2. Engineering (ENG) che direttamente specificano, implementano o mantengono il prodotto software 3. Support (SUP), i processi di supporto a tutti gli altri 4. Manageriali (MAN) ovvero quelli che gestiscono la conduzione del progetto 5. Organizzativi (ORG) che determinati gli obiettivi aziendali devono sviluppare i processi, le risorse e gli strumenti necessari a raggiungerli Il modello definisce un ulteriore terzo livello di processi, che ne comprende complessivamente 24 Esiste infine un quarto livello, costituito da 18 processi, ancora più di dettaglio, quasi tutti facenti parte dei Primari Rispetto alla 12207 si hanno 7 processi del tutto nuovi, 9 che sono estensione di quelli definiti nella ISO 12207 (1995) (Gestione del ciclo di vita del software) 20

Il profilo di capacità La dimensione del profilo di capacità dei processi si basa su un sistema di attributi di processo e di elementi di possesso di tali attributi che permettono di mappare il livello di maturità di un processo su una scala ordinale a 6 livelli (0-iniziale / 5-innovativo). I livelli sono praticamente gli stessi del CMM Gli attributi definiti nella norma sono 9: 1. Process performance - un processo raggiunge i suoi obiettivi, trasformando input identificabili in output identificabili 2. Performance management - l'attuazione di un processo è pianificata e controllata al fine di produrre risultati che rispondono agli obiettivi attesi 3. Work product management - l'attuazione di un processo è pianificata e controllata al fine di produrre risultati che siano appropriatamente documentati, controllati e verificati 4. Process definition - l'attuazione di un processo si basa su approcci standardizzati 5. Process resource - il processo può contare sulle risorse adeguate (umane, infrastrutture etc.) per essere attuato 6. Process measurement - i risultati raggiunti e le misure rilevate durante l'attuazione di un processo sono usati per assicurarsi che l'attuazione di tale processo supporti efficacemente il raggiungimento di specifici obiettivi 7. Process control - un processo è controllato attraverso la raccolta, analisi ed utilizzo delle misure di prodotto e di processo rilevate, al fine di correggere, se necessario, le sue modalità di attuazione 8. Process chanae - le modifiche alla definizione, gestione, attuazione di un processo sono controllate 9. Continuous improvement - le modifiche ad un processo sono identificate ed implementate al fine di assicurare il continuo miglioramento nel raggiungimento degli obiettivi rilevanti per la organizzazione 21

Gli attributi di processo Per ogni attributo la norma dà le condizioni che lo fanno considerare soddisfatto definendo inoltre 4 possibili livelli di possesso di un attributo: N - non posseduto (0-15% di possesso, non c'è evidenza, o ve ne è poca, del possesso di un attributo) P - parzialmente posseduto (16-50% di possesso, vi è evidenza di approccio sistematico al raggiungimento del possesso di un attributo e del raggiungimento di tale possesso, ma alcuni aspetti del possesso possono essere non prevedibili) L - largamente posseduto (51-85% di possesso, vi è evidenza di approccio sistematico al raggiungimento del possesso di un attributo e di un significativo livello di possesso di tale attributo, ma l'attuazione del processo può variare nelle diverse unità operative della organizzazione) F - (Fully) pienamente posseduto (86-100% di possesso, vi è evidenza di un completo e sistematico approccio e di un pieno raggiungimento del possesso dell'attributo e non esistono significative differenze nel modo di attuare il processo tra le diverse unità operative) 22

Livello di maturità In base al livello di possesso degli attributi, sono previsti 6 livelli di "maturità" dei processi: Livello 0 - processo incompleto. Il processo non è implementato o non raggiunge gli obiettivi. Non vi è evidenza di approcci sistematici agli attributi definiti Livello 1 - processo semplicemente attuato. Il processo viene messo in atto e raggiunge i suoi obiettivi. Non vi è evidenza di un approccio sistematico ad alcuno degli attributi definiti. Il raggiungimento di questo livello è dimostrato attraverso il possesso degli attributi di "process performance Livello 2 - processo gestito. Il processo è attuato ma anche pianificato, tracciato, verificato ed aggiustato se necessario, sulla base di obiettivi ben definiti. Il raggiungimento di questo livello è dimostrato attraverso il possesso degli attributi di "performance management" e "Work product management Livello 3- processo definito. Il processo è attuato, pianificato e controllato sulla base di procedure ben definite, basate sui principi del sw engineering. Il raggiungimento di questo livello è dimostrato attraverso il possesso degli attributi di "Process definition" e "Process resource Livello 4 - processo predicibile. Il processo è stabilizzato ed è attuato all'interno di definiti limiti riguardo i risultati attesi, le performance, le risorse impiegate etc. Il raggiungimento di questo livello è dimostrato attraverso il possesso degli attributi di "Process measurement" e "Process control Livello 5 - processo ottimizzante. Il processo è predicibile ed in grado di adattarsi per raggiungere obiettivi specifici e rilevanti per la organizzazione. Il raggiungimento di questo livello è dimostrato attraverso il possesso degli attributi di "Process change" e "Continuous improvement 23

Il modello di valutazione L'assessment si basa sulla valutazione di alcuni indicatori: 1. indicatori di process performance per la dimensione del processo 2. indicatori di process capability per la dimensione della capacità dei processi di raggiungere determinati obiettivi 24

Indicatori di Process Performance Le tipologie di indicatori di process performance definiti dalla norma sono 2: 1. Base practices - Le base practices (BP) sono attività di software engineering o di management che consentono il raggiungimento dello scopo di un determinato processo. La descrizione delle BP è ad un livello alto, astratto, che identifica "cosa" va fatto piuttosto che "come 2. Work product & Work Product Characteristics - I work products (WP) sono gli input e gli output del processo, e le loro caratteristiche L'esistenza di BP e WP, il loro effettivo contributo al raggiungimento degli obiettivi di processo, la loro adeguatezza a farlo, forniscono all assessor la evidenza delle prestazioni del processo. È possibile anche definire, a completamento delle base practices, delle advanced practices che individuano quali ulteriori attività è consigliabile implementare al fine di ottenere i risultati attesi con sufficiente qualità 25

Indicatori di capacità dei processi Gli indicatori di capacità dei processi sono 3: 1. Management practices 2. Practice Performance characteristics 3. Resource/Infrastructure caracteristics Le management practices (MP) sono le attività che devono essere implementate per soddisfare gli attributi di processo. Per ogni MP sono definite le practice performances characteristics (le caratteristiche che devono possedere le varie management practices, PPC) resource and infrastructure characteristics (le caratteristiche che devono possedere le risorse associate alle management practices, RIC) 26

GRC (GOVERNANCE RISK & COMPLIANCE) 27

GRC GRC: Governance, Risk management e Compliance Un termine sempre più utilizzato per come ombrello per comprendere questre tre aree dell attività aziendale Queste aree di attività si stanno sempre più allineando e integrando per migliorare le performance dell impresa e il soddisfacimento dei bisogni degli stakeholder 28

GRC: Definizioni GRC: Governance Esercizio dell autorità; controllo; governo; composizione Risk (management) rischio; pericolo; esposizione a perdita, danno o distruzione (l'atto o l arte di gestire; il modo di trattare, orientare, esercitare, o utilizzare, per uno scopo; comportamento; amministrazione; orientamento; controllo) Compliance Il rispetto e l'osservanza della legge; una concessione, come un desiderio, domanda, o proposta; concessione; presentazione Webster online dictionary 29

Tipi di Governance Esistono diversi tipi di governance: Corporate governance Project governance Information technology governance Environmental governance Economic and financial governance Ognuna di queste tipologie dispone di varie fonti per la guida, tutte con gli stessi obiettivi, ma con diversi termini e tecniche finalizzate al raggiungimento dei relativi obiettivi 30

Implementare la Governance L integrazione dell implementazione delle attività di GRC all interno di un organizzazione richiede un approccio sistematico per raggiungere affidabilmente gli obiettivo di business dei suoi stakeholders Tali approcci sono basati tipicamente su abilitatori di vario tipo (es.: principi, politiche, modelli, framework, strutture organizzative) 31

Un esempio del Modello GRC Dal OCEG Red Book GRC Capability Model versione 2.1 32

Corporate Governance of IT ISO/IEC 38500: 2008 Corporate governance of information technology 1.1 Scopo Lo standard fornisce i principi guida per gli amministratori di organizzazioni (tra cui proprietari, amministratori, senior manager, soci, dirigenti, o simili) per un utilizzo in modo efficace, efficiente e accettabile delle tecnologie dell'informazione (IT) all'interno delle loro organizzazioni Questo standard si applica alla governance dei processi di gestione (e decisioni) relative alle informazioni e ai servizi di comunicazione utilizzati da un'organizzazione. Questi processi possono essere controllati da specialisti IT all'interno dell'organizzazione o da fornitori esterni di servizi, o per unità di business all'interno dell'organizzazione 33

Corporate Governance of IT (cont.) ISO/IEC 38500: 2008 Corporate governance of information technology 2.1 Principi 2.1.1 Principio 1: Responsibility 2.1.2 Principio 2: Strategy 2.1.3 Principio 3: Acquisition 2.1.4 Principio 4: Performance 2.1.5 Principio 5: Conformance 2.1.6 Principio 6: Human Behaviour 34

Corporate Governance of IT (cont.) ISO/IEC 38500: 2008 Corporate governance of information technology 2.2 Modello I manager devono governare l IT tramite tre compiti principali: a) Valutare l utilizzo corrente e futuro dell IT b) Dirigere la preparazione e l implementazione di piani e politiche per assicurare che l utilizzo dell IT sia conforme agli obiettivi di business aziendali c) Monitorare l adeguamento alle politiche, e le performance rispetto ai piani 35

COBIT: Governance of Enterprise IT (GEIT) Governance of Enterprise IT Evolution of scope IT Governance Management Control Audit Val IT 2.0 (2008) Risk IT (2009) COBIT1 COBIT2 COBIT3 COBIT4.0/4.1 COBIT 5 1996 1998 2000 2005/7 2012 A business framework from ISACA, at www.isaca.org/cobit 36

37 COBIT 5

Panoramica su CObIT 5 COBIT 5 riunisce i cinque principi che consentono a un organizzazione di realizzare un efficace framework di governance e management basato su un insieme olistico di sette abilitatori che ottimizza l informazione e gli investimenti in tecnologia nonché il loro utilizzo a beneficio degli stakeholder 38

Il framework di CObIT 5 CObIT 5 aiuta le imprese a creare valore dall information technology mantenendo un bilanciamento tra benefici attesi e rischi, oltre ad aiutare ad ottimizzare l impego di risorse CObIT 5 consente all IT di essere governato in maniera olistica per tutta l impresa, considerando tutto il business end-to-end e le aree funzionali IT di responsabilità, considerando gli interessi connessi all IT degli stakeholder interni ed esterni I principi di CObIT 5 e gli abilitatori sono generici e utili per organizzazioni di ogni dimensione, sia commerciali che no-profit o pubbliche 39

40 CObIT 5: I 5 principi

41 COBIT 5: I 7 abilitatori

42 GRC IN COBIT 5

Governance (e Management) in COBIT 5 La Governance assicura che gli obiettivi siano raggiunti valutando le esigenze degli interessati, le condizioni e le opzioni; impostando la direzione tramite priorità e processo decisionale, e il monitoraggio delle prestazioni, il rispetto dei requisiti e il progresso rispetto alla direzione e agli obiettivi concordati (EDM) Il Management pianifica (plan), implementa (build), esegue (runs) e controlla (monitor) le attività in allineamento con le direzioni stabilite dal governance body per conseguire gli obiettivi dell impresa (PBRM) Esercitare governance e management efficacemente significa in pratica considerare tutti gli abilitatori. Il COBIT process reference model consente di concentrarsi facilmente sulle attività aziendali rilevanti 43

Governance in COBIT 5 Il COBIT 5 process reference model suddivide le pratiche e e le attività correlate all IT dell organizzazione in due aree principali governance e management con management ulteriormente divisa in domini e processi Il dominio GOVERNANCE contiene cinque processi di governance; all interno di ognuna sono definite le pratiche EDM (evaluate, direct & monitor) 01 Ensure governance framework setting and maintenance. 02 Ensure benefits delivery. 03 Ensure risk optimisation. 04 Ensure resource optimisation. 05 Ensure stakeholder transparency. I quattro domini MANAGEMENT sono in linea con le aree di responsabilità PBRM (plan, build, run & monitor) 44

45 Governance in COBIT 5 (cont.)

Risk Management in COBIT 5 Il dominio GOVERNANCE contiene cinque processi di governance, uno dei quali si focalizza sugli obiettivi degli stakeholder relativi al rischio: EDM03 Ensure risk optimisation Descrizione del Processo Ensure that the enterprise s risk appetite and tolerance are understood, articulated and communicated, and that risk to enterprise value related to the use of IT is identified and managed Obiettivo del Processo Ensure that IT-related enterprise risk does not exceed risk appetite and risk tolerance, the impact of IT risk to enterprise value is identified and managed, and the potential for compliance failures is minimised 46

Risk Management in COBIT 5 (cont.) Il dominio dell area MANAGEMENT Align, Plan & Organise contiene un processo risk-related: APO12 Manage risk Descrizione del Processo Continually identify, assess and reduce IT-related risk within levels of tolerance set by enterprise executive management Obiettivo del Processo Integrate the management of IT-related enterprise risk with overall ERM, and balance the costs and benefits of managing IT-related enterprise risk 47

48 Risk Management in COBIT 5 (cont.)

Risk Management in COBIT 5 (cont.) Tutte le attività aziendali hanno delle esposizioni ai rischi dovute a minacce provenienti dall ambiente che potrebbero sfruttare le vulnerabilità EDM03 Ensure risk optimisation garantisce che l approccio al rischio da parte degli stakeholder sia articolato in modo da dirigere il modo in cui i rischi che minacciano l impresa siano estiti APO12 Manage risk fa sì che l enterprise risk management (ERM) si organizzi in modo da garantire che la direzione stabilita dagli stakeholder sia seguita dall impresa Tutti gli altri processi comprendono pratiche e attività progettate per gestire i relativi rischi (evitare, ridurre/mitigare/ controllare, condividere/trasferire/accettare) 49

Risk Management in COBIT 5 (cont.) In aggiunta alle attività, COBIT 5 suggerisce per ogni processo accountability, e responsabilità per tutti i ruoli aziendali e le strutture di governance/management (carte RACI). Comprendono i ruoli relativi al rischio 50

Compliance in COBIT 5 Il dominio dell area MANAGEMENT Monitor, Evaluate & Assess contiene un processo specifico per la compliance: MEA03 Monitor, evaluate and assess compliance with external requirements Descrizione del Processo Evaluate that IT processes and IT-supported business processes are compliant with laws, regulations and contractual requirements. Obtain assurance that the requirements have been identified and complied with, and integrate IT compliance with overall enterprise compliance Obiettivo del Processo Ensure that the enterprise is compliant with all applicable external requirements 51

52 Compliance in COBIT 5 (cont.)

Compliance in COBIT 5 (cont.) Conformità legislativa e normativa è un elemento chiave della gestione efficace di un'impresa, e da qui la sua inclusione nel termine GRC e negli COBIT 5 Enterprise Goal e nell abilitatore che supporta la struttura del processo (MEA03) Oltre a MEA03, tutte le funzioni aziendali comprendono delle attività di controllo progettate per garantire il rispetto non solo a requisiti legislativi o regolamentari imposti dall'esterno, ma anche a principi interni di governance, politiche e procedure 53

Compliance in COBIT 5 (cont.) In aggiunta alle attività, COBIT 5 suggerisce per ogni processo accountability, e responsabilità per tutti i ruoli aziendali e le strutture di governance/management (carte RACI). Comprendono i ruoli relativi alla compliance 54

Stakeholder Value & Business Objectives Le organizzazioni (sia pubbliche che private) esistono al fine di creare valore per i loro stakeholder. Di conseguenza la creazione di valore è un obiettivo della governance Creazione di valore significa realizzare questi benefici con un utilizzo ottimale delle risorse e nello stesso tempo ottimizzare i rischi 55

Stakeholder Value & Business Objectives (cont.) Principio 1 - Meeting Stakeholder Needs: I bisogni degli stakeholder devono essere trasformati in una strategia aziendale concreata e fattibile Gli obiettivi a cascata di COBIT 5 traducono questi bisogni in obiettivi specifici, fattibili e personalizzati nel contesto dell impresa, del sistema informativo e infine negli abilitatori 56

Stakeholder Value & Business Objectives (cont.) I bisogni degli Stakeholder possono essere correlati a un insieme di obiettivi aziendali generici Questi goal sono stati determinati utilizzando la Balanced Scorecard (BSC) (Kaplan, Robert S.; David P. Norton; The Balanced Scorecard: Translating Strategy into Action, Harvard University Press, USA, 1996) Gli obiettivi aziendali consistono in un elenco di goal comunemente utilizzati che un azienda ha definito per se stessa Sebbene questa lista non è esaustiva, la maggior parte degli obiettivi di business di una qualsiasi organizzazione può essere mappata con uno o più di questi goal 57

Stakeholder Value & Business Objectives (cont.) 58

Stakeholder Value & Business Objectives (cont.) Questa organizzazione a cascata non è nuova in COBIT 5: è stata introdotta in COBIT 4.0 nel 2005 Gli utilizzatori di COBIT che hanno applicato questo modo di procede lo hanno trovato interessante e di valore Ma non tutti hanno notato questo vantaggio Poiché questa cascata supporta il principio relativo ai bisogni degli stakeholder, che è fondamentale in COBIT 5, è diventato un concetto preminente nella descrizione del framework Con l occasione, la cascata è stata rivista e aggiornata 59

Governance e Management definiti Che tipo di framework è COBIT? Un IT audit and control framework? COBIT (1996) e COBIT 2nd Edition (1998) Focus sugli Obiettivi di Controllo Un IT management framework? COBIT 3rd Edition (2000) Aggiunta delle Management Guidelines Un IT governance framework? COBIT 4.0 (2005) e COBIT 4.1 (2007) Aggiunta dei processi Governance e Compliance Eliminazione dei processi di Assurance Ma qual è la differenza tra governance and management? 60

Governance e Management definiti (cont.) Governance La governance assicura che gli obiettivi dell impresa siano raggiunti valutando (Evaluating) i bisogni degli stakeholder, le condizioni e le alternative; stabilendo la direzione (Direction) tramite la prioritizzazione e le scelte decisionali; e monitorando (Monitoring) le performance, la compliance e i progressi rispetto al piano [EDM] Management Il management pianifica (Plans), realizza (Builds), esegue (Runs) e monitorizza (Monitors) le attività allineandosi con la direzione stabilita dal governance body al fine di raggiungere gli obiettivi d impressa [PBRM] 61

Governance and Management Defined (cont.) Il COBIT 5 process reference model suddivide le pratiche e e le attività correlate all IT dell organizzazione in due aree principali governance e management con management ulteriormente divisa in domini e processi: Il dominio GOVERNANCE contiene cinque processi di governance; all interno di ognuna sono definite le pratiche EDM (evaluate, direct & monitor) I quattro domini MANAGEMENT sono in linea con le aree di responsabilità PBRM (plan, build, run & monitor) 62

63 COBIT 4.1 VS. COBIT 5

Cambiamenti presenti in CObIT 5 I principali cambiamenti apportati al framework, e che impattano l implementazione/miglioramento del GEIT sono: 1. Nuovi principi GEIT 2. Aumentato focus sugli abilitatori 3. Nuovo Process Reference Model 4. Processi nuovi e modificati 5. Pratiche e attività 6. Goal e metriche 7. Input e Output 8. Carte RACI 9. Process Capability Maturity Model e Assessment 64

65 1. Nuovi principi GEIT

1. Nuovi principi GEIT (cont.) I framework Val IT e Risk IT definiscono dei principi che ne sono alla base I feedback ricevuti hanno mostrato che i principi sono facili da comprendere e applicare in un contesto aziendale, consentendo di ottenere valore più efficacemente Anche la ISO/IEC 38500 incorpora dei principi finalizzati ad ottenere gli stessi benefici, anche sono leggermente diversi da quelli di COBIT 5 Chiara definizione ed enfasi sui principi di Governance 66

2. Aumentato focus sugli abilitatori COBIT 4.1 non prevedeva abilitatori! In realtà questo erano presenti, ma chiamati diversamente, esplicitamente o implicitamente 67

2. Aumentato focus sugli abilitatori (cont.) Informazioni, infrastrutture, applicazioni (servizi) e persone (persone, abilità e competenze) erano le risorse di COBIT 4.1 Principi, politiche e framework erano presenti in pochi processi di COBIT 4.1 I processi erano tuttavia centrali nell applicare COBIT 4.1 La struttura organizzativa è considerata nei ruoli Responsible, Accountable, Consulted o Informed (RACI) e nella loro definizione La cultura, l etica e comportamenti erano menzionati in pochi processi di COBIT 4.1 68

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back