COBIT5 ed il naufragio del VASA



Documenti analoghi
Pubblicazioni COBIT 5

Il modello ERM come strumento trasversale per la gestione dei rischi e le sue implicazioni operative e gestionali. Roma, 6 giugno

The information contained in this document belongs to ignition consulting s.r.l. and to the recipient of the document. The information is strictly

Sistemi di misurazione delle performance

Corso di Amministrazione di Sistema Parte I ITIL 1

Associazione Italiana Information Systems Auditors

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Marco Salvato, KPMG. AIEA Verona

SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras

Stefano Leofreddi Senior Vice President Risk Management Integrato. 1 Ottobre 2014, Roma

IS Governance. Francesco Clabot Consulenza di processo.

Big Data e IT Strategy

C4 COMPONENTE PARTECIPAZIONE: Visione Comune Strategica. Fase 1 Avvio del processo partecipato

Cloud Computing - Soluzioni IBM per. Giovanni De Paola IBM Senior Consultant 17 Maggio 2010

Università di Macerata Facoltà di Economia

INTERNAL AUDITING ROMA, 12 MAGGIO 2005 FORUM PA GIUSEPPE CERASOLI, CIA RESPONSABILE COMITATO PA

Il cloud per la tua azienda.

Fattori critici di successo

Agile in tough economic times. Agile in tough. Slide 1 30 April 2009

La e leadership nella PA

Il processo di sviluppo sicuro. Kimera Via Bistolfi, Milano

processi analitici aziendali

LA NUOVA ISO 9001:2015

ISO family. La GESTIONE DEI RISCHI Nei Sistemi di Gestione. Autore: R.Randazzo

Change Management. Obiettivi. Definizioni. Responsabilità. Attività. Input. Funzioni

ICT & Airport Business Integration

Panoramica su ITIL V3 ed esempio di implementazione del Service Design

PROFILO AZIENDALE 2011

AGENDA. Dip. Scienze aziendali ed economico giuridiche Univ. Roma Tre. GdR ISMS II RM LUIGI CARROZZI Il Percorso di Ricerca

03. Il Modello Gestionale per Processi

MANAGEMENT DELLA SICUREZZA E GOVERNANCE PUBBLICA - MASGOP

SMART MANAGEMENT. LA GESTIONE DEL CLIENTE NELLE UTILITY: normative, tecnologie supporto IT

N 1 alla versione bilingue (italiano-inglese) NORMA UNI EN ISO 9001 (novembre 2008) Sistemi di gestione per la qualità - Requisiti.

Introduzione a COBIT 5 for Assurance

Informazioni aziendali: il punto di vista del Chief Information Security Officer ed il supporto di COBIT 5 for Information Security

Il ruolo del POLIMI

Catalogo Corsi. Aggiornato il 16/09/2013

PROFILO AZIENDALE NET STUDIO 2015

Act: : un caso di gestione della conoscenza di processo. Tiziano Bertagna Responsabile SOX Office, RAS Group

Resources and Tools for Bibliographic Research. Search & Find Using Library Catalogues

Il Risk Management Integrato in eni

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

2 Giornata sul G Cloud Introduzione

Logical Framework Approach: Stakeholder Analysis e Problem Analysis

COBIT5 per pianificare ed implementare

La ISA nasce nel Servizi DIGITAL SOLUTION

Ferrara, 18 gennaio Gianluca Nostro Senior Sales Consultant Oracle Italia

Sicurezza e Gestione delle Reti (di telecomunicazioni)

Le strumentazioni laser scanning oriented per i processi di censimento anagrafico dei patrimoni

MANDATO DI AUDIT DI GRUPPO

Progetto BPR: Business Process Reengineering

Percorsi di avvicinamento ad ITIL: l esperienza di INVA S.P.A.

ICT Governance: l anello debole della catena fra Business & IT. Franco Mastrorilli Quint Wellington Redwood Italia

Padova Smart City. Internet of Things. Alberto Corò

QUESTIONARIO 1: PROCESSO DI AUTOVALUTAZIONE

> Visionest Business Protection

La ISA nasce nel 1994 DIGITAL SOLUTION

MANDATO INTERNAL AUDIT

Costruiamo il Framework di Governance

"CRM - CITIZEN RELATIONSHIP MANAGEMENT NELLE AMMINISTRAZIONI"

Le principali evidenze emerse Giancarlo Capitani Presidente NetConsulting cube

Implementare un sistema di analisi e gestione del rischio rende efficace e concreto il modello 231

PIRELLI ENTERPRISE RISK MANAGEMENT turn risk into a choice

Iniziativa : "Sessione di Studio" a Torino. Torino, 6 maggio maggio p.v.

L ultima versione di ITIL: V3 Elementi salienti

Uno studio globale rivela che un pricing debole riduce i profitti del 25%

Un'efficace gestione del rischio per ottenere vantaggi competitivi

1- Corso di IT Strategy

L attività dell Internal Audit. G.M. Mirabelli

Introduzione ai Web Services Alberto Polzonetti

Services Portfolio «Energy Management» Servizi per l implementazione dell Energy Management

IS Governance in action: l esperienza di eni

La gestione della qualità nelle aziende aerospaziali

IT Management and Governance

IT Governance: scelte e soluzioni. Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010

Iniziativa : "Sessione di Studio" a Roma

MANUALE DELLA QUALITÀ Pag. 1 di 6

IL MODELLO SCOR. Agenda. La Supply Chain Il Modello SCOR SCOR project roadmap. Prof. Giovanni Perrone Ing. Lorena Scarpulla. Engineering.

Il Nuovo Sistema Professionale ICT

LO SVILUPPO DELLE COMPETENZE RELAZIONALI DEL PERSONALE INTERNO A CONTATTO CON IL CLIENTE

La Certificazione ISO 9001:2008. Il Sistema di Gestione della Qualità

Agenda. IT Governance e SOA. Strumenti di supporto alla governance. Vittoria Caranna vcaranna@imolinfo.it Marco Cimatti mcimatti@imolinfo.

I NUOVI MODELLI ORGANIZZATIVI E TECNOLOGICI A SUPPORTO DELL EFFICIENZA AZIENDALE

La certificazione CISM

SURVEY DI itsmf SULLO STATO DELL IT SERVICE MANAGEMENT IN ITALIA Sintesi a cura di Francesco Castellana, consultant HSPI

COBIT 5 for Governance

Indice. pagina 2 di 10

Progetto AURELIA: la via verso il miglioramento dei processi IT

Release Management. Obiettivi. Definizioni. Responsabilità. Attività. Input

Project Cycle Management La programmazione della fase di progettazione esecutiva. La condivisione dell idea progettuale.

XXVII Corso Viceprefetti Stage

IT Service Management

Iniziativa : "Sessione di Studio" a Verona. 18 Novembre 2010 presso GlaxoSmithKline SpA via Fleming, 2 (A4 - Uscita Verona Sud) 15 novembre p.v.

Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology

Service Design Programme

Le imprese italiane e la multicanalità: strategie del gregge o piena consapevolezza? Giuliano Noci giuliano.noci@polimi.it

Processi di Gestione dei Sistemi ICT

Valorizzazione della professionalità di SW Quality Assurance

IT MANAGEMENT CONSULTING DIGITAL SOLUTION IT SECURITY & COMPLIANCE. La ISA nasce nel 1994

BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY.

Transcript:

COBIT5 ed il naufragio del VASA La storia di un galeone che affondò 9 minuti dopo il varo riletta con un Framework di Governance del 2015 Rielaborazione di un articolo originale di William C. Brown Alberto Piamonte - ISACA Roma Roma 23/04/2015

Agenda Presentazione relatore Struttura di un Framework di Governo (COBIT5 ) La Storia del VASA Analisi dell evento Q&A COBIT5 ed il naufragio del VASA 2

Presentazione relatore Alberto Piamonte Esperienze professionali IBM R & D : HW - Telecomunicazioni & Sicurezza Olivetti Direttore Marketing Settore Pubblico Amdahl Corp. Direttore Soluzioni SW Europa Consulente GRC Titoli/certificazioni/attestati Laurea Ing. Elettronica (Univ. PD) COBIT5 Foundation s, COBIT5 Trainer, COBIT5 Assessor COBIT5 ed il naufragio del VASA 3

Agenda Presentazione relatore Struttura di un Framework di Governo (COBIT5 ) La Storia del VASA Analisi dell evento Q&A COBIT5 ed il naufragio del VASA 4

Vediamo come il Framework COBIT5 può aiutarci a capire i motivi del naufragio Obiettivi : Rivedere COBIT5 Caso di studio : utilizzo di tecnologie innovative per (non) raggiungere un obiettivo strategico Un esempio di utilizzo «pratico» del Framework ISACA Occasione per scambiare punti di vista ed idee (GdR) 5

Framework Generalizzato copre tutti i possibili aspetti della Governance Obiettivi Interventi Sequenza Responsabilità Bilanciare Benefici Rischi Gestione ottimale risorse Stakeholder Condivisione Comunicazione Misura KPI Effetto - Causa Struttura Dove operare 1 Principi Policies Frameworks 2 Processi /Pratiche / Attività 3 Organizzazione 4 Cultura / etica 5 Informazioni disponibili 6 Persone 7 Servizi, infrastrutture ed applicazioni Come operare Pratiche / Attività Base Consolidate e universalmente accettate Riferimento ai principali Standard in una visione globale (olistica) ed integrata Governo Pianificazione Organizzazione Analisi Definizione Soluzioni Erogazione Servizi Supporto Misura e Controllo Ruolo CDA Resp. Servizio IT / IS Controllo Attività R esponsible A ccountable C onsulted I nformed Strumenti Capability Assessment Implementation Guide... COBIT5 ed il naufragio del VASA 6

Interventi COBIT 5 Enablers 7

Processi e Sequenze Visione analitica olistica Governare e gestire Pianificare ed Organizzare Realizzare Erogare 8

Comunicazione : ruoli Accountable o Responsible? Accountable Responsible 9

Percezione del Rischio : Cosa succede se...... Cosa succede se.. 10

Agenda Presentazione relatore Struttura di un Framework di Governo (COBIT5 ) La Storia del VASA Analisi dell evento Q&A COBIT5 ed il naufragio del VASA 11

Il Vasa Il varo avvenne nel pomeriggio del 10 agosto 1628 sotto lo sguardo ammirato di tutta la popolazione di Stoccolma, il Vasa salpava le sue ancore accingendosi al suo primo viaggio in mare. La sua costruzione fu ordinata da Gustavo Adolfo II re di Svezia che, temendo una guerra da parte del Regno di Prussia, intendeva con questa grande nave con un elevato volume di fuoco dimostrare la propria supremazia e destare timore all'eventuale futuro nemico. Quindi il Vasa era armata con 64 cannoni di bronzo, mentre per la sua costruzione erano stati impiegati legnami di quercia della migliore qualità ricavati con l'abbattimento di 16 ettari di foreste. La navigazione procedeva tranquillamente, quando all'improvviso un colpo di vento più forte fece sbandare pesantemente la nave a babordo, il primo ufficiale Erik Jonsson si precipitò sottocoperta ordinando agli uomini di spostare i cannoni di babordo a tribordo e di chiudere i sabordi inferiori. Ma era ormai troppo tardi, l'acqua iniziò ad entrare in quantità tali fino a che in un brevissimo arco di tempo il Vasa si inabissò adagiandosi su un fondale di 32 metri di profondità. COBIT5 e VASA SdS Roma 23 aprile 2015 12

Come siamo arrivati al naufragio Data Evento Gennaio 1625 Contratto per la costruzione di 4 navi ( 2 grandi e due piccole) : responsabile del progetto l olandese Hendrik Hubertsen Estate 1625 Taglio legno dalla foresta del Re (circa 1000 querce secolari) Settembre 1625 Naufragano 10 navi della flotta in una tempesta : la costruzione di nuove navi diventa ancora più urgente! Gennaio 1626 Inizia la costruzione del Vasa : 400 persone, per i tempi, un progetto molto grande 1626 La Danimarca progetta nave più grande con 2 ponti di cannoni Ordine di ingrandire il Vasa ed aggiungere secondo ponte cannoni (si riduce lo spazio per la zavorra e si alza il centro di gravità) Nessuna modifica a progetto / specifica. Nel relitto si vede giunto per allungare chiglia Nessuna precedente esperienza per questo tipo di nave ed armamento Cannoni appesantiti e aggiunta ornamenti in quercia (pesante) per impressionare Mancano le conoscenze tecnico scientifiche per prevedere e controllare preventivamente la stabilità della nave 1627 Muore capo progetto senza lasciare documenti / specifiche Manca un passaggio di consegne Test di stabilità fallito: la notizia non viene comunicata a Re (assente, in Polonia) 10 agosto 1628 Varo (in ritardo di due settimane), rovesciamento ed affondamento. 13

Agenda Presentazione relatore Struttura di un Framework di Governo (COBIT5 ) La Storia del VASA Analisi dell evento Q&A COBIT5 ed il naufragio del VASA 14

Analisi con COBIT5 Si parte da qui 15

Balanced Scorecard: la «Visione» aziendale «equilibrata» : partire col piede giusto This simple test will give you insights into your strategy, and help you to avoid some of the many pitfalls of poor strategy design, management and implementation. Stakeholder value of business investments Portfolio of competitive products and services Financial Managed business risks (safeguarding of assets) Stakeholder Drivers (Environment, Technology Evolution,...) Stakeholder Needs Compliance with external laws and regulations Financial transparency Customer-oriented service culture Benefits Realisation Risk Optimisation Resource Optimisation Business service continuity and availability Enterprise Goals Customer Agile responses to a changing business environment IT-related Goals Information-based strategic decision making Optimisation of service delivery costs Process and Enabler Goals Optimisation of business process functionality Internal Learning & Growth Optimisation of business process costs Managed business change programmes Operational and staff productivity Compliance with internal policies Skilled and motivated people Product and business innovation culture COBIT5 ed il naufragio del VASA 16

In un caso reale potremmo usare la versione «Public Sector» 17

Unbalanced scorecards : no cascade! 18

19

VASA BSC «Sbilanciate» : poca attenzione ai processi interni Manca una visione delle relazioni causa effetto Manca una mappa strategica Il Re «accountable» nomina un «responsabile» (Tecnico olandese) delegando (pensando di delegare) anche parte dell accountability. Mancano i controlli : Misura preventiva di «capability» (Lead) Misura dei risultati ottenuti (Lag) Non c è manifesta percezione del rischio «tecnologico» Manca un «auditor» 20

COBIT 5 Enablers Effettivamente mappati 21

Le dimensioni di un qualsiasi Enabler COBIT5 Chi ha un ruolo attivo nel determinare cosaci si attende dall enabler Come si gestisce un enabler? Ha portato i risultati attesi? Porterà i risultati attesi? COBIT5 ed il naufragio del VASA 22

Principi, Policy e Frameworks Meccanismi di comunicazione messi in atto per trasmettere la direzione e le istruzioni degli organi di governo e management. Mancano policy scritte e anche se ci fossero pochi (<5%) sarebbero stati in grado di leggerle! La comunicazione corrisponde ad un «ordine» (v. Cultura) 23

Strutture organizzative Gerarchica- militare Rigida catena di comando - specializzazione The first of these skills is the ability to create a cohesive force capable of acting on policy as and when required, and therefore the first function of the military is to provide military command. One of the roles of military command is to translate policy into concrete missions and tasks, and to express them in terms understood by subordinates, generally called orders Another requirement is for the military command personnel, often called the officer corps, to command subordinated military personnel, generally known as soldiers, sailors, marines, or airmen, capable of executing the many specialised operational missions and tasks required for the military to execute policy directives. 24

Cultura, etica e comportamenti Il comportamento del Re dimostra una forte propensione al rischio. Tale atteggiamento si può essere diffuso ai responsabili della costruzione. Le informazioni relative al fallito test di stabilità non sono state comunicate. Il Re muore, all età di 37 anni, in una carica di cavalleria.... che guidava senza portare alcuna armatura! 25

Persone e skills Le competenze, con l esclusione del responsabile iniziale della costruzione (proveniente dai Paesi Bassi), non sembrano elevate. Il successore non sembra sufficientemente qualificato per il ruolo Le competenze tecnologiche erano sufficienti per navi di dimensioni minori. La tecnica usata (sperimentale) e le competenze, non erano ancora sufficientemente mature per una nave di queste dimensioni ed armamento. 26

Infrastruttura Servizi ed infrastrutture per la costruzione del Vasa erano senz altro disponibili Mancano gli strumenti per il calcolo preventivo (lead indicators): si procede ancora per tentativi 27

Processi Insieme di pratiche che prende input da varie fonti (tra cui altri processi), li elabora input e produce output 28

Processi? Dato lo «sbilanciamento» degli obiettivi la Goal Cascade fornisce risultati non realistici E invece possibile chiederci: se un enabler «processo» manca o non funziona, quali sono gli obiettivi messi a repentaglio? 29

Schema di un Processo COBIT5 Descrizione Purpose Processo RelatedBusiness Goals Process Outcomes Causa - effetto Related Metrics Descrizione Misura preventiva «Capability» (Lead Indicator!) RACI Ruoli e responsabilità Practice Input Da Output a Attività 30

Quindi, se non eccellete in questi processi : VASA : no PRM (no Process Reference Model) EDM03 Ensure Risk Optimization APO12 Manage Risk BAI06 Manage Changes DSS02 Manage Service Requests & Incidents DSS05 Manage Security Services DSS06 Manage Business Process Controls. mettete a repentaglio i seguenti obiettivi di Business : 31

32

Informazioni Tutte le informazioni significative, non solo automatizzate. Possono essere strutturate o non strutturate, formalizzate o non formalizzate. Dall alto al basso (ordini del RE) Modifiche Requisiti «striscianti» (creep) Mancano flussi dal basso all alto: Segnalazione della criticità di alcune richieste Misure di lead o lag indicators Test di stabilità fallito 33

COBIT5 Enabling Information La tecnica della «Goal Cascade» è applicabile anche per definire le «qualità più importanti» dell Enabler Informazione in funzione dei «Requisiti di Business» (Vale anche al contrario!) 34

COBIT 5: Enabling Information COBIT 5: Enabling Informationis a reference guide that provides a structured way of thinking about information governance and management issues in any type of organization. This structure can be applied throughout the life cycle of information, from conception and design, through building information systems, securing information, using and providing assurance over information, and to the disposal of information. This guide provides the following three key benefits: A comprehensive information model that comprises all aspects of information including: Stakeholders, goals (quality) Life cycle stages Good practices (information attributes) Guidance on how to use an established governance and management framework (COBIT 5) to address common information governance and management issues such as: Big data Master data management Information disintermediation Privacy An understanding of the reasons and criticality that information needs to be managed and governed in an appropriate way 35

1 Definire i «Quality Criteria» dell Informazione 36

Information Governance/Management Issue: Technology Predictive Analytics Issue Description and Business Context Modern IT infrastructures generate great volumes of information (e.g., logs). Data mining and predictive analytics can provide insights into system failures by analysing these logs. Root cause analysis is facilitated, and emerging incidents and problems can even be predicted from this data at times. Ideally, the logs are analysed and combined with systems management data (incidents, changes, configuration items and dependencies) to provide a full picture of what happened, why and whether any emerging risk is present. In big data terms, this is a volume issue. 37

4.5.2 Affected Information information items, quality dimensions, and quality goals. 38

Affected Business Goals The lack of efficiently processed large volumes of system information can affect the following goals throughout the goals cascade: Enterprise Goals : EG07 Business service continuity and availability Nel nostro caso tradotto in : 7. La continuità e la disponibilità: l'equilibrio fra tempi di consegna e capacità di tenere il mare. 39

A classic example is the notion of utopia as described in Plato's best-known work, The Republic. This means that the "ideal city" as depicted in The Republic is not given as something to be pursued, or to present an orientation-point for development; rather, it shows how things would have to be connected, and how one thing would lead to another, if one would opt for certain principles and carry them through rigorously. 40

Q&A Tack för er uppmärksamhet, frågor? COBIT5 ed il naufragio del VASA 41

Sitografia http://www.isaca.org/knowledge-center/research/documents/the-failed-vasa.pdf http://www.isaca.org/cobit/focus/pages/the-failed-vasa-cobit-5-and-the-balanced-scorecard-part-1.aspx http://www.vasamuseet.se/en/ http://www.isaca.org/cobit/pages/default.aspx http://www.isaca.org/cobit/pages/cobit-5-enabling-information-product-page.aspx COBIT5 ed il naufragio del VASA 42

Perché 5 Benefici Evitare Rischi Gestione ottimale Risorse Interventi Dove operare Processi Principi Policies Frameworks Sistemi Persone Organizzazione Informazioni disponibili Cultura / etica 3 Quando Governo 2 Pianificazione Organizzazione Impostazione Definizione Soluzioni IT Attori CDA Business IT / IS 1 Controllo 1. Chi 2. Quando 3. Dove 4. Come 5. Perché Come operare Pratiche / Attività Base Consolidate e universalmente accettate Riferimento ai principali Standard Priorità in funzione obiettivi di business 4 Erogazione Servizi Supporto Misura e Controllo Risk Based Approach! COBIT5 ed il naufragio del VASA 43

Contatti alberto.piamonte@alice.it Grazie... 44

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back