Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT Paolo Salvaneschi A3_1 V1.1 Processi di Gestione dei Sistemi ICT Il contenuto del documento è liberamente utilizzabile dagli studenti, per studio personale e per supporto a lezioni universitarie. Ogni altro uso è riservato, e deve essere preventivamente autorizzato dall autore. Sono graditi commenti o suggerimenti per il miglioramento del materiale
INDICE Relazione tra governo e gestione Processi Standard di riferimento I processi che esaminiamo Orientamento al servizio A3 Processi gestione ICT Paolo Salvaneschi 2
ISO/IEC 38500:2008 Relazioni tra governo e gestione Governo Interfaccia Gestione A1 Governo sistemi ICT Paolo Salvaneschi 3
Relazioni tra governo e gestione Allineamento al business Nei Sistemi Informativi: Relazione tra il top management e l IT Relazione tra la Direzione IT e le Direzioni Business Nelle Software / System House: Relazione tra la Direzione e le strutture operative A2 Strutture organizzative Paolo Salvaneschi 4
Relazioni tra governo e gestione Allineamento al business Stabilire gli obiettivi del business Tradurre gli obiettivi del business in obiettivi dell IT Identificare e organizzare adeguati processi IT Generare piani di azione, vincoli e costi condivisi A2 Strutture organizzative Paolo Salvaneschi 5
Relazioni tra governo e gestione Allineamento al business Rendere visibili e comprensibili le attività al management Fornire misure sull andamento dei piani Generare informazioni utili alla gestione degli eventi imprevisti e dei rischi Fornire misure e valutazioni sulla qualità dei processi A2 Strutture organizzative Paolo Salvaneschi 6
Relazioni tra governo e gestione Allineamento al business Condividere obiettivi e punti di vista Stabilire una comprensione condivisa dei processi in atto basata su un linguaggio comune Scambiare informazioni e supporto A2 Strutture organizzative Paolo Salvaneschi 7
Processi ISO/IEC 38500:2008 Interfaccia Gestione A3 Processi gestione ICT Paolo Salvaneschi 8
Processi Quali processi? Come gestire? Definire e organizzare i processi Definire obiettivi Misurare Retroagire Riferimenti normativi Molte norme/ guide: COBIT, ITIL, ISO 9001, ISO12207, A3 Processi gestione ICT Paolo Salvaneschi 9
Processi Norme/ guide: COBIT Framework gestionale ITIL Servizi ISO 9001:2008 Sistema qualità ISO/IEC 12207:2008 Processi software ISO/IEC 15504 Maturità ISO 27001Security A3 Processi gestione ICT Paolo Salvaneschi 10
COBIT Control Objectives for Information and related Technology http://www.isaca.org/knowledge-center/cobit/ A3 Processi gestione ICT Paolo Salvaneschi 11
Modello (framework) per il governo e la gestione dell ICT creato nel 1992 da: Associazione americana degli auditor dei sistemi informativi: Information Systems Audit and Control Association - ISACA https://www.isaca.org Standard di riferimento Istituto indipendente senza scopo di lucro: IT Governance Institute (ITGI) http://www.itgi.org/ COBIT A3 Processi gestione ICT Paolo Salvaneschi 12
Modello orientato ai processi per il governo e la gestione dell IT E un tool adatto per: Business management IT management IT process managers IT Auditors Standard di riferimento Fornisce good practices È principalmente focalizzato sugli aspetti di controllo dei processi piuttosto che sugli aspetti operativi. COBIT A3 Processi gestione ICT Paolo Salvaneschi 13
Il punto di vista CHE ADOTTIAMO: COBIT è utilizzato come framework entro cui ospitare altri standard che dettagliano gli aspetti operativi di specifici processi A3 Processi gestione ICT Paolo Salvaneschi 14
COBIT Framework Guida per l audit Guida per il management senza indicazioni operative ITIL ISO 9001 ISO 12207 ISO 27001 ISO 15504 Standard operativi per specifici processi Process assessment A3 Processi gestione ICT Paolo Salvaneschi 15
COBIT Identifica 34 Processi IT appartenenti a 4 aree Pianificazione e Organizzazione (PO) Acquisizione e Implementazione (AI) Erogazione e Supporto (DS) Monitoraggio e Valutazione (ME) COBIT A3 Processi gestione ICT Paolo Salvaneschi 16
Pianificazione e Organizzazione (PO) PO1 Definire un Piano Strategico per l'it PO2 Definire l architettura informatica PO3 Definire gli indirizzi tecnologici PO4 Definire i processi, l organizzazione e le relazioni dell IT PO5 Gestire gli investimenti IT PO6 Comunicare gli obiettivi e gli orientamenti della direzione PO7 Gestire le risorse umane dell IT PO8 Gestire la Qualità PO9 Valutare e Gestire i Rischi Informatici PO10 Gestire i Progetti COBIT A3 Processi gestione ICT Paolo Salvaneschi 17
Acquisizione e Implementazione (AI) AI1 Identificare soluzioni automatizzate AI2 Acquisire e mantenere il software applicativo AI3 Acquisire e mantenere l infrastruttura tecnologica AI4 Permettere il funzionamento e l uso AI5 Approvvigionamento delle risorse IT AI6 Gestire le modifiche AI7 Installare e certificare soluzioni e modifiche COBIT A3 Processi gestione ICT Paolo Salvaneschi 18
Erogazione e Supporto (DS) DS1 Definire e gestire i livelli di servizio DS2 Gestire i servizi di terze parti DS3 Gestire le prestazioni e la capacità produttiva DS4 Assicurare la continuità di servizio DS5 Garantire la sicurezza dei sistemi DS6 Identificare e attribuire i costi DS7 Formare e addestrare gli utenti DS8 Gestione del Service Desk e degli incidenti DS9 Gestione della configurazione DS10 Gestione dei problemi DS11 Gestione dei dati DS12 Gestione dell ambiente fisico DS13 Gestione delle operazioni COBIT A3 Processi gestione ICT Paolo Salvaneschi 19
Monitoraggio e Valutazione (ME) ME1 Monitorare e valutare le prestazioni dell IT ME2 Monitorare e valutare i controlli interni ME3 Assicurare la conformità alla normativa ME4 Istituzione dell IT Governance COBIT Per ogni processo COBIT fornisce (esempio). A3 Processi gestione ICT Paolo Salvaneschi 20
COBIT A3 Processi gestione ICT Paolo Salvaneschi 21
COBIT A3 Processi gestione ICT Paolo Salvaneschi 22
COBIT A3 Processi gestione ICT Paolo Salvaneschi 23
COBIT A3 Processi gestione ICT Paolo Salvaneschi 24
COBIT A3 Processi gestione ICT Paolo Salvaneschi 25
COBIT è uno strumento di aiuto alla comprensione e gestione dell IT da parte di tutte le parti interessate (direzione generale, auditors, direzione IT) un linguaggio comune COBIT Non contiene guide operative per la costruzione di specifici processi Non è uno strumento per la certificazione Non è uno strumento per la valutazione di maturità dei processi A3 Processi gestione ICT Paolo Salvaneschi 26
ITIL V2 Service delivery (certificazione ISO 20000) Service support (certificazione ISO 20000) ICT Infrastructure Management Application Management Security Management Planning to Implement Service Management The Business Perspective ITIL V3 (2007) Inclusione dei contenuti V2 in un ciclo di vita: strategia, progettazione, transizione, operatività e miglioramento dei servizi ITIL A3 Processi gestione ICT Paolo Salvaneschi 27
ITIL (IT Infrastructure Library) provides a framework of best practice guidance for IT Service Management A3 Processi gestione ICT Paolo Salvaneschi 28
Service delivery Standard di riferimento ITIL A3 Processi gestione ICT Paolo Salvaneschi 29
Service support Standard di riferimento ITIL A3 Processi gestione ICT Paolo Salvaneschi 30
ITIL La qualità del servizio ICT Infrastructure Management ITIL A3 Processi gestione ICT Paolo Salvaneschi 31
Application Management ITIL A3 Processi gestione ICT Paolo Salvaneschi 32
Security Management Standard di riferimento ITIL A3 Processi gestione ICT Paolo Salvaneschi 33
Planning to Implement Service Management ITIL A3 Processi gestione ICT Paolo Salvaneschi 34
The Business Perspective ITIL A3 Processi gestione ICT Paolo Salvaneschi 35
ISO (International Organization for Standardization) Organizzazione internazionale, nata nel 1947, che si occupa di definire gli standard in tutti i settori produttivi, di cui fanno parte gli enti normativi nazionali di più di 130 paesi. http://www.iso.ch Standard ISO (o norme): Sistema metrico decimale Sistemi di filettatura di viti e bulloni Definizione dei processi software Definizione di sistemi di gestione della qualità. A3 Processi gestione ICT Paolo Salvaneschi 36
La norma ISO 9001: 2008 Definisce i criteri di gestione dei sistemi qualità delle organizzazioni e si rivolge a tutte le organizzazioni che desiderano sviluppare un Sistema Qualità Ogni organizzazione che vuole seguire la norma deve seguire i criteri definiti dalla norma adattandoli alla propria tipologia di organizzazione Azienda manifatturiera Software house Ospedale.. A3 Processi gestione ICT Paolo Salvaneschi 37
Sistema di gestione per la qualità: Sistema di gestione per guidare e tenere sotto controllo un organizzazione con riferimento alla qualità Assicurare la qualità dei prodotti e dei servizi Realizzare un miglioramento continuo dei processi aziendali A3 Processi gestione ICT Paolo Salvaneschi 38
Sistema di gestione per la qualità di una azienda che sviluppa software: Definire i propri processi produttivi Definire le procedure da seguire (per progettare, per controllare, per gestire versioni e configurazioni del software, per gestire le segnalazioni di errore dei clienti ) Definire standard di documentazione Misurare la qualità dei processi e dei prodotti e instaurare un processo di valutazione periodica e di decisione per il miglioramento A3 Processi gestione ICT Paolo Salvaneschi 39
Certificazione Un organizzazione che realizza un sistema qualità corrispondente alla norma ISO 9001: 2008 può chiedere di essere certificata rispetto alla norma Per uno specifico insieme di prodotti e servizi Esempio: Consulenza, progettazione, sviluppo, installazione di sistemi software Commercializzazione e assistenza hardware e software Commercializzazione e assistenza hardware e software per telecomunicazioni A3 Processi gestione ICT Paolo Salvaneschi 40
Perché far certificare un azienda? Effettuare un salto di qualità formalizzando e razionalizzando i processi aziendali Passare da un livello di qualità individuale ad un livello ingegnerizzato e industrializzato dell organizzazione (qualità di impresa) Attivare un processo di miglioramento continuo Ottenere un certificato considerato referenza e prerequisito per poter partecipare a gare A3 Processi gestione ICT Paolo Salvaneschi 41
Come è costruito / documentato un Sistema qualità: Manuale della qualità. Raccoglie tutti gli aspetti di gestione della qualità Richiama tutte le procedure e gli specifici strumenti messi in atto per gestire la qualità Procedure gestionali Istruzioni di lavoro Schemi di documenti A3 Processi gestione ICT Paolo Salvaneschi 42
ISO 9001-2008 un sistema di gestione della qualità basato sui processi ed il miglioramento continuativo A3 Processi gestione ICT Paolo Salvaneschi 43
ISO/IEC 12207:2008 Systems and software engineering -- Software life cycle processes A3 Processi gestione ICT Paolo Salvaneschi 44
ISO/IEC 15504 Information technology - Process assessment Basata sui processi definiti dalla norma ISO 12207 0 Incompleto (Incomplete) Il processo non è implementato o comunque non raggiunge i risultati attesi 1 Eseguito Il processo implementato raggiunge lo scopo ed i (Performed) risultati attesi 2 Gestito (Managed) 3 Stabilito (Established) 4 Prevedibile (Predictable) 5 Ottimizzante (Optimizing) Il processo Eseguito produce risultati che soddisfano i requisiti espressi, nei tempi definiti e con le risorse allocate. Il processo Gestito è eseguito sulla base di un processo standardizzato e raggiunge risultati predefiniti. Il processo Stabilito è eseguito costantemente, entro limiti stabiliti quantitativamente e raggiungendo costantemente i risultati predefiniti. Il processo Prevedibile cambia dinamicamente per rispondere efficacemente ai bisogni di business attuali e futuri. A3 Processi gestione ICT Paolo Salvaneschi 45
ISO 15504 ed i modelli di maturità 2004 COMUNICAZIONE AS400 2008 COMUNICAZIONE AS400 GESTIONE GPIA3 GPIA2 GPIA1 GCNF3 GCNF2 GPER1 GDOC1 COM2 KNM1KNM2 COM1 MIGL2 MIGL1 CON6 CON5 CON4 ACQ1 4 3 2 1 0 SVIL1 SVIL2SVIL3 SVIL4 MAN2 CON1 CON2 CON3 SVILUPPO, ESERCIZIO ED EVOLUZIONE SVIL5 SVIL6 SVIL7 SVIL8 ESE1 ESE2 ESE3 MAN1 COMUNICAZIONE GESTIONE RETAIL GPIA3 GPIA2 GPIA1 GCNF3 GPER1 GCNF2 GDOC1 COM2 KNM1KNM2 COM1 MIGL2 MIGL1 CON6 CON5 CON4 ACQ1 4 3 2 1 0 SVIL1 SVIL2SVIL3 SVILUPPO, ESERCIZIO ED EVOLUZIONE SVIL4 SVIL5 SVIL6 SVIL7 SVIL8 ESE1 ESE2 ESE3 MAN1 MAN2 CON1 CON2 CON3 CONTROLLO GESTIONE Valutazione Confronto 2004-2008 GPIA3 GPIA2 GPIA1 GCNF3 GCNF2 GDOC1 4 ACQ1 KNM1 KNM2 COM2 SVIL1 SVIL2 SVIL3 COM1 SVIL4 GPER1 MIGL2 MIGL1 CON6 CON5 CON4 3 2 1 0 SVIL5 SVILUPPO, SVIL6 ESERCIZIO ED EVOLUZIONE SVIL7 SVIL8 ESE1 ESE2 ESE3 MAN1 MAN2 CON1 CON2 CON3 CONTROLLO Azzurro: stato 2004 Rosso: obiettivi di miglioramento definiti dopo la valutazione del 2004 AS400 A3 Processi gestione ICT CONTROLLO Paolo Salvaneschi 46
ISO 27001 Politica di gestione della sicurezza di un Sistema Informativo (certificazione di processo). ISO 27002 guida (best practices) ISO 15408 (Common Criteria) Procedure e misure tecniche per gestire la sicurezza durante il ciclo di vita di un sistema IT (certificazione di prodotto). Definire e validare un dato livello di security A3 Processi gestione ICT Paolo Salvaneschi 47
I processi che esaminiamo Quali processi esaminiamo? Gestione dello sviluppo software Acquisizione di prodotti e servizi Gestione operativa e supporto Evoluzione Pianificazione Misura Gestione della conoscenza A3 Processi gestione ICT Paolo Salvaneschi 48
Orientamento al servizio Quale è il punto di vista che supportiamo? Orientamento al servizio delle organizzazioni IT Considerare i consumatori dei propri servizi non soltanto come utenti ma come Clienti Allargare la focalizzazione sulle tecnologie, per includere l attenzione ai processi Passare da una organizzazione IT reattiva ad una propositiva Arricchire i tradizionali skill IT con nuove capacità orientate al Cliente, imparando ad ascoltare il Cliente A3 Processi gestione ICT Paolo Salvaneschi 49