c obi t laboratorio di amministrazione di sistema cappellazzo pietro, 809652 a.a. 2006/07

COBIT

Laboratorio di amministrazione di sistema

Cappellazzo Pietro, 809652 A.A. 2006/07

CobiT - Cappellazzo Pietro 2

Cos’è CobiT

COBIT: Control Objectives for Information and related Tecnology

È una raccolta di manuali sviluppati per dare un aiuto alle organizzazioni nel gestire i rischi dell’IT

Inoltre controlla che i processi IT siano coerenti con gli obbiettivi business dell’azienda


A chi è destinato CobiT Management

Per fornire un modello che aiuti nella comprensione dei rischi e una metodologia per la migrazione

Utenti Per analizzare il livello di sicurezza e la qualità dei controlli

in atto dei servizi IT di cui si usufruisce

Auditor Per fornire una base metodologica all’analisi delle

organizzazioni e dei sistemi IT, e fornire dei suggerimenti per il miglioramento dei controlli


Processi

L’azienda necessita delle informazioni per i propri processi di business Le informazioni sono

gestite da risorse informatiche Le risorse informatiche

sono gestite tramite processi

CobiT ragiona per processi: Dice “cosa si deve fare”


Organizzazione del CobiT


Organizzazione del CobiT Executive Summary

Descrizione generale della metodologia

Framework Descrizione del metodo, con la descrizione degli

obbiettivi di controllo di alto livello

Control Objectives Descrizione dei controlli minimi da adottare,

Obbiettivi di controllo di dettaglio

Audit Guidelines Descrizione degli obbiettivi di controllo di Audit

Implementation Tool Set Come si utilizza la metodologia COBIT

Managment Guide Descrizione degli obbiettivi di controllo per il

managment


IT Governance

Definizione di IT governance per il modello CobiT Struttura di relazioni e di processi per dirigere e controllare

l’azienda al fine di raggiungere gli scopi della stessa apportando valore e bilanciando Rischi e Benefici dell’IT e dei suoi processi

L’IT è strategico per il business Aumentano le dipendenze con le informazioni e i sistemi

L’IT coinvolge grandi investimenti e grandi rischi La tecnologia si evolve in continuazione, Cambia le organizzazioni e le pratiche di Business La tecnologia può diventare inadeguata molto velocemente


IT Governance - framework -

È un ciclo continuo, in cui:

Si definiscono gli obbiettivi

Si pianificano le attività

Si svolgono le attività

Si misurano i risultati

Si fanno gli adeguati confronti


IT Governance - definizioni -

Controllo politiche, procedure, prassi e strutture

organizzative che forniscono garanzia nel raggiungere gli obbiettivi aziendali

Obiettivo di controllo nell’IT: declaratoria del risultato atteso o dell’obiettivo

atteso, l’implementazione di una procedura di controllo in una particolare attività IT


CobiT: il framework

Il modello CobiT è strutturato in: 4 Domini 34 Processi 318 Obbiettivi

di controllo


Principi della metodologia CobiT - definizioni - Efficacia

Le informazioni devono essere rilevanti e pertinenti ai processi aziendali Efficienza

Riguarda l’uso ottimale delle risorse (Produttività/Economicità) Riservatezza

Protezione delle informazioni da accessi non autorizzati Integrità

Accuratezza e Completezza delle informazioni Disponibilità

L’informazione deve essere disponibile quando viene richiesta dai processi aziendali

Conformità Rispetto a leggi, regolamenti, accordi contrattuali a cui è soggetta l’azienda

Affidabilità Fornitura di appropriate informazioni alla direzione, per far fronte alle proprie

responsabilità


Principi della metodologia CobiT - risorse - Dati

Oggetti di più ampia accezione strutturati e non, grafici, multimediali

Applicazioni Sistemi comprensivi di procedure manuali e automatiche

Tecnologia Hardware, SO, DB, management system, networking, multimedia

Infrastrutture Risorse destinate ad ospitare e garantire il funzionamento dei

sistemi informatici Risorse umane

Conoscenze, professionalità e produttività necessarie a pianificare, organizzare, acquisire, erogare, gestire e governare il sistema informativo e i relativi servizi


Domini CobiT: PO

Pianificazione & Organizzazione Strategia e tecnica Come l’IT può contribuire al raggiungimento degli obbiettivi

aziendali Visione strategica con la pianificazione da parte del

Managment


Domini CobiT: PO - Processi -

DOMINI Cod. PROCESSI

Eff

icac

ia

Eff

icie

nza

Ris

erva

tezz

a

Inte

grità

Dis

poni

bilit

à

Con

form

ità

Aff

idab

ilità

Ris

orse

Um

ane

App

licaz

ioni

Tec

nolo

gia

Infr

astr

uttu

ra

Dat

i

Pianificazione & Organizzazione

P01 Definizione del piano strategico per l’IT P S V V V V VP02 Definizione dell’architettura informativa P S S S V VP03 Definizione dell’indirizzo tecnologico P S V VP04 Definizione dell’organizzazione IT e delle sue relazioni P S VP05 Gestione degli investimenti IT P P S V V V VP06 Comunicazione degli indirizzi e degli obiettivi del management P VP07 Gestione delle risorse umane P P VP08 Conformità a leggi e norme P P S V VP09 Valutazione dei rischi S S P P P S S V V V V VP10 Gestione dei progetti P P V V V VP11 Gestione della qualità P P P S V V V V

Criteri informazione Risorse IT

P aspetto primario

S aspetto secondario

V risorsa coinvolta


Domini CobiT: AI

Acquisizione & Implementazione Identificare delle soluzioni IT da sviluppare o

acquistare Gestione del cambiamento dei sistemi


Domini CobiT: AI - Processi -


Effi

caci

a

Effi

cien

za

Ris

erva

tezz

a

Inte

grità

Dis

poni

bilit

à

Con

form

ità

Affi

dabi

lità

Ris

orse

Um

ane

App

licaz

ioni

Tecn

olog

ia

Infra

stru

ttura

Dat

i

Acquisizione &Implementazione

AI1 Identificazione delle soluzioni P S V V VAI2 Acquisizione e manutenzione del software applicativo P P S S S VAI3 Acquisizione e manutenzione dell'architettura tecnologica P P S VAI4 Sviluppo e manutenzione delle procedure IT P P S S S V V V VAI5 Installazione e validazione dei sistemi P P S S V V V V VAI6 Gestione del cambiamento P P P P S V V V V V


P aspetto primario


V risorsa coinvolta


Domini CobiT: DS

Erogazione e Assistenza (Delivery & Support) Gestione degli aspetti operativi dell’erogazione

del servizio Gestione della sicurezza dei sistemi


Domini CobiT: DS - Processi -


Effi

caci

a

Effi

cien

za

Ris

erva

tezz

a

Inte

grità

Dis

poni

bilit

à

Con

form

ità

Affi

dabi

lità

Ris

orse

Um

ane

App

licaz

ioni

Tec

nolo

gia

Infr

astr

uttu

ra

Dat

i

Erogazione &Assistenza (DS)

DS1 Definizione dei livelli di servizio P P S S S S S V V V V VDS2 Gestione dei servizi di terze parti P P S S S S S V V V V VDS3 Gestione delle prestazioni e del dimensionamento P P S V V VDS4 Gestione della continuità del servizio P S P V V V V VDS5 Gestione della sicurezza dei sistemi P P S S S V V V V VDS6 Identificazione e attribuzione dei costi P P V V V V VDS7 Formazione ed addestramento degli utenti P S VDS8 Assistenza e consulenza agli utenti P P V VDS9 Gestione della configurazione P S S V V VDS10 Gestione di anomalie ed incidenti P P S V V V V VDS11 Gestione dei dati P VDS12 Gestione delle infrastrutture P P VDS13 Attività operative e di sala macchine P P S S V V V V


P aspetto primario


V risorsa coinvolta


Domini CobiT: MO

Monitoraggio Valutazione periodica dei processi IT Verifica di conformità con gli obbiettivi di controllo


Domini CobiT: MO - Processi -


Effi

caci

a

Effi

cien

za

Ris

erva

tezz

a

Inte

grità

Dis

poni

bilit

à

Con

form

ità

Affi

dabi

lità

Ris

orse

Um

ane

App

licaz

ioni

Tec

nolo

gia

Infr

astr

uttu

ra

Dat

i

MonitoraggioM1 Monitoraggio dei processi P P S S S S S V V V V VM2 Valutazione dell’adeguatezza dei controlli interni P P S S S P S V V V V VM3 Certificazione da terze parti P P S S S P S V V V V VM4 Revisione indipendente dei controlli interni P P S S S P S V V V V V


P aspetto primario


V risorsa coinvolta


Obbiettivi di controllo

Per ogni processo, il modello CobiT introduce degli obbiettivi di controllo minimi per il processo stesso Per ogni processo sono definiti da 3 a 30 obbiettivi di

controllo Ogni obiettivo di controllo rappresenta requisiti che

dovrebbero essere soddisfatti dai controlli in atto Non sono mai fatti riferimenti a piattaforme tecnologiche

CobiT non dice quali siano i controlli da prevedere in un processo dice gli obiettivi cui i controlli devono soddisfare


Obbiettivi di controllo - esempio -

Delivery & Support DS2 – Gestione dei servizi di terze parti

Obiettivo di controllo 4 – Requisiti delle terze parti La Direzione dovrebbe assicurare che, prima della

selezione, le potenziali terze parti siano qualificate in modo appropriato attraverso una valutazione delle loro capacità di erogare i servizi richiesti.

Non sono specificati rischi, ma sono deducibili: La selezione di un fornitore non affidabile comporta il rischio che

il servizio sia erogato con qualità scadente o non sia erogato, con possibili perdite economiche dirette o indirette per l’azienda


Management Guidelines

Le linee guida per il managment sono costituite da: Modelli di maturità Fattori critici di successo (CSF) Indicatori chiave di obbiettivo (KGI) Indicatori chiave di Prestazione (KPI)

Tutto questo fornisce un quadro di riferimento per i responsabili per poter controllare e misurare l’IT


Modelli di maturità

Maturity Model Il controllo dei processi IT è basato sullo sviluppo di un

metodo a punteggi L’azienda può valutare il livello di ogni processo e/o

dell’azienda stessa


Fattori critici di successo Critical Success Factor (CSF)

Definiscono le azioni o gli elementi più importanti per controllare i processi IT

Linee guida orientate alla gestione del processo

Devono essere definite in questa fase le “cose più importanti” per raggiungere gli obbiettivi del processo, dal punto di vista: Strategico Tecnico Organizzativo Procedurale


Fattori critici di successo

Saranno quindi definiti: Processi definiti e documentati Politiche definite e documentate Chiare competenze Forte supporto “impegno” dei responsabili Idonea comunicazione Coerenti pratiche di comunicazione


Indicatori chiave di obbiettivo Key Goal Indicator (KGI)

Definiscono le misure per indicare ai responsabili se un processo IT ha soddisfatto i requisiti aziendali

Orientati all’IT ma guidati dalle esigenze di business

Espressi in termini di: Disponibilità Integrità e Riservatezza Efficienza economica dei processi e delle operazioni Conferma dei criteri di affidabilità, efficacia e conformità

KGI dice se abbiamo raggiunto l’obbiettivo


Indicatori chiave di Prestazione

Key Performance Indicators (KPI) Indicano ai responsabili che il processo IT sta

raggiungendo i suoi obbiettivi aziendali È un controllo “a priori”, misura le prestazioni dei fattori

abilitanti dei processi IT Spesso questi indicatori sono una misura per i fattori critici

di successo (anche se non c’è un rapporto diretto tra CSF e KPI)

KPI dice quanto bene il processo si sta evolvendo


ESEMPIO: frequentare l’università

Obbiettivo di alto livello laurearsi in un tempo ragionevole e con un voto dignitoso

CSF motivazione personale “genitori assillanti” frequenza costante delle lezioni studio giorno per giorno …


ESEMPIO: frequentare l’università

KPI votazione media rapporto numero esami superati / anni

KGI voto di laurea obiettivo tempo di permanenza all’università obiettivo


Auditing

Importante funzione aziendale di assistenza al management

Salvaguardia delle risorse aziendali Verifica di accuratezza delle registrazioni contabili Sviluppo di migliorie operative Verifica di aderenza a policy aziendali e

regolamenti esterni


Rischi e Controlli

Rischio Possibilità che un evento indesiderato possa causare

perdita o danno

Controllo Prassi, procedura, strumento tecnico, policy attuata per

mitigare il rischio

Rischio residuo Componente del rischio che non risulta mitigata dai

controlli in atto


ESEMPIO: Attraversamento di una strada

Valutazione dei rischi Attraversare una statale in ora di punta ALTO Attraversare una strada di campagna poco frequentata

MEDIO Attraversare il parcheggio di un supermercato BASSO

Valutazione dei controlli Guardare a destra e sinistra prima di attraversare

FORTE Attraversare sulle strisce zebrate (occhi chiusi) DEBOLE Attraversare al semaforo (occhi chiusi) FORTE



Creiamo un modello:

Questo verrà usato per esprimere delle opinioni, indicazioni, …



Applichiamo il modello ad un caso specifico: Viale a 3 corsie per senso di marcia. E’ possibile effettuare l’attraversamento pedonale

sulle strisce oppure al semaforo.



Completiamo quindi la fase di audit: L’auditor ha analizzato il processo e ha verificato che il

controllo attuato dal management (attraversamento sulle strisce) è debole

L’auditor comunica al management che il rischio residuo è alto

Il management può decidere che investendo delle risorse (spostarsi un po’ più avanti dove c’è un semaforo) può abbassare il livello di rischio residuo

Ora la decisione di investimento, opportunamente motivata, spetta al management


Audit Guidelines

Le linee guida per l’AUDIT sono la semplice applicazione del framework di CobiT

Sono generiche, di alto livello, richiedono di fornire al management l’assicurazione che determinati obbiettivi di controllo vengano raggiunti

Forniscono una guida per preparare il Piano di Audit


Audit Guidelines

Obbiettivi delle Audit Guidelines: Fornire al managment una ragionevole

assicurazione che gli obbiettivi di controllo sono raggiunti

Indicare al Management azioni correttive Avere comprensione dei requisiti di Business in

relazione ai Rischi e relative misure di controllo Valutare l’appropriato stato dei controlli Avere certezza che gli obbiettivi di controllo

lavorano come prescritto


Riferimenti

www.isaca.org

www.itgi.org

www.isacaroma.it

c obi t laboratorio di amministrazione di sistema cappellazzo pietro, 809652 a.a. 2006/07

Documents