CSF e KPI

2

Fattori critici di successo

Critical Success Factor (CSF) Definiscono le azioni o gli elementi più importanti per

controllare i processi IT

Linee guida orientate alla gestione del processo

Devono essere definite in questa fase le “cose più importanti” per raggiungere gli obbiettivi del processo, dal punto di vista: Strategico

Tecnico

Organizzativo

Procedurale

3

Fattori critici di successo

Saranno quindi definiti:

Processi definiti e documentati

Politiche definite e documentate

Chiare competenze

Forte supporto “impegno” dei responsabili

Idonea comunicazione

Coerenti pratiche di comunicazione

4

Indicatori chiave di obbiettivo

Key Goal Indicator (KGI) Definiscono le misure per indicare ai responsabili se un

processo IT ha soddisfatto i requisiti aziendali

Orientati all’IT ma guidati dalle esigenze di business

Espressi in termini di: Disponibilità

Integrità e Riservatezza

Efficienza economica dei processi e delle operazioni

Conferma dei criteri di affidabilità, efficacia e conformità

KGI dice se abbiamo raggiunto l’obbiettivo

5

Indicatori chiave di

Prestazione

Key Performance Indicators (KPI)

Indicano ai responsabili che il processo IT sta

raggiungendo i suoi obbiettivi aziendali

È un controllo “a priori”, misura le prestazioni dei fattori

abilitanti dei processi IT

Spesso questi indicatori sono una misura per i fattori critici

di successo (anche se non c’è un rapporto diretto tra CSF

e KPI)

KPI dice quanto bene il processo si sta evolvendo

6

ESEMPIO: frequentare

l’università

Obbiettivo di alto livello

laurearsi in un tempo ragionevole e con un voto dignitoso

CSF

motivazione personale

“genitori assillanti”

frequenza costante delle lezioni

studio giorno per giorno

…

7

ESEMPIO: frequentare

l’università

KPI

votazione media

rapporto numero esami superati / anni

KGI

voto di laurea obiettivo

tempo di permanenza all’università obiettivo

CobiT - Cappellazzo

Pietro

8

Auditing

Importante funzione aziendale di assistenza

al management

Salvaguardia delle risorse aziendali

Verifica di accuratezza delle registrazioni contabili

Sviluppo di migliorie operative

Verifica di aderenza a policy aziendali e

regolamenti esterni

CobiT - Cappellazzo

Pietro

9

Rischi e Controlli

Rischio Possibilità che un evento indesiderato possa causare

perdita o danno

Controllo Prassi, procedura, strumento tecnico, policy attuata per

mitigare il rischio

Rischio residuo Componente del rischio che non risulta mitigata dai

controlli in atto

CobiT - Cappellazzo

Pietro

10

ESEMPIO: Attraversamento di

una strada

Valutazione dei rischi

Attraversare una statale in ora di punta ALTO

Attraversare una strada di campagna poco frequentata

MEDIO

Attraversare il parcheggio di un supermercato BASSO

Valutazione dei controlli

Guardare a destra e sinistra prima di attraversare

FORTE

Attraversare sulle strisce zebrate (occhi chiusi) DEBOLE

Attraversare al semaforo (occhi chiusi) FORTE

11

ESEMPIO: Attraversamento di

una strada

Applichiamo il modello ad un caso specifico:

Viale a 3 corsie per senso di marcia.

E’ possibile effettuare l’attraversamento

pedonale sulle strisce oppure al semaforo.

CobiT - Cappellazzo

Pietro

12

ESEMPIO: Attraversamento di

una strada

Completiamo quindi la fase di audit:

L’auditor ha analizzato il processo e ha verificato che il

controllo attuato dal management (attraversamento sulle

strisce) è debole

L’auditor comunica al management che il rischio residuo è

alto

Il management può decidere che investendo delle risorse

(spostarsi un po’ più avanti dove c’è un semaforo) può

abbassare il livello di rischio residuo

Ora la decisione di investimento, opportunamente

motivata, spetta al management

13

Audit Guidelines

Le linee guida per l’AUDIT sono la semplice

applicazione del framework di CobiT

Sono generiche, di alto livello, richiedono di fornire

al management l’assicurazione che determinati

obbiettivi di controllo vengano raggiunti

Forniscono una guida per preparare il Piano di Audit

14

Audit Guidelines

Obbiettivi delle Audit Guidelines:

Fornire al managment una ragionevole assicurazione che gli obbiettivi di controllo sono raggiunti

Indicare al Management azioni correttive

Avere comprensione dei requisiti di Business in relazione ai Rischi e relative misure di controllo

Valutare l’appropriato stato dei controlli

Avere certezza che gli obbiettivi di controllo lavorano come prescritto

15

Cos’è CobiT

COBIT: Control Objectives for Information

and related Tecnology

È una raccolta di manuali sviluppati per dare un

aiuto alle organizzazioni nel gestire i rischi dell’IT

Inoltre controlla che i processi IT siano coerenti

con gli obbiettivi business dell’azienda

CobiT - Cappellazzo

Pietro

16

A chi è destinato CobiT

Management

Per fornire un modello che aiuti nella comprensione dei rischi e una metodologia per la migrazione

Utenti

Per analizzare il livello di sicurezza e la qualità dei controlli in atto dei servizi IT di cui si usufruisce

Auditor

Per fornire una base metodologica all’analisi delle organizzazioni e dei sistemi IT, e fornire dei suggerimenti per il miglioramento dei controlli

17

Organizzazione del CobiT

Executive Summary Descrizione generale della metodologia

Framework Descrizione del metodo, con la descrizione degli

obbiettivi di controllo di alto livello

Control Objectives Descrizione dei controlli minimi da adottare,

Obbiettivi di controllo di dettaglio

Audit Guidelines Descrizione degli obbiettivi di controllo di Audit

Implementation Tool Set Come si utilizza la metodologia COBIT

Managment Guide Descrizione degli obbiettivi di controllo per il

managment

18

IT Governance

Definizione di IT governance per il modello CobiT Struttura di relazioni e di processi per dirigere e controllare

l’azienda al fine di raggiungere gli scopi della stessa apportando valore e bilanciando Rischi e Benefici dell’IT e dei suoi processi

L’IT è strategico per il business Aumentano le dipendenze con le informazioni e i sistemi

L’IT coinvolge grandi investimenti e grandi rischi La tecnologia si evolve in continuazione,

Cambia le organizzazioni e le pratiche di Business

La tecnologia può diventare inadeguata molto velocemente

19

IT Governance - framework -

È un ciclo continuo, in cui:

Si definiscono gli obbiettivi

Si pianificano le attività

Si svolgono le attività

Si misurano i risultati

Si fanno gli adeguati confronti

Definizione

20

Controllo

politiche, procedure, prassi e strutture

organizzative che forniscono garanzia nel

raggiungere gli obbiettivi aziendali

Obiettivo di controllo nell’IT:

declaratoria del risultato atteso o dell’obiettivo

atteso, l’implementazione di una procedura di

controllo in una particolare attività IT

CobiT - Cappellazzo

Pietro

21

CobiT: il framework

Il modello CobiT è strutturato in:

4 Domini

34 Processi

318 Obbiettivi

di controllo

22

Principi della metodologia

CobiT - definizioni -

Efficacia Le informazioni devono essere rilevanti e pertinenti ai processi aziendali

Efficienza Riguarda l’uso ottimale delle risorse (Produttività/Economicità)

Riservatezza Protezione delle informazioni da accessi non autorizzati

Integrità Accuratezza e Completezza delle informazioni

Disponibilità L’informazione deve essere disponibile quando viene richiesta dai processi

aziendali

Conformità Rispetto a leggi, regolamenti, accordi contrattuali a cui è soggetta l’azienda

Affidabilità Fornitura di appropriate informazioni alla direzione, per far fronte alle proprie

responsabilità

23

Principi della metodologia

CobiT - risorse -

Dati Oggetti di più ampia accezione strutturati e non, grafici,

multimediali

Applicazioni Sistemi comprensivi di procedure manuali e automatiche

Tecnologia Hardware, SO, DB, management system, networking, multimedia

Infrastrutture Risorse destinate ad ospitare e garantire il funzionamento dei

sistemi informatici

Risorse umane Conoscenze, professionalità e produttività necessarie a

pianificare, organizzare, acquisire, erogare, gestire e governare il sistema informativo e i relativi servizi

24

Domini CobiT: PO

Pianificazione & Organizzazione

Strategia e tecnica

Come l’IT può contribuire al raggiungimento degli

obbiettivi aziendali

Visione strategica con la pianificazione da parte del

Managment

25

Domini CobiT: PO - Processi -

DOMINI Cod. PROCESSI

Eff

icacia

Eff

icie

nza

Ris

erv

ate

zza

Inte

grità

Dis

ponib

ilità

Confo

rmità

Aff

idabili

tà

Ris

ors

e U

mane

Applic

azio

ni

Tecnolo

gia

Infr

astr

utt

ura

Dati

Pianificazione &

Organizzazione

P01 Definizione del piano strategico per l’IT P S V V V V V

P02 Definizione dell’architettura informativa P S S S V V

P03 Definizione dell’indirizzo tecnologico P S V V

P04 Definizione dell’organizzazione IT e delle sue relazioni P S V

P05 Gestione degli investimenti IT P P S V V V V

P06 Comunicazione degli indirizzi e degli obiettivi del management P V

P07 Gestione delle risorse umane P P V

P08 Conformità a leggi e norme P P S V V

P09 Valutazione dei rischi S S P P P S S V V V V V

P10 Gestione dei progetti P P V V V V

P11 Gestione della qualità P P P S V V V V

Criteri informazione Risorse IT

P aspetto primario

S aspetto secondario

V risorsa coinvolta

26

Domini CobiT: AI

Acquisizione & Implementazione

Identificare delle soluzioni IT da sviluppare o

acquistare

Gestione del cambiamento dei sistemi

CobiT - Cappellazzo

Pietro

27

Domini CobiT: AI - Processi -

DOMINI Cod. PROCESSI

Effic

acia

Effic

ienza

Ris

erv

ate

zza

Inte

grità

Dis

ponib

ilità

Confo

rmità

Affid

abilità

Ris

ors

e U

mane

Applicazio

ni

Tecnolo

gia

Infr

astr

uttura

Dati

Acquisizione &

Implementazione

AI1 Identificazione delle soluzioni P S V V V

AI2 Acquisizione e manutenzione del software applicativo P P S S S V

AI3 Acquisizione e manutenzione dell'architettura tecnologica P P S V

AI4 Sviluppo e manutenzione delle procedure IT P P S S S V V V V

AI5 Installazione e validazione dei sistemi P P S S V V V V V

AI6 Gestione del cambiamento P P P P S V V V V V

Criteri informazione Risorse IT

P aspetto primario

S aspetto secondario

V risorsa coinvolta

CobiT - Cappellazzo

Pietro

28

Domini CobiT: DS

Erogazione e Assistenza (Delivery & Support)

Gestione degli aspetti operativi dell’erogazione del servizio

Gestione della sicurezza dei sistemi

CobiT - Cappellazzo

Pietro

29

Domini CobiT: DS - Processi -

DOMINI Cod. PROCESSI

Eff

ica

cia

Eff

icie

nza

Ris

erv

ate

zza

Inte

grità

Dis

pon

ibili

tà

Co

nfo

rmità

Aff

idab

ilità

Ris

ors

e U

ma

ne

Ap

plic

azio

ni

Te

cn

olo

gia

Infr

astr

uttu

ra

Da

ti

Erogazione &

Assistenza (DS)

DS1 Definizione dei livelli di servizio P P S S S S S V V V V V

DS2 Gestione dei servizi di terze parti P P S S S S S V V V V V

DS3 Gestione delle prestazioni e del dimensionamento P P S V V V

DS4 Gestione della continuità del servizio P S P V V V V V

DS5 Gestione della sicurezza dei sistemi P P S S S V V V V V

DS6 Identificazione e attribuzione dei costi P P V V V V V

DS7 Formazione ed addestramento degli utenti P S V

DS8 Assistenza e consulenza agli utenti P P V V

DS9 Gestione della configurazione P S S V V V

DS10 Gestione di anomalie ed incidenti P P S V V V V V

DS11 Gestione dei dati P V

DS12 Gestione delle infrastrutture P P V

DS13 Attività operative e di sala macchine P P S S V V V V

Criteri informazione Risorse IT

P aspetto primario

S aspetto secondario

V risorsa coinvolta

CobiT - Cappellazzo

Pietro

30

Domini CobiT: MO

Monitoraggio

Valutazione periodica dei processi IT

Verifica di conformità con gli obbiettivi di controllo

CobiT - Cappellazzo

Pietro

31

Domini CobiT: MO - Processi -

DOMINI Cod. PROCESSI

Eff

ica

cia

Eff

icie

nza

Ris

erv

ate

zza

Inte

grità

Dis

pon

ibili

tà

Co

nfo

rmità

Aff

idab

ilità

Ris

ors

e U

ma

ne

Ap

plic

azio

ni

Te

cn

olo

gia

Infr

astr

uttu

ra

Da

ti

Monitoraggio

M1 Monitoraggio dei processi P P S S S S S V V V V V

M2 Valutazione dell’adeguatezza dei controlli interni P P S S S P S V V V V V

M3 Certificazione da terze parti P P S S S P S V V V V V

M4 Revisione indipendente dei controlli interni P P S S S P S V V V V V

Criteri informazione Risorse IT

P aspetto primario

S aspetto secondario

V risorsa coinvolta

CobiT - Cappellazzo

Pietro

32

Obbiettivi di controllo

Per ogni processo, il modello CobiT introduce degli obbiettivi di controllo minimi per il processo stesso Per ogni processo sono definiti da 3 a 30 obbiettivi di

controllo

Ogni obiettivo di controllo rappresenta requisiti che dovrebbero essere soddisfatti dai controlli in atto

Non sono mai fatti riferimenti a piattaforme tecnologiche

CobiT non dice quali siano i controlli da prevedere in un processo

dice gli obiettivi cui i controlli devono soddisfare

CobiT - Cappellazzo

Pietro

33

Obbiettivi di controllo

- esempio -

Delivery & Support

DS2 – Gestione dei servizi di terze parti

Obiettivo di controllo 4 – Requisiti delle terze parti

La Direzione dovrebbe assicurare che, prima della selezione, le potenziali terze parti siano qualificate in modo appropriato attraverso una valutazione delle loro capacità di erogare i servizi richiesti.

Non sono specificati rischi, ma sono deducibili: La selezione di un fornitore non affidabile comporta il rischio che

il servizio sia erogato con qualità scadente o non sia erogato, con possibili perdite economiche dirette o indirette per l’azienda

CobiT - Cappellazzo

Pietro

34

Management Guidelines

Le linee guida per il managment sono costituite da:

Modelli di maturità

Fattori critici di successo (CSF)

Indicatori chiave di obbiettivo (KGI)

Indicatori chiave di Prestazione (KPI)

Tutto questo fornisce un quadro di riferimento per i

responsabili per poter controllare e misurare l’IT

35

Modelli di maturità

Maturity Model

Il controllo dei processi IT è basato sullo sviluppo di un

metodo a punteggi

L’azienda può valutare il livello di ogni processo e/o

dell’azienda stessa