Forum PACObIT 4.1 AIEA Roma 21.5.2007 Leonardo Nobile 1 AIEA Associazione Italiana Information...
20
Forum PA 1 CObIT 4.1 AIEA Roma 21.5.2007 Leonardo Nobile AIEA Associazione Italiana Information Systems Auditor ISACA Milan Chapter COBIT ® 4.1 Leonardo Nobile [email protected]
-
Upload
felicita-pavan -
Category
Documents
-
view
215 -
download
0
Transcript of Forum PACObIT 4.1 AIEA Roma 21.5.2007 Leonardo Nobile 1 AIEA Associazione Italiana Information...
Forum PA 1CObIT 4.1AIEA Roma 21.5.2007 Leonardo Nobile
AIEAAssociazione Italiana
Information Systems Auditor
ISACAMilan Chapter
COBIT® 4.1Leonardo [email protected]
Forum PA 2CObIT 4.1AIEA Roma 21.5.2007 Leonardo Nobile
Agenda
•ISACA & AIEA
•IT Governance
•COBIT
Caratteristiche
Evoluzione
Struttura
Overview componenti
Forum PA 3CObIT 4.1AIEA Roma 21.5.2007 Leonardo Nobile
ISACA – Information Systems and Control Association
Costituita nel 1969 a Los Angeles, sviluppa, promuove
e regolamenta l’attività professionale degli auditor
Rilascia le certificazioni C.I.S.A. e C.I.S.M.
Attualmente aderiscono circa: 50.000 auditor e consulenti (+100 Paesi) di cui 10.000 in Europa
AIEA – Associazione Italiana Information Systems Auditor
Costituita a Milano nel 1979.
Primo Capitolo Europeo (1979) riconosciuto.
Riconosciuta come “Very Large Chapter" da ISACA.
Circa 560 associati.
Promuove l'approfondimento dei problemi connessi al controllo dei processi di elaborazione automatica dei dati e di favorire lo sviluppo di metodologie e tecniche uniformi per la loro soluzione
Promuove a livello nazionale l’accesso degli IS Auditor alle certificazioni CISA e CISM
ISACA & AIEA
Forum PA 4CObIT 4.1AIEA Roma 21.5.2007 Leonardo Nobile
IT Governance
• Requirements– Gestione dei rischi IT– Legislazioni speciali
• SOX• Privacy• Basilea II• 262• 231• Banca d’Italia• ….
– Clienti interni ed esterni– Allineamento IT/Business
• Supportate da standard quali:– CobiT– ITIL– ISO17799 / 2700x– CMMI– PMBOK– PRINCE2– … e altre
Forum PA 5CObIT 4.1AIEA Roma 21.5.2007 Leonardo Nobile
COBIT
• COBIT = Control OBjectives for Information and Related Technology
• Modello orientato ai processi per il Governo dell’IT
• Si focalizza sugli obiettivi di business e alle modalità con cui l’IT supporta il loro raggiungimento
• E’ un tool adatto per:– Business management– IT management– IT process managers – IT Auditors
• Partecipano al progetto più di 100 esperti da tutto il mondo (membri e player di industry) suddivisi in team di volontari (BE, UK, DK, AU, ZA + Chicago, San Francisco e DC negli USA)
• Accettato a livello globale come lo standard de facto dei controlli IT
• La documentazione sul modello COBIT può essere scaricata da www.isaca.org
Forum PA 6CObIT 4.1AIEA Roma 21.5.2007 Leonardo Nobile
COBIT - Evoluzione
Governance
Management
Control
Audit
CobiT 1 CobiT 2 CobiT 3 CobiT 4
1996 1998 2000 2005
• CobiT è evoluto da strumento per l’audit a framework per l’IT Governance, utilizzato sempre più dal management IT
Forum PA 7CObIT 4.1AIEA Roma 21.5.2007 Leonardo Nobile
COBIT - Struttura
Pianificazione e Organizzazione
(PO)
Acquisizione e Implementazione
(AI)
Erogazione e Supporto (DS)
Monitoraggio e Valutazione
(ME)
PO1 Definire un Piano Strategico per l'IT
PO2 Definire l’architettura informatica
PO3 Definire gli indirizzi tecnologici
PO4 Definire i processi, l’organizzazione e le relazioni dell’IT
PO5 Gestire gli investimenti IT
PO6 Comunicare gli obiettivi e gli orientamenti della direzione
PO7 Gestire le risorse umane dell’IT
PO8 Gestire la QualitàPO9 Valutare e Gestire i
Rischi InformaticiPO10 Gestire i Progetti
AI1 Identificare soluzioni automatizzateAI2 Acquisire e mantenere il software applicativoAI3 Acquisire e mantenere l’infrastruttura tecnologicaAI4 Permettere il funzionamento e l’usoAI5 Approvvigionamento delle risorse ITAI6 Gestire le modificheAI7 Installare e certificare soluzioni e modifiche
DS1 Definire e gestire i livelli di servizio
DS2 Gestire i servizi di terze partiDS3 Gestire le prestazioni e la
capacità produttivaDS4 Assicurare la continuità di
servizioDS5 Garantire la sicurezza dei
sistemiDS6 Identificare e attribuire i costiDS7 Formare e addestrare gli utentiDS8 Gestione del Service Desk e
degli incidentiDS9 Gestione della configurazioneDS10 Gestione dei problemiDS11 Gestione dei datiDS12 Gestione dell’ambiente fisicoDS13 Gestione delle operazioni
ME1 Monitorare e valutare le prestazioni dell’IT
ME2 Monitorare e valutare i controlli interni
ME3 Assicurare la conformità alla normativa
ME4 Istituzione dell’IT Governance
Forum PA 8CObIT 4.1AIEA Roma 21.5.2007 Leonardo Nobile
COBIT - Componenti
• Framework• 34 Processi IT
– Overview dei processi– Obiettivi di controllo– Management Guidelines
• RACI-Chart• Inputs & Outputs• Goals & Metrics• Maturity Model specifici di processo
Framework
ControlObjectives
ManagementGuidelines
MaturityModels
Framework
ControlObjectives
ManagementGuidelines
MaturityModels
Framework
ControlObjectives
ManagementGuidelines
MaturityModels
Framework
ControlObjectives
ManagementGuidelines
MaturityModels
Framework
ControlObjectives
ManagementGuidelines
MaturityModels
Framework
ControlObjectives
ManagementGuidelines
MaturityModels
Framework
ControlObjectives
ManagementGuidelines
MaturityModels
Framework
ControlObjectives
ManagementGuidelines
MaturityModels
Forum PA 9CObIT 4.1AIEA Roma 21.5.2007 Leonardo Nobile
COBIT - Componenti
Per ciascuno dei 34 processi IT il COBIT fornisce…
Descrizioneprocesso
Dominio IT erequisitidell’informazione
Obiettivi IT
Obiettivi delprocesso
Prassi/Attività
Metriche chiave
Indicatori sullaIT Governancee sulle risorse IT
Overview del processo
Forum PA 10CObIT 4.1AIEA Roma 21.5.2007 Leonardo Nobile
COBIT - Componenti
Per ciascuno dei 34 processi IT il COBIT fornisce…
RACI chart
Forum PA 11CObIT 4.1AIEA Roma 21.5.2007 Leonardo Nobile
COBIT - Componenti
Per ciascuno dei 34 processi IT il COBIT fornisce…
Inputs Outputs
Forum PA 12CObIT 4.1AIEA Roma 21.5.2007 Leonardo Nobile
COBIT - Componenti
Per ciascuno dei 34 processi IT il COBIT fornisce…
Obiettivi dell’attività
Metriche
Forum PA 13CObIT 4.1AIEA Roma 21.5.2007 Leonardo Nobile
COBIT - Componenti
Per ciascuno dei 34 processi IT il COBIT fornisce…
Obiettivi del processo
Metriche
Forum PA 14CObIT 4.1AIEA Roma 21.5.2007 Leonardo Nobile
COBIT - Componenti
Per ciascuno dei 34 processi IT il COBIT fornisce…
Obiettivi IT
Metriche
Forum PA 15CObIT 4.1AIEA Roma 21.5.2007 Leonardo Nobile
COBIT - Componenti
Per ciascuno dei 34 processi IT il COBIT fornisce…
Obiettivi di controllo
Forum PA 16CObIT 4.1AIEA Roma 21.5.2007 Leonardo Nobile
COBIT - Componenti
Per ciascuno dei 34 processi IT il COBIT fornisce…
Strumento per la valutazione del livello di maturità del processo
Forum PA 17CObIT 4.1AIEA Roma 21.5.2007 Leonardo Nobile
COBIT - Componenti
Per ciascuno dei 34 processi IT il COBIT fornisce…Strumento per la valutazione del livello di maturità del processo
(segue)
Forum PA 18CObIT 4.1AIEA Roma 21.5.2007 Leonardo Nobile
COBIT - Componenti
Strumento per implementare la Governance IT e ottenere assurance dei processi IT
Briefing
CIOBaseline for
IT Governance
IT Governance Implementation
Guide using CobiT
BoardBriefing
Audit DirectorBaseline for
IT Governance
ITAssurance
Guide using CobiT
Briefing
CIOBaseline for
IT Governance
IT Governance Implementation
Guide using CobiT
BoardBriefing
Audit DirectorBaseline for
IT Governance
ITAssurance
Guide using CobiT
Briefing
CIOBaseline for
IT Governance
IT Governance Implementation
Guide using CobiT
BoardBriefing
Audit DirectorBaseline for
IT Governance
ITAssurance
Guide using CobiT
Briefing
CIOBaseline for
IT Governance
IT Governance Implementation
Guide using CobiT
BoardBriefing
Audit DirectorBaseline for
IT Governance
ITAssurance
Guide using CobiT
COMEFramework
ControlObjectives
ManagementGuidelines
MaturityModels
Framework
ControlObjectives
ManagementGuidelines
MaturityModels
ControlObjective
ControlPractices
AssuranceApproach
Value RiskControl
Objective
ControlPractices
AssuranceApproach
Value Risk
Framework
ControlObjectives
ManagementGuidelines
MaturityModels
Framework
ControlObjectives
ManagementGuidelines
MaturityModels
ControlObjective
ControlPractices
AssuranceApproach
Value RiskControl
Objective
ControlPractices
AssuranceApproach
Value Risk
BoardBriefing
CIOBaseline for
IT Governance
IT Governance Implementation
Guide using CobiT
BoardBriefing
ExecutiveBaseline for
IT Governance
IT Governance Implementation
Guide using CobiT
BoardBriefing
CIOBaseline for
IT Governance
IT Governance Implementation
Guide using CobiT
BoardBriefing
ExecutiveBaseline for
IT Governance
IT Governance Implementation
Guide using CobiT
COME
BoardBriefing
CIOBaseline for
IT Governance
IT Governance Implementation
Guide using CobiT
BoardBriefing
ExecutiveBaseline for
IT Governance
IT Governance Implementation
Guide using CobiT
BoardBriefing
CIOBaseline for
IT Governance
IT Governance Implementation
Guide using CobiT
BoardBriefing
ExecutiveBaseline for
IT Governance
IT Governance Implementation
Guide using CobiT
Framework
ControlObjectives
ManagementGuidelines
MaturityModels
Framework
ControlObjectives
ManagementGuidelines
MaturityModels
ControlObjective
ControlPractices
AssuranceSteps
Value RiskControl
Objective
ControlPractices
AssuranceSteps
Value Risk
Framework
ControlObjectives
ManagementGuidelines
MaturityModels
Framework
ControlObjectives
ManagementGuidelines
MaturityModels
ControlObjective
ControlPractices
AssuranceSteps
Value RiskControl
Objective
ControlPractices
AssuranceSteps
Value Risk
COSA
Forum PA 19CObIT 4.1AIEA Roma 21.5.2007 Leonardo Nobile
Concludendo….
•COBIT fornisce le cosiddette good practices, prassi più adeguate, in un quadro di riferimento fatto di domini e processi IT
•Presenta le attività in una struttura gestibile e logica.
•È principalmente focalizzato sugli aspetti di controllo dei processi piuttosto che sugli aspetti operativi.
•Stabilisce dei collegamenti tra gli obiettivi aziendali e quelli dell’IT
•Fornisce metriche e modelli di maturità per misurarne il raggiungimento
•Identifica le responsabilità associate ai responsabili aziendali e dei processi IT.
Forum PA 20CObIT 4.1AIEA Roma 21.5.2007 Leonardo Nobile
GOVERNANCE, CONTROL,and AUDIT for INFORMATIONand RELATED TECHNOLOGY
