Padova 13 pontoni v3

COBIT 5.0 - Il framework per la Governance e la gestione dell’Information Technology nelle PMIAndrea Pontoni

COBIT 5.0 - Il framework per la Governance e la gestione dell’Information Technology nelle PMI


ISACA Venice Chapter è una associazione non profit costituita in Venezia nel novembre 2011 da un gruppo di professionisti del Triveneto che operano nel settore della Gestione e del Controllo dei Sistemi Informativi.

Riunisce coloro che nell’Italia del Nord Est svolgono attività di Governance, Auditing e Controllo dei Sistemi Informativi promuovendo le competenze e le certificazioni professionali sviluppate da ISACA©: CISA©, CISM©, CGEIT©, CRISC©, COBIT5© Foundation (www.isaca.org/chapters5/venice).

ISACA (Information Systems Audit & Control Association) è una associazione internazionale, indipendente e senza scopo di lucro.

Con oltre 100.000 associati a 200 Capitoli in più di 160 Paesi, ISACA è leader mondiale nello sviluppo delle competenze certificate, nella promozione di community professionali e nella formazione nei settori dell’assurance e sicurezza del governo dell’impresa, della gestione dell’IT, dei rischi e della compliance in ambito IT (www.isaca.org).

ISACA VENICE CHAPTER


Relatore: Andrea Pontoni

Andrea Pontoni – anno di nascita 1969, abito a Fiume Veneto in provincia di Pordenone, sposato, un figlio, Piero, di 3 anni - Diplomato Perito Informatico e laureato in Scienze dell’Informazione presso l’Università di Udine - Sviluppatore (VB e Java) presso Infoservice (ora Finantix) e Banksiel dal 1996 al 1998 – Dal 1998 al 2003 ha lavorato in Accenture in progetti di realizzazione di Sistemi IT Gestionali e di DataWarehouse , dal 2004 al 2005 responsabile dell’area sviluppo per il Gruppo PAM, dal 2006 al 2008 in Generali Business Solutions dove si è occupato dell’avvio del progetto SAP di Contabilità Industriale (FSCD)Dal 2008 al 2011 responsabile per le attività di Internal Audit per l’area IT del Gruppo Generali per le Compagnie Assicurative e di Asset Management Italiane.Dall’Aprile 2012 coordinatore delle attività di Group IT Audit per tutte le Compagnie Italiane ed Estere del Gruppo Generali. Al fine di uniformare le tecniche di audit nelle compagnie estere ha promosso lo sviluppo di una metodologia per la conduzione di audit basata su COBIT.Certificato ITIL Foundation, COBIT Foundation 4.1, Cobit Foundation Trainer 5.0


Argomenti

1. Introduzione• Storia, motivi per lo sviluppo, i driver e I benefici di COBIT 5• COBIT 5 formato & architettura del modello• COBIT 5 and gli altri Framework

2. Principi e Abilitatori• meeting stakeholder needs• Covering the Enterprise End to End• Applying a Single Integrated Framework• Enabling a Holistic Approach• Separating Governance from Management


Introduzione

Le aziende non sono in grado di essere competitive senza l’IT, essendo l’IT un elemento indispensabile per il raggiungimento degli obiettivi dell’impresa

Le nuove tecnologie hanno profondamente modificato il processo di creazione e di utilizzo dei servizi IT, con un conseguente modifica delle responsabilità e dei ruoli sia per gli utenti che per le funzioni IT

Necessità di un framework che colleghi e allinei la strategia di business con le strutture organizzative, i processi, l’informazione e le tecnologie


Perché COBIT 5.0

• Richiesta del Consiglio direttivo di ISACA: «Integrare e rinforzare tutti gli asset di conoscenza all’interno di COBIT»

• Fornire un modello autorevole e rinnovato per la governance e la gestione nell’impresa delle informazioni e della tecnologia

• Integrare tutti I maggiori framework e guide di ISACA

• Allinearsi con I principali framework e stadard


L’evoluzione di COBIT 5.0

Governance of Enterprise IT

COBIT 5

IT Governance

COBIT4.0/4.1

Management

COBIT3

Control

COBIT2

Audit

COBIT1

2005/720001998

Evo

lutio

n

1996 2012

Val IT 2.0(2008)

Risk IT(2009)

BMIS(2010)


Il Framework COBIT 5.0

Fornire una guida per:• Enterprise Architecture• La gestione delle risorse e dei servizi• I modelli emergenti di gestione e di organizzazione• Tecnologie emergenti e innovative

Si basa su un concetto di responsabilità condivisa tra business e dell’IT

Fornice un elenco di controlli da attuare anche per le soluzioni IT avviate e controllate dagli utenti


Scopo COBIT 5

Non solo per l’IT; non solo per le grandi imprese!

COBIT 5 riguarda il governo e la gestione delle informazioni• qualunque supporto viene utilizzato• attraverso tutta l’impresa dall’inizio alla fine

Informazione è ugualmente importante per :• I business globali o multi nazione• Governi nazionali o locali• Enti di beneficenza o non profit• Piccole e medie imprese• Club e associazioni

© 2012 ISACA. All Rights Reserved.


L’importanza dell’Informazione

• L'informazione è la moneta del 21 ° secolo

• L'informazione ha un ciclo di vita: è creata, usata, mantenuta, divulgata e distrutta

• La tecnologia gioca un ruolo chiave in queste azioni

• La tecnologia sta diventando pervasiva in tutti gli aspetti di business e vita personale

• Ogni tipologia di impresa deve essere in grado di contare su informazioni di qualità per supportare decisioni strategiche di qualità!


Obiettivi per l’impresa

Le imprese ed i loro dirigenti si sforzano di:• Avere informazioni di qualità (corrette e tempestive) a supporto delle

decisioni di business.• Generare valore per il business da investimenti IT, vale a dire, raggiungere

gli obiettivi strategici e realizzare benefici di business attraverso l'uso efficace e innovativo di IT.

• Raggiungere l'eccellenza operativa attraverso l'applicazione affidabile ed efficiente della tecnologia.

• Mantenere IT rischi connessi ad un livello accettabile.• Ottimizzare i costi dei servizi IT e della tecnologia.

Come possono questi vantaggi essere realizzati per creare valore agli stakeholder dell’impresa?


Il valore per gli Stakeholder

• Fornire valore per gli stakeholder richiede un buon governo e la gestione delle informazioni e delle risorse IT.

• I CDA, gli amministratori e dirigenti devono considerare l’IT come qualsiasi altra parte significativa del business.

• I requisiti di legge, la conformità ai regolamenti e contratti inerenti l'uso delle tecnologie e dell'informazione sono in aumento, e costituiscono un rischio di perdite economiche minacciando valore se violati.

• COBIT 5 fornisce un quadro completo che aiuta le imprese a raggiungere i loro obiettivi e fornire valore attraverso una governance e una gestione efficace dell’IT.


Benefici

COBIT 5 :• Definisce il punto di partenza del governo e delle attività di gestione

inerenti alle esigenze degli stakeholder relative all’IT dell’impresa• Crea una visione olistica, maggiormente integrata e completa del governo

dell’impresa la gestione di IT dell’impresa che sia consistente, fornisce una soluzione end-to-end su tutte le questioni connesse IT e fornisce una visione olistica

• Consente di creare un linguaggio comune tra IT e business per la governo e la gestione dell’IT

• E 'compatibile con gli standard generalmente accettati di corporate governance, e contribuisce a soddisfare i requisiti normativi


Bisogni del Business

L’impresa è sottoposta ad un costante pressione per:– Aumentare la realizzazione di benefici tramite un utilizzo efficace e

innovativo dell’IT– Generare valore per il business negli investimenti dell’impresa che

hanno necessitano di un supporto dell’IT– Ottenere la eccellenza operativa attraverso l’applicazione della

tecnologia– Contenere il rischio relativo all’IT a livelli accettabili– Contenere I costi dell’IT e della tecnologia– Assicurare la collaborazione del business e dell’IT, cercando la

soddisfazione degli utenti nell’utilizzo dei servizi IT– Essere conforme con le leggi, regolamenti e policy


Come è organizzato COBIT 5

Semplificato• COBIT 5 soddisfa le necessità del lettore per le differenti esigenze• E’ in sviluppo continuamente con le guide professionali

Il cuore di COBIT 5 è di tre volumi:• The Framework • Process Reference Guide • Implementation Guide

COBIT 5 è basato su:• 5 principi e• 7 abilitatori


COBIT 5 – Famiglia di prodotti


COBIT 5 – Mappatura


COBIT 5.0 e gli altri Framework di Governance

COBIT

ISO 9000

ISO 27002

ITIL

COSO

Cosa Come

Campo di applicazione


Che cosa copre COBIT?PERFORMANCE:

Business Goals

CONFORMANCEBasel II, Sarbanes-

Oxley Act, etc.

Enterprise Governance

IT Governance

ISO 9001:2000

ISO 27002

ISO 20000Best Practice Standards

QAProcedures

Processes and Procedures

Drivers

COBIT

COSO

Security Principles

ITIL

Balanced Scorecard


COBIT 5 mappatura – dettagli 1/2

ISO/IEC 38500 Le ISO 6 principi mappati su COBIT 5 (appendice E) ITIL v3 Le 5 aree e domini seguenti sono coperti da ITIL v3:

o Un sottoinsieme dei processi nel dominio DSSo Un sottoinsieme dei processi nel dominio BAIo Alcuni processi nel dominio APO

ISO/IEC 27000o Sicurezza e I processi IT relativi nei domini EDM, APO e DSSo Il monitoraggio di alcune attività di sicurezza nel MEA

ISO/IEC 31000o Le attività relative al risk management in EDM e APO


COBIT 5 mappatura – dettagli 2/2

TOGAF (The Open Group Architecture Framework)o Le risorse nei processi EDM o Componenti TOGAF delle area di governance delle architettureo I processi di Enterprise architecture in APO

PRINCE2o Processi di gestione dei programmi e dei processi nel dominio BAI I

processi inerenti il Portafoglio nel dominio APO CMMI

o Alcuni processi relativi all’organizzazione e qualità nel dominio APOo Applicazioni –I processi correlati allo sviluppo e l’acquisizione in BAI


Argomenti

1. Introduzione• Storia, motivi per lo sviluppo, i driver e I benefici di COBIT 5• COBIT 5 formato & architettura del modello• COBIT 5 and gli altri Framework

2. • meeting stakeholder needs• Covering the Enterprise End to End• Applying a Single Integrated Framework• Enabling a Holistic Approach• Separating Governance from Management


I principi di COBIT 5


Principio 1 – meeting stakeholder needs

Le imprese hanno molti stakeholder

La governance è:o Negoziazioneo Soddisfare le differenti richieste degli stakeholdero Considerando tutte le parti interessate quando si prendono decisioni di

valutazione dei rischi, prestazioni e risorse.

Per ogni decisione è necessario chiedersi:o Per chi sono i vantaggi?o Chi si assume il rischio?o Quali risorse sono necessarie?


Le Imprese esistono per creare valore per I propri stakeholder

Creazione del valore: realizzazione dei benefici con un equilibrato costo delle risorse e una ottimizzazione dei rischi.



I bisogni degli stakeholderes devono essere trasformati in una strategia di impresa

La cascata di COBIT 5 trasforma i bisogni degli stakeholder in obiettivi definiti, pratici e personalizzati.




EXTERNAL STAKEHOLDERS EXTERNAL STAKEHOLDER NEEDS

Business partners, suppliers, shareholders, regulators/ government, external users, customers, standardisation organisations, external auditors, consultants, etc.

How do I know my business partner’s operations are secure and reliable?

How do I know the organisation is compliant with applicable rules and regulations?

How do I know the enterprise is maintaining an effective system of internal control?


COBIT 5 indirizza il governo e la gestione delle informazioni e della relativa tecnologia con una approccio di tipo end-to-end (su tutta l’azienda)

COBIT 5:Integra il governo dell’IT in un governo globale d’impresa

Copre tutte le funzioni ed i processi all'interno dell'azienda.

Non si concentra solamente solo sulla 'funzione IT‘.

Principle 2: Covering the Enterprise End to End



Ciò significa che COBIT 5:o integra il governo IT nel governo complessivo delle imprese e copre

tutte le funzioni ei processi necessari per governare e gestire le informazioni aziendali e le tecnologie correlate, ovunque le informazioni vengono trattate

o COBIT 5 indirizza tutte i servizi IT interni ed esterni esattamente come i processi di business interni ed esterni


Nascosta


Principle 3: Applying a Single Integrated Framework

• COBIT 5:– E’ allineato con gli standard e i framework principali– E’ completo nella copertura dei processi aziendali– Fornisce una base per una integrazione effettiva con gli

altri standard e pratiche in uso– Integra tutte le aree prima sparse in differenti framework

ISACA– Fornisce una semplice architettura per la predisposizione

di guide e per la strutturazione e la produzione di un coerente insieme di prodotti


• Di seguito la famiglia di prodotti COBIT 5:– COBIT 5: A Business Framework for the Governance and Management

of Enterprise IT – COBIT 5: Enabling Processes – COBIT 5 Implementation Guide – COBIT 5 for Information Security – COBIT 5 for Assurance – COBIT 5 for Risk – Un insieme di altri prodotti è pianificato; organizzati per argomento o

specifiche categorie di utilizzatori– COBIT 5 Online



COBIT 5 Product Family


Nascosta


COBIT 5 definisce un insieme di abilitatori (enablers) per permettere l'attuazione del governo e della gestione per l’Enterprise IT.

Gli abilitatori di COBIT 5 sono:• Fattori che individualmente o complessivamente,

influenzano le attività inerenti la gestione o il governo dell’IT

• Sono guidati dalla cascata degli obiettivi• Sono rappresentati in COBIT 5 in 7 categorie

Principle 4:Enabling a Holistic Approach



Principle 4: Enabling a Holistic Approach



Enablers - abilitatori:1. Principles, policies and frameworks – principi, polici e modelli2. Processes - processi 3. Organizational structures – strutture organizzative4. Culture, ethics and behaviour – Cultura, etica e comportamenti5. Information - Informazioni6. Services, infrastructure and applications – Servizi infrastrutture e

applicazioni7. People, skills and competencies – Persone, skills, competenze




COBIT 5 – dimesioni degli abilitatori:• Tutti gli abilitatori hanno un insieme di dimensioni comuni che :

– Forniscono una modalità comune, semplice e strutturato di gestire gli abilitatori

– Permettono ad una entità di gestire le proprie interazioni complesse– Permettono l’ottenimento del valore richiesto dagli abilitatori



Principio 5 - Governance and Management Defined


• COBIT 5 fa una distinzione chiara tra governance e management (governo e gestione)

• Governance and management– Riguardano differenti tipi di categorie– Necessitano di differenti strutture organizzative– Assecondano differenti scopi

• COBIT 5: Gli “Enabling Processes” differenziano le iniziative associate ad ogni area

Princ. 5: Separating Govern. from Management



• Governance assicura che I bisogni, le condizioni e le richieste degli stakeholder sono:– Valutati (Evaluated) per determinare in modo bilanciato e condiviso,

gli obiettivi da perseguire – E’ definita la direzione (direction ) attraverso una definizione delle

priorita è un processo di decision making– Sono monitorate (Monitoring) le performance, la compliance e

l’avanzamento rispetto gli obiettivi prefissati (EDM)

• Management pianificare, costruire, eseguire e monitorare le attività allineate con la direzione definita dall’organo di governo per conseguire I risultati dell’impresa (Plan Build Run Monitor)


Principle 5: Separating Governance from Management


COBIT 5 Process Reference Model

49



Appendice


Domande?

Padova 13 pontoni v3

Documents

Transcript of Padova 13 pontoni v3