Upload
rossella-valentini
View
216
Download
0
Embed Size (px)
Citation preview
COBIT
Laboratorio di amministrazione di sistema
Cappellazzo Pietro, 809652 A.A. 2006/07
CobiT - Cappellazzo Pietro 2
Cos’è CobiT
COBIT: Control Objectives for Information and related Tecnology
È una raccolta di manuali sviluppati per dare un aiuto alle organizzazioni nel gestire i rischi dell’IT
Inoltre controlla che i processi IT siano coerenti con gli obbiettivi business dell’azienda
CobiT - Cappellazzo Pietro 3
A chi è destinato CobiT Management
Per fornire un modello che aiuti nella comprensione dei rischi e una metodologia per la migrazione
Utenti Per analizzare il livello di sicurezza e la qualità dei controlli
in atto dei servizi IT di cui si usufruisce
Auditor Per fornire una base metodologica all’analisi delle
organizzazioni e dei sistemi IT, e fornire dei suggerimenti per il miglioramento dei controlli
CobiT - Cappellazzo Pietro 4
Processi
L’azienda necessita delle informazioni per i propri processi di business Le informazioni sono
gestite da risorse informatiche Le risorse informatiche
sono gestite tramite processi
CobiT ragiona per processi: Dice “cosa si deve fare”
CobiT - Cappellazzo Pietro 5
Organizzazione del CobiT
CobiT - Cappellazzo Pietro 6
Organizzazione del CobiT Executive Summary
Descrizione generale della metodologia
Framework Descrizione del metodo, con la descrizione degli
obbiettivi di controllo di alto livello
Control Objectives Descrizione dei controlli minimi da adottare,
Obbiettivi di controllo di dettaglio
Audit Guidelines Descrizione degli obbiettivi di controllo di Audit
Implementation Tool Set Come si utilizza la metodologia COBIT
Managment Guide Descrizione degli obbiettivi di controllo per il
managment
CobiT - Cappellazzo Pietro 7
IT Governance
Definizione di IT governance per il modello CobiT Struttura di relazioni e di processi per dirigere e controllare
l’azienda al fine di raggiungere gli scopi della stessa apportando valore e bilanciando Rischi e Benefici dell’IT e dei suoi processi
L’IT è strategico per il business Aumentano le dipendenze con le informazioni e i sistemi
L’IT coinvolge grandi investimenti e grandi rischi La tecnologia si evolve in continuazione, Cambia le organizzazioni e le pratiche di Business La tecnologia può diventare inadeguata molto velocemente
CobiT - Cappellazzo Pietro 8
IT Governance - framework -
È un ciclo continuo, in cui:
Si definiscono gli obbiettivi
Si pianificano le attività
Si svolgono le attività
Si misurano i risultati
Si fanno gli adeguati confronti
CobiT - Cappellazzo Pietro 9
IT Governance - definizioni -
Controllo politiche, procedure, prassi e strutture
organizzative che forniscono garanzia nel raggiungere gli obbiettivi aziendali
Obiettivo di controllo nell’IT: declaratoria del risultato atteso o dell’obiettivo
atteso, l’implementazione di una procedura di controllo in una particolare attività IT
CobiT - Cappellazzo Pietro 10
CobiT: il framework
Il modello CobiT è strutturato in: 4 Domini 34 Processi 318 Obbiettivi
di controllo
CobiT - Cappellazzo Pietro 11
Principi della metodologia CobiT - definizioni - Efficacia
Le informazioni devono essere rilevanti e pertinenti ai processi aziendali Efficienza
Riguarda l’uso ottimale delle risorse (Produttività/Economicità) Riservatezza
Protezione delle informazioni da accessi non autorizzati Integrità
Accuratezza e Completezza delle informazioni Disponibilità
L’informazione deve essere disponibile quando viene richiesta dai processi aziendali
Conformità Rispetto a leggi, regolamenti, accordi contrattuali a cui è soggetta l’azienda
Affidabilità Fornitura di appropriate informazioni alla direzione, per far fronte alle proprie
responsabilità
CobiT - Cappellazzo Pietro 12
Principi della metodologia CobiT - risorse - Dati
Oggetti di più ampia accezione strutturati e non, grafici, multimediali
Applicazioni Sistemi comprensivi di procedure manuali e automatiche
Tecnologia Hardware, SO, DB, management system, networking, multimedia
Infrastrutture Risorse destinate ad ospitare e garantire il funzionamento dei
sistemi informatici Risorse umane
Conoscenze, professionalità e produttività necessarie a pianificare, organizzare, acquisire, erogare, gestire e governare il sistema informativo e i relativi servizi
CobiT - Cappellazzo Pietro 13
Domini CobiT: PO
Pianificazione & Organizzazione Strategia e tecnica Come l’IT può contribuire al raggiungimento degli obbiettivi
aziendali Visione strategica con la pianificazione da parte del
Managment
CobiT - Cappellazzo Pietro 14
Domini CobiT: PO - Processi -
DOMINI Cod. PROCESSI
Eff
icac
ia
Eff
icie
nza
Ris
erva
tezz
a
Inte
grità
Dis
poni
bilit
à
Con
form
ità
Aff
idab
ilità
Ris
orse
Um
ane
App
licaz
ioni
Tec
nolo
gia
Infr
astr
uttu
ra
Dat
i
Pianificazione & Organizzazione
P01 Definizione del piano strategico per l’IT P S V V V V VP02 Definizione dell’architettura informativa P S S S V VP03 Definizione dell’indirizzo tecnologico P S V VP04 Definizione dell’organizzazione IT e delle sue relazioni P S VP05 Gestione degli investimenti IT P P S V V V VP06 Comunicazione degli indirizzi e degli obiettivi del management P VP07 Gestione delle risorse umane P P VP08 Conformità a leggi e norme P P S V VP09 Valutazione dei rischi S S P P P S S V V V V VP10 Gestione dei progetti P P V V V VP11 Gestione della qualità P P P S V V V V
Criteri informazione Risorse IT
P aspetto primario
S aspetto secondario
V risorsa coinvolta
CobiT - Cappellazzo Pietro 15
Domini CobiT: AI
Acquisizione & Implementazione Identificare delle soluzioni IT da sviluppare o
acquistare Gestione del cambiamento dei sistemi
CobiT - Cappellazzo Pietro 16
Domini CobiT: AI - Processi -
DOMINI Cod. PROCESSI
Effi
caci
a
Effi
cien
za
Ris
erva
tezz
a
Inte
grità
Dis
poni
bilit
à
Con
form
ità
Affi
dabi
lità
Ris
orse
Um
ane
App
licaz
ioni
Tecn
olog
ia
Infra
stru
ttura
Dat
i
Acquisizione &Implementazione
AI1 Identificazione delle soluzioni P S V V VAI2 Acquisizione e manutenzione del software applicativo P P S S S VAI3 Acquisizione e manutenzione dell'architettura tecnologica P P S VAI4 Sviluppo e manutenzione delle procedure IT P P S S S V V V VAI5 Installazione e validazione dei sistemi P P S S V V V V VAI6 Gestione del cambiamento P P P P S V V V V V
Criteri informazione Risorse IT
P aspetto primario
S aspetto secondario
V risorsa coinvolta
CobiT - Cappellazzo Pietro 17
Domini CobiT: DS
Erogazione e Assistenza (Delivery & Support) Gestione degli aspetti operativi dell’erogazione
del servizio Gestione della sicurezza dei sistemi
CobiT - Cappellazzo Pietro 18
Domini CobiT: DS - Processi -
DOMINI Cod. PROCESSI
Effi
caci
a
Effi
cien
za
Ris
erva
tezz
a
Inte
grità
Dis
poni
bilit
à
Con
form
ità
Affi
dabi
lità
Ris
orse
Um
ane
App
licaz
ioni
Tec
nolo
gia
Infr
astr
uttu
ra
Dat
i
Erogazione &Assistenza (DS)
DS1 Definizione dei livelli di servizio P P S S S S S V V V V VDS2 Gestione dei servizi di terze parti P P S S S S S V V V V VDS3 Gestione delle prestazioni e del dimensionamento P P S V V VDS4 Gestione della continuità del servizio P S P V V V V VDS5 Gestione della sicurezza dei sistemi P P S S S V V V V VDS6 Identificazione e attribuzione dei costi P P V V V V VDS7 Formazione ed addestramento degli utenti P S VDS8 Assistenza e consulenza agli utenti P P V VDS9 Gestione della configurazione P S S V V VDS10 Gestione di anomalie ed incidenti P P S V V V V VDS11 Gestione dei dati P VDS12 Gestione delle infrastrutture P P VDS13 Attività operative e di sala macchine P P S S V V V V
Criteri informazione Risorse IT
P aspetto primario
S aspetto secondario
V risorsa coinvolta
CobiT - Cappellazzo Pietro 19
Domini CobiT: MO
Monitoraggio Valutazione periodica dei processi IT Verifica di conformità con gli obbiettivi di controllo
CobiT - Cappellazzo Pietro 20
Domini CobiT: MO - Processi -
DOMINI Cod. PROCESSI
Effi
caci
a
Effi
cien
za
Ris
erva
tezz
a
Inte
grità
Dis
poni
bilit
à
Con
form
ità
Affi
dabi
lità
Ris
orse
Um
ane
App
licaz
ioni
Tec
nolo
gia
Infr
astr
uttu
ra
Dat
i
MonitoraggioM1 Monitoraggio dei processi P P S S S S S V V V V VM2 Valutazione dell’adeguatezza dei controlli interni P P S S S P S V V V V VM3 Certificazione da terze parti P P S S S P S V V V V VM4 Revisione indipendente dei controlli interni P P S S S P S V V V V V
Criteri informazione Risorse IT
P aspetto primario
S aspetto secondario
V risorsa coinvolta
CobiT - Cappellazzo Pietro 21
Obbiettivi di controllo
Per ogni processo, il modello CobiT introduce degli obbiettivi di controllo minimi per il processo stesso Per ogni processo sono definiti da 3 a 30 obbiettivi di
controllo Ogni obiettivo di controllo rappresenta requisiti che
dovrebbero essere soddisfatti dai controlli in atto Non sono mai fatti riferimenti a piattaforme tecnologiche
CobiT non dice quali siano i controlli da prevedere in un processo dice gli obiettivi cui i controlli devono soddisfare
CobiT - Cappellazzo Pietro 22
Obbiettivi di controllo - esempio -
Delivery & Support DS2 – Gestione dei servizi di terze parti
Obiettivo di controllo 4 – Requisiti delle terze parti La Direzione dovrebbe assicurare che, prima della
selezione, le potenziali terze parti siano qualificate in modo appropriato attraverso una valutazione delle loro capacità di erogare i servizi richiesti.
Non sono specificati rischi, ma sono deducibili: La selezione di un fornitore non affidabile comporta il rischio che
il servizio sia erogato con qualità scadente o non sia erogato, con possibili perdite economiche dirette o indirette per l’azienda
CobiT - Cappellazzo Pietro 23
Management Guidelines
Le linee guida per il managment sono costituite da: Modelli di maturità Fattori critici di successo (CSF) Indicatori chiave di obbiettivo (KGI) Indicatori chiave di Prestazione (KPI)
Tutto questo fornisce un quadro di riferimento per i responsabili per poter controllare e misurare l’IT
CobiT - Cappellazzo Pietro 24
Modelli di maturità
Maturity Model Il controllo dei processi IT è basato sullo sviluppo di un
metodo a punteggi L’azienda può valutare il livello di ogni processo e/o
dell’azienda stessa
CobiT - Cappellazzo Pietro 25
Fattori critici di successo Critical Success Factor (CSF)
Definiscono le azioni o gli elementi più importanti per controllare i processi IT
Linee guida orientate alla gestione del processo
Devono essere definite in questa fase le “cose più importanti” per raggiungere gli obbiettivi del processo, dal punto di vista: Strategico Tecnico Organizzativo Procedurale
CobiT - Cappellazzo Pietro 26
Fattori critici di successo
Saranno quindi definiti: Processi definiti e documentati Politiche definite e documentate Chiare competenze Forte supporto “impegno” dei responsabili Idonea comunicazione Coerenti pratiche di comunicazione
CobiT - Cappellazzo Pietro 27
Indicatori chiave di obbiettivo Key Goal Indicator (KGI)
Definiscono le misure per indicare ai responsabili se un processo IT ha soddisfatto i requisiti aziendali
Orientati all’IT ma guidati dalle esigenze di business
Espressi in termini di: Disponibilità Integrità e Riservatezza Efficienza economica dei processi e delle operazioni Conferma dei criteri di affidabilità, efficacia e conformità
KGI dice se abbiamo raggiunto l’obbiettivo
CobiT - Cappellazzo Pietro 28
Indicatori chiave di Prestazione
Key Performance Indicators (KPI) Indicano ai responsabili che il processo IT sta
raggiungendo i suoi obbiettivi aziendali È un controllo “a priori”, misura le prestazioni dei fattori
abilitanti dei processi IT Spesso questi indicatori sono una misura per i fattori critici
di successo (anche se non c’è un rapporto diretto tra CSF e KPI)
KPI dice quanto bene il processo si sta evolvendo
CobiT - Cappellazzo Pietro 29
ESEMPIO: frequentare l’università
Obbiettivo di alto livello laurearsi in un tempo ragionevole e con un voto dignitoso
CSF motivazione personale “genitori assillanti” frequenza costante delle lezioni studio giorno per giorno …
CobiT - Cappellazzo Pietro 30
ESEMPIO: frequentare l’università
KPI votazione media rapporto numero esami superati / anni
KGI voto di laurea obiettivo tempo di permanenza all’università obiettivo
CobiT - Cappellazzo Pietro 31
Auditing
Importante funzione aziendale di assistenza al management
Salvaguardia delle risorse aziendali Verifica di accuratezza delle registrazioni contabili Sviluppo di migliorie operative Verifica di aderenza a policy aziendali e
regolamenti esterni
CobiT - Cappellazzo Pietro 32
Rischi e Controlli
Rischio Possibilità che un evento indesiderato possa causare
perdita o danno
Controllo Prassi, procedura, strumento tecnico, policy attuata per
mitigare il rischio
Rischio residuo Componente del rischio che non risulta mitigata dai
controlli in atto
CobiT - Cappellazzo Pietro 33
ESEMPIO: Attraversamento di una strada
Valutazione dei rischi Attraversare una statale in ora di punta ALTO Attraversare una strada di campagna poco frequentata
MEDIO Attraversare il parcheggio di un supermercato BASSO
Valutazione dei controlli Guardare a destra e sinistra prima di attraversare
FORTE Attraversare sulle strisce zebrate (occhi chiusi) DEBOLE Attraversare al semaforo (occhi chiusi) FORTE
CobiT - Cappellazzo Pietro 34
ESEMPIO: Attraversamento di una strada
Creiamo un modello:
Questo verrà usato per esprimere delle opinioni, indicazioni, …
CobiT - Cappellazzo Pietro 35
ESEMPIO: Attraversamento di una strada
Applichiamo il modello ad un caso specifico: Viale a 3 corsie per senso di marcia. E’ possibile effettuare l’attraversamento pedonale
sulle strisce oppure al semaforo.
CobiT - Cappellazzo Pietro 36
ESEMPIO: Attraversamento di una strada
Completiamo quindi la fase di audit: L’auditor ha analizzato il processo e ha verificato che il
controllo attuato dal management (attraversamento sulle strisce) è debole
L’auditor comunica al management che il rischio residuo è alto
Il management può decidere che investendo delle risorse (spostarsi un po’ più avanti dove c’è un semaforo) può abbassare il livello di rischio residuo
Ora la decisione di investimento, opportunamente motivata, spetta al management
CobiT - Cappellazzo Pietro 37
Audit Guidelines
Le linee guida per l’AUDIT sono la semplice applicazione del framework di CobiT
Sono generiche, di alto livello, richiedono di fornire al management l’assicurazione che determinati obbiettivi di controllo vengano raggiunti
Forniscono una guida per preparare il Piano di Audit
CobiT - Cappellazzo Pietro 38
Audit Guidelines
Obbiettivi delle Audit Guidelines: Fornire al managment una ragionevole
assicurazione che gli obbiettivi di controllo sono raggiunti
Indicare al Management azioni correttive Avere comprensione dei requisiti di Business in
relazione ai Rischi e relative misure di controllo Valutare l’appropriato stato dei controlli Avere certezza che gli obbiettivi di controllo
lavorano come prescritto
CobiT - Cappellazzo Pietro 39
Riferimenti
www.isaca.org
www.itgi.org
www.isacaroma.it