La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

C OBI T Laboratorio di amministrazione di sistema Cappellazzo Pietro, 809652 A.A. 2006/07.

Presentazioni simili


Presentazione sul tema: "C OBI T Laboratorio di amministrazione di sistema Cappellazzo Pietro, 809652 A.A. 2006/07."— Transcript della presentazione:

1 C OBI T Laboratorio di amministrazione di sistema Cappellazzo Pietro, A.A. 2006/07

2 CobiT - Cappellazzo Pietro2 Cosè CobiT COBIT: Control Objectives for Information and related Tecnology È una raccolta di manuali sviluppati per dare un aiuto alle organizzazioni nel gestire i rischi dellIT Inoltre controlla che i processi IT siano coerenti con gli obbiettivi business dellazienda

3 CobiT - Cappellazzo Pietro3 A chi è destinato CobiT Management Per fornire un modello che aiuti nella comprensione dei rischi e una metodologia per la migrazione Utenti Per analizzare il livello di sicurezza e la qualità dei controlli in atto dei servizi IT di cui si usufruisce Auditor Per fornire una base metodologica allanalisi delle organizzazioni e dei sistemi IT, e fornire dei suggerimenti per il miglioramento dei controlli

4 CobiT - Cappellazzo Pietro4 Processi Lazienda necessita delle informazioni per i propri processi di business Le informazioni sono gestite da risorse informatiche Le risorse informatiche sono gestite tramite processi CobiT ragiona per processi: Dice cosa si deve fare

5 CobiT - Cappellazzo Pietro5 Organizzazione del CobiT

6 CobiT - Cappellazzo Pietro6 Organizzazione del CobiT Executive Summary Descrizione generale della metodologia Framework Descrizione del metodo, con la descrizione degli obbiettivi di controllo di alto livello Control Objectives Descrizione dei controlli minimi da adottare, Obbiettivi di controllo di dettaglio Audit Guidelines Descrizione degli obbiettivi di controllo di Audit Implementation Tool Set Come si utilizza la metodologia COBIT Managment Guide Descrizione degli obbiettivi di controllo per il managment

7 CobiT - Cappellazzo Pietro7 IT Governance Definizione di IT governance per il modello CobiT Struttura di relazioni e di processi per dirigere e controllare lazienda al fine di raggiungere gli scopi della stessa apportando valore e bilanciando Rischi e Benefici dellIT e dei suoi processi LIT è strategico per il business Aumentano le dipendenze con le informazioni e i sistemi LIT coinvolge grandi investimenti e grandi rischi La tecnologia si evolve in continuazione, Cambia le organizzazioni e le pratiche di Business La tecnologia può diventare inadeguata molto velocemente

8 CobiT - Cappellazzo Pietro8 IT Governance - framework - È un ciclo continuo, in cui: Si definiscono gli obbiettivi Si pianificano le attività Si svolgono le attività Si misurano i risultati Si fanno gli adeguati confronti

9 CobiT - Cappellazzo Pietro9 IT Governance - definizioni - Controllo politiche, procedure, prassi e strutture organizzative che forniscono garanzia nel raggiungere gli obbiettivi aziendali Obiettivo di controllo nellIT: declaratoria del risultato atteso o dellobiettivo atteso, limplementazione di una procedura di controllo in una particolare attività IT

10 CobiT - Cappellazzo Pietro10 CobiT: il framework Il modello CobiT è strutturato in: 4 Domini 34 Processi 318 Obbiettivi di controllo

11 CobiT - Cappellazzo Pietro11 Principi della metodologia CobiT - definizioni - Efficacia Le informazioni devono essere rilevanti e pertinenti ai processi aziendali Efficienza Riguarda luso ottimale delle risorse (Produttività/Economicità) Riservatezza Protezione delle informazioni da accessi non autorizzati Integrità Accuratezza e Completezza delle informazioni Disponibilità Linformazione deve essere disponibile quando viene richiesta dai processi aziendali Conformità Rispetto a leggi, regolamenti, accordi contrattuali a cui è soggetta lazienda Affidabilità Fornitura di appropriate informazioni alla direzione, per far fronte alle proprie responsabilità

12 CobiT - Cappellazzo Pietro12 Principi della metodologia CobiT - risorse - Dati Oggetti di più ampia accezione strutturati e non, grafici, multimediali Applicazioni Sistemi comprensivi di procedure manuali e automatiche Tecnologia Hardware, SO, DB, management system, networking, multimedia Infrastrutture Risorse destinate ad ospitare e garantire il funzionamento dei sistemi informatici Risorse umane Conoscenze, professionalità e produttività necessarie a pianificare, organizzare, acquisire, erogare, gestire e governare il sistema informativo e i relativi servizi

13 CobiT - Cappellazzo Pietro13 Domini CobiT: PO Pianificazione & Organizzazione Strategia e tecnica Come lIT può contribuire al raggiungimento degli obbiettivi aziendali Visione strategica con la pianificazione da parte del Managment

14 CobiT - Cappellazzo Pietro14 Domini CobiT: PO - Processi - P aspetto primario S aspetto secondario V risorsa coinvolta

15 CobiT - Cappellazzo Pietro15 Domini CobiT: AI Acquisizione & Implementazione Identificare delle soluzioni IT da sviluppare o acquistare Gestione del cambiamento dei sistemi

16 CobiT - Cappellazzo Pietro16 Domini CobiT: AI - Processi - P aspetto primario S aspetto secondario V risorsa coinvolta

17 CobiT - Cappellazzo Pietro17 Domini CobiT: DS Erogazione e Assistenza (Delivery & Support) Gestione degli aspetti operativi dellerogazione del servizio Gestione della sicurezza dei sistemi

18 CobiT - Cappellazzo Pietro18 Domini CobiT: DS - Processi - P aspetto primario S aspetto secondario V risorsa coinvolta

19 CobiT - Cappellazzo Pietro19 Domini CobiT: MO Monitoraggio Valutazione periodica dei processi IT Verifica di conformità con gli obbiettivi di controllo

20 CobiT - Cappellazzo Pietro20 Domini CobiT: MO - Processi - P aspetto primario S aspetto secondario V risorsa coinvolta

21 CobiT - Cappellazzo Pietro21 Obbiettivi di controllo Per ogni processo, il modello CobiT introduce degli obbiettivi di controllo minimi per il processo stesso Per ogni processo sono definiti da 3 a 30 obbiettivi di controllo Ogni obiettivo di controllo rappresenta requisiti che dovrebbero essere soddisfatti dai controlli in atto Non sono mai fatti riferimenti a piattaforme tecnologiche CobiT non dice quali siano i controlli da prevedere in un processo dice gli obiettivi cui i controlli devono soddisfare

22 CobiT - Cappellazzo Pietro22 Obbiettivi di controllo - esempio - Delivery & Support DS2 – Gestione dei servizi di terze parti Obiettivo di controllo 4 – Requisiti delle terze parti La Direzione dovrebbe assicurare che, prima della selezione, le potenziali terze parti siano qualificate in modo appropriato attraverso una valutazione delle loro capacità di erogare i servizi richiesti. Non sono specificati rischi, ma sono deducibili: La selezione di un fornitore non affidabile comporta il rischio che il servizio sia erogato con qualità scadente o non sia erogato, con possibili perdite economiche dirette o indirette per lazienda

23 CobiT - Cappellazzo Pietro23 Management Guidelines Le linee guida per il managment sono costituite da: Modelli di maturità Fattori critici di successo (CSF) Indicatori chiave di obbiettivo (KGI) Indicatori chiave di Prestazione (KPI) Tutto questo fornisce un quadro di riferimento per i responsabili per poter controllare e misurare lIT

24 CobiT - Cappellazzo Pietro24 Modelli di maturità Maturity Model Il controllo dei processi IT è basato sullo sviluppo di un metodo a punteggi Lazienda può valutare il livello di ogni processo e/o dellazienda stessa

25 CobiT - Cappellazzo Pietro25 Fattori critici di successo Critical Success Factor (CSF) Definiscono le azioni o gli elementi più importanti per controllare i processi IT Linee guida orientate alla gestione del processo Devono essere definite in questa fase le cose più importanti per raggiungere gli obbiettivi del processo, dal punto di vista: Strategico Tecnico Organizzativo Procedurale

26 CobiT - Cappellazzo Pietro26 Fattori critici di successo Saranno quindi definiti: Processi definiti e documentati Politiche definite e documentate Chiare competenze Forte supporto impegno dei responsabili Idonea comunicazione Coerenti pratiche di comunicazione

27 CobiT - Cappellazzo Pietro27 Indicatori chiave di obbiettivo Key Goal Indicator (KGI) Definiscono le misure per indicare ai responsabili se un processo IT ha soddisfatto i requisiti aziendali Orientati allIT ma guidati dalle esigenze di business Espressi in termini di: Disponibilità Integrità e Riservatezza Efficienza economica dei processi e delle operazioni Conferma dei criteri di affidabilità, efficacia e conformità KGI dice se abbiamo raggiunto lobbiettivo

28 CobiT - Cappellazzo Pietro28 Indicatori chiave di Prestazione Key Performance Indicators (KPI) Indicano ai responsabili che il processo IT sta raggiungendo i suoi obbiettivi aziendali È un controllo a priori, misura le prestazioni dei fattori abilitanti dei processi IT Spesso questi indicatori sono una misura per i fattori critici di successo (anche se non cè un rapporto diretto tra CSF e KPI) KPI dice quanto bene il processo si sta evolvendo

29 CobiT - Cappellazzo Pietro29 ESEMPIO: frequentare luniversità Obbiettivo di alto livello laurearsi in un tempo ragionevole e con un voto dignitoso CSF motivazione personale genitori assillanti frequenza costante delle lezioni studio giorno per giorno …

30 CobiT - Cappellazzo Pietro30 ESEMPIO: frequentare luniversità KPI votazione media rapporto numero esami superati / anni KGI voto di laurea obiettivo tempo di permanenza alluniversità obiettivo

31 CobiT - Cappellazzo Pietro31 Auditing Importante funzione aziendale di assistenza al management Salvaguardia delle risorse aziendali Verifica di accuratezza delle registrazioni contabili Sviluppo di migliorie operative Verifica di aderenza a policy aziendali e regolamenti esterni

32 CobiT - Cappellazzo Pietro32 Rischi e Controlli Rischio Possibilità che un evento indesiderato possa causare perdita o danno Controllo Prassi, procedura, strumento tecnico, policy attuata per mitigare il rischio Rischio residuo Componente del rischio che non risulta mitigata dai controlli in atto

33 CobiT - Cappellazzo Pietro33 ESEMPIO: Attraversamento di una strada Valutazione dei rischi Attraversare una statale in ora di punta ALTO Attraversare una strada di campagna poco frequentata MEDIO Attraversare il parcheggio di un supermercato BASSO Valutazione dei controlli Guardare a destra e sinistra prima di attraversare FORTE Attraversare sulle strisce zebrate (occhi chiusi) DEBOLE Attraversare al semaforo (occhi chiusi) FORTE

34 CobiT - Cappellazzo Pietro34 ESEMPIO: Attraversamento di una strada Creiamo un modello: Questo verrà usato per esprimere delle opinioni, indicazioni, …

35 CobiT - Cappellazzo Pietro35 ESEMPIO: Attraversamento di una strada Applichiamo il modello ad un caso specifico: Viale a 3 corsie per senso di marcia. E possibile effettuare lattraversamento pedonale sulle strisce oppure al semaforo.

36 CobiT - Cappellazzo Pietro36 ESEMPIO: Attraversamento di una strada Completiamo quindi la fase di audit: Lauditor ha analizzato il processo e ha verificato che il controllo attuato dal management (attraversamento sulle strisce) è debole Lauditor comunica al management che il rischio residuo è alto Il management può decidere che investendo delle risorse (spostarsi un po più avanti dove cè un semaforo) può abbassare il livello di rischio residuo Ora la decisione di investimento, opportunamente motivata, spetta al management

37 CobiT - Cappellazzo Pietro37 Audit Guidelines Le linee guida per lAUDIT sono la semplice applicazione del framework di CobiT Sono generiche, di alto livello, richiedono di fornire al management lassicurazione che determinati obbiettivi di controllo vengano raggiunti Forniscono una guida per preparare il Piano di Audit

38 CobiT - Cappellazzo Pietro38 Audit Guidelines Obbiettivi delle Audit Guidelines: Fornire al managment una ragionevole assicurazione che gli obbiettivi di controllo sono raggiunti Indicare al Management azioni correttive Avere comprensione dei requisiti di Business in relazione ai Rischi e relative misure di controllo Valutare lappropriato stato dei controlli Avere certezza che gli obbiettivi di controllo lavorano come prescritto

39 CobiT - Cappellazzo Pietro39 Riferimenti


Scaricare ppt "C OBI T Laboratorio di amministrazione di sistema Cappellazzo Pietro, 809652 A.A. 2006/07."

Presentazioni simili


Annunci Google