Information Systems Governance e analisi dei rischi con ... · - Selezione dei processi ITIL utili...

1

AIEA Verona 25.11.2005© 2005 KPMG Advisory S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved. Printed in Italy

Information Systems Governance e Information Systems Governance e analisianalisi deidei rischirischi con ITIL e con ITIL e CCOBIOBITT©©

Marco Salvato, KPMGMarco Salvato, KPMGSessioneSessione didi studio AIEA, Verona 25 studio AIEA, Verona 25 NovembreNovembre 20052005


2


Information Systems GovernanceInformation Systems Governance

L'Information SystemsGovernance può essere definita come la gestione competente e adeguata di risorse, persone e informazioni con l'obiettivo di ottimizzare il valore, la sicurezza e i controlli dei processi aziendali.

3


Information Systems Governance Information Systems Governance

L’approccio KPMG alla ISG è focalizzato su:

•Analisi e gestione rischi•Benchmarking delle performance IS,

rispetto a best practice•Verifica della gestione outsourcer

•Revisione della strategia•Analisi degli investimenti IT•Gestione attiva degli asset it

•Revisione delle regole e della protezione dei dati•Revisione delle licenze•Conformità alle leggi

AumentoDel

valore

AumentoDelle

Performance

Regolee

Conformità

4


Req

uisi

ti az

iend

ali

Tempo

Allineato

Ris

chi I

T

Tempo

SicuroControllato

Pres

tazi

oni

Tempo

Veloce

Qua

lità

del

Serv

izio

Tempo

Migliore

Cos

to d

el

Serv

izio

Tempo

Economico

Information Systems Governance Information Systems Governance

Valore & Equilibrio

Ris

chi

Nor

mat

ivi

Tempo

Non compliance

5


Information Systems GovernanceFasiInformation Systems GovernanceFasi

IT Strategic Management

IT Performance

Management

IT Risk

Management

Strong senior management

Business and IT alignment

IT Vision & IT Strategy

Awareness

IT Organisational Structure

Relationship Management

Business Cases

Measurements and KPIs

Reporting

IT Benchmarking

Benefits Realization

People

Systems

Processes

Auditing & Assurance

Project Risk Management

6


Information Systems GovernanceAssessmentInformation Systems GovernanceAssessment

Aree coinvolte nellAree coinvolte nell’’analisi della metodologiaanalisi della metodologia IS IS Governance:Governance:

Governance FrameworkGovernance Framework•• Organizational FrameworkOrganizational Framework•• Strategic PlanningStrategic Planning•• Management StructuresManagement Structures•• Policies and StandardsPolicies and Standards

Operational ProcessesOperational Processes•• Solution DevelopmentSolution Development•• Project ManagementProject Management•• Security ManagementSecurity Management•• Availability ManagementAvailability Management•• Service ManagementService Management•• Financial ManagementFinancial Management•• Operations ManagementOperations Management•• IS AuditIS Audit•• Support ManagementSupport Management•• Change ManagementChange Management

7


Business DriversBusiness Drivers

Trovare il giusto equilibrio tra rischio, valore e costo

RiskManagement

PerformanceManagement

InvestmentManagement

Valore

Rischio

Costo

8


Risk ManagementRisk Management

Contingencies

Identified Risks Controls

Compliance & Reporting

BusinessGoals

RiskManagement



Value

Risk

Cost

9


Process Optimization

Systems Organization & People

Metrics & Measurement

BusinessGoals

RiskManagement



Value

Risk

CostPerformance ManagementPerformance Management

10


Investment ManagementInvestment Management

Resource Management

Justified Spending Cost Reduction

Sourcing

BusinessGoals

RiskManagement



Value

Risk

Cost

11


Information Systems GovernanceIndicatoriInformation Systems GovernanceIndicatori

Per garantire una metodologia completa ed un controllo centralizzato sulla sicurezza informativa della realtà aziendale, la metodologia si può avvalere di indicatori che si posso suddividere in quattro macro aree:

1. Security Key Indicators (SKI)Parametri che modellano lo stato della sicurezza informatica all’interno della realtà aziendale monitorata.

2. IT Key Performance Indicators (ITKPI)Parametri che caratterizzano lo stato delle risorse hardware della rete informatica aziendale.

3. Users Performance Indicators (UPI)Parametri indicanti le caratteristiche dell’interazione degli utenti e dei processi strettamente coinvolti con gli stessi.

4. Outsourcers SLA Indicators (SLA)Parametri per la verifica del rispetto dei vincoli di servizio relativi ad outsourcers/fornitori.

12

Analisi dei rischi utilizzando ITIL & COBIT©

Analisi dei rischi utilizzando ITIL & COBIT©


13


Copre un range di argomenti riguardanti l’erogazione dei servizi IT come parte integrante di un unico requisito di business. Gli argomenti trattati sono: Business Continuity Management, Partnership and outsourcing.

The Business Perspective

L’obiettivo di questa pubblicazione è quello di fornire al lettore dei punti chiave da considerare quando si sceglie di pianificare l‘implementazione dell’IT ServiceManagement. Il libro spiega quli sono gli step necessari per implementare o migliorare l’erogazione dei servizi IT.

Planning to implementService Management

Spiega come organizzare e mantenere la sicurezza sull’infrastruttura IT. Il libro èscritto con la prospettiva di un Manager IT e contiene i seguenti argomenti: ProblemManagement, Business Continuity Planning, Financial Management and Costing, Control e Success Factors.

Security Management

Questo modulo, che è uno dei più recenti, copre il ciclo di vita dello sviluppo software e del successivo utilizzo e pone l’accento sulle interrelazioni tra la progettazione e sviluppo delle Applicazioni ed i successivi Servizi

Application Management

Fornisce un set di best practice per la gestione dell’intera infrastruttura IT e fornisce un framework per i seguenti argomenti: Network Service Management, OperationManagement, System Management, Computer Installation e Acceptance

ICT Infrastructure Management

indirizza i Processi: Service Level Management, Availability Management, IT ServicesContinuity Management, Capacity Management, Financial Management of IT Services –Gestione dei Costi dei Servizi

Service Delivery

indirizza la funzione di: Service Desk - sviluppo ed ampliamento dell’Help Desk, ed i Processi: Incident Management, Problem Management, Change Management, Configuration Management, Release Management

Service Support

ITIL è composto da una serie di moduli di gestione di Servizi che danno una descrizione dei Processilegati ai più importanti Servizi IT. I moduli che compongono ITIL sono i seguenti:

Struttura ITILStruttura ITIL

14


Struttura

Service Management

Service Support

Service Delivery SecurityManagement

ITInfrastructureManagement

Application Management

BusinessPerspective

Planning to implement Service ManagementTHE

BUSINESS

THE

TECHNOLOGY

La seguente figura illustra l’intero ambiente ITIL e la relativa struttura all’interno della quale sono sviluppati i moduli. Inoltre essa illustra le relazioni che ognuno dei moduli ha con il Business e con la Tecnologia.

Contenuti ITILContenuti ITIL

15


I 318 obiettivi di controllo sono strutturati in 34 processi definiti in 4 domini:

Planning & Organization PO (11 processi)

Acquisition & Implementation AI (6 processi)

Delivery & Support DS (13 processi)

Monitoring MO (4 processi)

PO

DS

AI

MO

Struttura COBIT©Struttura COBIT©

16


POPO

AIAI

DSDS

MM

Proiezione sui domini CobiT

Service Support&

Service Delivery

ITIL

COBIT© e ITIL si possono definire complementari, anche se differiscono per molti aspetti e per gli obiettivi che si prepongono.E’ possibile comunque associare la maggior parte dei controlli COBIT© nei processi definiti in ITIL e viceversa.

Mapping ITIL vs COBIT©Mapping ITIL vs COBIT©

17



18


(+) Best Practice ITIL sono state mappate su questo processo

(-) Nessuna Best Practice ITIL è stata mappata su questo processo


19

EsempioHelp DeskEsempio

Help Desk


20


Obiettivo:Obiettivo:Analisi dei rischi e benchmarking per il processo di Analisi dei rischi e benchmarking per il processo di Help Help DeskDesk ((ServiceService Desk).Desk).

Richiesta:Richiesta:Utilizzare Utilizzare CCOBIOBITT©© per i controlli e ITIL per il confronto con la per i controlli e ITIL per il confronto con la best best practicepractice..

Esempio:Analisi dei rischi e benchmarking per il processo di Help Desk (Service Desk)


21


Metodologia seguita:- Verifica corrispondenza tra processi ITIL e obiettivi di controllo COBIT©

- Selezione dei processi ITIL utili per l’analisi- Selezione dei processi COBIT© utili per l’analisi- Definizione metrica e sistema di scoring

per l’analisi dei rischi (rischio-controllo-rischio residuo)per il confronto con la best practice ITIL (bilanciato sui Critical Success Factors (CSF) e Key Performance Indicators (KPI) ove presenti)per il risultato finale

- Produzione reportistica e due Remediation Plan:uno derivante dal rischio residuo associato al controllouno derivante dal confronto con la best practice ITIL



22


Service Desk: verifica corrispondenza/coperturaService Desk: verifica corrispondenza/copertura

ITIL ITIL CCOBIOBITT©©

Processi COBIT© selezionati:DS5 Garantire la sicurezza dei sistemiDS8 Assistere e dare consulenza ai clientiPO4 Definire l’organizzazione e le relazioni ITPO7 Gestire le risorse umanePO8 Assicurare la conformità ai requisiti esterni

23


Service Desk: verifica corrispondenza/coperturaService Desk: verifica corrispondenza/copertura

CCOBIOBITT©© ITILITIL

Processi ITIL selezionati nel Service Support:4 The Service Desk5 Incident Management6 Problem Management7 Configuration Management8 Change Management9 Release Management

24


Overview

Questo modulo si occupa dei seguenti processi di supporto e manutenzione:

• Incident Management• Problem Management• Change Management• Configuration Management• Release Management

Inoltre si occupa della funzione di Service Desk come evoluzione dell’Help Desk.

Il modulo Service Support (Supporto Servizi) descrive i processi associati con il supporto e le attività dimanutenzione giornaliere e con la manutenzione dei serviziIT.

Service Desk: scelta processiService Desk: scelta processi

25


Service Desk (secondo ITIL)

DescrizioneE’ il punto centrale di contatto tra il cliente e l’area IT per tutto ciò che riguarda i servizi IT. Il Service Desk non è un processo, bensì una funzione all’interno dell’organizzazione dei servizi, e il ruolo che ricopre fa si che sia di rilevante importanza.

Funzione principaleAgire come punto di contatto e coordinare clienti, servizi interni all’organizzazione e fornitori esterni.La determinazione di una struttura di service desk e la selezione di uno staff appropriato dipendono da un certo numero di fattori inerenti l’organizzazione. La funzione di service Desk è flessibile, nel senso che si adegua ai cambiamenti dell’organizzazione.

Service Desk: concettiService Desk: concetti

26


Service Desk: definizione modello del processoService Desk: definizione modello del processo

StrutturaEsistono tre tipologie di Service Desk di seguito descritte:

• Local Service Desk: Ogni settore all’interno dell’organizzazione ha la propria ServiceDesk Unit. Il vantaggio è che ci si focalizza maggiormente sui singoli bisogni

• Central Service Desk: Una sola Service Desk per l’intera organizzazione. Il vantaggio èuna maggior facilità nel trattamento e nella standardizzazione dei processi.

• Virtual Service Desk Organizations: Combina gli aspetti sopraccitati. Le informazioni vengono gestite centralmente e rese disponibili globalmente. Le Service Desk locali forniscono supporto on-site al cliente, mentre la Service Desk centrale è responsabile della gestione di tutte le richieste e dell’organizzazione dei servizi coinvolti.

27


Service Desk: sintesi dei processi selezionatiService Desk: sintesi dei processi selezionati

Processi COBIT® selezionati:DS5 Garantire la sicurezza dei sistemiDS8 Assistere e dare consulenza ai clientiPO4 Definire l’organizzazione e le relazioni ITPO7 Gestire le risorse umanePO8 Assicurare la conformità ai requisiti esterni

Processi ITIL selezionati nel Service Support:4 The Service Desk6 Problem Management7 Configuration Management8 Change Management9 Release Management

MODELLO DI MODELLO DI SCORING SUL SCORING SUL

RISCHIO RESIDUO RISCHIO RESIDUO ((VALORI DA 1 A 5VALORI DA 1 A 5))

GRADO DI MATURITAGRADO DI MATURITA’’RISPETTO ALLA BEST RISPETTO ALLA BEST

PRACTICE ITIL PRACTICE ITIL ((VALORI DA 1 A 5VALORI DA 1 A 5))

28


Service Desk: sintesi del modello di scoringService Desk: sintesi del modello di scoring

Per i processi COBIT® selezionati:

DS5DS8PO4PO7PO8

Per i processi ITIL selezionati:

SS 4SS 6SS 7SS 8SS 9

Ottimizzato5Gestito4Sufficiente3Necessita miglioramenti2Carente1

DESCRIZIONEGRADO DI MATURITA’

RISCHIO = Funz( Impatto, Probabilità ) Valori 1-5

CONTROLLO Valori 1-5

RISCHIO RESIDUO = RISCHIO – CONTROLLOValori 1-5

29


Sintesi dei rischi e dei controlliSintesi dei rischi e dei controlli

30


Rappresentazione del rischio residuoRappresentazione del rischio residuo

31


CommentoCommento

Riguardo ITIL:Definire e condividere la tecnica di valutazione con particolare attenzione al peso dei processi definiti come best practice, dei KPI, dei CSF, delle metriche, …Definire e condividere i processi e le aree di applicabilità

Riguardo CobiT:Selezionare e analizzare per intero (se applicabile) i processi coinvolti anche solo parzialmente

Non deve necessariamente essere definita una metrica di scoring complessiva.

32


IS Governance e metodologieIS Governance e metodologie

Per quanto riguarda l’utilizzo delle principali metodologie di analisi dei rischi a supporto dei servizi di IS Audit / Sicurezza / IT Governance, la tabella sottostante riassume i principali abbinamenti (in certi casi la copertura è parziale):

ISO17799, best practiceTecnologie

CMMi, best practiceRisorse

COBIT®, ISO17799, ITIL, CMMiProcessi

COBIT®, ISO17799, ITIL, CMMiOrganizzazione e ruoli

COBIT® Online, best practice, CMMi, ITIL

Metriche, benchmarking, KPIs, CSFs

COBIT®, ISO17799, best practiceControlli

33

Riferimenti

Marco Salvato

KPMG S.p.A.

0422-5767312

[email protected]

www.kpmg.it

SessioneSessione didi studio AIEA, Verona 25 studio AIEA, Verona 25 NovembreNovembre 20052005

Information Systems Governance e analisi dei rischi con ... · - Selezione dei processi ITIL utili...

Documents

Transcript of Information Systems Governance e analisi dei rischi con ... · - Selezione dei processi ITIL utili...