information systems governance e analisi dei rischi con ... · - selezione dei processi itil utili...
TRANSCRIPT
1
AIEA Verona 25.11.2005© 2005 KPMG Advisory S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved. Printed in Italy
Information Systems Governance e Information Systems Governance e analisianalisi deidei rischirischi con ITIL e con ITIL e CCOBIOBITT©©
Marco Salvato, KPMGMarco Salvato, KPMGSessioneSessione didi studio AIEA, Verona 25 studio AIEA, Verona 25 NovembreNovembre 20052005
AIEA Verona 25.11.2005© 2005 KPMG Advisory S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved. Printed in Italy
2
AIEA Verona 25.11.2005© 2005 KPMG Advisory S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved. Printed in Italy
Information Systems GovernanceInformation Systems Governance
L'Information SystemsGovernance può essere definita come la gestione competente e adeguata di risorse, persone e informazioni con l'obiettivo di ottimizzare il valore, la sicurezza e i controlli dei processi aziendali.
3
AIEA Verona 25.11.2005© 2005 KPMG Advisory S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved. Printed in Italy
Information Systems Governance Information Systems Governance
L’approccio KPMG alla ISG è focalizzato su:
•Analisi e gestione rischi•Benchmarking delle performance IS,
rispetto a best practice•Verifica della gestione outsourcer
•Revisione della strategia•Analisi degli investimenti IT•Gestione attiva degli asset it
•Revisione delle regole e della protezione dei dati•Revisione delle licenze•Conformità alle leggi
AumentoDel
valore
AumentoDelle
Performance
Regolee
Conformità
4
AIEA Verona 25.11.2005© 2005 KPMG Advisory S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved. Printed in Italy
Req
uisi
ti az
iend
ali
Tempo
Allineato
Ris
chi I
T
Tempo
SicuroControllato
Pres
tazi
oni
Tempo
Veloce
Qua
lità
del
Serv
izio
Tempo
Migliore
Cos
to d
el
Serv
izio
Tempo
Economico
Information Systems Governance Information Systems Governance
Valore & Equilibrio
Ris
chi
Nor
mat
ivi
Tempo
Non compliance
5
AIEA Verona 25.11.2005© 2005 KPMG Advisory S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved. Printed in Italy
Information Systems GovernanceFasiInformation Systems GovernanceFasi
IT Strategic Management
IT Performance
Management
IT Risk
Management
Strong senior management
Business and IT alignment
IT Vision & IT Strategy
Awareness
IT Organisational Structure
Relationship Management
Business Cases
Measurements and KPIs
Reporting
IT Benchmarking
Benefits Realization
People
Systems
Processes
Auditing & Assurance
Project Risk Management
6
AIEA Verona 25.11.2005© 2005 KPMG Advisory S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved. Printed in Italy
Information Systems GovernanceAssessmentInformation Systems GovernanceAssessment
Aree coinvolte nellAree coinvolte nell’’analisi della metodologiaanalisi della metodologia IS IS Governance:Governance:
Governance FrameworkGovernance Framework•• Organizational FrameworkOrganizational Framework•• Strategic PlanningStrategic Planning•• Management StructuresManagement Structures•• Policies and StandardsPolicies and Standards
Operational ProcessesOperational Processes•• Solution DevelopmentSolution Development•• Project ManagementProject Management•• Security ManagementSecurity Management•• Availability ManagementAvailability Management•• Service ManagementService Management•• Financial ManagementFinancial Management•• Operations ManagementOperations Management•• IS AuditIS Audit•• Support ManagementSupport Management•• Change ManagementChange Management
7
AIEA Verona 25.11.2005© 2005 KPMG Advisory S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved. Printed in Italy
Business DriversBusiness Drivers
Trovare il giusto equilibrio tra rischio, valore e costo
RiskManagement
PerformanceManagement
InvestmentManagement
Valore
Rischio
Costo
8
AIEA Verona 25.11.2005© 2005 KPMG Advisory S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved. Printed in Italy
Risk ManagementRisk Management
Contingencies
Identified Risks Controls
Compliance & Reporting
BusinessGoals
RiskManagement
PerformanceManagement
InvestmentManagement
Value
Risk
Cost
9
AIEA Verona 25.11.2005© 2005 KPMG Advisory S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved. Printed in Italy
Process Optimization
Systems Organization & People
Metrics & Measurement
BusinessGoals
RiskManagement
PerformanceManagement
InvestmentManagement
Value
Risk
CostPerformance ManagementPerformance Management
10
AIEA Verona 25.11.2005© 2005 KPMG Advisory S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved. Printed in Italy
Investment ManagementInvestment Management
Resource Management
Justified Spending Cost Reduction
Sourcing
BusinessGoals
RiskManagement
PerformanceManagement
InvestmentManagement
Value
Risk
Cost
11
AIEA Verona 25.11.2005© 2005 KPMG Advisory S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved. Printed in Italy
Information Systems GovernanceIndicatoriInformation Systems GovernanceIndicatori
Per garantire una metodologia completa ed un controllo centralizzato sulla sicurezza informativa della realtà aziendale, la metodologia si può avvalere di indicatori che si posso suddividere in quattro macro aree:
1. Security Key Indicators (SKI)Parametri che modellano lo stato della sicurezza informatica all’interno della realtà aziendale monitorata.
2. IT Key Performance Indicators (ITKPI)Parametri che caratterizzano lo stato delle risorse hardware della rete informatica aziendale.
3. Users Performance Indicators (UPI)Parametri indicanti le caratteristiche dell’interazione degli utenti e dei processi strettamente coinvolti con gli stessi.
4. Outsourcers SLA Indicators (SLA)Parametri per la verifica del rispetto dei vincoli di servizio relativi ad outsourcers/fornitori.
12
Analisi dei rischi utilizzando ITIL & COBIT©
Analisi dei rischi utilizzando ITIL & COBIT©
AIEA Verona 25.11.2005© 2005 KPMG Advisory S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved. Printed in Italy
13
AIEA Verona 25.11.2005© 2005 KPMG Advisory S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved. Printed in Italy
Copre un range di argomenti riguardanti l’erogazione dei servizi IT come parte integrante di un unico requisito di business. Gli argomenti trattati sono: Business Continuity Management, Partnership and outsourcing.
The Business Perspective
L’obiettivo di questa pubblicazione è quello di fornire al lettore dei punti chiave da considerare quando si sceglie di pianificare l‘implementazione dell’IT ServiceManagement. Il libro spiega quli sono gli step necessari per implementare o migliorare l’erogazione dei servizi IT.
Planning to implementService Management
Spiega come organizzare e mantenere la sicurezza sull’infrastruttura IT. Il libro èscritto con la prospettiva di un Manager IT e contiene i seguenti argomenti: ProblemManagement, Business Continuity Planning, Financial Management and Costing, Control e Success Factors.
Security Management
Questo modulo, che è uno dei più recenti, copre il ciclo di vita dello sviluppo software e del successivo utilizzo e pone l’accento sulle interrelazioni tra la progettazione e sviluppo delle Applicazioni ed i successivi Servizi
Application Management
Fornisce un set di best practice per la gestione dell’intera infrastruttura IT e fornisce un framework per i seguenti argomenti: Network Service Management, OperationManagement, System Management, Computer Installation e Acceptance
ICT Infrastructure Management
indirizza i Processi: Service Level Management, Availability Management, IT ServicesContinuity Management, Capacity Management, Financial Management of IT Services –Gestione dei Costi dei Servizi
Service Delivery
indirizza la funzione di: Service Desk - sviluppo ed ampliamento dell’Help Desk, ed i Processi: Incident Management, Problem Management, Change Management, Configuration Management, Release Management
Service Support
ITIL è composto da una serie di moduli di gestione di Servizi che danno una descrizione dei Processilegati ai più importanti Servizi IT. I moduli che compongono ITIL sono i seguenti:
Struttura ITILStruttura ITIL
14
AIEA Verona 25.11.2005© 2005 KPMG Advisory S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved. Printed in Italy
Struttura
Service Management
Service Support
Service Delivery SecurityManagement
ITInfrastructureManagement
Application Management
BusinessPerspective
Planning to implement Service ManagementTHE
BUSINESS
THE
TECHNOLOGY
La seguente figura illustra l’intero ambiente ITIL e la relativa struttura all’interno della quale sono sviluppati i moduli. Inoltre essa illustra le relazioni che ognuno dei moduli ha con il Business e con la Tecnologia.
Contenuti ITILContenuti ITIL
15
AIEA Verona 25.11.2005© 2005 KPMG Advisory S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved. Printed in Italy
I 318 obiettivi di controllo sono strutturati in 34 processi definiti in 4 domini:
Planning & Organization PO (11 processi)
Acquisition & Implementation AI (6 processi)
Delivery & Support DS (13 processi)
Monitoring MO (4 processi)
PO
DS
AI
MO
Struttura COBIT©Struttura COBIT©
16
AIEA Verona 25.11.2005© 2005 KPMG Advisory S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved. Printed in Italy
POPO
AIAI
DSDS
MM
Proiezione sui domini CobiT
Service Support&
Service Delivery
ITIL
COBIT© e ITIL si possono definire complementari, anche se differiscono per molti aspetti e per gli obiettivi che si prepongono.E’ possibile comunque associare la maggior parte dei controlli COBIT© nei processi definiti in ITIL e viceversa.
Mapping ITIL vs COBIT©Mapping ITIL vs COBIT©
17
AIEA Verona 25.11.2005© 2005 KPMG Advisory S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved. Printed in Italy
Mapping ITIL vs COBIT©Mapping ITIL vs COBIT©
18
AIEA Verona 25.11.2005© 2005 KPMG Advisory S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved. Printed in Italy
(+) Best Practice ITIL sono state mappate su questo processo
(-) Nessuna Best Practice ITIL è stata mappata su questo processo
Mapping ITIL vs COBIT©Mapping ITIL vs COBIT©
19
EsempioHelp DeskEsempio
Help Desk
AIEA Verona 25.11.2005© 2005 KPMG Advisory S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved. Printed in Italy
20
AIEA Verona 25.11.2005© 2005 KPMG Advisory S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved. Printed in Italy
Obiettivo:Obiettivo:Analisi dei rischi e benchmarking per il processo di Analisi dei rischi e benchmarking per il processo di Help Help DeskDesk ((ServiceService Desk).Desk).
Richiesta:Richiesta:Utilizzare Utilizzare CCOBIOBITT©© per i controlli e ITIL per il confronto con la per i controlli e ITIL per il confronto con la best best practicepractice..
Esempio:Analisi dei rischi e benchmarking per il processo di Help Desk (Service Desk)
Esempio:Analisi dei rischi e benchmarking per il processo di Help Desk (Service Desk)
21
AIEA Verona 25.11.2005© 2005 KPMG Advisory S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved. Printed in Italy
Metodologia seguita:- Verifica corrispondenza tra processi ITIL e obiettivi di controllo COBIT©
- Selezione dei processi ITIL utili per l’analisi- Selezione dei processi COBIT© utili per l’analisi- Definizione metrica e sistema di scoring
per l’analisi dei rischi (rischio-controllo-rischio residuo)per il confronto con la best practice ITIL (bilanciato sui Critical Success Factors (CSF) e Key Performance Indicators (KPI) ove presenti)per il risultato finale
- Produzione reportistica e due Remediation Plan:uno derivante dal rischio residuo associato al controllouno derivante dal confronto con la best practice ITIL
Esempio:Analisi dei rischi e benchmarking per il processo di Help Desk (Service Desk)
Esempio:Analisi dei rischi e benchmarking per il processo di Help Desk (Service Desk)
22
AIEA Verona 25.11.2005© 2005 KPMG Advisory S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved. Printed in Italy
Service Desk: verifica corrispondenza/coperturaService Desk: verifica corrispondenza/copertura
ITIL ITIL CCOBIOBITT©©
Processi COBIT© selezionati:DS5 Garantire la sicurezza dei sistemiDS8 Assistere e dare consulenza ai clientiPO4 Definire l’organizzazione e le relazioni ITPO7 Gestire le risorse umanePO8 Assicurare la conformità ai requisiti esterni
23
AIEA Verona 25.11.2005© 2005 KPMG Advisory S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved. Printed in Italy
Service Desk: verifica corrispondenza/coperturaService Desk: verifica corrispondenza/copertura
CCOBIOBITT©© ITILITIL
Processi ITIL selezionati nel Service Support:4 The Service Desk5 Incident Management6 Problem Management7 Configuration Management8 Change Management9 Release Management
24
AIEA Verona 25.11.2005© 2005 KPMG Advisory S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved. Printed in Italy
Overview
Questo modulo si occupa dei seguenti processi di supporto e manutenzione:
• Incident Management• Problem Management• Change Management• Configuration Management• Release Management
Inoltre si occupa della funzione di Service Desk come evoluzione dell’Help Desk.
Il modulo Service Support (Supporto Servizi) descrive i processi associati con il supporto e le attività dimanutenzione giornaliere e con la manutenzione dei serviziIT.
Service Desk: scelta processiService Desk: scelta processi
25
AIEA Verona 25.11.2005© 2005 KPMG Advisory S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved. Printed in Italy
Service Desk (secondo ITIL)
DescrizioneE’ il punto centrale di contatto tra il cliente e l’area IT per tutto ciò che riguarda i servizi IT. Il Service Desk non è un processo, bensì una funzione all’interno dell’organizzazione dei servizi, e il ruolo che ricopre fa si che sia di rilevante importanza.
Funzione principaleAgire come punto di contatto e coordinare clienti, servizi interni all’organizzazione e fornitori esterni.La determinazione di una struttura di service desk e la selezione di uno staff appropriato dipendono da un certo numero di fattori inerenti l’organizzazione. La funzione di service Desk è flessibile, nel senso che si adegua ai cambiamenti dell’organizzazione.
Service Desk: concettiService Desk: concetti
26
AIEA Verona 25.11.2005© 2005 KPMG Advisory S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved. Printed in Italy
Service Desk: definizione modello del processoService Desk: definizione modello del processo
StrutturaEsistono tre tipologie di Service Desk di seguito descritte:
• Local Service Desk: Ogni settore all’interno dell’organizzazione ha la propria ServiceDesk Unit. Il vantaggio è che ci si focalizza maggiormente sui singoli bisogni
• Central Service Desk: Una sola Service Desk per l’intera organizzazione. Il vantaggio èuna maggior facilità nel trattamento e nella standardizzazione dei processi.
• Virtual Service Desk Organizations: Combina gli aspetti sopraccitati. Le informazioni vengono gestite centralmente e rese disponibili globalmente. Le Service Desk locali forniscono supporto on-site al cliente, mentre la Service Desk centrale è responsabile della gestione di tutte le richieste e dell’organizzazione dei servizi coinvolti.
27
AIEA Verona 25.11.2005© 2005 KPMG Advisory S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved. Printed in Italy
Service Desk: sintesi dei processi selezionatiService Desk: sintesi dei processi selezionati
Processi COBIT® selezionati:DS5 Garantire la sicurezza dei sistemiDS8 Assistere e dare consulenza ai clientiPO4 Definire l’organizzazione e le relazioni ITPO7 Gestire le risorse umanePO8 Assicurare la conformità ai requisiti esterni
Processi ITIL selezionati nel Service Support:4 The Service Desk6 Problem Management7 Configuration Management8 Change Management9 Release Management
MODELLO DI MODELLO DI SCORING SUL SCORING SUL
RISCHIO RESIDUO RISCHIO RESIDUO ((VALORI DA 1 A 5VALORI DA 1 A 5))
GRADO DI MATURITAGRADO DI MATURITA’’RISPETTO ALLA BEST RISPETTO ALLA BEST
PRACTICE ITIL PRACTICE ITIL ((VALORI DA 1 A 5VALORI DA 1 A 5))
28
AIEA Verona 25.11.2005© 2005 KPMG Advisory S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved. Printed in Italy
Service Desk: sintesi del modello di scoringService Desk: sintesi del modello di scoring
Per i processi COBIT® selezionati:
DS5DS8PO4PO7PO8
Per i processi ITIL selezionati:
SS 4SS 6SS 7SS 8SS 9
Ottimizzato5Gestito4Sufficiente3Necessita miglioramenti2Carente1
DESCRIZIONEGRADO DI MATURITA’
RISCHIO = Funz( Impatto, Probabilità ) Valori 1-5
CONTROLLO Valori 1-5
RISCHIO RESIDUO = RISCHIO – CONTROLLOValori 1-5
29
AIEA Verona 25.11.2005© 2005 KPMG Advisory S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved. Printed in Italy
Sintesi dei rischi e dei controlliSintesi dei rischi e dei controlli
30
AIEA Verona 25.11.2005© 2005 KPMG Advisory S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved. Printed in Italy
Rappresentazione del rischio residuoRappresentazione del rischio residuo
31
AIEA Verona 25.11.2005© 2005 KPMG Advisory S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved. Printed in Italy
CommentoCommento
Riguardo ITIL:Definire e condividere la tecnica di valutazione con particolare attenzione al peso dei processi definiti come best practice, dei KPI, dei CSF, delle metriche, …Definire e condividere i processi e le aree di applicabilità
Riguardo CobiT:Selezionare e analizzare per intero (se applicabile) i processi coinvolti anche solo parzialmente
Non deve necessariamente essere definita una metrica di scoring complessiva.
32
AIEA Verona 25.11.2005© 2005 KPMG Advisory S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved. Printed in Italy
IS Governance e metodologieIS Governance e metodologie
Per quanto riguarda l’utilizzo delle principali metodologie di analisi dei rischi a supporto dei servizi di IS Audit / Sicurezza / IT Governance, la tabella sottostante riassume i principali abbinamenti (in certi casi la copertura è parziale):
ISO17799, best practiceTecnologie
CMMi, best practiceRisorse
COBIT®, ISO17799, ITIL, CMMiProcessi
COBIT®, ISO17799, ITIL, CMMiOrganizzazione e ruoli
COBIT® Online, best practice, CMMi, ITIL
Metriche, benchmarking, KPIs, CSFs
COBIT®, ISO17799, best practiceControlli
33
Riferimenti
Marco Salvato
KPMG S.p.A.
0422-5767312
www.kpmg.it
SessioneSessione didi studio AIEA, Verona 25 studio AIEA, Verona 25 NovembreNovembre 20052005