ITGI annuncia COBIT 4.1 e le nuove pubblicazioni
Transcript
ITGI annuncia COBIT 4.1 e le nuove pubblicazioni
La newsletter dedicate alla comunità degli utilizzatori di COBIT® Dicembre 2006, Volume 2 COBIT Focus è realizzato da ISACA; la versione originale, in lingua inglese, è disponibile in: http://www.isaca.org/cobitnewsletter; traduzione italiana a cura di IsacaRoma http://www.isacaroma.it. ITGI annuncia COBIT 4.1 e le nuove pubblicazioni di Gary Hardy pubblicato in: http://www.isacaroma.it/html/newsletter/node/454 In questo numero: ITGI annuncia COBIT 4.1 e le nuove pubblicazioni, di Gary Hardy …………………….1 COBIT 4.0: uno strumento essenziale per consolidare la leadership di Prudential in Asia, di Urs Fischer ……………4 Nuovi corsi COBIT, di Arjan Woertman…………………6 Harley-Davidson: Usare COBIT per semplificare la Compliance……………….8 Survey sull’utilizzo di COBIT nel mondo……………………10 Nell’ultimo trimestre del 2007, sarà rilasciato COBIT® 4.1 insieme alle nuove versioni delle pubblicazioni COBIT così da allineare tutti i prodotti della serie Control Objectives for Information and related Technology (COBIT®) alla stessa versione. I rilasci previsti comprendono: o COBIT 4.1; o COBIT® Control Practices: Guidance to Achieve Control Objectives for Successful IT Governance, 2nd Edition; o IT Governance Implementation Guide: Using COBIT® and Val IT™, 2nd Edition; o IT Assurance Guide: Using COBIT®. o Dopo questi rilasci sarà aggiornato anche COBIT Online® e l’IT Governance Institute® (ITGI™) pubblicherà anche la seconda edizione di COBIT® Security Baseline e COBIT® Quickstart. COBIT 4.1 COBIT 4.1 comprende una serie di aggiornamenti incrementali rispetti a COBIT® 4.0. Si tratta di una sorta di "fine-tuning" del framework COBIT senza cambiamenti veramente significativi rispetto a COBIT 4.0. COBIT 4.1 fornisce una executive overview migliore e ulteriori spiegazioni sulla misurazione delle performance, attraverso lo schema a cascata delle metriche, dei processi IT e degli obiettivi delle attività e soffermandosi sulla differenza fra performance driver ed outcome measure. Il punto da comprendere è che una outcome measure è anche un performance driver per un obiettivo di alto 18-19 gennaio 30 gennaior Calendario degli eventi 2007 COBIT® User Convention Pasadena, California, USA e-Symposium on COBIT www.isaca.e-symposium.com Realizzato da IsacaRoma, http://www.isacaroma.it, il 18-12- 2006; originale: http://www.isaca.org/cobitnewsletter 1 COBIT Focus 2, Dicembre 2006 livello. Sono forniti anche obiettivi di controllo migliori come risultato dell’aggiornamento delle control practices e dello sviluppo di Val IT™. A livello di obiettivi di controllo, la definizione di control objective è stata modificata per farla aderire meglio agli statement correnti delle management practice statement. Infine sono stati raggruppati alcuni control objective e/o ridenominati per evitare sovrapposizioni e rendere più coerente la lista degli obiettivi di controllo all’interno di ciascun processo. In questo senso AI5.4, AI5.5 e AI5.6 sono stati raggruppati così come AI7.9, AI7.10 eAI7.11. Sono stati fatti cambiamenti anche a ME3 per includere la compliance con le policy internazionali ed i requirement contrattuali oltre ai requisiti legali e relativi ai regulators. Questi cambiamenti hanno prodotto la rinumerazione degli obiettivi di controllo rimanenti. Anche ulteriori obiettivi di controllo sono stati ridenominati per renderli più action-oriented e coerenti nella denominazione stessa.La sezione degli application control è stata allargata con pochi ulteriori application control senza nessuna perdita in termini di requisiti sui controlli generalmente applicati. Nello specifico: o È stato effettuato un consolidamento e miglioramento riducendo da18 a sei gli obiettivi d controllo i cui dettagli sono ora forniti nel nuovo COBIT® Control Practices, 2nd Edition o Sono stati eliminati i controlli manuali o I controlli di sicurezza sono stati spostati nel processo di sicurezza o eliminati se già presenti in quest’ultimo o Le responsabilità dei controlli di business, di quelli generali e di quelli applicativi sono stati meglio illustrati Realizzato da IsacaRoma, http://www.isacaroma.it, il 18-12- 2006; originale: http://www.isaca.org/cobitnewsletter 2 COBIT Focus 2, Dicembre 2006 o È stata migliorata la descrizione dei business ed IT goal presenti nell’appendice I grazie alle ricerche svolte presso la Management School dell’Università di Antwerp (UAMS), in Belgio. o Il pull-out è stato allargato per fornire una quick reference list dei processi COBIT e dei diagrammi overview e lo schema dei domini è stato rivisto per includere le reference ai controlli di processo ed ai controlli applicativi del framework COBIT. o Sono stati corretti le incoerenze, gli errori e le sviste identificate dagli utilizzatori di COBIT (COBIT 4.0 e COBIT Online®). La figura 1 presenta lo schema finale dei prodotti COBIT e dell’audience a cui sono rivolti. COBIT Control Practices, 2nd Edition Le novità consistono negli statement delle control practice, derivati dalla prima edizione rilasciata nel 2004 e migliorati ed allineati con COBIT 4.1. Le control practice sono definite come prassi di implementazione actionoriented dotati di value e risk statement che forniscono risposte a domande tipo "perché si fa questo?" evidenziando il valore che si deve ottenere ed i rischi che si devono evitare grazie all’implementazione delle prassi che garantiscono gli obiettivi di controllo. La pubblicazione aggiornata sostituirà completamente l’attuale guida; essa estende le capacità del framework COBIT e supporterà sia l’IT Assurance Guide sia l’IT Governance Implementation Guide fornendo ulteriori dettagli. I processi IT di COBIT, i business requirement ed i control objective definiscono cosa si deve implementare per rendere efficace la struttura di controllo. Le control practice forniscono una guida più dettagliata agli obiettivi di controllo e indicano come, perché e cosa implementare rispetto alle necessità di: 1. Implementatori della IT governance, compresi il management, i service provider, gli end users, i professionisti dei controlli così da aiutarli a giustificare e disegnare i controlli specifici indispensabili per gestire i progetti IT ed i relativi rischi operativi e migliorare le performance IT. La guida su quali controlli sono necessari e quali siano le best practice permette di individuare gli specifici obiettivi di controllo mentre le control practice aiutano ad individuare la soluzione e a realizzarla in maniera più efficiente. 2. I professionsiti dell’assurance che hanno bisogno di una guida per la valutazione ed il testing ed anche coloro a cui può essere richiesta una opinione sui miglioramenti proposti. Le control practice, quindi, servono a due scopi e sono state sviluppate per le necessità di questi due tipologie di utilizzatori. Le control practice guidance formano la base per la valutazione ed il testing così che gli implementatori e gli assurance professional possano seguire un approccio comune. IT Governance Implementation Guide, 2nd Edition IT Governance Implementation Guide: Using COBIT® e Val IT™, 2nd Edition forniscono una road map dettagliata ed una guida per stabilire una IT governance efficace nelle organizzazioni e per usare COBIT a tale finalità. Questa seconda edizione della guida comprende gli aggiornamenti rispetto a COBIT 4.1 e Val IT, evidenziando i concetti fondamentali e lo scope della governance. La guida assiste i diversi stakeholder con una road map dettagliata che aiuta le aziende a rendere effettive le proprie necessità di IT governance. Essa fornisce l’identificazione delle componenti di COBIT e Val IT da utilizzare sia per le fasi iniziali che per il planning e la realizzazione pratica delle soluzioni. IT Assurance Guide: Using COBIT La nuova IT Assurance Guide: Using COBIT® fornisce una guidance dettagliata di come COBIT può essere utilizzato per supportare una gran varietà di attività di assurance come il planning, lo scoping ed il risk assessment, ed anche le modalità per compiere una assurance review per ciascuno Realizzato da IsacaRoma, http://www.isacaroma.it, il 18-12- 2006; originale: http://www.isaca.org/cobitnewsletter 3 COBIT Focus 2, Dicembre 2006 dei processi IT. Essa sostituisce le attuali COBIT® Audit Guidelines. La IT Assurance Guide contiene numerose e dettagliate testing guidance che adesso sono a livello di IT process e control objective e si basano sulle control practices comprese le attuali audit guideline che forniscono solamente guidance a livello di IT processo. Gli step di assurance permettono di testare l’efficienza operativa ed i risultati dei controlli. I generic assurance step riguardano l’esistenza ed il design dell’efficienza dei controlli proposti nonché le responsabilità connesse. I testing step sono disegnati per fornire il primo livello di sviluppo di un programma di audit da parte idi un auditor interno od esterno.L’obiettivo non è di fornire un programma dettagliato di audit da utilizzare immediatamente; viceversa l’obiettivo è fornire una base all’auditor esperto per realizzare un programma personalizzato da dare agli auditor meno esperti. L’auditor utilizza tali step e lo modifica secondo la realtà da auditare: si tratta solo di una guidance non di una raccolta di ricette per cucina! La combinazione di tutti gli step di assurance fornisce un metodo di testing che aiuta nella redazione delle proprie opinioni rispetto agli obiettivi di assurance combinando uno o più tipi di step: o Inquire e confirm (per mezzo di differenti fonti) o ispezioni (walk-through, search, compare, review) o osservazioni (con inclusa conferma) o ricalcoli e analisi dei dati (spesso utilizzando dei campioni) o raccolta in automatico di evidenze (campioni, log, estrazioni) e successiva analisi In aggiunta, per supportare l’assurance review, sono forniti testing step per ciascuno degli obiettivi di controllo generici applicabili a livello di processo IT e per ciascuno degli obiettivi di controllo applicabili ai controlli automatici embedded nei processi di business. COBIT Security Baseline e COBIT Quickstart Sia COBIT Security Baseline sia COBIT Quickstart saranno aggiornati ed allineati COBIT 4.1 anche se in pratica non avranno significativi cambiamenti. COBIT Online I contenuti di COBIT Online sono già aggiornati a COBIT 4.0 e lo saranno presto a COBIT 4.1 Gary Hardy È direttore di IT Winners, una società di consulenza indipendente del Sud Africa specializzata in servizi di IT governance e performance improvement. Hardy è membro di ISACA dal 1981 ove ha ricoperto diverse posizioni di rilievo anche nel board member. È advisor di ITGI e fondatore e membro del COBIT Steering Committee; si occupa di IT, IT audit e IT governance da oltre 25 anni in varie industry. COBIT 4.0: uno strumento essenziale per consolidare la leadership di Prudential in Asia pubblicato in: http://www.isacaroma.it/html/newsletter/node/455 Fondata in UK nel 1848, Prudential è una società leader per i servizi finanziari; in ASIA è tra le principali compagnie assicurative nel ramo vita. Grazie alle sue attività in forte crescita relative all’asset management, Prudential Corporation Asia ha oltre 9.000 impiegati in 12 differenti nazioni. L’importanza del mercato asiatico per Prudential è testimoniata dalla presenza di due regional IT hub in Malesia e Cina e di un regional subhub a Singapore. Il responsabile regionale dell’Information Technology di Prudential Corporation Asia, Realizzato da IsacaRoma, http://www.isacaroma.it, il 18-12- 2006; originale: http://www.isaca.org/cobitnewsletter 4 COBIT Focus 2, Dicembre 2006 Emmanuel Rodriguez ha iniziato a utilizzare COBIT nel 2005. Rodriguez ha ritenuto che Prudential avesse bisogno di adottare un IT governance framework standardizzato per ridurre gli sprechi ed ottimizzare le sinergie. L’utilizzo di COBIT è stato fortemente sponsorizzato dal CEO di Prudential e dal Consiglio di Amministrazione alla ricerca di una maggiore competitività per l’intera azienda. L’obiettivo globale di Rodriguez era di utilizzare COBIT come framework unico e coerente per tutte le best practice aziendali. La chiave del successo è stata la capacità di mantenere un equilibrio tra la necessità di uniformità a livello regionale e la flessibilità richiesta dai singoli mercati. Il processo Dato che i destinatari del progetto di Rodriguez comprendevano non solo i responsabili IT di ciascun mercato ma anche i business manager, i project leader, i membri dei comitati di controllo, i membri dei comitati rischi ed i membri dei comitati di audit, è stato necessario usare un framework come COBIT il cui metalinguaggio può essere facilmente condiviso da tutte queste tipologie di utenti. "COBIT è uno strumento di management semplice e potente allo stesso tempo che ci ha permesso di raggiungere i nostri obiettivi. L’IT Governance Institute ha fatto un ottimo lavoro riuscendo a realizzare strumenti per l’IT governance coerenti, facili da utilizzare e comprensibili da chiunque" ha spiegato Rodriguez "L’ultima cosa che desideravamo era dare l’impressione ai nostri business e project manager che l’IT governance fosse qualcosa difficile da gestire. Abbiamo adottato COBIT proprio per questo motivo, perché si tratta di un framework semplice ed adatto anche ai non specialisti e che permette ai colleghi delle aree di business le opportunità che la IT Governance può aprire anche a loro" I due obiettivi chiave che Rodriguez ed il suo team volevano raggiungere con COBIT sono stati la gestione della sicurezza delle informazioni e degli accessi ai dati. Ci sono infatti moltissimi dati relativi ai clienti di Prudential sparsi per i vari paesi asiatici e dunque la necessità di limitare l’accesso di tali informazioni solo alle persone autorizzate è molto sentita. Rodriguez ed il suo team hanno utilizzato COBIT come guida per identificare i rischi, il loro impatto complessivo e le varie possibilità di gestire tali rischi. Per rendere più semplice l’implementazione di COBIT, Rodriguez ed il suo team hanno predisposto un "IT governance cookbook" così denominato per la sua natura di quick reference. Questa sorta di ricettario è stato distribuito a tutti i target individuati nel novembre 2005. Per assicurarsi che esso venisse effettivamente letto e compreso, Rodriguez ed il suo team hanno anche realizzato un survey per ottenere un feedback. In questo modo Rodriguez ha ottenuto, in tutti i 12 mercati orientali di Prundential, una maggiore consapevolezza in termini di project procurement, sistemi di approvazione, governance nonché una migliore comprensione globale di come sviluppare ed implementare le iniziative in modo più strutturato.Per Rodriguez ed il suo team, l’IT governance non è qualcosa che va Aggiornamenti COBIT Research Nuovi White Papers o IT Control Objectives for Sarbanes-Oxley, 2nd Edition, settembre 2006 o COBIT® Mapping: Mapping SEI’s CMM for Software With COBIT® 4.0, settembre 2006 o COBIT® Mapping: Mapping PMBOK® With COBIT® 4.0, agosto 2006 Questi documenti sono disponibili per il download agli associati ISACA®, se non indicato diversamente, attraverso il sito ISACA www.isaca.org/downloads In arrivo: o COBIT® Mapping: Mapping PRINCE2 With COBIT® 4.0, dicembre 2006 o COBIT® Mapping: Mapping ITIL With COBIT® 4.0, dicembre 2006 o COBIT® Mapping: Mapping ISO/IEC 17799:2005 With COBIT® 4.0, dicembre 2006 o COBIT® Mapping: Mapping TOGAF With COBIT® 4.0 Realizzato da IsacaRoma, http://www.isacaroma.it, il 18-12- 2006; originale: http://www.isaca.org/cobitnewsletter 5 COBIT Focus 2, Dicembre 2006 scolpito nella roccia. COBIT ha permesso a Rodriguez ed al suo team di raccogliere gli aspetti tecnologici specifici di ogni elemento necessario per le attività di IT Governance e contemporaneamente di tener conto delle necessità specifiche dei diversi mercati di Prudential in Asia. E cosa ancora più importante, COBIT ha dimostrato di essere in grado di produrre valore in quanto ha permesso a Rodriguez ed al suo team di convincere i membri del board a continuare a supportare questo tipo di iniziative: infatti un ambiente IT più sicuro permette a Rodriguez ed al suo team di concentrasi sulle modalità per fornire servizi IT migliori che portino maggior valore all’azienda nel suo complesso. "Un buon dottore è qualcuno che è capace di spiegare chiaramente ai propri pazienti ciò di cui hanno bisogno ed il modo per rimanere in salute. In modo simile, un bravo professionista IT è colui capace di rendere semplici i concetti IT ad un’audience di business. Non ho nessun dubbio che COBIT è lo strumento che ci permetterà di raggiungere tale obiettivo, di migliorare la cultura IT aziendale e la corporate responsibility di Prudential" ha concluso Rodriguez. scolpito nella roccia. COBIT ha permesso a Conclusioni Sebbene l’implementazione di COBIT in Prudential sia ancora in corso, è chiaro che l’adozione del framework continuerà a fornire valore all’azienda in quanto permette di: o Stabilire una strategia pan-regionale comune o Ridurre i costi ed eliminare gli sprechi o Gestire in sicurezza i dati dei clienti di ogni regione o Fornire le opportune indicazioni per gli outsourcing partner o Fornire una teminologia facile da condividere fra un gran numero di interlocutori aziendali o Creare un ambiente IT più sicuro e coerente per i leader così che si più facile focalizzarsi sulle soluzioni che creano valore o Fare l’assessment dei rischi e valutare i vincoli che i decision maker devono tenere in considerazione al momento di intraprendere le azioni In altre parole COBIT ha permesso al team IT di Rodriguez ed ai suoi interlocutori nel business di mantenere allineati in maniera più proficua i goal IT di Prudential e gli obiettivi di crescita del business consolidando le best practice già esistenti e limitando i rischi. Questa sarà la strategia chiave di Prudential nell’IT per rafforzare la propria leadership in Asia nei prossimi anni. Il testo completo del case study Prudential è disponibile sul sito di ISACA: http://www.isaca.org/cobitcasestudies Nuovi corsi COBIT di Arjan Woertman pubblicato in: http://www.isacaroma.it/html/newsletter/node/456 Dal primo numero di COBIT Focus di giugno 2006 ad oggi sono stati sviluppati numerosi nuovi prodotti di training nel COBIT education portfolio. In questo articolo illustreremo due nuovi corsi recentemente annunciati: il COBIT Foundation Course™ online in giapponese ed il COBIT Foundation Course in aula che prevede l’utilizzo di COBIT Games™. COBIT Foundation Course in giapponese Ad un anno dal lancio del corso, oltre 1.000 persone hanno partecipato al corso online COBIT Foundation. Nell’ottobre 2006 è stata annunciata la versione in giapponese del corso in modalità e-learning. Il capitolo di Tokio di ISACA e ITpreneurs Japan hanno Realizzato da IsacaRoma, http://www.isacaroma.it, il 18-12- 2006; originale: http://www.isaca.org/cobitnewsletter 6 COBIT Focus 2, Dicembre 2006 lavorato insieme per tradurre il corso in giapponese a causa della rapida diffusione del framewok COBIT nella comunità di IT Governance giapponese. La membership del capitolo di Tokio di ISACA è aumentata di oltre il 70 per cento rispetto al 2004: una crescita simile si era verificata negli USA un paio di anni fa quando fu emanato il Sarbenes-Oxley Act. In effetti anche il Giappone sta emanando la propria legislazione in ambito compliance: la "JSOX" nipponica sarà effettiva a far data dall’aprile 2008 e ciò comporterà requisiti più severi alle aziende quotate. I corsi COBIT in lingua giapponese renderanno più agevole la comprensione delle problematiche di IT Governance al mercato nipponico e favoriranno l’adozione di COBIT. "Siamo molto lieti di avere la possibilità del corso COBIT in giapponese anche perché ne abbiamo apprezzato l’alta qualità dei contenuti. Siamo convinti che ciò costituirà una risorsa fondamentale e valida per chiunque si interessa ai temi della IT governance" ha commentato Tsutomu Nakamura, CISA, executive director del capitolo ISACA di Tokyo. Il COBIT Foundation Course in giapponese è disponibile agli associati ISACA con uno sconto del 30 per cento attraverso il COBIT Campus. COBIT Foundation Classroom Course e COBIT Games ISACA and ITpreneurs hanno recentemente annunciato un corso COBIT in aula con l’utilizzo di COBIT Games. Il COBIT Foundation Course è quindi adesso disponibile in due formule: un corso di due giorni che non comprende COBIT Games e un corso di due giorni e mezzo con il COBIT Games. Entrambe le formule prevedono la presenza di docenti accreditati da ISACA. L’introduzione di formule in aula per COBIT al livello di foundation rende questa formazione più accessibile per i professionisti e le aziende interessate a COBIT. È possibile scegliere tra l’e-learning autogestito e l’insegnamento in aula . Entrambe le opzioni forniscono una esperienza didattica simile e preparano i candidati all’esame COBIT Foundation. Entrambi i corsi in aula affiancano alle presentazioni esercizi interattivi e simulazioni. La versione di due giorni prevede case study in aula e compiti da svolgere per rafforzare la comprensione dei punti chiave. La versione in due giorni e mezzo utilizza anche un nuovo tool di simulazione denominato COBIT Games, uno strumento di business simulation, conforme alle tecnologie più avanzate ed allo stato dell’arte. Si tratta di un board game che si gioca in quattro tempi (vedi figura 1). Gli studenti rappresentano una città che deve ospitare i giochi olimpici. Quattro team devono predisporre le infrastrutture cittadine a questo evento. I team devono gestire gli hotel, gli impianti sportive, i media ed i mezzi di Realizzato da IsacaRoma, http://www.isacaroma.it, il 18-12- 2006; originale: http://www.isaca.org/cobitnewsletter 7 COBIT Focus 2, Dicembre 2006 trasporto movendosi all’interno dei quattro domini COBIT. La città è in continua evoluzione ed i team devono gestire il consenso popolare e bilanciare i rischi interni ed esterni che si presentano. Giocando il game, gli studenti hanno la possibilità di imparare rapidamente ed applicare i principi di COBIT in modo coinvolgente e divertente. Il COBIT Foundation Course in aula è disponibile attraverso il network di ITpreneurs. Il COBIT Foundation Course può essere erogato anche attraverso i capitoli locali di ISACA concordando gli eventi con Itpreneurs. Arjan Woertman Arjan Woertman è il product manager di ITpreneurs responsabile per la linea di prodotti COBIT ed ISO/IEC 20000. Woertman lavora in ITpreneurs dal 2001 dopo aver conseguito la laurea in Economia all’Università di Utrecht in Olanda. Woertman ha condotto un gran numero di progetti chiavi per ITpreneurs, tra i quali i corsi in aula su ITIL ed i prodotti e-learning. Egli lavora a stretto contatto con gli esperti delle autorità di standardizzazione, tra queste ISACA, per inglobare le best practice e gli standard in prodotti innovativi di learning. Woertman può essere contattato via email: NOSPAMarjanDOTwoertmanATitpreneursD OTcomNOSPAM. ITpreneurs è un’azienda specializzata nelle soluzioni di training per l’IT management e l’IT governance. Ulteriori opportunità per la formazione su COBIT ISACA offre ulteriori opportunità per la formazione su COBIT: un corso di due giorni sull’implementazione, una gran varietà di sessioni durante le conferenze in tutto il mondo. “Implementing COBIT for IT Management and Governance” è disponibile durante i meeting Computer Audit, Control and Security (CACS) e le International Conference. Esso è anche offerto in modalità onsite training da parte di numerose società specializzate ed autorizzata dall’ISACA training. Per maggiori informazioni e la lista dei relatori autorizzati si può consultare www.isaca.org/cobit o scrivere a [email protected]. Harley-Davidson: Usare COBIT per semplificare la Compliance pubblicato in: http://www.isacaroma.it/html/newsletter/node/457 La Harley-Davidson Motor Company è stata fondata nel 1903 a Milwaukee, Wisconsin, USA. Si tratta dell’azienda produttrice di motociclette più antica degli Stati Uniti; essa ha avuto oltre 20 anni consecutivi di profitti record. Nel 2005, Harley-Davidson ha prodotto 329.000 motociclette con un aumento del 3,7 per cento rispetto all’anno precedente, un fatturato di 5,3 miliardi di dollari USA ed una crescita del 6,2 per cento. Nel 2003, Harley-Davidson aveva pochi e limitati controlli IT ed il suo personale non aveva una grande conoscenza del tema dei controlli. Non esisteva un processo di accesso alle informazioni standard, nessun processo definito e documento sul change management, nessuna procedura per il backup e recovery dei dati e pochissime regole sulla struttura organizzativa IT. A causa delle nuove regolamentazioni nazionali, tra queste il Sarbanes-Oxley Act, l’azienda decise che per garantire che il proprio modello di business continuasse ad avere successo era importante ripensare l’intero sistema di controllo. La sfida consisteva nell’individuare un framework per Realizzato da IsacaRoma, http://www.isacaroma.it, il 18-12- 2006; originale: http://www.isaca.org/cobitnewsletter 8 COBIT Focus 2, Dicembre 2006 l’IT Governance che permettesse al management, all’IT ed all’audit di parlare lo stesso linguaggio e di lavorare insieme per aumentare il livello dei controlli nel rispetto degli specifici valori aziendali. Fu così creato un nuovo dipartimento, focalizzato sulla mitigazione ed il controllo dei rischi e che veva anche l’obiettivo di individuasse il miglior framework per la IT Governance con il massimo consenso dei responsabili degli altri dipartimenti e senza ridurre la qualità né la velocità della produzione. Raggiungere la conformità ai requisiti della Sarbanes-Oxley sembrava una sfida impossibile eppure grazie a COBIT ciò è stato possibile già dal primo anno. Il processo Per garantire la conformità ai requisiti della IT governance e della Sarbanes-Oxley, Harley-Davidson ha creato un dipartimento di IS compliance la cui prima attività è consistita nell’implementare un modello di controllo generale per i vendor. Ma dopo aver partecipato ad una COBIT User Convention, uno specialista di rischi di Harley-Davidson raccomandò alla direzione l’utilizzo di COBIT come control framework. Contemporaneamente l’internal audit department stava collaborando con l’IT per raggiungere i necessari standard di compliance. C’era dunque la necessità era di avere un framework di controllo che aiutasse tutti i dipartimenti a superare la vecchia mentalità per cui la conformità, la qualità ed il controllo consistevano esclusivamente nel raggiungimento dei livelli produttivi. Alla fine la scelta è caduta su COBIT per i seguenti motivi:: o Si tratta di uno standard internazionale per l’IT governance e le control practice. o Può essere utilizzato dal management, gli end user e l’IT perché fornisce un linguaggio comune a tutte queste categorie. o Prevede strumenti per fare il benchmarking dei controlli di compliance. o Il framework è disponibile gratuitamente nel sito dell’IT Governance Institute. o È compatibile con altri standard, ad esempio ISO 17799 ed ITIL, che sono "mappat"” in COBIT. o È possibile, in modo rapido ed economico, avere un agreement sull’utilizzo di COBIT da parte degli auditor esterni. La chiave per il successo nell’adozione di COBIT è consistita nell’assicurarsi che sia l’IT sia il management comprendessero l’importanza di avere un sistema di controllo efficiente, efficace e value-focused dando loro la possibilità di capire che i controlli favoriscono anche il business. Il processo di migrazione di Harley-Davidson verso COBIT è iniziato con la mappatura dei controlli di COBIT e con la comparazione dei risultati rispetto a quelli già rilevati dalla società di revisione (appartenente alle Big Four). Successivamente i gap sono stati identificati e si sono pianificate le attività per risolvere le criticità. Uno dei benefici maggiori ottenuti con l’utilizzo di COBIT come modello di controllo generale anche per la compliance è stato che tutti – specialmente il personale non tecnico della produzione di motociclette – sono stati sensibilizzati sui temi del controllo e della conformità alle regole e norme. Harley-Davidson è infatti soggetta a numerose regulation, tra le quali HIPAA e Gramm-Leach-Bliley; COBIT si è rivelato un ottimo framework ombrello per permettere all’azienda di identificare i controlli e le attività di complice necessarie. In questi casi la sfida maggiore è far sì che gli owner dei controlli comprendano l’effettiva necessità dei controlli; a volte essi partono dall’errato presupposto che "more is better". Usando COBIT, il risk team può facilmente mostrare che uno o due buoni controlli possono fare più e meglio di decine di controlli alcuni dei quali a volte inefficaci. Una volta che i control owner comprendono il valore ottenuto limitandosi a pochi ma efficienti controlli essi non tornano più indietro. Ottimizzare i cambiamenti interni è anche uno degli obiettivi primari delle aziende altamente Realizzato da IsacaRoma, http://www.isacaroma.it, il 18-12- 2006; originale: http://www.isaca.org/cobitnewsletter 9 COBIT Focus 2, Dicembre 2006 competitive e gli strumenti di benchmarking di COBIT sono un tool formidabile per i confronti indipendenti perché permettono di porre le informazioni nella corretta prospettiva per il management e di ottenere un valore aggiunto. Il framework permette di ottenere facilmente queste informazioni di comparazione che sono necessarie per qualsiasi IT audit e, best of all, esse facilitano la discussione sulle modalità migliori per ottenere i risultati aziendali voluti. Conclusioni Prima di implementare COBIT, le aree aziendali verificate dagli external auditor erano scelte in maniera casuale e senza reali motivazioni. Adesso la scelta si base sul valore per l’azienda e sui controlli ritenuti necessari. COBIT si presta naturalmente ad essere utilizzato come modello di controllo generale; con la sua adozione HarleyDavidson ha ottenuto i seguenti benefici: o Gli end user possono essere formati su un unico standard. o L’IT può facilmente dimostrare la sua compliance con i più noti framework. o L’agreement dell’external audit sul sistema di controllo aziendale è garantito. o Esiste una vista generale sui rischi e sull’ambiente di controllo. o Esiste una base già pronta per gli audit futuri sia interni sia connessi alla Sarbanes-Oxley. o L’azienda ha anche pianificato di effettuare un IT governance audit usando Val IT, un governance framework che aiuta la direzione e l’executive management a valutare l’appropriato return on investment (ROI) rispetto agli investimenti sull’IT effettuati. Il testo completo di questo case study è disponibile sul sito ISACA: http://www.isaca.org/cobitcasestudies Survey sull’utilizzo di COBIT nel mondo pubblicato in: http://www.isacaroma.it/html/newsletter/node/458 Circa il 22 per cento di coloro che hanno risposto al COBIT user survey hanno indicato che COBIT (per i contenuti e/o i prodotti) è la base per le loro attività mentre un altro 67,5 per cento dice di utilizzarlo a volte o spesso. Il COBIT user survey è parte di un più ampio progetto di raccolta ed analisi di informazioni sulle attività di IT governance condotto da ISACA e ITGI. Lo scopo del progetto è di giungere ad una rappresentazione fedele della constituency di ISACA/ITGI così da migliorare il lavoro che le stesse ISACA e ITGI fanno nella progettazione e sviluppo delle componenti di COBIT. Il COBIT user survey sarà condotto annualmente con l’obiettivo di comprendere le modalità con cui gli utenti utilizzano COBIT. I risultati di questi survey permetteranno a ISACA/ITGI di avere un quadro completo degli utenti di COBIT user sia come imprese che come singoli utilizzatori. Realizzato da IsacaRoma, http://www.isacaroma.it, il 18-12- 2006; originale: http://www.isaca.org/cobitnewsletter 10 COBIT Focus 2, Dicembre 2006 I dati su COBIT saranno utilizzati sia per il marketing sia per migliorare la comunicazione con le aziende e le persone. Questo progetto è allineato, inoltre, alla strategia globale di ISACA/ITGI ed agli obiettivi di balanced scorecard. Quest’anno il survey è stato proposto alle persone presenti nel database di ISACA e che sono stati considerati COBIT users per la loro partecipazione a una delle COBIT User Convention o per avere scaricato COBIT, o per essere registrati in COBIT Online, o per avere acquistato uni o più prodotti COBIT o, in ultima analisi, per aver partecipato ad attività COBIT-related. Tra i vari risultati interessanti emersi, il survey ha rivelato che la maggior parte dei COBIT user usa COBIT insieme ad altri standards/frameworks, quali ITIL, ISO/IEC 17799, ISACA IS Auditing Standard e COSO Control (si veda la figura 1), il che conferma l’importanza e la necessità di continuare le pubblicazione della serie “COBIT Mapping”. La serie di “COBIT Mapping” al momento include: Realizzato da IsacaRoma, http://www.isacaroma.it, il 18-12- 2006; originale: http://www.isaca.org/cobitnewsletter 11 COBIT Focus 2, Dicembre 2006 o SEI’s CMM for Software o PMBOK o ISO/IEC 17799:2005 o ISO/IEC 17799:2000 o ITIL o PRINCE2 Sono in via di pubblicazione: o TOGAF o CMMI for Development v1.2 o COSO ERM o NIST FISMA o IT Baseline Protection Manual Un altro interessante risultato è l’utilizzo pianificato dell’IT Governance Implementation Guide quando si implementano le componenti di COBIT (vedi figura 2). Ciò riflette l’importanza e l’utilità di questa pubblicazione che recentemente è stata aggiornata per tener conto delle novità di COBIT 4.0. Il survey ha anche rivelato che più del 50,92 per cento dei COBIT user utilizza COBIT Online in qualità di associato ISACA ma in modalità basic e non di full subscriber. Solo l’11,45 per cento sono full subscriber. Alla domanda perché no si era scelta la modalità completa le risposte più comuni sono state relative al costo, alla mancanza di conoscenza sulle funzionalità extra ed al valore aggiunto. Dato che coloro che usano le funzionalità di COBIT online in quanto associati ISACA hanno utilizzato il free download e le capacità di browsing di COBIT Online, rispettivamente l’88,42 per cento ed il 66,56 per cento, ISACA and ITGI hanno concluso che la comunicazione sulle ulteriori funzionalità è importante e va aumentata. Una sottoscrizione full a COBIT Online permette di usufruire delle capacità di benchmarking, di fare il browsing di tutto COBIT, comprese le Control Practices e COBIT Quickstart, funzionalità, viceversa, non previste nelle formule basic e baseline; inoltre il full COBIT permette di creare MyCOBIT, una versione completa di COBIT personalizzata per contesti specifici. MyCOBIT permette di fare il download del materiale COBIT in formato Microsoft Word ed Access per l’uso offline. Il COBIT user survey ha anche rivelato che le cinque principali ragioni per le quali si implementa COBIT sono: 1. Adottare un IT control framework 2. Rispettare i requisiti della regulatory compliance (in primis: SarbanesOxley) 3. Sviluppare programmi di IT audit 4. Avere una guida per l’assessment e l’implementazione dei controlli IT 5. Adottare un IT assurance framework La grande diffusione di COBIT sembra dunque legata alla necessità, in azienda, di dedicarsi alla IT governance. Secondo il survey, più dell’80 per cento delle imprese ritiene che l’IT governance è una problematica molto importante. COBIT Steering Committee Roger Debreceny, Ph.D., FCPA, Chair, USA Gary S. Baker, CA, Canada Steven De Haes, Belgium Rafael Eduardo Fabius, CISA, Uruguay Urs Fischer, CISA, CIA, CPA (Swiss), Switzerland Erik Guldentops, CISA, CISM, Belgium Gary Hardy, South Africa Jimmy Heschl, CISA, CISM, Austria Debbie A. Lew, CISA, USA Maxwell J. Shanahan, CISA, FCPA, Australia Dirk Steuperaert, CISA, Belgium Robert Ernest Stroud, USA Editorial Staff Jane Seago Chief Communications Officer Jennifer Hajigeorgiou Publications Manager Kristen Kessinger Media Relations Deborah Vohasek Media Relations Commenti ed osservazioni sui contenuti possono essere inviati (in inglese) a Jennifer Hajigeorgiou, publications manager, [email protected] Realizzato da IsacaRoma, http://www.isacaroma.it, il 18-12- 2006; originale: http://www.isaca.org/cobitnewsletter 12 COBIT Focus 2, Dicembre 2006 COBIT Focus è pubblicato da ISACA e dall’IT Governance Institute. Le opinioni espresse in COBIT Focus rappresentano esclusivamente il punto di vista degli autori ed essi possono differire dalle policy e dagli “official statements” dell’ISACA e/o dell’IT Governance Institute e dei loro comitati nonché dalle opinioni degli altri autori, collaboratori o impiegati di COBIT Focus. COBIT Focus non attesta l’originalità dei contenuti degli articoli. © 2006 Information Systems Audit and Control Association and IT Governance Institute. All rights reserved. Insegnanti, docenti ed istruttori hanno il permesso di fotocopiare singoli articoli per uso non commerciale purché non richiedano un pagamento e non ne ottengano un guadagno. Per altri tipi di copie, ristampe o repubblicazioni, deve esser ottenuto un permesso scritto da ISACA; contattare, per favore: Joann Skiba [email protected] http://www.isacaroma.it Chi siamo: http://www.isacaroma.it/html/ChiSiamo.html Certificazioni CISA e CISM: http://www.isacaroma.it/html/Certificazioni.ht ml Giornate di studio e conferenze: http://www.isacaroma.it/html/GiornateDiStudi o.html Newsletter: http://www.isacaroma.it/html/newsletter/ Tutti gli articoli dedicate a COBIT: http://www.isacaroma.it/html/newsletter/taxonomy/ term/31 COBIT Focus is published by ISACA and the IT Governance Institute. Opinions expressed in COBIT Focus represent the views of the authors. They may differ from policies and official statements of ISACA and/or the IT Governance Institute and their committees, and from opinions endorsed by authors, employers or the editors of COBIT Focus. COBIT Focus does not attest to the originality of authors’ content. © 2006 Information Systems Audit and Control Association and IT Governance Institute. All rights reserved. Instructors are permitted to photocopy isolated articles for non commercial classroom use without fee. For other copying, reprint or republication, permission must be obtained in writing from the association. Please contact Joann Skiba at [email protected] . Realizzato da IsacaRoma, http://www.isacaroma.it, il 18-12- 2006; originale: http://www.isaca.org/cobitnewsletter 13