Goal e metriche: i concetti fondamentali di COBIT 4.0
Inserito da Agatino Grillo il Ven, 2006-07-21 08:53
Antologia | CobiT | IT Governance | Luglio 2006 | Security
060721-COBIT40CoreConcept
Traduzione italiana a cura di IsacaRoma dell’articolo di Wim Van Grembergen e Steven De Haes pubblicato da ISACA nel primo numero di COBIT Focus, June 2006 (pdf, 776 K). Si rimanda all’originale per le figure citate nel testo.
L’Information Technology (IT) è ormai pervasiva in un contesto di business molto dinamico e spesso turbolento. Se nel passato i business executive potevano delegare, ignorare o evitare le decisioni relative all’IT ciò adesso non è più possibile nella maggior parte dei settori e delle industry. In questo contesto molte aziende hanno iniziato progetti di IT Governance per garantire il giusto equilibrio tra il business e l’IT denotando, spesso, tali progetti come “strategic alignment poichè la relazione tra business ed IT è complessa e richiede l’allineamento dei relativi obiettivi (goal) e processi.
COBIT 4.0 fornisce dettagliate linee guida per gestire questa relazione e la sequenza di azioni da intraprendere per passare dai goal di business ai goal IT e predisporre (e misurare) i processi COBIT da usare come base per un solido framework di governance.
Ad esempio quando un’azienda ha come obiettivo di business il mantenimento della propria reputazione e leadership, un importante goal IT dovrebbe essere assicurare che i servizi IT possano resistere e fare recovery in caso di attacco.
Per assistere le aziende nel definire i propri obiettivi di business, COBIT fornisce una lista di 20 business goal generici basati sugli studi effettuati in differenti industry. Questi business goal sono classificati su quattro direttrici usando una business balanced scorecard (prospettiva finanziaria, prospettiva dei clienti, prospettiva interna e prospettiva di crescita ed apprendimento) come indicato nella figura 2 e sono anche linkati ai più rilevanti information criteria (terza sezione: COBIT Information Criteria - si veda la nota 1 in calce all’articolo).
Infine questi business goal sono linkati a 28 IT goal numerati (seconda sezione della figura 2: IT Goal), anch’essi listati nella figura 3, ed anch'essi linkati agli information criteria più importanti (terza sezione: COBIT Information Criteria). Una azienda può utilizzare questi generici business ed IT goal come input per identificare i propri contesti specifici di business ed IT per assicurarsi che gli obiettivi di business ed IT siano allineati.
Come linea guida, tutti i 34 processi IT in COBIT sono linkati ad uno o più dei 28 generici IT goal precedentemente definiti. Ciò è schematizzato nella seconda sezione (Processi) della figura 3. Ancora una volta le aziende devono però personalizzare questo modello per il proprio ambiente specifico.
Arrivato a questo punto, per ciascuno di questi processi IT identificati, l’azienda può definire gli specifici IT process goal che ritiene possano supportare il raggiungimento degli IT goal.
In COBIT sono forniti esempi di tali IT process goal per tutti i 34 processi IT.
Per il processo IT DS5 (Ensure system security) un esempio di IT process goal è individuare e contrastare accessi non autorizzati alle informazioni, applicazioni e infrastrutture.
A partire ancora dalla figura 1 la sequenza di azioni (parte 4) è stata sviluppata come segue: dai business goal agli IT goal e da questi agli IT process goals (usando DS5 Ensure system security come esempio).
Per raggiungere i goal dei processi definiti devono essere identificate un certo numero di attività all’interno del processo: queste sono dette activity goal.
COBIT fornisce anche esempi di tali activity goal.
Il box in alto a sinistra della figura 5 fornisce uno schema di activity goal per il processo COBIT DS5.
Questo activity goal (comprendere i requisiti di sicurezza, le vulnerabilità e le minacce) supporta il raggiungimento dell’IT process goal e, per estensione, dei goal IT e dei business goal che sono listati nella top line della figura 5.
Tutto ciò aiuta a comprendere il modo in cui l’IT supporta il raggiungimento dei business goal.
COBIT 4.0 prevede due tipi di metriche:
Ci sono quattro livelli di KGIs:
Esiste una importante relazione causa ed effetto tra un KPI ed un KGI per ciascun livello specifico. Per esempio, a livello di processo IT, si assume che se la frequenza della review del tipo di evento di sicurezza che deve essere monitorato (il suo KPI) è migliorato, ciò si trasformerà in un minor numero di violazioni di accesso (il suo KGI).
Ad esempio: in un certo momento e per un certo processo l'IT KGI è lo stesso dell’IT KPI per il goal a livello IT; se si rileva un abbassamento del numero di violazioni di accesso (IT KPI) allora ciò si tramuta in un numero più basso di incidenti IT con impatto sul business (IT KGI).
Questo IT KGI diventerà alla fine un KPI per il business goal che è misurato dal business KGI (numero di incidenti che hanno causato problemi di reputazione).
Quindi una azienda deve partire identificando i propri specifici business ed IT goal ed assicurarsi che essi siano allineati .
Per aiutare a definire business ed IT goal, COBIT fornisce una lista dettagliata di 20 business goal e di 28 IT goal che possono essere usati come punto di partenza. Sulla base di questi business ed IT goal, l’azienda deve successivamente identificare i processi COBIT più importanti per supportare gli IT goal.
COBIT fornisce modelli di alto livello per comprendere come gestire i 28 IT goal definiti integrandoli con i goal dettagliati per i processi e le relative attività.
Quando una azienda ha definito i processi COBIT sui quali si vuole focalizzare l’implementazione può partire.
Durante e dopo l’implementazione è importane che i business goal, gli IT goal ed i goal dei processi IT siano misurati e rivisti. Per assistere l’azienda in tale misurazione, COBIT fornisce KGIs e KPIs a livello di processi IT ed a livello IT. Sulla base delle misurazioni, i goal possono essere riallineati e migliorati, se necessario, e da ciò risulta un processo di miglioramento continuo.
Può essere contattato a: wim DOT vangrembergen AT ua DOT ac DOT be
Intervista a Wim Van Grembergen: Il futuro di COBIT in italiano ed in inglese
COBIT for Sarbanes-Oxley: Executive Summary
COBIT: tutti gli approfondimenti disponibili
Il futuro di COBIT
The future of COBIT
COBIT Focus Newsletter
La faq su Val IT in italiano
La faq su COBIT 4.0 in italiano
È arrivato COBIT 4.0
Cobit in Academia Program
L’Information Technology (IT) è ormai pervasiva in un contesto di business molto dinamico e spesso turbolento. Se nel passato i business executive potevano delegare, ignorare o evitare le decisioni relative all’IT ciò adesso non è più possibile nella maggior parte dei settori e delle industry. In questo contesto molte aziende hanno iniziato progetti di IT Governance per garantire il giusto equilibrio tra il business e l’IT denotando, spesso, tali progetti come “strategic alignment poichè la relazione tra business ed IT è complessa e richiede l’allineamento dei relativi obiettivi (goal) e processi.
COBIT 4.0 fornisce dettagliate linee guida per gestire questa relazione e la sequenza di azioni da intraprendere per passare dai goal di business ai goal IT e predisporre (e misurare) i processi COBIT da usare come base per un solido framework di governance.
Definire ed allineare i business goal e gli IT goal
Quando le aziende vogliono implementare COBIT per la governance per prima cosa devono garantire una chiara definizione dei loro business goal che devono essere chiaramente espressi e tradotti in obiettivi IT che supportino il raggiungimento di questi obiettivi di business come indicato nella figura 1.Ad esempio quando un’azienda ha come obiettivo di business il mantenimento della propria reputazione e leadership, un importante goal IT dovrebbe essere assicurare che i servizi IT possano resistere e fare recovery in caso di attacco.
Per assistere le aziende nel definire i propri obiettivi di business, COBIT fornisce una lista di 20 business goal generici basati sugli studi effettuati in differenti industry. Questi business goal sono classificati su quattro direttrici usando una business balanced scorecard (prospettiva finanziaria, prospettiva dei clienti, prospettiva interna e prospettiva di crescita ed apprendimento) come indicato nella figura 2 e sono anche linkati ai più rilevanti information criteria (terza sezione: COBIT Information Criteria - si veda la nota 1 in calce all’articolo).
Infine questi business goal sono linkati a 28 IT goal numerati (seconda sezione della figura 2: IT Goal), anch’essi listati nella figura 3, ed anch'essi linkati agli information criteria più importanti (terza sezione: COBIT Information Criteria). Una azienda può utilizzare questi generici business ed IT goal come input per identificare i propri contesti specifici di business ed IT per assicurarsi che gli obiettivi di business ed IT siano allineati.
Definire ed allineare IT goal, goal dei processi IT e activity goal
Quando i goal di business ed IT sono definiti ed allineati, una azienda può finalmente identificare i processi COBIT più importanti che sono abilitatori essenziali per raggiungere gli IT goal identificati.Come linea guida, tutti i 34 processi IT in COBIT sono linkati ad uno o più dei 28 generici IT goal precedentemente definiti. Ciò è schematizzato nella seconda sezione (Processi) della figura 3. Ancora una volta le aziende devono però personalizzare questo modello per il proprio ambiente specifico.
Arrivato a questo punto, per ciascuno di questi processi IT identificati, l’azienda può definire gli specifici IT process goal che ritiene possano supportare il raggiungimento degli IT goal.
In COBIT sono forniti esempi di tali IT process goal per tutti i 34 processi IT.
Per il processo IT DS5 (Ensure system security) un esempio di IT process goal è individuare e contrastare accessi non autorizzati alle informazioni, applicazioni e infrastrutture.
A partire ancora dalla figura 1 la sequenza di azioni (parte 4) è stata sviluppata come segue: dai business goal agli IT goal e da questi agli IT process goals (usando DS5 Ensure system security come esempio).
Per raggiungere i goal dei processi definiti devono essere identificate un certo numero di attività all’interno del processo: queste sono dette activity goal.
COBIT fornisce anche esempi di tali activity goal.
Il box in alto a sinistra della figura 5 fornisce uno schema di activity goal per il processo COBIT DS5.
Questo activity goal (comprendere i requisiti di sicurezza, le vulnerabilità e le minacce) supporta il raggiungimento dell’IT process goal e, per estensione, dei goal IT e dei business goal che sono listati nella top line della figura 5.
Tutto ciò aiuta a comprendere il modo in cui l’IT supporta il raggiungimento dei business goal.
Misurare il raggiungimento dei goal
Dopo che i goal sono stati definiti è importante avere strumenti per misurare il loro raggiungimento attraverso le metriche (come illustrato nella bottom line della figura 5).COBIT 4.0 prevede due tipi di metriche:
- key goal indicator (KGIs)
- key performance indicator (KPIs).
Ci sono quattro livelli di KGIs:
- business KGIs per misurare i business goal,
- IT KGIs per misurare gli IT goal,
- IT process KGIs per misurare i goal dei processi IT
- activity goal KGIs per misurare gli activity goals.
Esiste una importante relazione causa ed effetto tra un KPI ed un KGI per ciascun livello specifico. Per esempio, a livello di processo IT, si assume che se la frequenza della review del tipo di evento di sicurezza che deve essere monitorato (il suo KPI) è migliorato, ciò si trasformerà in un minor numero di violazioni di accesso (il suo KGI).
Ad esempio: in un certo momento e per un certo processo l'IT KGI è lo stesso dell’IT KPI per il goal a livello IT; se si rileva un abbassamento del numero di violazioni di accesso (IT KPI) allora ciò si tramuta in un numero più basso di incidenti IT con impatto sul business (IT KGI).
Questo IT KGI diventerà alla fine un KPI per il business goal che è misurato dal business KGI (numero di incidenti che hanno causato problemi di reputazione).
Summary e Practical Guidance
Quando una azienda vuole utilizzare COBIT non può implementare tutti i 34 processi in una volta sola: un progetto di implementazione di COBIT deve essere sudddiviso in unità più piccole e più facilmente gestibili.Quindi una azienda deve partire identificando i propri specifici business ed IT goal ed assicurarsi che essi siano allineati .
Per aiutare a definire business ed IT goal, COBIT fornisce una lista dettagliata di 20 business goal e di 28 IT goal che possono essere usati come punto di partenza. Sulla base di questi business ed IT goal, l’azienda deve successivamente identificare i processi COBIT più importanti per supportare gli IT goal.
COBIT fornisce modelli di alto livello per comprendere come gestire i 28 IT goal definiti integrandoli con i goal dettagliati per i processi e le relative attività.
Quando una azienda ha definito i processi COBIT sui quali si vuole focalizzare l’implementazione può partire.
Durante e dopo l’implementazione è importane che i business goal, gli IT goal ed i goal dei processi IT siano misurati e rivisti. Per assistere l’azienda in tale misurazione, COBIT fornisce KGIs e KPIs a livello di processi IT ed a livello IT. Sulla base delle misurazioni, i goal possono essere riallineati e migliorati, se necessario, e da ciò risulta un processo di miglioramento continuo.
Nota 1
Per soddisfare gli obiettivi di business, le informazioni devono essere conformi a determinati control criteria, ai quali COBIT si riferisce come “business requirement for information” o “information criteria”.Chi sono Wim Van Grembergen e Steven De Haes?
Wim Van Grembergen
È professore e preside del dipartimento di information systems management department alla facoltà di Economia e Management dell’Università di Antwerp (Belgio) nonché executive professor all’Università della Antwerp Management School (UAMS). Van Grembergen è impegnato nello sviluppo continuo del framework COBIT. Egli è anche membro dell’Academic Relations Committee di ISACA ed a momento sta conducendo un progetto di ricerca per l’IT Governance Institute (ITGI) sulla IT Governance. Van Grembergen è relatore di meeting e conferenze accademiche e professionali ed è stato consulente per numerose aziende. È membro del consiglio di amministrazione di diverse aziende IT tra le quali una azienda di consulenza IT ed una azienda IT che fornisce servizi ad un noto gruppo finanziario belga. Di recente ha costituito, presso l’UAMS, l’ITAG Research Institute che ha l’obiettivo di contribuire alla comprensione dell’allineamento IT e della governance attraverso ricerche e diffusione della conoscenza per mezzo di pubblicazioni, conferenze e seminari (www.uams.be/itag).Può essere contattato a: wim DOT vangrembergen AT ua DOT ac DOT be
Intervista a Wim Van Grembergen: Il futuro di COBIT in italiano ed in inglese
Steven De Haes
È responsabile per gli executive program di information systems management alla Management School dell’Università di Antwerp (UAMS). È impegnato in studi e ricerche nell’ambito della IT Governance e strategic alignment. Ha sviluppato ricerche e condotto progetti per ISACA e ITGI nelle aree IT Governance e COBIT. Al momento sta preparando il suo Ph.D. sulle practice ed i meccanism della IT Governance. Ha pubblicato diversi articoli sulla IT Governance principalmente per l’Information Systems Control Journal ed il Journal for Information Technology Case Studies and Applications (JITCA). Ha presentato relazioni a diverse conferenze quali l’Hawaiian International Conference on System Sciences (HICSS) e l’Information Resources Management Association (IRMA) Conference. Ha partecipato come speaker e facilitator alle conferenze ISACA. Di recente ha lavorato con Wim Van Grembergen alla fondazione dell’ITAG Research Institute.IsacaRoma newsletter link
COBIT e ISO/IEC 17799:2000COBIT for Sarbanes-Oxley: Executive Summary
COBIT: tutti gli approfondimenti disponibili
Il futuro di COBIT
The future of COBIT
COBIT Focus Newsletter
La faq su Val IT in italiano
La faq su COBIT 4.0 in italiano
È arrivato COBIT 4.0
Cobit in Academia Program
» email this story | printer friendly version | 3998 reads
