Dopo aver rapidamente analizzato il white paper dedicato al mapping fra CobiT e ISO/IEC 17799:2000  passiamo al documento dedicato al confronto fra Cobit ed i più importanti standard di security, governance e project management (pdf, 444K).

Cobit non è ovviamente l’unico framework in ambito IT governance ma, al contrario, si affianca ad una vasta collezione di standard e best practice dedicati alla gestione di specifici aspetti della funzione IT in azienda. “Cobit Mapping - Overview of international IT Guidance”, seconda edizione offre una comprazione ragionata tra questi standard.
La pubblicazione è un aggiornamento della prima edizione, rilasciata nel 2004 di cui IsacaRoma Newsletter si occupò in un articolo dell’aprile 2004 (pdf, 203 K, pag. 3).

Standard analizzati

Oltre a COBIT stesso, il documento prende in esame:

• COSO, Internal Control - Integrated Framework che propone un framework per il sistema dei controlli interni.
• ITIL: l’IT Infrastructure Library,, proposta dalla britannica CCTA  (Central  Computing  and Telecommunications  Agency) è un set di "best practices" per 24 tipologie di servizi, delivery e supporto IT con il focus sull’utilizzatore dei servizi.
• ISO/IEC 17799:2005: il cosiddetto”Code of Practice for Information Security Management”, standard internazionale ISO, basato su BS 7799-1 e ISO/IEC 17799:2000.
• FIPS PUB 200  (pdf, 214 K) – I “Minimum Security Requirement” per le organizzazioni federali USA.
• ISO/IEC TR 13335: le “Technical report Guidelines for the Management of IT Security” che si concentrano sull’ IT security management non solo dal punto di vista del management ma anche fornendo misure di dettaglio per l’implementazione e la manutenzione delle procedure.
• ISO/IEC 15408:2005 si tratta dei “Security Techniques - Evaluation Criteria for IT Security” più noti come “Common Criteria”, utili per la valutazione e la certificazione di prodotti e servizi IT.
• PRINCE2 - Projects in Controlled Environments (PRINCE) fornisce un metodo strutturato per il project management efficace ed è descritto nel documento “Managing Successful Projects with PRINCE2”.
• PMBOK - Guida al Project Management Body of Knowledge (PMBOK© Guide) è la raccolta delle conoscenze dei professionisti del project management nonché un American National Standard, ANSI/PMI 99-001-2004.
• TickIT : è uno schema di certificazione conforme a ISO 9000; per aziende nel settore dell'Information Technology.
• CMMI - Capability Maturity Model Integration® combina tre modelli - Capability Maturity Model for Software (SWCMM) v2.0 draft C, Electronic Industries Alliance Interim Standard (EIA/IS) 731 e Integrated Product Development Capability Maturity Model (IPD-CMM) v0.98 – in un singolo framework per le aziende  pursuing che puntano ad un processo di miglioramento internazionale.
• TOGAF 8.1 – fornisce un metodo dettagliato ed un set di tool di supporto per sviluppare una “enterprise architecture”.
• IT Baseline Protection Manual -  fornisce lo standard per le misure di sicurezza IT.  
• NIST 800-14: le linee guida dello statunitense National Institute of Standards and Technology (NIST) che sulla base dei cosiddetti  “Generally Accepted Principles and Practices for Securing Information Technology Systems” forniscono un programma di sicurezza coerente e completo.   

Schema di classificazione

Il rapporto propone una classificazione degli standard analizzati sulla base di una serie di parametri:

• Document Taxonomy: il tipo di guida, internazionale o nazionale, vero e proprio standard o semplice collezione di best practice?.
• Issuer: chi ha redatto lo standard?
• Goal: finalità primarie dello standard; information security management, baseline protection, linee guida per il software development o management?
• Business driver per l’implementazione (e situazioni tipiche): i casi di business in cui è consigliata l’implementazione.
• Rischi di non-compliance correlati: i business risk che si corrono a non implementare lo standard.
• Target Audience: a chi è rivolto lo standard?
• Timeliness: lo standard è aggiornato? Con che frequenza viene aggiornato?
• Certificazione: se applicabile vengono analizzate le certificazioni professionali collegate allo standard.
• Diffusione: la linea guida è diffusa a livello internazionale?
• Completezza:  viene valutata la completezza di ciascuno standard rispetto a COBIT da due punti di vista, sintetizzata in una matrice:
1. una dimensione “verticale” che indica il livello di dettaglio delle linee guida in termini di profondità  tecnologica o operativa;
2. una dimensione “orizzontale” che indica il grado di completezza dello standard dal punto di vista della copertura dei processi
• Disponibilità: come e dove le informazioni possono essere ottenute
• Processi CobiT: un mapping di alto livello dei processi Cobit coperti dalla linea guida.
• Information Criteria: quali information criteria di CobiT sono presi in considerazione dallo standard:
1. Efficiency
2. Effectiveness
3. Confidentiality
4. Integrity
5. Availability
6. Compliance
7. Reliability
• IT Resources: quali risorse di CobiT sono prese in considerazione:
1. Application
2. Information
3. Infrastructure
4. People
• Descrizione dei contenuti della linea guida

Fine prima parte

Leggi la seconda parte

IsacaRoma Newsletter link

• COBIT: Overview of international IT Guidance - Project Management 
• Progettare l'IT Governance Architecture
• COBIT e ISO/IEC 17799:2000 
• COBIT for Sarbanes-Oxley: Executive Summary 
• COBIT: tutti gli approfondimenti disponibili 
• Il futuro di COBIT 
• The future of COBIT
• COBIT Focus Newsletter
• Goal e metriche: i concetti fondamentali di COBIT 4.0
• La faq su Val IT in italiano 
• La faq su COBIT 4.0 in italiano
• È arrivato COBIT 4.0 
• Cobit in Academia Program