Home

COBIT Focus 2 - ITGI annuncia COBIT 4.1 e le nuove pubblicazioni

Inserito da Agatino Grillo il Sab, 2006-12-16 12:37 CobiT | Dicembre 2006
061216-cobitfocus2-2 Iniziamo le traduzioni in italiano degli articoli presenti sul secondo numero di COBIT Focus (volume 2 2006) già disponibili in inglese sul sito di ISACA International (pfd, 497 K). Ricordiamo che il primo numero di COBIT Focus è già stato interamente tradotto in italiano da IsacaRoma (pdf, 297 K).

ITGI annuncia COBIT 4.1 e le nuove pubblicazioni

di Gary Hardy (traduzione dall’inglese di Agatino Grillo)
Nell’ultimo trimestre del 2007, sarà rilasciato COBIT® 4.1 insieme alle nuove versioni delle pubblicazioni COBIT così da allineare tutti i prodotti della serie Control Objectives for Information and related Technology (COBIT®) alla stessa versione.
I rilasci previsti comprendono:
  • COBIT 4.1;
  • COBIT® Control Practices: Guidance to Achieve Control Objectives for Successful IT Governance, 2nd Edition;
  • IT Governance Implementation Guide: Using COBIT® and Val IT™, 2nd Edition;
  • IT Assurance Guide: Using COBIT®.
Dopo questi rilasci sarà aggiornato anche COBIT Online® e l’IT Governance Institute® (ITGI™) pubblicherà anche la seconda edizione di COBIT® Security Baseline e COBIT® Quickstart.

COBIT 4.1

COBIT 4.1 comprende una serie di aggiornamenti incrementali rispetti a COBIT® 4.0. Si tratta di una sorta di "fine-tuning" del framework COBIT senza cambiamenti veramente significativi rispetto a COBIT 4.0. COBIT 4.1 fornisce una executive overview migliore e ulteriori spiegazioni sulla misurazione delle performance, attraverso lo schema a cascata delle metriche, dei processi IT e degli obiettivi delle attività e soffermandosi sulla differenza fra performance driver ed outcome measure. Il punto da comprendere è che una outcome measure è anche un performance driver per un obiettivo di alto livello. Sono forniti anche obiettivi di controllo migliori come risultato dell’aggiornamento delle control practices e dello sviluppo di Val IT™.
A livello di obiettivi di controllo, la definizione di control objective è stata modificata per farla aderire meglio agli statement correnti delle management practice statement. Infine sono stati raggruppati alcuni control objective e/o ridenominati per evitare sovrapposizioni e rendere più coerente la lista degli obiettivi di controllo all’interno di ciascun processo. In questo senso AI5.4, AI5.5 e AI5.6 sono stati raggruppati così come AI7.9, AI7.10 eAI7.11.
Sono stati fatti cambiamenti anche a ME3 per includere la compliance con le policy internazionali ed i requirement contrattuali oltre ai requisiti legali e relativi ai regulators. Questi cambiamenti hanno prodotto la rinumerazione degli obiettivi di controllo rimanenti. Anche ulteriori obiettivi di controllo sono stati ridenominati per renderli più action-oriented e coerenti nella denominazione stessa.La sezione degli application control è stata allargata con pochi ulteriori application control senza nessuna perdita in termini di requisiti sui controlli generalmente applicati. Nello specifico:
  • È stato effettuato un consolidamento e miglioramento riducendo da18 a sei gli obiettivi d controllo i cui dettagli sono ora forniti nel nuovo COBIT® Control Practices, 2nd Edition
  • Sono stati eliminati i controlli manuali
  • I controlli di sicurezza sono stati spostati nel processo di sicurezza o eliminati se già presenti in quest’ultimo
  • Le responsabilità dei controlli di business, di quelli generali e di quelli applicativi sono stati meglio illustrati
  • È stata migliorata la descrizione dei business ed IT goal presenti nell’appendice I grazie alle ricerche svolte presso la Management School dell’Università di Antwerp (UAMS), in Belgio.
  • Il pull-out è stato allargato per fornire una quick reference list dei processi COBIT e dei diagrammi overview e lo schema dei domini è stato rivisto per includere le reference ai controlli di processo ed ai controlli applicativi del framework COBIT.
  • Sono stati corretti le incoerenze, gli errori e le sviste identificate dagli utilizzatori di COBIT (COBIT 4.0 e COBIT Online®).
La figura 1 presenta lo schema finale dei prodotti COBIT e dell’audience a cui sono rivolti.

COBIT Control Practices, 2nd Edition

Le novità consistono negli statement delle control practice, derivati dalla prima edizione rilasciata nel 2004 e migliorati ed allineati con COBIT 4.1. Le control practice sono definite come prassi di implementazione action-oriented dotati di value e risk statement che forniscono risposte a domande tipo "perché si fa questo?" evidenziando il valore che si deve ottenere ed i rischi che si devono evitare grazie all’implementazione delle prassi che garantiscono gli obiettivi di controllo.
La pubblicazione aggiornata sostituirà completamente l’attuale guida; essa estende le capacità del framework COBIT e supporterà sia l’IT Assurance Guide sia l’IT Governance Implementation Guide fornendo ulteriori dettagli.
I processi IT di COBIT, i business requirement ed i control objective definiscono cosa si deve implementare per rendere efficace la struttura di controllo.
Le control practice forniscono una guida più dettagliata agli obiettivi di controllo e indicano come, perché e cosa implementare rispetto alle necessità di:
  1. Implementatori della IT governance, compresi il management, i service provider, gli end users, i professionisti dei controlli così da aiutarli a giustificare e disegnare i controlli specifici indispensabili per gestire i progetti IT ed i relativi rischi operativi e migliorare le performance IT. La guida su quali controlli sono necessari e quali siano le best practice permette di individuare gli specifici obiettivi di controllo mentre le control practice aiutano ad individuare la soluzione e a realizzarla in maniera più efficiente.
  2. I professionsiti dell’assurance che hanno bisogno di una guida per la valutazione ed il testing ed anche coloro a cui può essere richiesta una opinione sui miglioramenti proposti.
Le control practice, quindi, servono a due scopi e sono state sviluppate per le necessità di questi due tipologie di utilizzatori. Le control practice guidance formano la base per la valutazione ed il testing così che gli implementatori e gli assurance professional possano seguire un approccio comune.

IT Governance Implementation Guide, 2nd Edition

IT Governance Implementation Guide: Using COBIT® e Val IT™, 2nd Edition forniscono una road map dettagliata ed una guida per stabilire una IT governance efficace nelle organizzazioni e per usare COBIT a tale finalità. Questa seconda edizione della guida comprende gli aggiornamenti rispetto a COBIT 4.1 e Val IT, evidenziando i concetti fondamentali e lo scope della governance.
La guida assiste i diversi stakeholder con una road map dettagliata che aiuta le aziende a rendere effettive le proprie necessità di IT governance. Essa fornisce l’identificazione delle componenti di COBIT e Val IT da utilizzare sia per le fasi iniziali che per il planning e la realizzazione pratica delle soluzioni.

IT Assurance Guide: Using COBIT

La nuova IT Assurance Guide: Using COBIT®  fornisce una guidance dettagliata di come COBIT può essere utilizzato per supportare una gran varietà di attività di assurance come il planning, lo scoping ed il risk assessment, ed anche le modalità per compiere una assurance review per ciascuno dei processi IT. Essa sostituisce le attuali COBIT® Audit Guidelines.
La IT Assurance Guide contiene numerose e dettagliate testing guidance che adesso sono a livello di IT process e control objective e si basano sulle control practices comprese le attuali audit guideline che forniscono solamente guidance a livello di IT processo.
Gli step di assurance permettono di testare l’efficienza operativa ed i risultati dei controlli. I generic assurance step riguardano l’esistenza ed il design dell’efficienza dei controlli proposti nonché le responsabilità connesse.
I testing step sono disegnati per fornire il primo livello di sviluppo di un programma di audit da parte idi un auditor interno od esterno.L’obiettivo non è di fornire un programma dettagliato di audit da utilizzare immediatamente; viceversa l’obiettivo è fornire una base all’auditor esperto per realizzare un programma personalizzato da dare agli auditor meno esperti.
L’auditor utilizza tali step e lo modifica secondo la realtà da auditare: si tratta solo di una guidance non di una raccolta di ricette per cucina!
La combinazione di tutti gli step di assurance fornisce un metodo di testing che aiuta nella redazione delle proprie opinioni rispetto agli obiettivi di assurance combinando uno o più tipi di step:
  • Inquire e confirm (per mezzo di differenti fonti)
  • ispezioni (walk-through, search, compare, review)
  • osservazioni (con inclusa conferma)
  • ricalcoli e analisi dei dati (spesso utilizzando dei campioni)
  • raccolta in automatico di evidenze (campioni, log, estrazioni) e successiva analisi
In aggiunta, per supportare l’assurance review, sono forniti testing step per ciascuno degli obiettivi di controllo generici applicabili a livello di processo IT e per ciascuno degli obiettivi di controllo applicabili ai controlli automatici embedded nei processi di business.

COBIT Security Baseline e COBIT Quickstart

Sia COBIT Security Baseline sia COBIT Quickstart saranno aggiornati ed allineati COBIT 4.1 anche se in pratica non avranno significativi cambiamenti.
COBIT Online
I contenuti di COBIT Online sono già aggiornati a COBIT 4.0 e lo saranno presto a COBIT 4.1

Gary Hardy

È direttore di IT Winners, una società di consulenza indipendente del Sud Africa specializzata in servizi di IT governance e performance improvement. Hardy è membro di ISACA dal 1981 ove ha ricoperto diverse posizioni di rilievo anche nel board member. È advisor di ITGI e fondatore e membro del COBIT Steering Committee; si occupa di IT, IT audit e IT governance da oltre 25 anni in varie industry.

IsacaRoma link

» email this story | printer friendly version | 42713 reads