COBIT
Il Control Objectives for Information and related Technology (COBIT) è un modello (framework) per la gestione della Information and Communication Technology (ICT) creato nel 1992 dall'associazione americana degli auditor dei sistemi informativi (Information Systems Audit and Control Association - ISACA), e dal IT Governance Institute (ITGI).
COBIT fornisce ai manager, agli auditor e agli utenti dei sistemi IT una griglia di riferimento costituita da:
- una struttura dei processi della funzione IT, rispetto alla quale si è venuto formando il consenso degli esperti del settore
- una serie di strumenti teorici e pratici collegati ai processi
con l'obiettivo di valutare se è in atto un efficace governo della funzione IT (IT governance) o di fornire una guida per instaurarlo.
Il modello COBIT (nella versione inglese) è pubblico e scaricabile gratuitamente. Esiste anche una versione italiana; maggiori dettagli riguardo alla disponibilità dei documenti e a come ottenerli sono nella sezione Come ottenere COBIT.
Caratteristiche modifica
COBIT è stato pubblicato per la prima volta nel 1996. La sua missione è quella di "ricercare, sviluppare, pubblicizzare e promuovere un insieme internazionale di obiettivi di controllo di accettazione generale per l'utilizzo giornaliero da parte di manager e auditor".
Le aziende devono soddisfare i requisiti di qualità, affidabilità e di sicurezza della loro organizzazione IT perseguendo obiettivi di efficacia, devono cioè:
- controllare la funzione IT affinché fornisca le informazioni necessarie all'azienda
- gestire i rischi che gravano sulle risorse IT
- assicurarsi che la funzione IT raggiunga i propri obiettivi e che questi siano in sintonia con gli obiettivi aziendali
Devono inoltre perseguire obiettivi di efficienza, valutando la maturità dei processi e misurando le prestazioni della funzione IT.
Il modello COBIT si propone di rispondere a questi bisogni:
- Fornendo un collegamento tra gli obiettivi della funzione IT e gli obiettivi aziendali
- Organizzando le attività della funzione IT secondo un modello di processi generalmente accettato
- Definendo gli obiettivi di controllo da utilizzare nella gestione
- Fornendo un modello di maturità rispetto al quale valutare la maturità dei processi IT
- Definendo obiettivi misurabili (goal) secondo metriche basate sui principi delle Balanced scorecard
COBIT 4.1 divide il controllo della funzione IT in quattro domini: Pianificazione e Organizzazione (Plan and Organise), Acquisizione e Implementazione (Acquire and Implement), Erogazione ed Assistenza (Deliver and Support), Monitoraggio e Valutazione (Monitor and Evaluate). Nei quattro domini sono collocati un totale di 34 processi, ai quali fanno capo, nella versione 4.1, un totale di 210 obiettivi di controllo; questi ultimi rivestono un'importanza centrale nel COBIT, al punto di dare il nome al modello stesso.
Versioni modifica
COBIT ha visto succedersi cinque versioni principali:
- Nel 1996 venne distribuita la prima edizione di COBIT.
- Nel 1998 vennero aggiunte le "Management Guidelines".
- Nel 2000 venne distribuita la terza edizione.
- Nel 2003 venne resa disponibile un'edizione on-line.
- Nel dicembre 2005 venne distribuita la quarta edizione
- Nel maggio 2007 viene distribuito un aggiornamento (4.1) della quarta edizione.
- Nel 2012 viene distribuita la quinta edizione, COBIT 5, che consolida e integra i framework COBIT 4.1, Val IT 2.0 and Risk IT frameworks.
Struttura del COBIT 4.1 modifica
COBIT comprende quattro domini:
- Pianificazione e Organizzazione (Plan and Organise)
- Acquisizione e Implementazione (Acquire and Implement)
- Erogazione ed Assistenza (Deliver and Support),
- Monitoraggio e Valutazione (Monitor and Evaluate)
Nei domini sono collocati i 34 processi, ognuno dei quali prevede una serie di attività con degli obiettivi precisi (activity goal).
Obiettivi di controllo modifica
Per ogni processo sono definiti degli obiettivi di controllo specifici. Inoltre vi sono due insiemi di obiettivi di controllo "generali" applicabili a ciascun processo:
- il primo insieme riguarda i processi medesimi (si tratta controlli identificati con la sigla PCn - Process control n)
- il secondo insieme riguarda i dati in ingresso e uscita ai processi (si tratta controlli identificati con la sigla ACn - Application Control n)
Secondo il modello, il raggiungimento degli obiettivi di controllo garantisce un ragionevole livello di confidenza riguardo al raggiungimento degli obiettivi aziendali connessi al processo e alla prevenzione dei rischi associati al processo stesso.
Il modello non impone necessariamente il raggiungimento di ogni obiettivo di controllo. Il management aziendale può decidere quali sono i controlli applicabili ad ogni singolo processo all'interno dell'azienda, quali andranno implementati e con quali modalità, o viceversa può accollarsi il rischio di non implementarli.
I processi del COBIT 4.1 suddivisi per domini modifica
Plan and Organize modifica
Il dominio copre gli aspetti strategici e tattici e si propone di individuare il modo migliore in cui la funzione IT può contribuire al raggiungimento degli obiettivi aziendali. Lo scopo è di comprendere se gli obiettivi della funzione IT sono noti a tutti all'interno dell'organizzazione, se la funzione IT è in linea con la strategia aziendale, se l'azienda sta utilizzando le proprie risorse in modo ottimale gestendo correttamente i rischi e fornendo la qualità richiesta.
| PO1 | Definire un piano strategico per l'IT |
| PO2 | Definire l'architettura del Sistema Informativo |
| PO3 | Definire gli indirizzi tecnologici |
| PO4 | Definire i processi, l'organizzazione e le relazioni dell'IT |
| PO5 | Gestire gli investimenti IT |
| PO6 | Comunicare gli obiettivi e gli orientamenti della direzione |
| PO7 | Gestire le risorse umane dell'IT |
| PO8 | Gestire la qualità |
| PO9 | Valutare e gestire i rischi informatici |
| PO10 | Gestire i progetti |
Acquire and Implement modifica
Le soluzioni al servizio della strategia IT devono essere prima di tutto identificate, poi costruite o acquisite; successivamente devono essere poste in opera e integrate al servizio dei processi aziendali. In aggiunta a ciò, in questo dominio si provvede a controllare la gestione dei cambiamenti e la manutenzione di sistemi, servizi e applicazioni, sempre compatibilmente con gli obiettivi aziendali. Lo scopo è di comprendere se i progetti forniranno soluzioni in linea con le attese e con i tempi e costi stimati, se opereranno correttamente una volta distribuiti, e se la modalità di gestione dei cambiamenti è in grado di assicurare che questi vengano posti in essere senza effetti negativi sull'operatività dell'azienda.
| AI1 | Identificare le soluzioni informatiche |
| AI2 | Acquisire e manutenere il software applicativo |
| AI3 | Acquisire e manutenere l'infrastruttura tecnologica |
| AI4 | Consentire il funzionamento e l'uso dei sistemi IT |
| AI5 | Approvvigionamento delle risorse IT |
| AI6 | Gestire le modifiche |
| AI7 | Installare e certificare le soluzioni e le modifiche |
Deliver and Support modifica
I processi nel dominio Deliver and Support si occupano dell'erogazione effettiva dei servizi, il che comprende anche il controllo della disponibilità, del rispetto dei livelli di servizio e della sicurezza del servizio stesso, così come il supporto agli utenti e la gestione dei dati e dell'ambiente fisico.
I processi del dominio si assicurano che i servizi IT vengano erogati in linea con le priorità aziendali, che venga effettuata una gestione ottimale dei costi, che il personale sia in grado di utilizzare i sistemi con cognizione di causa e in sicurezza e che le informazioni siano protette negli aspetti di riservatezza, integrità, confidenzialità che sono loro propri.
| DS1 | Definire e gestire i livelli di servizio |
| DS2 | Gestire i servizi di terze parti |
| DS3 | Gestire le prestazioni e la capacità produttiva |
| DS4 | Assicurare la continuità di servizio |
| DS5 | Garantire la sicurezza dei sistemi |
| DS6 | Identificare e attribuire i costi |
| DS7 | Formare e addestrare gli utenti |
| DS8 | Gestione del service desk e degli incidenti |
| DS9 | Gestire la configurazione |
| DS10 | Gestire i problemi |
| DS11 | Gestire i dati |
| DS12 | Gestire l'ambiente fisico |
| DS13 | Gestire le operazioni |
Monitor and Evaluate modifica
È necessaria una valutazione regolare e periodica della qualità dei processi IT. I processi in questo dominio si occupano di verificare se le prestazioni della funzione IT sono in linea con le aspettative del vertice aziendale, se il sistema di controlli interni è ben congegnato, se sono saldi i legami tra le prestazioni della funzione IT e gli obiettivi aziendali e se è garantita la conformità a leggi e regolamenti.
| ME1 | Monitorare e valutare le prestazioni dell'IT |
| ME2 | Monitorare e valutare i controlli interni |
| ME3 | Garantire la conformità ai regolamenti |
| ME4 | Istituzione dell'IT governance |
COBIT e altri standard internazionali modifica
Per moltissimi standard internazionali sono disponibili documenti con le corrispondenze (mapping), documenti cioè che mettono in relazione le aree coperte da COBIT rispetto a quelle coperte dagli altri standard (cfr. (EN) ISACA CobiT Mappings).
La maggior parte di tali documenti sono riservati però agli associati ISACA.
Uno schema di confronto tra COBIT e altri framework (riprodotto in figura) è stato elaborato da Eric Guldentops, uno dei padri del modello COBIT.
COBIT e ITIL modifica
COBIT e ITIL presentano aree di sovrapposizione, in cui gli stessi processi vengono analizzati da punti di vista differenti; né potrebbe essere altrimenti, visto che entrambi i framework riguardano quelle che, in senso lato, sono le prestazioni di una struttura IT.
Da una parte il modello COBIT copre i processi di gestione dei servizi IT (IT service management); dall'altra le pratiche consolidate ITIL (nel caso di ITIL si parla di best practices) forniscono strumenti e indicazioni su come soddisfare gli obiettivi di controllo indicati da COBIT.
La recente introduzione della versione 3 di ITIL, affrontando tematiche proprie della strategia di costruzione ed erogazione dei servizi, ha aumentato le aree di sovrapposizione dei modelli o, per meglio dire, ha aumentato le aree in cui è possibile fare ricorso alle pratiche ITIL per soddisfare gli obiettivi di controllo previsti da COBIT.
Un confronto tra COBIT e ITIL è contenuto in un documento del maggio 2007, a cura di esperti di itSMF Italia, AIEA e SDA Bocconi. Il documento è liberamente scaricabile dal sito AIEA. Si noti che le versioni confrontate sono COBIT 4.0 e ITIL v2; malgrado i cambiamenti sostanziali intervenuti per entrambi i framework nelle versioni successive, molte considerazioni sono ancora applicabili.
COBIT, il modello COSO e la legge Sarbanes-Oxley modifica
L'entrata in vigore della legge Sarbanes Oxley negli Stati Uniti, nel luglio 2002, ha determinato un sostanziale incremento della diffusione del COBIT, come mezzo per ottenere un governo efficace della funzione IT e quindi ottemperare alle disposizioni di legge.
La SEC - Securities and Exchange Commission aveva indicato nel modello COSO lo standard di riferimento per la conformità alla Sarbanes-Oxley. La pubblicazione da parte di ITGI di un documento di corrispondenza (mapping) tra processi COBIT e componenti COSO da una parte e gli obiettivi di controllo COBIT e controlli COSO dall'altra ha reso pienamente applicabile il modello COBIT per le verifiche di conformità alla Sarbanes-Oxley.
Come ottenere COBIT modifica
COBIT è scaricabile dalla (EN) pagina di download del sito ISACA, così come sono scaricabili molti altri documenti correlati al modello. Per scaricare il modello COBIT è richiesta la registrazione (gratuita) al sito. Altri documenti, specificatamente quelli riguardanti le modalità di impiego e applicazione del modello, sono accessibili ai soli iscritti all'ISACA.
La traduzione italiana della norma è curata dall'AIEA [1]
Voci correlate modifica
Altri progetti modifica
Wikimedia Commons contiene immagini o altri file su COBIT
Collegamenti esterni modifica
- (EN) ISACA I custodi del COBIT
- (EN) COBIT User Forum Il principale gruppo di utenti del COBIT
- AIEA Capitolo italiano dell'ISACA con sede a Milano
- ISACA Roma Capitolo italiano dell'ISACA con sede a Roma
| Controllo di autorità | LCCN (EN) sh2008005383 · GND (DE) 7544194-9 · J9U (EN, HE) 987007559090805171 |
|---|