COBIT

Da Wikipedia, l'enciclopedia libera.

Il Control Objectives for Information and related Technology (COBIT) è un modello (framework) per la gestione della Information and Communication Technology (ICT) creato nel 1992 dall'associazione americana degli auditor dei sistemi informativi (Information Systems Audit and Control Association - ISACA), e dal IT Governance Institute (ITGI).

COBIT fornisce ai manager, agli auditor e agli utenti dei sistemi IT una griglia di riferimento costituita da

  • una struttura dei processi della funzione IT, rispetto alla quale si è venuto formando il consenso degli esperti del settore
  • una serie di strumenti teorici e pratici collegati ai processi

con l'obiettivo di valutare se è in atto un efficace governo della funzione IT (IT governance) o di fornire una guida per instaurarlo.

Il modello COBIT (nella versione inglese) è pubblico e scaricabile gratuitamente. Esiste anche una versione italiana; maggiori dettagli riguardo alla disponibilità dei documenti e a come ottenerli sono nella sezione Come ottenere COBIT.

Caratteristiche[modifica | modifica wikitesto]

COBIT è stato pubblicato per la prima volta nel 1996. La sua missione è quella di "ricercare, sviluppare, pubblicizzare e promuovere un insieme internazionale di obiettivi di controllo di accettazione generale per l'utilizzo giornaliero da parte di manager e auditor".

Le aziende devono soddisfare i requisiti di qualità, affidabilità e di sicurezza della loro organizzazione IT perseguendo obiettivi di efficacia, devono cioè:

  • controllare la funzione IT affinché fornisca le informazioni necessarie all'azienda
  • gestire i rischi che gravano sulle risorse IT
  • assicurarsi che la funzione IT raggiunga i propri obiettivi e che questi siano in sintonia con gli obiettivi aziendali

Devono inoltre perseguire obiettivi di efficienza, valutando la maturità dei processi e misurando le prestazioni della funzione IT.

Il modello COBIT si propone di rispondere a questi bisogni:

  • Fornendo un collegamento tra gli obiettivi della funzione IT e gli obiettivi aziendali
  • Organizzando le attività della funzione IT secondo un modello di processi generalmente accettato
  • Definendo gli obiettivi di controllo da utilizzare nella gestione
  • Fornendo un modello di maturità rispetto al quale valutare la maturità dei processi IT
  • Definendo obiettivi misurabili (goal) secondo metriche basate sui principi delle Balanced scorecard

COBIT 4.1 divide il controllo della funzione IT in quattro domini: Pianificazione e Organizzazione (Plan and Organise), Acquisizione e Implementazione (Acquire and Implement), Erogazione ed Assistenza (Deliver and Support), Monitoraggio e Valutazione (Monitor and Evaluate). Nei quattro domini sono collocati un totale di 34 processi, ai quali fanno capo, nella versione 4.1, un totale di 210 obiettivi di controllo; questi ultimi rivestono un'importanza centrale nel COBIT, al punto di dare il nome al modello stesso.

Versioni[modifica | modifica wikitesto]

COBIT ha visto succedersi cinque versioni principali:

  • Nel 1996 venne rilasciata la prima edizione di COBIT.
  • Nel 1998 vennero aggiunte le "Management Guidelines".
  • Nel 2000 venne rilasciata la terza edizione.
    • Nel 2003 venne resa disponibile un'edizione on-line.
  • Nel dicembre 2005 venne rilasciata la quarta edizione
    • Nel maggio 2007 viene rilasciato un aggiornamento (4.1) della quarta edizione.
  • Nel 2012 viene rilasciata la quinta edizione, COBIT 5, che consolida e integra i framework COBIT 4.1, Val IT 2.0 and Risk IT frameworks.

Struttura del COBIT 4.1[modifica | modifica wikitesto]

COBIT comprende quattro domini:

  • Pianificazione e Organizzazione (Plan and Organise)
  • Acquisizione e Implementazione (Acquire and Implement)
  • Erogazione ed Assistenza (Deliver and Support),
  • Monitoraggio e Valutazione (Monitor and Evaluate)

Nei domini sono collocati i 34 processi, ognuno dei quali prevede una serie di attività con degli obiettivi precisi (activity goal).

Obiettivi di controllo[modifica | modifica wikitesto]

Per ogni processo sono definiti degli obiettivi di controllo specifici. Inoltre vi sono due insiemi di obiettivi di controllo "generali" applicabili a ciascun processo:

  • il primo insieme riguarda i processi medesimi (si tratta controlli identificati con la sigla PCn - Process control n)
  • il secondo insieme riguarda i dati in ingresso e uscita ai processi (si tratta controlli identificati con la sigla ACn - Application Control n)

Secondo il modello, il raggiungimento degli obiettivi di controllo garantisce un ragionevole livello di confidenza riguardo al raggiungimento degli obiettivi aziendali connessi al processo e alla prevenzione dei rischi associati al processo stesso.

Il modello non impone necessariamente il raggiungimento di ogni obiettivo di controllo. Il management aziendale può decidere quali sono i controlli applicabili ad ogni singolo processo all'interno dell'azienda, quali andranno implementati e con quali modalità, o viceversa può accollarsi il rischio di non implementarli.

I processi del COBIT 4.1 suddivisi per domini[modifica | modifica wikitesto]

Plan and Organize[modifica | modifica wikitesto]

Il dominio copre gli aspetti strategici e tattici e si propone di individuare il modo migliore in cui la funzione IT può contribuire al raggiungimento degli obiettivi aziendali. Lo scopo è di comprendere se gli obiettivi della funzione IT sono noti a tutti all'interno dell'organizzazione, se la funzione IT è in linea con la strategia aziendale, se l'azienda sta utilizzando le proprie risorse in modo ottimale gestendo correttamente i rischi e fornendo la qualità richiesta.

PROCESSI
Plan and Organize
PO1 Definire un piano strategico per l'IT
PO2 Definire l'architettura del Sistema Informativo
PO3 Definire gli indirizzi tecnologici
PO4 Definire i processi, l'organizzazione e le relazioni dell'IT
PO5 Gestire gli investimenti IT
PO6 Comunicare gli obiettivi e gli orientamenti della direzione
PO7 Gestire le risorse umane dell'IT
PO8 Gestire la qualità
PO9 Valutare e gestire i rischi informatici
PO10 Gestire i progetti

Acquire and Implement[modifica | modifica wikitesto]

Le soluzioni al servizio della strategia IT devono essere prima di tutto identificate, poi costruite o acquisite; successivamente devono essere poste in opera e integrate al servizio dei processi aziendali. In aggiunta a ciò, in questo dominio si provvede a controllare la gestione dei cambiamenti e la manutenzione di sistemi, servizi e applicazioni, sempre compatibilmente con gli obiettivi aziendali. Lo scopo è di comprendere se i progetti forniranno soluzioni in linea con le attese e con i tempi e costi stimati, se opereranno correttamente una volta rilasciati e se la modalità di gestione dei cambiamenti è in grado di assicurare che questi vengano posti in essere senza effetti negativi sull'operatività dell'azienda.

PROCESSI
Acquire and Implement
AI1 Identificare le soluzioni informatiche
AI2 Acquisire e manutenere il software applicativo
AI3 Acquisire e manutenere l'infrastruttura tecnologica
AI4 Consentire il funzionamento e l'uso dei sistemi IT
AI5 Approvvigionamento delle risorse IT
AI6 Gestire le modifiche
AI7 Installare e certificare le soluzioni e le modifiche

Deliver and Support[modifica | modifica wikitesto]

I processi nel domnio Deliver and Support si occupano dell'erogazione effettiva dei servizi, il che comprende anche il controllo della disponibilità, del rispetto dei livelli di servizio e della sicurezza del servizio stesso, così come il supporto agli utenti e la gestione dei dati e dell'ambiente fisico.

I processi del dominio si assicurano che i servizi IT vengano erogati in linea con le priorità aziendali, che venga effettuata una gestione ottimale dei costi, che il personale sia in grado di utilizzare i sistemi con cognizione di causa e in sicurezza e che le informazioni siano protette negli aspetti di riservatezza, integrità, confidenzialità che sono loro propri.

PROCESSI
Deliver and Support
DS1 Definire e gestire i livelli di servizio
DS2 Gestire i servizi di terze parti
DS3 Gestire le prestazioni e la capacità produttiva
DS4 Assicurare la continuità di servizio
DS5 Garantire la sicurezza dei sistemi
DS6 Identificare e attribuire i costi
DS7 Formare e addestrare gli utenti
DS8 Gestione del service desk e degli incidenti
DS9 Gestire la configurazione
DS10 Gestire i problemi
DS11 Gestire i dati
DS12 Gestire l'ambiente fisico
DS13 Gestire le operazioni

Monitor and Evaluate[modifica | modifica wikitesto]

È necessaria una valutazione regolare e periodica della qualità dei processi IT. I processi in questo dominio si occupano di verificare se le prestazioni della funzione IT sono in linea con le aspettative del vertice aziendale, se il sistema di controlli interni è ben congegnato, se sono saldi i legami tra le prestazioni della funzione IT e gli obiettivi aziendali e se è garantita la conformità a leggi e regolamenti.

PROCESSI
Monitor and Evaluate
ME1 Monitorare e valutare le prestazioni dell'IT
ME2 Monitorare e valutare i controlli interni
ME3 Garantire la conformità ai regolamenti
ME4 Istituzione dell'IT governance

COBIT e altri standard internazionali[modifica | modifica wikitesto]

Per moltissimi standard internazionali sono disponibili documenti con le corrispondenze (mapping), documenti cioè che mettono in relazione le aree coperte da COBIT rispetto a quelle coperte dagli altri standard (cfr. (EN) ISACA CobiT Mappings).

Relazioni tra i modelli secondo Guldentops

La maggior parte di tali documenti sono riservati però agli associati ISACA.

Uno schema di confronto tra COBIT e altri framework (riprodotto in figura) è stato elaborato da Eric Guldentops, uno dei padri del modello COBIT.

COBIT e ITIL[modifica | modifica wikitesto]

COBIT e ITIL presentano aree di sovrapposizione, in cui gli stessi processi vengono analizzati da punti di vista differenti; né potrebbe essere altrimenti, visto che entrambi i framework riguardano quelle che, in senso lato, sono le prestazioni di una struttura IT.
Da una parte il modello COBIT copre i processi di gestione dei servizi IT (IT service management); dall'altra le pratiche consolidate ITIL (nel caso di ITIL si parla di best practices) forniscono strumenti e indicazioni su come soddisfare gli obiettivi di controllo indicati da COBIT.

La recente introduzione della versione 3 di ITIL, affrontando tematiche proprie della strategia di costruzione ed erogazione dei servizi, ha aumentato le aree di sovrapposizione dei modelli o, per meglio dire, ha aumentato le aree in cui è possibile fare ricorso alle pratiche ITIL per soddisfare gli obiettivi di controllo previsti da COBIT.

Un confronto tra COBIT e ITIL è contenuto in un documento del maggio 2007, a cura di esperti di itSMF Italia, AIEA e SDA Bocconi. Il documento è liberamente scaricabile dal sito AIEA. Si noti che le versioni confrontate sono COBIT 4.0 e ITIL v2; malgrado i cambiamenti sostanziali intervenuti per entrambi i framework nelle versioni successive, molte considerazioni sono ancora applicabili.

COBIT, il modello COSO e la legge Sarbanes-Oxley[modifica | modifica wikitesto]

L'entrata in vigore della legge Sarbanes Oxley negli Stati Uniti, nel luglio 2002, ha determinato un sostanziale incremento della diffusione del COBIT, come mezzo per ottenere un governo efficace della funzione IT e quindi ottemperare alle disposizioni di legge.

La SEC - Securities and Exchange Commission aveva indicato nel modello COSO lo standard di riferimento per la conformità alla Sarbanes-Oxley. La pubblicazione da parte di ITGI di un documento di corrispondenza (mapping) tra processi COBIT e componenti COSO da una parte e gli obiettivi di controllo COBIT e controlli COSO dall'altra ha reso pienamente applicabile il modello COBIT per le verifiche di conformità alla Sarbanes-Oxley.

Come ottenere COBIT[modifica | modifica wikitesto]

COBIT è scaricabile dalla (EN) pagina di download del sito ISACA, così come sono scaricabili molti altri documenti correlati al modello. Per scaricare il modello COBIT è richiesta la registrazione (gratuita) al sito. Altri documenti, specificatamente quelli riguardanti le modalità di impiego e applicazione del modello, sono accessibili ai soli iscritti all'ISACA.

La traduzione italiana della norma è curata dall'AIEA [1]

Voci correlate[modifica | modifica wikitesto]

Collegamenti esterni[modifica | modifica wikitesto]

  • (EN) ISACA I custodi del COBIT
  • (EN) COBIT User Forum Il principale gruppo di utenti del COBIT
  • AIEA Capitolo italiano dell'ISACA con sede a Milano
  • ISACA Roma Capitolo italiano dell'ISACA con sede a Roma