Il COBIT 19 costituisce un framework di riferimento per l’implementazione della governance IT, fornendo spunti rilevanti sulle modalità di allineamento con la strategia di business. Tuttavia, anche da una rapida analisi, ne risulta subito evidente la complessità e la numerosità degli obiettivi e delle metriche proposte.
Tale complessità rischia di impattare soprattutto piccole e medie aziende rispetto alle capacità di implementazione e manutenzione del framework, in quanto potenzialmente queste non dispongono del budget e delle competenze necessarie.
Ci si chiede, dunque, se esista effettivamente una declinazione del COBIT funzionale all’implementazione di un framework di governance IT nelle aziende sopracitate.
La breve analisi di seguito sarà orientata a identificare in prima istanza le governance e management practice riportate e a proporre alcune iniziative di rafforzamento della governance IT per le piccole e medie aziende.
Indice degli argomenti
Le governance practice del COBIT 19
Nel COBIT, una “Governance Practice” si riferisce a un insieme di attività, processi e strutture che un’organizzazione implementa per garantire una gestione efficace e responsabile della governance IT.
Questo include la definizione dei principi di governance, la comunicazione delle decisioni e la supervisione delle performance.
Le practice sono progettate per assicurare l’acquisizione delle necessità degli stakeholder, la condivisione delle informazioni funzionali al decision making e il monitoraggio delle performance rispetto agli obiettivi.
In aggiunta, il COBIT identifica una serie di management practice più focalizzate sull’implementazione che sul decision making strategico. Riportiamo quindi di seguito una sintesi dei razionali che orientano le governance practice nell’ambito del COBIT 19:
- il sistema di governance deve essere valutato, gestito e monitorato;
- è necessario operare un efficientamento dello spending attraverso la definizione dei target l valutazione delle performance e l’ottimizzazione degli investimenti;
- deve essere definito un programma di Enterprise Risk Management che garantisca il monitoraggio dei fattori di rischio inerenti al contesto organizzativo;
- la gestione e l’allocazione delle risorse deve essere gestita sulla base dei need emersi dal contesto interno ed esterno;
- deve essere effettuata una valutazione del coinvolgimento del top management e delle modalità di ingaggio ai fini del potenziamento dei presidi di sicurezza.
In base alla sintesi delle governance practice possiamo osservare che esistono alcuni punti che possono risultare di difficile applicazione per le aziende con need più operativi.
È infatti ragionevole ipotizzare ad esempio che non tutte le aziende abbiano adottato programmi di Enterprise Risk Management e che invece effettuino la gestione del rischio prevalentemente attraverso attività operative di risk assessment e mitigation.
In aggiunta, anche come riportato ampiamente in letteratura l’awareness rispetto alla cyber security è maggiormente presente nelle corporate e di conseguenza l’implementazione delle governance practice nell’ambito di aziende piccole e medie dovrà essere declinata sulla base della culture aziendale.
Spesso, però, la culture rispetto all’IT governance di piccole medie aziende può essere limitata al livello tattico definito nell’ambito management practice, in quanto queste risultano maggiormente articolate e vicine al livello delle operation IT.
Di seguito viene riportata una sintesi delle management practice riportate nel COBIT organizzate secondo le tre categorie di razionalizzazione.
Align, Plan and Organize
- Dovrà essere definito un management system rispetto agli obiettivi strategici includendo le modalità di reporting, le strutture organizzative, i ruoli e le responsabilità, le ownership dei sistemi, le policy e le procedure e gli opportuni supporti tecnologici.
- La maturità digitale dell’organizzazione dovrà essere valutata secondo la definizione di target di sviluppo, la conduzione di gap analysis e la definizione e condivisione del piano di implementazione.
- Dovrà essere sviluppata un’architettura IT che preveda gli eventuali servizi erogati internamente.
- L’innovazione dovrà essere gestita rispetto al contesto organizzativo e monitoraggio dell’implementazione delle tecnologie evolutive.
- Dovranno essere valutati gli investimenti in base ai programmi implementati, mantenimento del portfolio e manutenzione dei KPI.
- Dovrà essere effettuata la gestione delle attività di accounting, modello di prioritizzazione e allocazione dei costi.
- L’acquisizione dello staff e delle risorse dovrà tenere conto del mantenimento delle skill la gestione delle risorse esternalizzate e delle progressioni di carriera.
- Dovranno essere identificate le aspettative e le relazioni di business, correlando l’evoluzione IT secondo le esigenze emerse e definendo i livelli di servizio di eventuali fornitori.
- Sarà necessario effettuare le valutazioni del rischio sulla base dei dati raccolti e definire le azioni di rimedio.
- Dovrà essere definite l’approccio di gestione dei dati e degli asset e la correlazione rispetto all’information security management system.
Build Acquire and Implement
Dovranno essere effettuate:
- L’Implementazione dei programmi connessi con gli investimenti definiti e la gestione e manutenzione dei requisiti funzionali e tecnici delle soluzioni identificate.
- La definizione delle componentistiche delle soluzioni e di eventuali modifiche e l’acquisizione degli strumenti per la valutazione degli impatti sul business e sulle risorse originati dalle soluzioni previste.
- La definizione delle linee guida di implementazione dei change e gli approcci implementabili anche sui change di emergenza e le condizioni di produzione e release.
- La costruzione del knowledge e la classificazione delle informazioni effettuando l’Identificazione, classificazione e gestione dell’asset lifecycle e delle configurazioni.
- L’Implementazione delle procedure operative e gestione delle infrastrutture la gestione degli incidenti e dei problemi e la definizione della business continuity secondo i principi di resilience.
- La protezione degli endpoint, del network e delle identità, la gestione degli accessi e dei privilegi di accesso.
Monitor Evaluate and Assess
- Dovrà essere definito l’approccio di monitoraggio, dei target, delle performance e delle azioni correttive, la gestione dei controlli e delle aree di miglioramento sulla base dei requisiti normativi e delle best practice e i processi di audit interno e identificazione delle non conformità.
Approccio semplificato all’implementazione del COBIT 19
Quanto emerge da questa rapida sintesi è la numerosità delle management practice da implementare al fine di garantire la gestione della governance IT.
Se queste nell’ambito di un contesto aziendale complesso possono cogliere diverse sfumature delle pratiche interne, all’interno di aziende meno complesso potrebbero dar luogo ad overlap ed effort non sostenibili.
Di conseguenza ci si chiede come possano essere derivati dei principi di governance IT al fine di fornire un approccio semplificato all’implementazione del COBIT per il rapido potenziamento della governance IT in organizzazioni diverse dalle corporate.
Di seguito, un’ipotesi di iniziative implementabili.
Implementazione e policy del processo di demand&change management
Il demand&change management identifica e regolamenta ogni modifica attraverso un processo end-to-end che coinvolga le business unit e le funzioni responsabili dell’implementazione e degli aspetti di security.
Da un punto di vista di IT governance e soprattutto considerando che spesso possono essere generate vulnerabilità dovute a configurazioni errate, definire il processo di change management secondo un approccio di security by design e tenendo conto di eventuali delay derivati dalle valutazioni di sicurezza è fondamentale per evitare le frizioni derivate dai need e dalle tempistiche differenti tra il business e le DevOps.
In piccole e medie aziende è utile integrare le due fasi di demand&change all’interno di un unico processo, di modo da facilitarne l’implementazione.
Il demand&change management consente quindi alle aziende di identificare rapidamente i need di business sulla base anche di deduzioni rispetto alle tempistiche da sostenere e alle modifiche che vengono richieste e comprendere il proprio posizionamento rispetto alle governance e management practice del COBIT 19, fornendone applicazione pratica.
Identificazione delle attività operative e condivisione di una tassonomia comune
Risulta fondamentale definire il perimetro di attività delle funzioni in ambito IT di modo da comprendere quali practice siano rilevanti rispetto alle attività condotte. Ad esempio, nel caso in cui non fosse possibile identificare esclusivamente delle attività di supervisione e controllo, diversi requisiti COBIT risulterebbero disattesi e di conseguenza avremmo un’applicazione parziale dell’intero framework.
Una volta, quindi, co-definito con il top management il perimetro di attività, e soprattutto considerando il livello di maturity presente in azienda sarà necessario definire delle tassonomie comuni al fine di comunicare gli stati di avanzamento, le problematiche ed eventuali aree di miglioramento verso le funzioni di management.
Ciò consentirebbe nel caso di aziende diverse da quelle complesse di garantire maggiore flessibilità rispetto alle evoluzioni del contesto esogeno e rispetto ai need aziendali.
Classificazione dei processi, mappatura degli asset e redazione dei piani di continuità operativa
Una delle attività principali che a prescindere dalla dimensione dell’azienda devono essere implementate, al fine di comprendere la superficie degli asset e garantire la continuità operativa, riguarda la classificazione dei processi.
Infatti, al fine di identificare correttamente tutti gli asset rilevanti è fondamentale che la business continuity venga razionalizzata partendo dall’identificazione dei processi critici.
Questa attività deve essere eseguita rispetto alle business operation e di congiuntamente sia dalle funzioni IT che dal business.
Una volta identificati i processi critici, sarà il ruolo della funzione di IT Governance “connettere” i vari asset rilevanti e sviluppare i piani di continuità secondo i potenziali Courses of Action (COA).
Nello specifico, considerando scenari di cybersecurity i COA dovranno essere definiti in ottica adversarial e quindi considerando l’applicazione di diverse TTPs da parte degli attori di minaccia rilevanti.
Costruzione degli skill matrix e definizione del processo di recruiting
Al fine di garantire che l’azienda mantenga le competenze necessarie a fornire un supporto efficace rispetto alla governance IT, sarà necessario, in assenza di un programma di HR strutturato, definire le combinazioni di conoscenze e competenze (skill matrix) da mantenere all’interno della funzione di IT governance.
Concentrarsi sulla funzione piuttosto che sulle singole risorse garantirebbe maggiore flessibilità rispetto alle condizioni del mercato in merito alle competenze disponibili.
Gli skill matrix dovrebbero essere derivati dalle attività operative perimetrate congiuntamente con il top management secondo quanto descritto sopra.
Piano di outsourcing
Per le piccole e medie aziende è necessario al fine di meglio gestire i costi derivati dalle attività di IT Governance, prevedere quali di queste verranno affidate a fornitori esterni.
E anche rispetto alle attività di cyber security risulta necessario identificare quali aree dovranno essere esternalizzate al fine di garantirne l’implementazione e il mantenimento i presidi di security nonostante l’assenza di competenze nel contesto aziendale.