La governance dei Servizi ® ® IT con COBIT , ITIL e ISO/IEC 20000 Autore: Maxime Sottini Consigliere itSMF Italia itSMF International IQC Officer CEO iCONS – Innovative Consulting S.r.l. COBIT ® è un marchio registrato di ISACA ITIL ® è un marchio registrato di OGC (Office of Government and Commerce)
Agenda
Obiettivi L’IT Governance L’IT Service Management IT Governance e IT Service Management COBIT ITIL ISO/IEC 20000 Relazioni in dettaglio Conclusioni Approfondimenti 2
L’IT Governance The system by which the current and future use of ICT is directed and controlled. It involves evaluating and directing the plans for the use of ICT to support the organization and monitoring this use to achieve plans. It includes the strategy and policies for using ICT within an organization. Fonte ISO/IEC 38500
Fonte ISO/IEC 38500
3
L’IT Service Management ITSM come gestione dei servizi IT “IT Service Management is the planned and controlled utilisation of IT assets (including systems, infrastructure and tools), people and processes to support the operational needs of the business as efficiently as possible whilst ensuring that the organisation has the ability to quickly and effectively react to unplanned events, changing circumstances and new business requirements as well as continuously evaluating its processes and performance in order to identify and implement opportunities for improvement.” Rob Addy, EMEA Consulting Manager BMC
ITSM come disciplina per migliorare la gestione dei servizi IT “IT Service Management (ITSM) is a process-based practice intended to align the delivery of information technology (IT) services with needs of the enterprise, emphasizing benefits to customers” SearchCIO.com
4
Cosa comprende l’IT Service Management
ITIL v2 ( http://www.itil-officialsite.com/Qualifications/ITILV2Qualifications.asp ) ITIL v3 ( http://www.itil-officialsite.com/Qualifications/ITILV3QualificationScheme.asp ) FITS ( http://becta.org.uk/fits/ ) ISO/IEC 20000 ( http://www.isoiec20000certification.com/ ) CobiT (http://www.isaca.org/Template.cfm?Section=COBIT6&Template=/TaggedPage/TaggedPageDisplay.cfm&TPLID=55&ContentID=7981 ) ASL ( http://www.aslfoundation.org/ ) BiSL ( http://www.aslfoundation.org/ ) MOF ( http://www.microsoft.com/technet/solutionaccelerators/cits/mo/mof/default.mspx ) USMBOK ( http://www.usmbok.org/ ) eSCM ( http://itsqc.cmu.edu/models/index.asp ) ISM ( http://www.ismportal.nl/nl/ism-out-box-solution-it-servicemanagement ) CMMI for services ( http://www.sei.cmu.edu/cmmi/models/CMMI-Services-status.html ) itSMF library ( http://www.itsmfbooks.com/index.php?cPath=4_421 ) Others…
5
Relazione IT Governance – Service Management
ITSM
Governance Supporto degli obiettivi di business
Sistema aziendale di direzione e controllo dell’IT
Miglior pratiche per l’erogazione dei servizi IT
6
COBIT: il framework per l’IT Governance BUSINESS OBJECTIVES AND GOVERNANCE OBJECTIVES
C ME1 ME2 ME3 ME4
Monitor and evaluate IT performance. Monitor and evaluate internal control. Ensure compliance with external requirements. Provide IT governance.
O B I
T
FRAMEWORK
PO1 PO2
INFORMATION Integrity
Efficiency Effectiveness Compliance
Availability Confidentiality
Reliability PLAN AND ORGANISE
MONITOR AND EVALUATE
DS1 DS2 DS3 DS4 DS5 DS6 DS7 DS8 DS9 DS10 DS11 DS12 DS13
Define and manage service levels. Manage third-party services. Manage performance and capacity. Ensure continuous service. Ensure systems security. Identify and allocate costs. Educate and train users. Manage service desk and incidents. Manage the configuration. Manage problems. Manage data. Manage the physical environment. Manage operations.
IT RESOURCES
Applications Information Infrastructure People DELIVER AND SUPPORT
Define a strategic IT plan. Define the information architecture. PO3 Determine technological direction. PO4 Define the IT processes, organisation and relationships. PO5 Manage the IT investment. PO6 Communicate management aims and direction. PO7 Manage IT human resources. PO8 Manage quality. PO9 Assess and manage IT risks. PO10 Manage projects.
AI1 AI2 ACQUIRE AND IMPLEMENT
AI3 AI4 AI5 AI6 AI7
Identify automated solutions. Acquire and maintain application software. Acquire and maintain technology infrastructure. Enable operation and use. Procure IT resources. Manage changes. Install and accredit solutions and changes.
7
COBIT e l’IT Governance
COBIT è il framework più maturo ed universalmente adottato per costruire un sistema aziendale di pianificazione e controllo dell’IT (governance)
Punti di forza Copre tutti i processi IT E’ sistematico e uniforme per ogni processo Descrizione (alto livello) e interfacce tra i processi Obiettivi di controllo* RACI di alto livello delle responsabilità per processo Obiettivi e metriche (IT/processo/attività) Modello di valutazione della maturità
* “Control is defined as the policies, procedures, practices and organisational structures designed to provide reasonable assurance that business objectives will be achieved and undesired events will be prevented or detected and corrected.”
8
IT Infrastructure Library (ITIL)
E’ la best practice più adottata per l’IT Service Management
9
ITIL v3
+ di 2500 pagine…
Consente di non reinventare la ruota e quindi di migliorare le pratiche di gestione rapidamente ed efficacemente Conseguentemente, migliora la qualità e nel contempo riduce i costi di erogazione dei servizi Consente una migliore integrazione tra strategia di business e strategia dei servizi IT Consente una più agile progettazione dei servizi e la determinazione del loro ROI Fornisce modelli per la transizione adatti al livello di cambiamento apportato Migliora l’implementazione e gestione dei servizi in contesti caratterizzati da una forte dinamicità di evoluzione del business Migliora la capacità di misurare e dimostrare il valore dei servizi IT Identifica i trigger per il miglioramento in tutte le fasi del ciclo di vita
10
ISO/IEC 20000 “A formal Standard to promote the adoption of an integrated process approach to the effective delivery of IT services … … a set of “controls” against which an organization can be assessed for effective IT Service Management processes”
ISO/IEC 20000 è il primo standard internazionale per l’IT Service Management, ovvero la qualità dei Servizi IT E’ stato pubblicato nel dicembre del 2005 E’ costituito da due parti:
ISO20000-1, lo standard vero e proprio che contiene le disposizioni (SHALL) da rispettare per essere certificati ISO20000-2, “code of practice”, che fornisce linee guida e indicazioni su come è possibile soddisfare le disposizioni contenute nella parte 1; adottare tali practice non è obbligatorio, ma suggerito (SHOULD)
11
Maggior competitività sul mercato L’ISO/IEC 20000 sta diventando un requisito di base, allo stesso modo dell’ISO 9000 Forte evidenza che la qualità dei servizi IT è seriamente presa in considerazione Il business può operare con maggior efficacia Definizione obiettivi di Service Improvement Milestone significativa per un dipartimento IT o Service Provider Maggior consapevolezza del Management e Staff Un metodo di review e assessment correlato al miglioramento continuo
ISO/IEC 20000 Processi e benefici
Valutazione miglioramenti interni (baseline) e confronto con terze parti (benchmark) Metodo di valutazione ed audit esterno ed imparziale Valutazione riconosciuta internazionalmente nel settore
Management System (3) Planning and Implementing (4)
Planning New Services (5)
Capacity Management Service Continuity &
Service Delivery Processes (6)
Availability Management
Service Reporting
Service Level Management
Information Security Management Budgeting & Accounting for IT Services
Control Processes (9) Change Management Configuration Management
Relationship Processes (7)
Release Process (10) Release Management
Migliore integrazione con terze parti Migliore integrazione con altri fornitori nella supply chain Riduzione rischi e costi di utilizzo di fornitori esterni
Resolution Processes (8) Incident Management Problem Management
Business Relationship Management Supplier Management
12
Relazione COBIT-ITIL-ISO/IEC 20000: overview COBIT (obiettivi, misure)
ITIL v3 (guidance pratica)
ITIL v2 (guidance pratica)
ISO/IEC 20000 (requirements)
ISO/IEC 38500
13
Relazione COBIT-ITIL-ISO/IEC 20000: processi
C ME1 ME2 ME3 ME4
Monitor and evaluate IT performance. Monitor and evaluate internal control. Ensure compliance with external requirements. Provide IT governance.
Legenda: Match significante Match parziale Match assente o minimo
BUSINESS OBJECTIVES AND GOVERNANCE OBJECTIVES
Fonte: Mapping of ITIL v3 With COBIT® 4.1 (ITGI)
O B I
T
FRAMEWORK
PO1 PO2
INFORMATION
Integrity
Efficiency Effectiveness Compliance
Availability Confidentiality
Reliability PLAN AND ORGANISE
MONITOR AND EVALUATE
DS1 DS2 DS3 DS4 DS5 DS6 DS7 DS8 DS9 DS10 DS11 DS12 DS13
Define and manage service levels. Manage third-party services. Manage performance and capacity. Ensure continuous service. Ensure systems security. Identify and allocate costs. Educate and train users. Manage service desk and incidents. Manage the configuration. Manage problems. Manage data. Manage the physical environment. Manage operations.
IT RESOURCES
Applications Information Infrastructure People DELIVER AND SUPPORT
Define a strategic IT plan. Define the information architecture. PO3 Determine technological direction. PO4 Define the IT processes, organisation and relationships. PO5 Manage the IT investment. PO6 Communicate management aims and direction. PO7 Manage IT human resources. PO8 Manage quality. PO9 Assess and manage IT risks. PO10 Manage projects.
AI1 AI2 ACQUIRE AND IMPLEMENT
AI3 AI4 AI5 AI6 AI7
Identify automated solutions. Acquire and maintain application software. Acquire and maintain technology infrastructure. Enable operation and use. Procure IT resources. Manage changes. Install and accredit solutions and changes.
14
Relazione ITIL(v2)-ISO/IEC 20000
15
Confronto di dettaglio su un processo: Service Level Management Elemento di analisi Ambito e contenuto del processo Rilevanza nel framework
Obiettivi del processo
Metriche Contributo per chi desidera implementare Organizzazione e ruoli per il processo
Controlli (cosa fare)
COBIT ®
ITIL®
ISO/IEC 20000
Il contenuto del processo è sostanzialmente equivalente per i due framework Standard, è uno dei processi che contribuiscono al raggiungimento degli obiettivi
Molto elevata, è un elemento centrale del Service Management
Migliorare la comunicazione e l’allineamento Business e IT
Assicurare che i livelli di servizio concordati siano raggiunti
Definire, concordare, registrare e gestire i livelli di servizio
Definite
Molto ricche
Nessuna
Fuori ambito
Elevato; ricco di suggerimenti
Medio: code of practice, allineato con ITIL v2
Visione complessiva del contributo da parte di tutti i ruoli aziendali ma scarsa profondità per ruoli specifici
Elevato dettaglio su ruoli specifici per il processo
Nessuno
Specifici in termini di objective control (practice) e livelli di maturità, adattabili
Non specificatamente esplicitati (adopt & adapt)
Specifici e in parte mandatori (standard)
16
Conclusioni
COBIT è il framework più maturo e universalmente adottato per l’IT Governance (sistema aziendale di direzione e controllo dell’IT)
ITIL è la best practice più matura e universalmente adottata per l’IT Service Management (miglior pratiche per l’erogazione dei servizi IT)
ISO/IEC 20000 consente la certificazione aziendale per la gestione dei servizi IT allineata ad ITIL
COBIT dice cosa fare, ITIL dice come farlo e ISO/IEC 20000 certifica che si facciano cose minime (standard) che dimostrano che l’organizzazione ha un sistema di gestione teso al raggiungimento della qualità dei servizi concordata con i clienti (non che ha una qualità eccellente o che realizza i livelli di servizio concordati)
Non sempre però, il matching dei processi tra COBIT ed ITIL non è totale (ITIL non fornisce indicazioni esaustive su come fare per tutti i processi)
17
Approfondimenti
Mapping of ITIL v3 with COBIT® 4.1 – ISACA
COBIT® e ITIL ® due framework complementari – AIEAitSMF-SDA Bocconi (http://www.aiea.it/pdf/aiea_in_italia/COBITITIL%202007.pdf)
18
Grazie per l’attenzione (
[email protected])
19