Per chi non ha ancora affrontato il tema dell'IT Governance, o della conformità, questa domanda forse non ha molto senso, ma per chi ha iniziato ad occuparsi di IT Governance questa domanda ha un significato importante. Non sfugge che se l'esigenza è quella di utilizzare uno di questi framework/bestpractice per strutturare o gestire i servizi IT della propria azienda è difficile riuscire ad implementare un nuovo sistema di gestione dell IT senza un minimo di formazione al riguardo, ma c'è di peggio, ovvero la scelta della strada da prendere in merito a quale di questi framework/best practice si può, o si deve, utilizzare per dare soddisfazione alle proprie esigenze: come orientarsi ? Quali sono le differenze ? Quali sono i punti di forza di ognuno ?
Alcune settimane fa parlando con una persona che stimo molto, e che di IT Governance ne mastica parecchia, ci siamo trovati a commentare un confronto fra ITIL v3 e CObIT v4.1 e da lì siamo partiti per una disquisizione dei pregi e difetti dell'uno e dell'altro, il tutto di fronte ad un collega meno esperto che sta conoscendo i vari framework in queste settimane, e che aveva innescato la disquisizione con una semplice domanda: "Secondo voi è preferibile implementare un sistema di IT Governance secondo ITIL v3 o CObIT v4.1 ?"
Ovviamente la risposta giusta è : Dipende.
Da cosa ? Beh, innanzitutto dipende da quali sono gli obbiettivi che l'azienda, o ente, si prefigge di raggiungere, dal contesto organizzativo, legale e di mercato, in cui l'implementazione avviene e, non ultima valutazione da fare, le risorse che l'azienda ritiene opportuno mettere in gioco.
In che ordine ?
Personalmente inizio dalla raccolta del 'desiderata' del cliente, ascolto ciò che dice e ciò che non dice (a volte perché non sa) e definisco quelle che sono le sue paure, se emergono nel contesto, altrimenti le identificherò strada facendo.
Poi passo alla valutazione del contesto; vanno valutati il contesto legale di riferimento nazionale (vedi privacy, legge 262/05, etc.) e internazionale (parliamo di SOX, CCCG, etc.), le normative di settore e le opportunità o convenienze organizzative (ad esempio quelli derivanti dalla adozione del D.Lgs. 231/01), poi bisogna valutare la dimensione dell'azienda e di conseguenza le risorse organizzative ed economiche che può/vuole investire nel progetto.
A quel punto valuto i vincoli organizzativi e normativi, il budget che la struttura ha a disposizione e si parte per una fantastica sessione di assessment. Sì, assessment. Di fatto nessuno strumento può essere utile se non hai una visione chiara di dove sei, dove vuoi andare e come ci puoi arrivare, anzi, il rischio è quello di farsi confondere dal framework e farsi deviare dal proprio percorso ideale, e quindi il migliore dei modi per evitare questo problema è definire il percorso dal punto di vista organizzativo dei processi prima di definire il tool, e così via. Successivamente si definiscono eventuali aggiunte e/o personalizzazioni, anche per avere la certezza di non sforare i budget e riallineare eventuali 'obbiettivi tardivi' del cliente.
Insomma, la scelta non è facile, ma se seguiamo un metodo, che avremo poi modo di affinare nel tempo, risulterà sicuramente più semplice. La cosa più importante è non confondere mai l'obbiettivo con lo strumento, tentazione a volte difficile da evitare, e molti cedono, ritrovandosi poi a non raggiungere i propri obbiettivi senza quasi sapere come, e i commenti che senti a quel punto sono del tipo "ma noi seguiamo le procedure, e il nostro tool di riferimento è sempre aggiornato" e li ti rendi conto che se il tool fa il suo mestiere ma il cliente no ha raggiunto il suo obbiettivo il tool è stato scelto (o personalizzato) male, spesso troppo presto, e ci si è trovati ad adattare il processo al tool, e non il contrario....pericolosissimo.
Insomma, occhi aperti nelle scelte, non fatevi ammaliare dalle promozioni di fine trimestre/semestre/anno/natale/pasqua da parte dei vendor e ricordate soprattutto che è lo strumento che deve automatizzare un processo, e quindi adattarsi, non il processo che deve adattarsi al tool. In fondo...
"A fool with a tool is still a fool !" - Uno sciocco con uno strumento, rimane uno sciocco !
Carlo Rossi
CISA, CISM, CGEIT
CobiT Foundation certificate, ITIL v3
Lead Auditor ISO/IEC 27001
Commenti