Framework di IT Governance e consigli per l'implementazione

Pubblicato da Alessandro Salberini il 19 agosto 2021

IT governanceL’obiettivo del processo di IT Governance è fornire una struttura di allineamento tra la strategia IT e quella di business. Introducendo e seguendo un framework, le organizzazioni aziendali hanno la possibilità di ottenere risultati misurabili e di monitorare il raggiungimento degli obiettivi.

Continua a leggere questo articolo per scoprire l’utilità del processo, i consigli per l’implementazione e alcuni esempi concreti.

Definizione di IT Governance (ITG)

Con Information Technology Governance (ITG) si identifica il processo utilizzato per monitorare e controllare le strategie IT, per fare in modo che forniscano un valore all’azienda.

Secondo Gartner, il processo di IT Governance ha l’obiettivo di assicurare un utilizzo efficace ed efficiente dell’IT per supportare al meglio il raggiungimento degli obiettivi di business.

A cosa serve un’infrastruttura di IT Governance?

La definizione formale di un programma di governance da parte delle aziende fornisce le best practice e i processi di controllo per rispettare i requisiti (interni ed esterni), ad esempio in materia di protezione dei dati personali e aziendali e di ripristino dei sistemi (disaster recovery).

Nelle prossime righe, ci occuperemo di diversi argomenti che trovi nell’elenco seguente; sono tutti cliccabili per leggere subito il paragrafo dedicato.

Collegamenti rapidi:

IT Governance

Framework di IT Governance: definizione

L’obiettivo di un framework è la comprensione di un concetto, per utilizzarlo come strumento per prendere una decisione. Il framework definisce gli elementi essenziali che compongono un concetto, mentre la metodologia definisce i dettagli della sua implementazione.

New call-to-action

Nello specifico, un framework di Information Technology Governance:

  • definisce modi e metodi attraverso cui un’azienda può implementare, gestire e monitorare la Governance IT
  • fornisce linee guida e strumenti per utilizzare le risorse e i processi IT all’interno dell’organizzazione
  • specifica principi, regole e processi che rendono possibile una maggiore efficacia decisionale
  • è flessibile, per adattarsi alle richieste dei clienti e alle trasformazioni
  • è multilivello (esecutivo, commerciale e operativo)
  • definisce le metriche per la valutazione delle performance e i requisiti della reportistica

Framework di ITG: implementazione

Sono tre gli elementi principali su sui si basa un framework di IT Governance.

1. Struttura

A livello strutturale, occorre definire chi prende le decisioni, il tipo di organizzazione che sarà creata, le persone che ne faranno parte e le rispettive responsabilità.

2. Processo

La definizione del processo serve a specificare come verranno prese le decisioni relative agli investimenti IT, in termini di proposta, revisione, approvazione e assegnazione delle priorità degli stessi.

3. Comunicazione

I risultati delle decisioni e dei processi devono essere monitorati, misurati e comunicati. In questa fase, vanno definite le modalità di comunicazione ai diversi interlocutori: dipendenti, Direzione IT, Responsabili delle diverse funzioni aziendali, Consiglio di Amministrazione e azionisti (in caso di società partecipate).

Per implementare un framework, è possibile utilizzare quelli disponibili - creati da esperti e associazioni del settore - che includono le linee guida per aiutare le aziende a pianificare le attività senza incontrare ostacoli. Vediamo alcuni esempi, nel prossimo paragrafo.

Framework di ITG: esempi

Quelli che ti proponiamo di seguito sono i framework più conosciuti e utilizzati.

ITIL ITSM

ITIL è l’acronimo di Information Technology Infrastructure Library e si concentra sull’ITSM. Il suo obiettivo è garantire che i Servizi IT siano di supporto ai processi di business, definendo procedure e attività per migliorare il valore dell’offerta.

La versione più aggiornata è ITIL 4, i cui 9 principi guida lo rendono adatto alle organizzazioni agili che puntano al miglioramento continuo e considerano il cliente come il focus della propria offerta di valore.

COBIT

Il framework COBIT (acronimo di Control Objectives for Information and Related Technologies) è stato definito da ISACA (nata come Information Systems Audit and Control Association) e infatti pone le sue basi nell’auditing.

Comprende pratiche, strumenti di analisi e modelli accettati a livello globale e progettati per la governance e il management dell’IT.

VAL IT

VAL IT è un’abbreviazione di value from IT investments ed è un modello sviluppato da ISACA - come il precedente, di cui infatti è complementare - per la governance degli investimenti IT, con l’obiettivo di creare valore per l’intero business.

CMMI

Il Capability Maturity Model Integration è stato sviluppato dal Software Engineering Institute ed è un approccio al miglioramento delle performance.

L’obiettivo del framework CMMI è ottimizzare i processi e diffondere una cultura orientata all’efficienza e alla produttività, lavorando alla riduzione dei rischi.

FAIR

Anche FAIR è un acronimo (in questo caso di Factor Analysis of Information Risk): si tratta di un modello piuttosto recente di valutazione del rischio.

Il suo obiettivo è il supporto alla fase decisionale, fornendo informazioni che riguardano la cyber security e i rischi operativi.

COSO

Il modello definito dal Committee of Sponsoring Organizations of the Treadway Commission (COSO) si concentra meno sugli aspetti IT rispetto agli altri framework descritti.

Ha l’obiettivo di supportare le aziende nel miglioramento delle performance attraverso il potenziamento dei processi di Internal Control, Risk Management, Governance e deterrenza frodi.

ISO 27001

Questo standard internazionale supporta le aziende nella gestione della sicurezza degli asset IT e nell’implementazione di un sistema di Information Security Management per assicurare privacy, integrità e disponibilità dei dati aziendali.

GDPR

In questo caso, più che di framework parliamo di un regolamento. GDPR è infatti l’acronimo di General Data Protection Regulation ed è una normativa europea che prescrive le modalità di raccolta e archiviazione dei dati personali degli utenti da parte delle aziende.

NIST

Il National Institute of Standards and Technology (NIST) fa parte del Dipartimento del Commercio ed è dunque un ente governativo statunitense. Propone diversi framework legati ad aspetti di IT Asset Management (ITAM), con l’obiettivo di aiutare le aziende a proteggere le infrastrutture strategiche.

Alcuni esempi sono: NIST Cybersecurity Framework, NIST SP 1800-5 e NIST SP 800-53.

Come scegliere tra i framework disponibili?

La scelta si dovrebbe basare sulle specifiche esigenze organizzative e può non essere univoca. Ad esempio, COBIT e ITIL possono essere complementari, con il primo che definisce il motivo di un’attività e il secondo che ne prescrive le modalità di esecuzione (perché e come).

Di base, l’obiettivo è l’analisi dell’IT per comprendere l’impatto del ROI sull’intera organizzazione.

Abbiamo accennato al concetto di ITAM e gestione dispositivi, descrivendo in particolare gli standard definiti da NIST; ma la creazione di un inventario completo e preciso degli asset (hardware e software) è in realtà un’attività essenziale per tutti i framework che abbiamo descritto.

Continuiamo ad approfondire l’argomento nel prossimo paragrafo!

Perché l’IT Asset Management è il cuore dell’IT Governance?

C’è una ragione piuttosto ovvia per cui l’IT Asset Management è una best practice considerata prioritaria in diversi framework - tra cui ITIL, COBIT e ISO: come può un’organizzazione gestire e proteggere i propri asset, se non sa quali sono?

L’IT asset management (ITAM) fornisce un resoconto preciso dei costi e dei rischi relativi all’intero ciclo di vita degli asset, con l’obiettivo di massimizzarne il valore per il business.

Facciamo un piccolo passo indietro, provando a dare una definizione di asset.

Cosa intendiamo con asset?
Un asset è una proprietà aziendale che può avere identità materiale e tangibile (ad esempio immobili, attrezzature o dispositivi), ma anche virtuale (ad esempio software, licenze, brevetti e competenze).

Una gestione oculata di tutti i prodotti, componenti e apparati presenti in azienda aiuta a migliorare la competitività, raggiungendo obiettivi strategici come:

✔️ l’ottimizzazione delle risorse

✔️ il risparmio di tempo

✔️ il contenimento dei costi

IT governance

Cos’è l’Asset Management?
È un quadro di riferimento utile a gestire in modo proattivo e strategico l’intero ciclo di vita degli asset, ovvero l’acquisizione, l’utilizzo, la manutenzione e la dismissione.

In particolare, nel settore IT, è definito ITAM (IT Asset Management): a differenza della gestione delle Operations - che ottimizza le prestazioni dei sistemi IT - è incentrato sull’implementazione e l’automazione dei processi di gestione dei beni complessi, dall’acquisto alla rottamazione.

Sebbene sia naturale immaginare che l’ITAM abbia inizio con l’inserimento di un asset in inventario, in realtà si attiva nel momento in cui sorge la necessità di un nuovo asset IT.

Le fasi dell’IT Asset Management all’interno di un’azienda
  1. Viene presentata la richiesta di nuove apparecchiature IT: le best practice ITAM comprendono un metodo standardizzato per la presentazione delle richieste e un insieme predefinito di criteri in base a cui saranno valutate.
  2. Si gestisce l’acquisizione degli asset: il processo di procurement prevede la selezione dei fornitori, la negoziazione dei contratti, le procedure di finanziamento e l’inserimento in inventario degli asset.
  3. Gli asset IT – che si trovino in un data center, in uno stabilimento o in una postazione individuale - entrano in uso. Le best practice ITAM prevedono l’utilizzo di strumenti di gestione e riconciliazione dell’inventario, l’assegnazione delle apparecchiature a specifici proprietari e relative ubicazioni.
  4. La manutenzione degli asset comprende quella fisica di routine, gli aggiornamenti software e le eventuali riparazioni. La governance e la tracciatura, supportati da strumenti di gestione, sono i tratti distintivi dei sistemi di ITAM in questa fase.
  5. L’ultima fase è quella di dismissione: tutti gli asset IT giungono al termine della loro vita utile e devono essere dismessi, rottamati o ceduti, sulla base di scelte e analisi in base a costi/benefici.

IT governance

Per scoprire i consigli relativi al Mobile Device Management, ti invitiamo a leggere il nostro articolo dedicato!

Un altro aspetto fondamentale nella gestione degli asset è quello finanziario. Approfondiamo l’argomento nel prossimo paragrafo, con un focus sul TCO.

Il Total Cost of Ownership degli asset

Il TCO (Total Cost of Ownership) di un asset è determinato da una serie di costi attribuibili a vari aspetti e momenti del ciclo di vita.

Gestendo tutte le informazioni in modo dettagliato e coerente, è possibile tracciare il costo di acquisto di un bene calcolandone l’ammortamento e il valore residuo, ma anche tenere conto dei costi legati ai contratti e alle attività di manutenzione, ad esempio il tempo o i materiali utilizzati per la risoluzione di un incident, fino alla quota parte dei costi generali di gestione.

È obbligatorio per l’IT avere un censimento di tutti gli asset?

Il GDPR richiede la valutazione del rischio legata al trattamento dei dati personali da parte delle aziende.

Le linee guida AGID richiedono l’implementazione di norme minime di sicurezza informatica da applicare alle infrastrutture.

IT governanceCome abbiamo detto, non è possibile gestire in modo corretto ciò che non si sa di avere.

Il primo passo per rispondere a queste normative è l’individuazione, il censimento e l’inventario degli asset di qualunque tipologia, siano essi hardware, software o asset intangibili come le licenze o i contratti.

L’obiettivo è identificare quelli rilevanti ai fini della valutazione dei rischi e gestirli in tutto il loro ciclo di vita, implementando tutte le azioni necessarie per la loro messa in sicurezza.

L’ITAM fornisce le best practice per assolvere queste necessità. Quali sono le soluzioni adatte? Nel prossimo paragrafo, parliamo di asset management software.

Soluzioni di Governance: Ivanti Asset Manager

Ivanti Asset Manager è la soluzione che permette di gestire e avere sempre sotto controllo ogni asset IT e non IT tramite un’interfaccia unificata.

Utilizzando gli stessi processi, dunque, si ha una visione completa di software, hardware, server, client, virtuali e cloud, ma anche degli asset non IT collegati a Procurement, HR, Facility Management, Administration e Legal.

Ivanti Asset manager è in grado di integrarsi con soluzioni di discovery, di gestione degli endpoint e di security, assolvendo in pieno queste funzioni. È quindi possibile arricchire i dati gestionali di un asset con quelli provenienti dall’inventory, applicare le patch di sicurezza mediante l’automazione di processi di patching & remediation, o gestire la compliance relativa al licensing.

Il valore aggiunto di questa soluzione è la sua visione interdipartimentale che non interessa solo il reparto IT. I processi per la gestione del ciclo di vita degli asset, infatti, abbracciano una serie di temi che per loro natura riguardano dipartimenti differenti all’interno di un’organizzazione.

Anche restando nel campo degli asset IT, la gestione degli acquisti viene gestita dal Procurement, quella finanziaria permette al management di avere la visibilità dei costi di gestione, la fase di dismissione e rottamazione interessa più i dipartimenti di Operation e Facility.

Con il supporto dei workflow di processo presenti in Ivanti Asset Manager, la modalità di recupero delle dotazioni personali per gli utenti che lasciano l’azienda assicura il loro corretto reinserimento nello stock per un riutilizzo immediato.

L’obiettivo ultimo è fornire il maggior ROI possibile in termini di consumo di asset IT.

Scopri nel nostro business case un esempio pratico di implementazione della soluzione Ivanti Asset Manager per dare vita a una gestione di asset-as-a-service e raggiungere gli obiettivi di risparmio di tempo e costi: clicca qui!


Dalla stipula delle condizioni contrattuali all’attivazione della manutenzione proattiva, fino all’eliminazione del downtime, le best practice di ITAM aiutano a ridurre il TCO, massimizzando gli investimenti per l’intera organizzazione.

Vuoi sapere di più sulla soluzione Ivanti Asset Manager o ricevere i nostri consigli per l’IT Governance? Prenota subito una demo gratuita!

New call-to-action

New call-to-action

Digital Transformation Blog

Il blog di Timeware che ti aggiorna sulle innovazioni e fornisce consigli utili per:

  • automatizzare i processi
  • garantire la sicurezza
  • migliorare l’efficienza
  • ottimizzare i costi
Vuoi ricevere le notizie più fresche e interessanti? Inserisci il tuo indirizzo email nel riquadro!

Articoli per tag