IT Governance: principi di base e best practices Panoramica sulla IT Governance: cosa si intende per gestione dei sistemi informativi e principali modelli di funzionamento

MySQL - How to convert all Database Tables and Columns to a specific Collation

In questo articolo ci occuperemo di fornire una panoramica sull’IT Governance, ovvero la componente della Corporate Governance che si occupa di gestire i sistemi informatici (IT) all’interno della azienda. Parliamo in altre parole del complesso di attività e responsabilità proprie del Chief Technology Officer, ruolo che risulta ormai presente da decenni nella maggior parte delle aziende a livello mondiale (PMI comprese, dove talvolta viene impropriamente chiamato Responsabile IT).

Assieme alla conoscenza del mercato, delle norme che lo regolano e dei processi produttivi, la capacità di gestire i Sistemi Informativi rappresenta una leva competitiva che consente all’azienda di aumentare la qualità di prodotti e servizi, di ridurne i costi e di evolvere rapidamente seguendo le esigenze dei propri clienti.

Definizione

Come sempre quando si approfondisce una disciplina operativa è opportuno partire dalla definizione: da un punto di vista prettamente lessicale, come già chiarito all’inizio dell’articolo, con il termine IT Governance si intende il complesso di attività che riguardano la gestione dei sistemi informatici (IT), nonché all’acquisto e all’adozione di nuove tecnologie a sostegno degli obiettivi di business dell’azienda.

Nelle aziende di piccole dimensioni, il focus della IT Governance si estende non di rado anche all’ambito della sicurezza informatica, unificando di fatto il ruolo del Chief Technology Officer (CTO) con quello del Chief Information Security Officer (CISO). Si tratta di un approccio certamente “economico”, in quanto riduce notevolmente i costi aziendali, ma che di fatto ha molti svantaggi in termini di sicurezza; questo modo di procedere produce infatti un inevitabile accentramento di poteri, competenze e responsabilità nella medesima funzione, determinando di fatto la violazione del principio di segregation of duties e il conseguente aumento dei rischi connessi a possibili conflitti di interesse (o peggio, frodi).

IT Governance vs IT Security

La segregation of duties (“separazione dei compiti” in lingua italiana) è una prassi organizzativa che si pone l’obiettivo di ridurre la possibilità che un singolo individuo possa svolgere più parti di un certo processo: in altre parole, è un modo per definire l’organigramma e il funzionigramma aziendale favorendo un sistema di “pesi e contrappesi” allo scopo di evitare un accentramento di ruoli. L’adozione rigorosa di questo approccio è tipica delle aziende che intendono aumentare il proprio livello di sicurezza, in quanto consente di ridurre notevolmente le probabilità che si verifichino conflitti di interesse o frodi.

Nel contesto della IT Governance la segregation of duties si applica separando le funzioni strategiche di IT Governance (CTO) da quelle proprie dell’IT Security (CISO): sfortunatamente si tratta di una pratica ancora oggi poco diffusa nelle PMI italiane, dove l’importanza di suddividere queste due importantissime mansioni non è stata ancora compresa appieno. Si tratta tuttavia di una prassi estremamente importante in termini di sicurezza, presente come requisito essenziale nella maggior parte delle norme ISO legate alla sicurezza informatica (ISO 27001 in primis) nonchè nelle linee guida ENISA e AgID.

Per un approfondimento su questi argomenti consigliamo di leggere i nostri articoli dedicati: Information Security: le linee guida ENISASicurezza informatica: misure minime per la Pubblica Amministrazione secondo AgID.

Si tratta di una raccomandazione che, sia pure indirettamente, si ritrova anche nel contesto legislativo italiano, tramite il Dlgs. 231/2001 art. 6 comma 2, dove viene riportata la necessità di studiare i processi aziendali al fine di individuare le attività nel cui ambito possono essere commessi reati. Leggendo l’articolo risulta evidente che, in ottica di ridurre i rischi connessi alla determinazione di reati informatici, la suddivisione dei compiti tra chi si occupa della governance dei sistemi informatici e chi ha il compito di garantire la sicurezza delle informazioni è fondamentale.

Aree di influenza

L’IT Governance non va intesa come una disciplina unica o monotematica, ma come un variegato insieme di professionalità, in gran parte caratterizzate da un elevato livello di interazione e interdipendenza reciproca, che lavorano sinergicamente al fine di di garantire l’allineamento della strategia IT alla strategia aziendale, la creazione di valore per le business unit, la minimizzazione dei rischi, l’uso ottimale delle risorse IT e la misurazione delle performance.

Le mansioni nelle quali si declina l’operatività delle scelte strategiche proprie della IT Governance vengono solitamente svolte da un team di professionisti IT con formazione di tipo manageriale e un elevato skill set nelle seguenti aree:

  • Sicurezza informatica, per poter effettuare scelte strategiche, organizzative e di processo in modo consapevole rispetto ai possibili rischi (per maggiori informazioni consigliamo la lettura dell’articolo Sicurezza Informatica, Cyber Security e Data Security);
  • IT Procurement, per poter gestire o coordinare le attività di approvvigionamento di beni e servizi informatici (per ulteriori informazioni consigliamo di leggere l’articolo ICT Procurement: istruzioni per l’uso);
  • Change Management, fondamentale sia per gestire i cambiamenti decisi dagli stakeholder aziendali che per reagire in modo strutturato a eventi imprevisti che potrebbero esporre l’azienda a rischi di vario tipo (per maggiori informazioni leggere gli articoli Change Management: cos’è, come funziona, come affrontarlo e Vulnerability Assessment: linee guida);
  • Project Management, necessario per svolgere le attività di analisi, progettazione, pianificazione e realizzazione degli obiettivi di un progetto (per informazioni aggiuntive, leggere l’articolo Project Management: PMBOK, ISO 21500 e best practices).
  • Studio di Fattibilità, fondamentale per determinare la convenienza della realizzazione di un intervento sul sistema informativo o sull’infrastruttura informatica aziendale (per maggiori informazioni leggere l’articolo Studio di Fattibilità: guida completa).
  • System Integration, così da poter gestire i progetti che prevedono di mettere in comunicazione sistemi diversi (per approfondimenti e riflessioni su questo argomento, leggere l’articolo Interoperabilità dei sistemi informativi aziendali).
  • Risk Management, così da poter ancorare ogni decisione a una preventiva valutazione delle probabilità e impatto dei possibili rischi (risk-based approach), nonché a una piena consapevolezza della quantità di rischio che l’organizzazione è disposta ad accettare.
  • Compliance, per garantire che l’organizzazione raggiunga i propri scopi utilizzando i metodi più appropriati rispetto a standard, pratiche, normative e direttive di controllo in vigore.

Ovviamente non è compito delle funzioni che si occupano di IT Governance occuparsi di tutte queste mansioni. Al contrario, per i motivi già espressi (segregation of duties), è bene che l’azienda si doti di un team di professionisti, possibilmente provenienti da percorsi professionali ed esperienze diverse, che siano in grado di gestire questi aspetti in modo sinergico e complementare: in altre parole, uno staff IT (o IT Management team), che avrà a sua volta il compito di coordinare l’attività di una serie di reparti operativi (IT Analyst, Software Developers, System Administrators, etc.) che avranno il compito di mettere in pratica le task risultanti dal processo decisionale. Al tempo stesso, è fondamentale che le risorse a cui è affidato l’aspetto strategico/decisionale del comparto IT aziendale possiedano competenze approfondite su ciascuna di queste aree, possibilmente certificate da terze parti nonché suffragate da esperienze lavorative concrete.

Proviamo a riassumere quanto appena detto con un esempio di semplice comprensione. Ipotizziamo l’esistenza di un’azienda il cui Chief Technology Officer decida di intraprendere un percorso di change management con l’obiettivo di innovare un asset aziendale sostituendo il centralino on-premise ISDN con un prodotto cloud-based in tecnologia VOIP; è corretto presumere che egli non dovrà occuparsi degli aspetti organizzativi e operativi: non sarà dunque lui ad occuparsi della selezione del prodotto e/o delle attività di ICT procurement relative all’acquisto e al contratto di manutenzione (IT Procurement); o ad organizzare la formazione delle risorse influenzate dal cambiamento (IT Management); o ad installare i nuovi apparati in sostituzione dei vecchi (IT Delivery); o ad occuparsi delle possibili vulnerabilità connesse alla necessità di collegarsi al software gestionale del nuovo centralino in termini di sicurezza informatica (IT Security). Al tempo stesso, però, il CTO dovrà essere in condizione di poter dimostrare un approfondito livello di competenza in materia di IT Procurement, IT Management, IT Delivery e IT Security a sostegno della validità delle sue scelte strategiche in termini di creazione di valore aziendale, rapporto costi/benefici e valutazione di impatto in termini di rischi e opportunità: questa dimostrazione, che con tutta probabilità sarà stata richiesta ex-ante (evitando di assumere o incaricare un CTO privo delle necessarie certificazioni e/o attestazioni di valore derivanti da precedenti esperienze lavorative), andrà anche misurata ex-post tramite un processo di valutazione obiettivo degli outcome di progetto prodotti, nonché degli obiettivi e risultati raggiunti.

Governance, Management e Delivery

Il compito della IT Governance è dunque quello di fornire queste decisioni di alto livello, declinandole a livello di strutture organizzative, processi, policy, standard e principi IT volti ad assicurare l’allineamento della strategia IT. Sulla base di questo assunto proviamo a riepilogare i tre livelli in cui si declina l’azione IT all’interno del perimetro aziendale, dai decision maker agli organizzatori del lavoro, agli esecutori:

  • IT Governance: determina chi ha l’autorità e la responsabilità di prendere le decisioni strategiche di alto livello (CTO, CISO);
  • IT Management: definisce e modella l’operatività per consentire di raggiungere gli obiettivi strategici definiti dalla IT Governance;
  • IT Delivery: si occupa dell’implementazione, della messa in esercizio e della manutenzione evolutiva dei task individuati dall’IT Governance e posti sotto la supervisione e ilcontrollo dell’IT Management.

Come si può vedere, si tratta di un’organizzazione del lavoro che prevede, almeno dal punto di vista organizzativo, un certo livello di “verticalizzazione” funzionale: nella realtà dei fatti, però, le best practices internazionali suggeriscono di mantenere un elevato livello di interconnessione tra questi tre aspetti, così da garantire una interdipendenza virtuosa. Questo approccio costituisce il perno su cui si muovono le moderne metodologie di lavoro Agile, che non a caso prevedono uno sviluppo iterativo dei progetti e delle attività che faciliti l’interazione continua tra tutti gli attori coinvolti nel processo (continuous feedback) per ridurre il rischio di isolamento e favorire un costante allineamento sui risultati.

I rischi delle risorse “factotum”

Sfortunatamente, molte aziende continuano ancora oggi ad ignorare i vantaggi connessi a una corretta suddivisione dei compiti e delle mansioni connesse allo staff IT, preferendo un approccio basato sul “factotum” (termine latino composto dalle parole fac e totum, traducibile in italiano come “fa tutto”).

In ambito aziendale, il termine  “factotum” è utilizzato per definire quelle risorse che svolgono mansioni eterogenee e risolvono prontamente problemi pratici: nella maggior parte dei casi si tratta di persone che si prestano, per natura, formazione o necessità, a svolgere compiti non strettamente definiti ma la cui necessità si manifesta sul momento.

Le aziende che commettono questo errore affidano la maggior parte delle mansioni che abbiamo riassunto nei paragrafi precedenti a un ristretto numero di persone (in taluni casi persino una – il già menzionato “responsabile IT”), puntando sul fatto che si tratta di individui dotati di uno skill set eterogeneo e che godono di un elevato livello di fiducia. Questa scelta ha quasi sempre l’effetto di “accentrare” funzioni di Governance, Management e Delivery sulle stesse risorse, che si trovano così ad avere sia la responsabilità strategico/decisionale che la gestione organizzativa (e in taluni casi persino operativa) dell’attività. Quando questo accade, l’azienda si espone inevitabilmente a una serie di fattori di rischio:

  • Conflitto di interessi, dovuto al fatto che viene a mancare un sistema adeguato di controlli incrociati tra decision maker e operatives (assenza di contrappesi).
  • Visione limitata, in quanto tutte le fasi del progetto vengono portate avanti dalle medesime persone senza poter beneficiare di second opinion, analisi multidisciplinari, punti di vista alternativi e tutto il complesso di vantaggi connessi alle buone pratiche previste dal continuous feedback.
  • Maggiore propensione agli incident, tra cui le vulnerabilità informatiche: è infatti del tutto evidente che le (poche) figure incaricate di portare avanti i progetti IT in modo così eterogeneo si troveranno spesso nella posizione di doversi costruire – o “improvvisare” – una expertise su un set eccessivamente ampio di tematiche IT. Ma una singola risorsa, per quanto possa essere dotata, studiosa e propensa all’apprendimento, non potrà mai recuperare gli inevitabili gap legati alla mancanza di esperienza in un contesto complesso, sfaccettato e mutevole come quello dell’Information Technology: l’inevitabile presenza di quei gap provocherà dunque un corrispondente aumento dei rischi.

Il terzo punto è particolarmente importante poiché è quello che viene maggiormente sottostimato dalle tante piccole e medie imprese italiane che, per ragioni prevalentemente legate al contenimento dei costi, adottano questo tipo di organizzazione. Si tratta di una scelta particolarmente inadeguata nel caso dell’Information Technology in quanto si tratta di mansioni che, per via dei rischi connessi alle loro attività, necessitano quasi sempre di una certa esperienza, che – nel caso dell’IT – si costruisce anche e soprattutto attraverso la pratica continuativa, l’approccio euristico alla ricerca delle soluzioni migliori (trial and error) e il costante confronto con le risorse senior per imparare a risolvere problemi sempre più complessi (training on the job).

Mappa delle competenze IT

L’ipotesi che una o due persone possano tenersi aggiornati su tutte le odierne declinazioni dell’Information Technology, se mai è stata verosimile, risulta oggi del tutto priva di senso, stante l’enorme quantitativo di figure professionali IT emerse negli ultimi decenni.

Una prova schiacciante di questa realtà dei fatti è fornita dal documento Linee Guida per la qualità delle competenze digitali nelle professionalità ICT, con cui Agenzia per l’Italia Digitale identifica i rincipali profili professionali ICT normati con relative skill e competenze a beneficio delle pubbliche amministrazioni: il contributo di AgID individua non meno di 3 diversi profili IT Governance (Business Management) e 8 profili di coordinamento operativo (Technical Management), a cui si aggiunge un piccolo esercito di ruoli e funzioni operative la cui presenza può essere o meno necessaria a seconda dello scenario di riferimento.

IT Governance: principi di base e best practices

Chiunque arrivi a pensare che una struttura simile possa essere gestita (o per meglio dire “governata”) da un singolo individuo, per quanto capace, dimostra – oltre a un inguaribile “ottimismo” – di non avere le competenze necessarie per poter prendere decisioni strategiche di questo tipo.

Governance, Risk Management, Compliance

Dello stretto rapporto che lega GovernanceRisk Management e Compliance abbiamo già detto. La necessità di dotarsi di questi tre aspetti complementari nel contesto di un team di professionisti IT ha dato vita all’acronimo GRC, oggi utilizzato per riferirsi a un approccio integrato che comprenda:

  • ISMS (Information Security Management System);
  • QMS (Quality Management System o Sistema di gestione della qualità);
  • PMS (Privacy Management System o Sistema di gestione della privacy);
  • EMS (Environment Management System o Sistema di gestione ambientale).

Questo approccio integrato consente di affrontare nel migliore dei modi le sfide poste da un mondo sempre più complesso, collegando le competenze necessarie per gestire la moltitudine di standard ISO, le leggi, i principi normativi e i requisiti di business attraverso un processo globale: questo processo, noto con il nome di GRC (dall’unione di Governance, Risk and Compliance), definisce l’impostazione strategica generale di molte organizzazioni.

Conclusioni

Siamo giunti al termine di questa panoramica sull’IT Governance: ci auguriamo che le informazioni che abbiamo condiviso possano essere d’aiuto a quanti siano interessati ad approfondire questo fondamentale aspetto dell’organizzazione strategica aziendale.

 

About Ryan

IT Project Manager, Web Interface Architect e Lead Developer di numerosi siti e servizi web ad alto traffico in Italia e in Europa. Dal 2010 si occupa anche della progettazione di App e giochi per dispositivi Android, iOS e Mobile Phone per conto di numerose società italiane. Microsoft MVP for Development Technologies dal 2018.

View all posts by Ryan

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.