Le organizzazioni sono soggette a molteplici requisiti legislativi e normativi che disciplinano, in tutto il mondo, la protezione delle informazioni riservate, la responsabilità finanziaria, la conservazione dei dati e il ripristino di emergenza.
Inoltre le organizzazioni devono garantire agli azionisti, alle parti interessate e ai clienti di disporre di un solido ambiente ICT. Per garantire che le organizzazioni soddisfino i requisiti interni ed esterni pertinenti, le organizzazioni possono implementare un programma formale di governance delle TIC che fornisca un quadro di migliori pratiche e controlli.
Esistono diverse definizioni di Governance ICT, vediamone alcune:
La scuola di specializzazione dell’università di Nottingham ha pubblicato una ricerca sulla governance ICT dove viene fornita una definizione e un quadro più specifico, e che aiuta la comprensione. La Governance ICT viene definita così: “specificare i diritti decisionali e il quadro di responsabilità per incoraggiare comportamenti desiderabili nell’uso dell’IT. La complessità e la difficoltà di spiegare la governance IT è uno degli ostacoli più seri al miglioramento”.
In questo studio viene descritto un framework di funzionamento della governance ICT:
Il framework fornisce un insieme di strumenti, processi e meccanismi con l’obiettivo di garantire che gli investimenti IT supportino gli obiettivi aziendali.
La necessità di pratiche formali di governance aziendale e IT nelle organizzazioni è stata alimentata dall’emanazione di leggi e regolamenti, ovunque nel mondo.
Vediamo alcuni esempi:
il Gramm–Leach–Bliley Act (GLBA) e il Sarbanes-Oxley Act , nel 1990 e nei primi anni 2000. Queste leggi sono risultate dalla conseguenze di numerosi casi di frode e inganno aziendale di alto profilo;
GDPR, regolamento generale sulla protezione dei dati (GDPR) è una legge paneuropea sulla protezione dei dati. La Direttiva sulla protezione dei dati dell’UE del 1995 e tutte le altre leggi degli Stati membri che si sono basate su di essa, incluso il DPA (Data Protection Act) del Regno Unito del 1998, sono state sostituite dal GDPR. I regolamenti e le direttive sono i due principali tipi di atti legislativi applicati dagli stati dell’UE. I regolamenti si applicano direttamente a tutti gli Stati membri dell’UE e sono vincolanti. Le direttive, invece, sono accordi sugli obiettivi che gli Stati membri devono raggiungere con la legislazione nazionale.
King IV, nasce dall’idea di una buona governance aziendale che deriva dal riconoscimento che le organizzazioni formano parte integrante della società, pertanto, le organizzazioni sono ritenute responsabili nei confronti di qualsiasi stakeholder attuale o futuro. Il framework ha introdotto un regime “applica e spiega” che raccomanda la trasparenza delle organizzazioni durante l’applicazione delle loro pratiche di governo societario.
ITIL: Information Technology Infrastructure Library (ITIL) è un framework che allinea i servizi IT alle esigenze aziendali. Il framework elabora attività, procedure e liste di controllo che non sono specifiche dell’azienda ma possono far parte del piano strategico di un’organizzazione per mantenere la competenza. Il framework può essere utilizzato per dimostrare la conformità e misurare il miglioramento all’interno di un’azienda.
COBIT: acronimo di Control Objectives for Information and Related Technologies. Fondamentalmente, COBIT è un framework creato dalla Information Systems Audit and Control Association (ISACA) per l’Information Technology Management e l’IT Governance. Il framework evidenzia e definisce il processo generico dei processi di IT Management, i relativi obiettivi e output, i processi chiave e gli Obiettivi. Il framework misura le prestazioni e la maturità utilizzando il Capability Maturity Model (CMM), che è uno strumento per studiare i dati raccolti dalle organizzazioni a contratto nella forza di difesa degli Stati Uniti.
modello per la valutazione dei controlli interni proviene dal Committee of Sponsoring Organizations of the Treadway Commission (COSO). L’attenzione di COSO è meno specifica per l’IT rispetto agli altri framework, concentrandosi maggiormente su aspetti aziendali come la gestione del rischio aziendale (ERM) e la prevenzione delle frodi.
CMMI : Il metodo Capability Maturity Model Integration, sviluppato dal Software Engineering Institute, è un approccio al miglioramento delle prestazioni. Il metodo utilizza una scala da 1 a 5 per misurare il livello di maturità delle prestazioni, della qualità e della redditività di un’organizzazione.
FAIR : Factor Analysis of Information Risk ( FAIR ) è un modello relativamente nuovo che aiuta le organizzazioni a quantificare il rischio. L’attenzione è rivolta alla sicurezza informatica e al rischio operativo, con l’obiettivo di prendere decisioni più informate. Sebbene sia più recente di altri framework menzionati qui, Calatayud sottolinea che ha già guadagnato molta trazione con le aziende Fortune 500.
Essenzialmente, la governance IT fornisce una struttura per allineare la strategia IT con la strategia aziendale. Seguendo un quadro formale, le organizzazioni possono produrre risultati misurabili verso il raggiungimento delle loro strategie e obiettivi. Un programma formale tiene conto anche degli interessi delle parti interessate, nonché delle esigenze del personale e dei processi che seguono. Nel quadro generale, la governance IT è parte integrante della governance complessiva dell’azienda.
Le organizzazioni oggi sono soggette a numerose normative che regolano la protezione delle informazioni riservate, la responsabilità finanziaria, la conservazione dei dati e il ripristino di emergenza, tra gli altri.
Per garantire il rispetto dei requisiti interni ed esterni, molte organizzazioni implementano un programma formale di governance IT che fornisce un quadro di best practice e controlli.
Il modo più semplice è iniziare con un framework creato da esperti del settore e utilizzato da migliaia di organizzazioni. Molti framework includono guide all’implementazione per aiutare le organizzazioni a introdurre gradualmente un programma di governance IT con meno rallentamenti. Nel paragrafo precedente sono elencati alcuni framework con relativi link.
Ercole Palmeri
Excel fornisce un'ampia gamma di funzioni statistiche che eseguono calcoli dalla media, mediana e moda di base fino alla distribuzione…
Le tabelle pivot costituiscono una tecnica di analisi dei fogli di calcolo. Consentono a un principiante assoluto con zero esperienza…
Quello che segue è il secondo ed ultimo articolo di questa newsletter dedicato al rapporto tra Privacy e Copyright da…
Progetto ACTEA, ENEA e Sapienza Università di Roma metteranno a punto le nuove batterie calcio-ione. Le nuove batteria calcio-ione in alternativa a…
Oltre 900 chirurghi ortopedici del piede e della caviglia, operatori sanitari avanzati, specializzandi ortopedici e studenti di medicina hanno partecipato…
Secondo l’ultimo report Protolabs sulla robotica destinata alla produzione, quasi un terzo (32%) degli intervistati ritiene che nei prossimi anni…
CNH è fortemente impegnata nello sviluppo della propria tecnologia per rendere l’agricoltura più semplice, efficiente e sostenibile per i suoi…
La mossa strategica faciliterà uno sviluppo più veloce per l'adozione dell'ecosistema privato 5G per tutti i dispositivi digitali NTT svela…
Neuralink, la startup neurotecnologica di proprietà di Elon Musk, ha recentemente annunciato che inizierà a reclutare pazienti per il suo…
Questo è il primo di due articoli in cui affronto il delicato rapporto tra Privacy e Copyright da un lato,…