Cos’è la ICT Governance, linee guida per la gestione efficace ed efficiente dell’Information Technology nella propria organizzazione

La governance ICT è un aspetto della gestione aziendale che mira a garantire la gestione dei propri rischi IT in modo efficace e in linea con gli obiettivi aziendali generali. 

Le organizzazioni sono soggette a molteplici requisiti legislativi e normativi che disciplinano, in tutto il mondo, la protezione delle informazioni riservate, la responsabilità finanziaria, la conservazione dei dati e il ripristino di emergenza. 

Inoltre le organizzazioni devono garantire agli azionisti, alle parti interessate e ai clienti di disporre di un solido ambiente ICT. Per garantire che le organizzazioni soddisfino i requisiti interni ed esterni pertinenti, le organizzazioni possono implementare un programma formale di governance delle TIC che fornisca un quadro di migliori pratiche e controlli.

Definizioni di Governance ICT

Esistono diverse definizioni di Governance ICT, vediamone alcune:

• UNESCO: Insieme eterogeneo di strumenti tecnologici e risorse utilizzate per trasmettere, archiviare, creare, condividere o scambiare informazioni. Tali strumenti e risorse tecnologiche includono computer, Internet (siti Web, blog ed e-mail), tecnologie di trasmissione in diretta (radio, televisione e webcasting), tecnologie di trasmissione registrata (podcasting, lettori audio e video e dispositivi di archiviazione) e telefonia (fissa o mobile, satellitare, visio/videoconferenza, ecc.).
• Gartner: processi che garantiscono l’uso efficace ed efficiente dell’IT per consentire a un’organizzazione di raggiungere i propri obiettivi. La governance della domanda IT (ITDG, ovvero ciò su cui dovrebbe lavorare l’IT) è il processo mediante il quale le organizzazioni garantiscono l’efficace valutazione, selezione, definizione delle priorità e finanziamento degli investimenti IT concorrenti; vigilare sulla loro attuazione; ed estrarre vantaggi aziendali (misurabili). ITDG è un processo decisionale e di supervisione degli investimenti aziendali ed è una responsabilità della gestione aziendale. L’IT Supply-side governance (ITSG, come l’IT dovrebbe fare ciò che fa) si occupa di garantire che l’organizzazione IT operi in modo efficace, efficiente e conforme, ed è principalmente una responsabilità del CIO.
• Wikipedia: Con governo dell’IT, o equivalentemente nella forma inglese IT governance, si intende quella parte del più ampio governo d’impresa che si occupa della gestione dei sistemi ICT in azienda. Il punto di vista della IT governance è rivolto alla gestione dei rischi informatici e all’allineamento dei sistemi alle finalità dell’attività. Il governo d’impresa si è molto sviluppato in seguito ai recenti sviluppi normativi in USA (Sarbanes-Oxley) ed Europa (Basilea II) che hanno avuto notevoli ripercussioni anche sulla gestione dei sistemi informativi. L’attività di analisi attraverso cui si perseguono questi obiettivi è l’IT auditing (revisione IT).

Università di Nottingham

La scuola di specializzazione dell’università di Nottingham ha pubblicato una ricerca sulla governance ICT dove viene fornita una definizione e un quadro più specifico, e che aiuta la comprensione. La Governance ICT viene definita così: “specificare i diritti decisionali e il quadro di responsabilità per incoraggiare comportamenti desiderabili nell’uso dell’IT. La complessità e la difficoltà di spiegare la governance IT è uno degli ostacoli più seri al miglioramento”.

In questo studio viene descritto un framework di funzionamento della governance ICT:

Il framework fornisce un insieme di strumenti, processi e meccanismi con l’obiettivo di garantire che gli investimenti IT supportino gli obiettivi aziendali. 

Leggi e Regolamenti

La necessità di pratiche formali di governance aziendale e IT nelle organizzazioni è stata alimentata dall’emanazione di leggi e regolamenti, ovunque nel mondo.

Vediamo alcuni esempi:

Negli Stati Uniti

il Gramm–Leach–Bliley Act (GLBA) e il Sarbanes-Oxley Act , nel 1990 e nei primi anni 2000. Queste leggi sono risultate dalla conseguenze di numerosi casi di frode e inganno aziendale di alto profilo;

GDPR in Europa

GDPR, regolamento generale sulla protezione dei dati (GDPR) è una legge paneuropea sulla protezione dei dati. La Direttiva sulla protezione dei dati dell’UE del 1995 e tutte le altre leggi degli Stati membri che si sono basate su di essa, incluso il DPA (Data Protection Act) del Regno Unito del 1998, sono state sostituite dal GDPR. I regolamenti e le direttive sono i due principali tipi di atti legislativi applicati dagli stati dell’UE. I regolamenti si applicano direttamente a tutti gli Stati membri dell’UE e sono vincolanti. Le direttive, invece, sono accordi sugli obiettivi che gli Stati membri devono raggiungere con la legislazione nazionale.

King IV in Sud Africa

King IV, nasce dall’idea di una buona governance aziendale che deriva dal riconoscimento che le organizzazioni formano parte integrante della società, pertanto, le organizzazioni sono ritenute responsabili nei confronti di qualsiasi stakeholder attuale o futuro. Il framework ha introdotto un regime “applica e spiega” che raccomanda la trasparenza delle organizzazioni durante l’applicazione delle loro pratiche di governo societario.

ITIL

ITIL: Information Technology Infrastructure Library (ITIL) è un framework che allinea i servizi IT alle esigenze aziendali. Il framework elabora attività, procedure e liste di controllo che non sono specifiche dell’azienda ma possono far parte del piano strategico di un’organizzazione per mantenere la competenza. Il framework può essere utilizzato per dimostrare la conformità e misurare il miglioramento all’interno di un’azienda.

COBIT

COBIT: acronimo di Control Objectives for Information and Related Technologies. Fondamentalmente, COBIT è un framework creato dalla Information Systems Audit and Control Association (ISACA) per l’Information Technology Management e l’IT Governance. Il framework evidenzia e definisce il processo generico dei processi di IT Management, i relativi obiettivi e output, i processi chiave e gli Obiettivi. Il framework misura le prestazioni e la maturità utilizzando il Capability Maturity Model (CMM), che è uno strumento per studiare i dati raccolti dalle organizzazioni a contratto nella forza di difesa degli Stati Uniti.

COSO

modello per la valutazione dei controlli interni proviene dal Committee of Sponsoring Organizations of the Treadway Commission (COSO). L’attenzione di COSO è meno specifica per l’IT rispetto agli altri framework, concentrandosi maggiormente su aspetti aziendali come la gestione del rischio aziendale (ERM) e la prevenzione delle frodi.

CMMI

CMMI : Il metodo Capability Maturity Model Integration, sviluppato dal Software Engineering Institute, è un approccio al miglioramento delle prestazioni. Il metodo utilizza una scala da 1 a 5 per misurare il livello di maturità delle prestazioni, della qualità e della redditività di un’organizzazione. 

FAIR

FAIR : Factor Analysis of Information Risk ( FAIR ) è un modello relativamente nuovo che aiuta le organizzazioni a quantificare il rischio. L’attenzione è rivolta alla sicurezza informatica e al rischio operativo, con l’obiettivo di prendere decisioni più informate. Sebbene sia più recente di altri framework menzionati qui, Calatayud sottolinea che ha già guadagnato molta trazione con le aziende Fortune 500.

Praticamente

Essenzialmente, la governance IT fornisce una struttura per allineare la strategia IT con la strategia aziendale. Seguendo un quadro formale, le organizzazioni possono produrre risultati misurabili verso il raggiungimento delle loro strategie e obiettivi. Un programma formale tiene conto anche degli interessi delle parti interessate, nonché delle esigenze del personale e dei processi che seguono. Nel quadro generale, la governance IT è parte integrante della governance complessiva dell’azienda.

Le organizzazioni oggi sono soggette a numerose normative che regolano la protezione delle informazioni riservate, la responsabilità finanziaria, la conservazione dei dati e il ripristino di emergenza, tra gli altri. 

Per garantire il rispetto dei requisiti interni ed esterni, molte organizzazioni implementano un programma formale di governance IT che fornisce un quadro di best practice e controlli.

Il modo più semplice è iniziare con un framework creato da esperti del settore e utilizzato da migliaia di organizzazioni. Molti framework includono guide all’implementazione per aiutare le organizzazioni a introdurre gradualmente un programma di governance IT con meno rallentamenti. Nel paragrafo precedente sono elencati alcuni framework con relativi link.

Ercole Palmeri