Migliori pratiche COBIT

Il Control Objectives for Information and Related Technologies (COBIT) è stato fondato dall'Information Systems and Audit Control Association (ISACA). COBIT è un framework che cerca di fornire linee guida per l'organizzazione della gestione della tecnologia dell'informazione aziendale. L'allineamento di tutte le tue iniziative di conformità alle informazioni e alla sicurezza incentrate sulla sicurezza con le migliori pratiche COBIT consentirà alla tua organizzazione di mantenere un programma costante di gestione del rischio.

Best Practice COBIT

ISACA in breve

ISACA è stata fondata inizialmente nel 1969. Il mandato dell'organizzazione è creare una certificazione IT riconosciuta a livello mondiale oltre a sviluppare linee guida per il controllo dell'auditing. ISACA è il cervello dietro l'IT Governance Institute (ITGI), che si concentra esclusivamente sulla scoperta e la pubblicazione di risorse pertinenti che forniscono linee guida e standard in tempo reale per mantenere aggiornati i controlli di sicurezza delle informazioni.

Cos'è COBIT 5?

COBIT 5 fornisce fondamentalmente un framework informatico che integra Risk IT, Information Technology Infrastructure Library (ITIL) e Val IT proprietari di ISACA con gli standard pertinenti prescritti dall'Organizzazione internazionale per la standardizzazione (ISO). Attraverso la combinazione di questi elementi, COBIT 5 cerca di fornire un programma di sicurezza informatica onnicomprensivo per la governance della tecnologia dell'informazione aziendale.

COBIT 5 offre a tutte le organizzazioni un modo per valutare e difendere i dati come parte fondamentale dei loro processi aziendali. Con l'obiettivo di consentire alle società non profit, del settore pubblico e commerciali di ottimizzare i propri processi IT, COBIT si concentra principalmente sulla fornitura di una guida pratica per garantire affidabilità, qualità e controllo dell'infrastruttura IT.

Perché scegliere COBIT 5?

COBIT 5 ti consentirà di allineare la maggior parte dei tuoi controlli attuali con vari altri benchmark e requisiti di conformità normativa. Ad esempio, se intendi conformarti ai benchmark del framework COSO, puoi utilizzare COBIT 5 per misurare e definire l'efficacia del controllo IT. Inoltre, COBIT 5 definisce cinque modelli di maturità fondamentali che possono aiutarti a determinare se sei o meno sulla strada giusta per quanto riguarda la completa conformità.

Utilizzo dei 5 principi del COBIT Framework per garantire le migliori pratiche

ISACA basa COBIT 5 su cinque principi guida pertinenti, che sono alla base dell'approccio unico di COBIT alla governance e alla gestione delle informazioni. Assicurando che i controlli interni ei processi IT siano allineati a questi principi di alto livello, sarà facile stabilire un approccio aziendale che corrisponda ai tuoi obiettivi di business.

Principio 1: Soddisfare i bisogni degli stakeholder

ISACA riconosce il fatto che la vostra organizzazione ha diversi stakeholder che hanno esigenze diverse e talvolta contrastanti. Ad esempio, il dipartimento marketing potrebbe aver bisogno di utilizzare i social media nel tentativo di costruire l'immagine del tuo marchio. Tuttavia, le applicazioni di social media di terze parti in genere ignorano le minacce ai dati che il reparto IT è tenuto a mitigare.

La migliore pratica per soddisfare le esigenze degli stakeholder è definire obiettivi tangibili e rilevanti e definire i livelli di responsabilità. Questo ti aiuterà a identificare e comunicare l'importanza dei fattori abilitanti.

Principio 2: coprire l'impresa end-to-end

La governance dell'informazione deve incorporare tutte le tecnologie relative all'IT. Tutti nella tua organizzazione dovrebbero essere a conoscenza delle risorse informative che consentono i tuoi obiettivi di business. Le migliori pratiche per coprire l'organizzazione end-to-end includono la definizione di fattori abilitanti della governance, la definizione dell'ambito della governance e l'assegnazione di ruoli e attività.

Principio 3: utilizzare un quadro unico integrato

COBIT 5 si allinea a vari framework. Alcuni sono legati all'IT mentre altri sono legati alla gestione del rischio. Da un approccio di gestione aziendale, COBIT 5 attinge da ISO/IEC 9000, COSO ERM, ISO/IEC 31000 e CSO. Da un approccio relativo all'IT, COBIT si concentra sull'integrazione di ITIL, TOGAF, serie ISO/IEC 27000, CMMI e ISO/IEC 38500.

Le migliori pratiche per l'applicazione di un framework integrato implicano la revisione degli standard relativi alla tua organizzazione, l'impegno nell'identificazione dei rischi appropriata e la garanzia che COBIT 5 sia allineato agli obiettivi della tua organizzazione.

Principio 4: abilitare un approccio olistico

Nell'ambito di un approccio olistico alla governance delle informazioni, COBIT cerca di integrare i fattori che influenzano collettivamente e individualmente il raggiungimento degli obiettivi aziendali. Framework, principi e politiche collegano strutture organizzative, cultura etica aziendale e processi a servizi/applicazioni/infrastrutture, persone/abilità/competenze e informazioni.

Le migliori pratiche per abilitare un approccio olistico includono la definizione di entità decisionali chiave, la definizione delle attività e delle pratiche per il raggiungimento degli obiettivi, la definizione dei comportamenti dell'organizzazione e dei singoli membri che sono più importanti e la definizione dei ruoli basati sulle abilità e competenze individuali.

Principio 5: Distaccare la governance dalla direzione

La governance implica il monitoraggio, la direzione e la valutazione del programma di gestione delle informazioni messo in atto. D'altra parte, la gestione implica la pianificazione, il monitoraggio e l'esecuzione delle attività quotidiane. Il ruolo del consiglio di amministrazione della tua organizzazione è la governance, mentre la gestione esecutiva sotto il CEO è incaricata della gestione. Anche se il framework COBIT integra 37 processi e 5 domini, la panoramica di alto livello offre uno schema per separare la governance dalla gestione.

Le migliori pratiche per la governance possono includere la creazione di principi guida dell'impresa, la creazione di un modello decisionale, la creazione di livelli di autorità, la revisione delle comunicazioni di governance aziendale e la ricezione di feedback sulle prestazioni e sull'efficacia della governance. Le migliori pratiche per la gestione includono la comunicazione delle regole di base, la definizione di politiche relative all'IT e la comunicazione degli obiettivi IT.

Ken Lynch è un veterano delle startup di software aziendali, che è sempre stato affascinato da ciò che spinge i lavoratori a lavorare e da come rendere il lavoro più coinvolgente. Ken ha fondato Reciprocity per perseguire proprio questo.

Ha promosso il successo di Reciprocity con questo obiettivo basato sulla missione di coinvolgere i dipendenti con gli obiettivi di governance, rischio e conformità della loro azienda al fine di creare cittadini aziendali più socialmente orientati. Ken ha conseguito la laurea in Informatica e Ingegneria Elettrica presso il MIT. Ulteriori informazioni su ReciprocityLabs.com.

Hai qualche idea su questo? Fatecelo sapere nei commenti.

Raccomandazioni della redazione:

• I ruoli e le responsabilità di un funzionario di conformità assicurativa
• KPI per misurare l'efficacia della conformità
• Monitoraggio continuo per la conformità in tempo reale