IT Governance

Il 27 gennaio 2010 è stata resa nota l’annuale "Rilevazione dello stato dell’automazione del sistema creditizio"  curata da CIPA (Convenzione Interbancaria per i Problemi dell’Automazione) e ABI (Associazione Bancaria Italiana), rilevazione che "fotografa" l’utilizzo dell’Information and Communication Technology (ICT) nelle banche ed i relativi trend evolutivi. I dati si riferiscono al 2008 e sono stati rilevati con un campione doppio:

1. il primo usato per la rilevazione "di gruppo" e costituito dai primi diciotto gruppi bancari per fondi intermediati;
2. il secondo usato per la rilevazione "individuale" e composto da 137 banche, di cui 103 esaminate anche nell’ambito dell’analisi per gruppi.

Vediamo in dettaglio le indicazioni riportate sui temi della "compliance" e della sicurezza ICT.

Nel sito di ISACA Roma è disponibile la traduzioni in italiano di "IT Control Objectives for Basel II" di ISACA dal titolo "Obiettivi di controllo IT per Basilea II - L’importanza della Governance e del Risk Management per la Compliance".

Link

• "Obiettivi di controllo IT per Basilea II - L’importanza della Governance e del Risk Management per la Compliance" versione in italiano (pdf, 727 K, 98 pp.)
• "IT Control Objectives for Basel II: The Importance of Governance and Risk Management for Compliance" versione originale in lingua inglese (pdf, dal sito di ISACA International, solo per gli associati)

La traduzione è stata realizzata da Agatino Grillo , CISA, CISSP, CISM con il patrocinio di ISACA Roma. Agatino Grillo nel 2008 ha anche tradotto "Obiettivi di controllo IT per la Sarbanes-Oxley" sempre di ISACA (liberamente scaricabile da qui, pdf, 904 K, 120 pp ).
Di seguito l’ Executive Summary del documento e l’indice.

Il 20 novembre 2009 ISACA, l’associazione internazionale degli IS Auditor e Security Manager, e l’IT Governance Institute (ITGI) hanno annunciato la pubblicazione della versione definitiva del "Risk IT Framework" un nuovo framework dedicato alla gestione dei rischi informatici in un’ottica di internal audit e regulatory compliance.
Il framework si compone di diversi testi alcuni liberamente scaricabili (in lingua inglese) dal sito di ISACA altri riservati ai soli associati.

• The Risk IT Framework (pdf, 4.6M), accesso libero previo registrazione
• The Risk IT Practitioner Guide (pdf, 5.7M), accesso riservato agli associati
• The Risk IT Practitioner Guide Toolkit (Zip, 195K), accesso riservato agli associati

Traduzione in italiano dei primi cinque capitoli della precedente versione in bozza

Nel febbraio 2009 ho tradotto in italiano i primi cinque capitoli della versione in bozza di IT Risk Framework. La traduzione è liberamente scaricabile in formato pdf, word ed OpenOffice a questo link.

ComplianceNet: Buongiorno Alain. Vuoi presentare Regulatory Consulting, società di cui sei partner?

Alain De Cristofaris:  Regulatory Consulting, costituita nel 1999 su iniziativa di ex funzionari delle due autorità di controllo del settore finanziario (Banca d’Italia e Consob), opera nel settore dell’assistenza e della consulenza a favore di intermediari finanziari, con particolare riferimento all’attività di interpretazione ed applicazione pratico-operativa della normativa di riferimento. Negli ultimi anni, infatti, la modernizzazione e globalizzazione del mercato degli intermediari finanziari non si è tradotta in una deregolamentazione, ma in una ri-regolamentazione, a volte anche assai pervasiva e sicuramente complessa, che ha dettato le nuove "regole del gioco". Il rispetto della conformità alle "regole", la compliance, richiede capacità interpretative basate su profili professionali interdisciplinari, in grado di cogliere gli aspetti economici, tecnici e giuridici delle fattispecie.

ComplianceNet:  In questo contesto qual è il tuo ambito di competenza?

ComplianceNet: Buonasera Giacomo e grazie di essere con noi. Vuole presentarsi rapidamente e presentare Spike Reply?

Giacomo Segalli: Buonasera. Sono Giacomo Segalli, Amministratore Delegato di Spike Reply, la società del gruppo Reply specializzata sulle tematiche relative all’area della sicurezza, delle frodi e della tutela dei dati personali. Prima di unirmi, nel 2002, a Reply sono stato Managing Director di Evidian, gruppo Bull, per 3 anni. Precedentemente ho avuto esperienze in IBM e HP.

ComplianceNet: Cosa caratterizza Spike Reply rispetto alle altre società che offrono prodotti e servizi in ambito security?

Giacomo Segalli: Direi due elementi.

• In primo luogo le caratteristiche di Spike Reply in termini di dimensione aziendale e di ampiezza dell’offerta caratteristica. Ad oggi contiamo su un organico di oltre 200 addetti con più di 200 certificazioni, altamente specializzati sulle principali tecnologie e soluzioni e attivi presso i principali organismi e istituti internazionali; abbiamo definito un’offerta completa, integrata e coerente per affrontare ogni aspetto del rischio associato a un sistema informativo: dall’individuazione delle minacce e delle vulnerabilità, alla definizione, progettazione e di implementazione delle relative contromisure tecnologiche, legali, organizzative, assicurative o di ritenzione del rischio. In aggiunta, forse l’unica azienda italiana a poterlo dichiarare, abbiamo anche completato la filiera sulla modalità di erogazione dei servizi: consulenza, servizi professionali, realizzazione di progetti chiavi in mano, servizi di gestione e monitoraggio da remoto tramite un SOC proprietario.
• In secondo luogo i grandi vantaggi e le sinergie derivati dall’appartenenza al Gruppo Reply, un gruppo che conta circa 2800 addetti, attivo in tutta Europa, che è leader indiscusso nella progettazione e nell'implementazione di soluzioni basate sui nuovi canali di comunicazione ed i media digitali. Il modello organizzativo di Reply si basa su una struttura a rete costituita da società controllate e focalizzate per linee di offerta, che costituiscono centri di eccellenza in grado di posizionarsi come “Best in Class” nei rispettivi ambiti di competenza. Questo modello coniuga la capacità progettuale ed organizzativa di un’entità di grandi dimensioni con la flessibilità, la specializzazione e il dinamismo delle piccole strutture.

Cristina Cellucci (CC): Buongiorno Andrea e grazie per la collaborazione. Vuole presentare MEGA ai nostri lettori?

Andrea La Malfa (ALM): MEGA è il principale fornitore indipendente di soluzioni di Business Process Analysis (BPA), Enterprise Architecture (EA) e Governance, Risk & Compliance (GRC).
Come apertamente riconosciuto da tutti i principali analisti di settore, MEGA è uno dei maggiori attori sul mercato dell’analisi e modellazione dei processi, nella consulenza organizzativa, nella gestione di Risk, Audit e Compliance e per l’allineamento dell’IT all'organizzazione e agli obiettivi del business.
Ad oggi, con più di 250 dipendenti, tra cui 150 consulenti specializzati in Business Process Management, Enterprise Architecture e GRC, MEGA ha guidato progetti di successo per oltre 2.200 clienti, in più di 40 paesi, fornendo oltre 70.000 licenze software. L'organizzazione a livello globale delle attività di consulenza permette ad ogni filiale di utilizzare tutte le competenze disponibili nelle divisioni di consulenza dislocate nelle diverse sedi europee.
In Italia, la presenza diretta di MEGA garantisce gli standard qualitativi che la distinguono a livello internazionale. Attenta ai principali fenomeni/normative nazionali e internazionali che influenzano le nostre imprese, MEGA ha accumulato una significativa esperienza nell'ambito della Governance RIsk e Compliance (Rischi Operativi, Basilea II, Dlgs 231, Legge 262, Business Continuity Planning & Management, etc.).

ComplianceNet: Buongiorno e grazie per essere qui con noi. Vuole presentarsi, rapidamente per i nostri lettori, e presentare Reply Consulting?

Jacek Frysztacki:  Reply Consulting è una società del Gruppo Reply che raggruppa i professionisti con un’ampia e approfondita esperienza nell’ambito della consulenza direzionale e sugli aspetti applicativi dell’Information Technology.

Il ruolo di Reply Consulting è quello di interfaccia tra l’anima funzionale e quella tecnologica dell’azienda, essendo per noi la tecnologia imprescindibile dal business. La società si caratterizza inoltre per un approccio molto pragmatico: la visione strategica e la conoscenza dei processi, necessaria per portare valore aggiunto in una proposizione consulenziale, viene coniugata con una concreta capacità di delivery delle soluzioni opportunamente personalizzate.

Le aree di competenza di Reply Consulting sono quelle di Strategy & Operation, del Business Performance Management, dell’Extended Enterprise Processes, della Corporate Governance, Risk Management e Compliance e dell’IT Governance.

Per quanto riguarda me, sono Jacek Frysztacki, Partner di Reply Consulting dal 2007. Sono più di 20 anni che mi occupo di consulenza. Ho cominciato la mia carriera come ricercatore universitario nell’ambito di organizzazione aziendale, poi sono stato diversi anni in Arthur Andersen, per poi passare in Deloitte. All’inizio mi occupavo di consulenza aziendale e sviluppo dei sistemi informativi in ambito HR e controllo di gestione. Dalla fine degli anni ’90 mi sono focalizzato, in ruoli diversi, sul Risk Management.

Il documento dell’IT Governance Institute (ITGI) dal titolo "ITGI Enables IS0/IEC 38500:2008 Adoption" che presenta e commenta la nuova norma ISO ISO/IEC 38500 "Corporate governance of information technology"  è stato tradotto in italiano da Agatino Grillo, CISA, CISSP, CISM.
La traduzione è disponibile in formato pdf, Microsoft Word 97-2003 ed Open Office 3.0 al fine di garantirne la massima diffusione.  Maggiori informazioni sulla nuova norma ISO ISO/IEC 38500 sono disponibili in questo articolo.

La traduzione in italiano (24 pagine)

• formato pdf, 234 K
• formato Microsoft Word 97-2003, 426 K
• formato Open Office 3.0, 2783 K
• versione originale in lingua inglese (solo pdf , 217 K, 19 pp)

Il 3 giugno 2008 l’ISO ha pubblicata la nuova norma ISO/IEC 38500 "Corporate governance of information technology" che si rivolge all’alta direzione come ausilio per l’assessment e di monitoraggio dei sistemi informativi, anche in ottica di compliance cioè volta ad assicurare che le tecnologie informatiche utilizzate rispettino gli obblighi regolamentari, legislativi, giuridici e contrattuali.
La norma stabilisce le definizioni, i principi e un modello di governance informatica sulla base di sei principi fondamentali, necessari per guidare il processo decisionale:

1. responsabilità
2. strategia
3. acquisizione
4. esecuzione
5. conformità
6. comportamento.

Nel febbraio 2009 l’IT Governance Institute (ITGI) emanazione di ISACA ha pubblicato il documento "ITGI Enables IS0/IEC 38500:2008 Adoption" (pdf, 217 K, 19 pp) che presenta e commenta la nuova norma ISO fornendo una serie di utili collegamenti tra i sei principi della norma e le pubblicazioni di ITGI.
Nel seguito forniamo la traduzione in italiano dell’introduzione al documento di ITGI e l’indice dello stesso.