• Bookmark

Istituire una governance e una struttura gestionale per
l'e-commerce usando COBIT 5

Autore Chidi Henry Emeribe, CISA, COBIT 5 Foundation

COBIT Focus | 16 marzo 2015 Inglese | Francese | Giapponese | Portoghese | Spagnolo

Un'azienda con sede in Lagos, Nigeria, opera nella vendita e nella distribuzione di calzature con un proprio marchio tramite negozi outlet che si trovano nell'area di Lagos. Allo scopo di espandere le sue operazioni in zone fuori degli attuali outlet fisici e per avere un posizionamento più competitivo nel mercato nigeriano, i responsabili dell'azienda hanno deciso di usare Internet come piattaforma principale per raggiungere i loro obiettivi.


Per aiutare il conseguimento dell’obiettivo di usare Internet come piattaforma di promozione, si sono affidati a consulenti esterni. Questi ultimi hanno ricevuto il seguente mandato dal consiglio di amministrazione e dai dirigenti dell'impresa:

  • costruire un sito Web per l'e-commerce aziendale che funga da vetrina per il marchio di calzature dell'azienda;
  • fornire una governance e una struttura gestionale per la piattaforma e-commerce nonché fare in modo che i nuovi fattori di rischio relativi all'attività svolta attraverso Internet siano gestiti correttamente. Assicurare, inoltre, che i costi della piattaforma siano gestiti in modo ottimale usando pure le risorse in modo ottimale; e
  • fornire attività di supporto a lungo termine all'intero progetto in modo tale da rappresentare un sostanziale sostegno tecnologico per l'attività calzaturiera.

Le caratteristiche chiave del sito Web comprendono:

  • una vetrina per il prodotto (in questo caso marchi di calzature);
  • la visualizzazione dei vari prodotti, la scelta del marchio, la funzione “aggiungi al carrello” e i pagamenti con carta di credito/debito;
  • l’iscrizione al sito prima di qualsiasi transazione con relativa raccolta delle informazioni dell'utente sul sito Web;
  • il completamento della procedura di pagamento tramite un fornitore conosciuto di servizi di pagamento conforme allo standard PCI-DSS (Payment Card Industry Data Security Standard);
  • ulteriori funzioni del motore di e-commerce:
    • gestione magazzino;
    • gestione prodotti;
    • gestione ordini;
    • spedizione.

In altre parole, oltre a essere una vetrina per l'esposizione e la vendita, il sito Web ospita anche tutte quelle procedure chiave che tipicamente si trovano in un negozio al dettaglio o all'ingrosso.


Il progetto per il sito Web prevede un budget limitato. Per questa ragione, l'azienda sceglie di ospitare il sito in una piattaforma di hosting condivisa grazie a un provider di fiducia con il quale i consulenti hanno lavorato negli ultimi 10 anni. Come piattaforma di sviluppo Web, è stato scelto il software open-source (OSS) Drupal, mentre come motore per l'e-commerce è stato selezionato Drupal Ubercart. La scelta di queste piattaforme mira all'ottimizzazione dei costi, fornendo al contempo buone garanzie di prevenzione di interruzioni del servizio e di attacchi dolosi.


La criticità dei processi gestiti in questo piccolo sito e-commerce ha creato numerose sfide per i consulenti.


Le maggiori sfide sono state le seguenti:

  • assicurare la riservatezza, l'integrità e la disponibilità di tutte le transazioni sul sito Web;
  • assicurare la privacy di tutte le informazioni contenute nel sito Web che consentono l’identificazione personale (PII);
  • evitare i tempi di inattività per il sito Web;
  • la gestione di tutti i fornitori esterni considerando la criticità delle procedure sotto il loro controllo.

Per riuscire a gestire tutte queste sfide (fattori di rischio) in modo efficace, ottimizzando al contempo i costi e creando valore per tutti gli stakeholder, i consulenti, nel rispetto del mandato, hanno scelto di affidarsi al framework COBIT 5.


Gestione delle sfide con la tecnica "Goals Cascade" di COBIT 5

COBIT 5 definisce una tecnica, cosiddetta "goals cascade", che permette di collegare le necessità degli stakeholder di qualunque azienda o progetto a specifici obiettivi aziendali, ulteriormente sostenuti da specifici obiettivi IT. Questi obiettivi IT sono anche legati a obiettivi particolari a sostegno del raggiungimento di obiettivi generali e della soddisfazione dei requisiti degli stakeholder.1


Partendo dagli stakeholder di questo progetto, le necessità dell'impresa hanno riguardato l'ottenimento di vantaggi dalla gestione del sito Web per l'e-commerce usando le risorse ottimali e facendo in modo che tutto il rischio associato all'hosting del sito su Internet fosse gestito correttamente.


Queste necessità sono state legate ai seguenti obiettivi aziendali tramite la cascade di obiettivi aziendali di COBIT 5:2

  1. gestione ottimale del rischio d'impresa;
  2. continuità e disponibilità del servizio aziendale;
  3. ottimizzazione dei costi di erogazione del servizio.

Questi obiettivi aziendali sono supportati dai seguenti obiettivi attinenti il settore IT:3

  1. gestione dei rischi IT attinenti il rischio d'impresa indicato;
  2. trasparenza dei costi, dei benefici e del rischio IT;
  3. sicurezza delle informazioni, dell'infrastruttura di elaborazione e delle applicazioni;
  4. ottimizzazione degli asset, delle risorse e della capacità IT;
  5. disponibilità di informazioni utili e affidabili per il processo decisionale;
  6. personale aziendale e IT competente e motivato.

Gli obiettivi attinenti il settore IT sono stati associati ai seguenti processi, che sono fattori abilitanti definiti in COBIT 5:4

  1. EDM02 Assicurare l'erogazione dei benefici;
  2. EDM03 Assicurare l'ottimizzazione del rischio;
  3. EDM04 Assicurare l'ottimizzazione delle risorse;
  4. EDM05 Assicurare la trasparenza agli stakeholder;
  5. APO01 Gestire la struttura di amministrazione IT;
  6. APO03 Gestire l'architettura aziendale;
  7. APO04 Gestire l'innovazione;
  8. APO06 Gestire budget e costi;
  9. APO07 Gestire le risorse umane;
  10. APO09 Gestire gli accordi di servizio;
  11. APO12 Gestire il rischio;
  12. APO13 Gestire la sicurezza;
  13. BAI01 Gestire i programmi e i progetti;
  14. BAI04 Gestire le disponibilità e le capacità;
  15. BAI06 Gestire i cambiamenti;
  16. BAI09 Gestire le risorse;
  17. BAI10 Gestire la configurazione;
  18. DSS01 Gestire le operazioni;
  19. DSS02 Gestire le richieste di servizio e gli incidenti;
  20. DSS03 Gestire i problemi;
  21. DSS04 Gestire la continuità;
  22. DSS05 Gestire i servizi di sicurezza;
  23. DSS06 Gestire i controlli sui processi aziendali;
  24. MEA01 Monitorare, valutare e verificare prestazioni e conformità;
  25. MEA02 Monitorare, valutare e verificare il sistema di controllo interno;
  26. MEA03 Monitorare, valutare e verificare la conformità ai requisiti esterni.

La mappatura fornisce un quadro dei processi che erano necessari per assicurare che il progetto dei consulenti avesse una struttura di governance e gestionale ottimale.


La gestione delle caratteristiche e delle performance dei fattori abilitanti doveva concentrarsi nel rendere le procedure più solide possibili.


Inoltre, i processi sopra indicati devono essere considerati assieme ad altri fattori abilitanti, tra cui:

  1. i principi, le politiche e il framework;
  2. le strutture organizzative;
  3. la cultura, l’etica e il comportamento;
  4. l’informazione;
  5. i servizi, le infrastrutture e le applicazioni;
  6. le persone, le capacità e le competenze.

Inoltre, è stato necessario concentrarsi sulle caratteristiche e sulle performance dei fattori abilitanti di COBIT 5.


Tale approccio ha permesso ai consulenti di avere le strutture di governance e di gestione ideali per garantire la soddisfazione delle necessità degli stakeholder relativamente al sito Web di e-commerce, con un utilizzo ottimale delle risorse e l'ottimizzazione di tutti i rischi associati alla scelta della piattaforma e-commerce.


Implementazione

L'implementazione di COBIT 5 ha creato diverse sfide, tra cui:

  • capire da dove iniziare e cosa implementare prima;
  • adattare la terminologia di indirizzo di COBIT 5 ai requisiti identificabili e all'ambiente specifico dei consulenti;
  • comprimere la tabella RACI (Responsible, Accountable, Consulted e Informed) di COBIT 5 in un gruppo di ruoli molto più ridotto e condividerla;
  • comprendere che la maggior parte dei processi si occupa di medesimi obiettivi attinenti il settore IT.

Per superare gli ostacoli dell'implementazione, sono state intraprese le seguenti azioni:

  • I consulenti hanno usato un approccio per fasi all'implementazione, scegliendo di implementare le procedure e altri fattori abilitanti che permettevano di ottenere risultati rapidi e successivamente di spostarsi verso scenari più complessi. La priorità è stata data alle linee guida che più contribuivano a soddisfare i requisiti di riservatezza, disponibilità e integrità del progetto di e-commerce.
  • I consulenti hanno applicato la terminologia COBIT 5 alle loro specifiche terminologie sugli obiettivi aziendali, dividendole in entità identificabili.
  • Le tabelle RACI hanno permesso di avere una visione approfondita sui ruoli organizzativi che dovevano essere implementati per raggiungere gli obiettivi procedurali. Questi sono stati ridotti per essere mappati con i ruoli esistenti dei consulenti. Sebbene ci fossero sovrapposizioni, questo approccio ha rafforzato l’ownership di processo tra i consulenti.
  • Se gli obiettivi attinenti il settore IT sono stati mappati su più di un processo, , la definizione dello scopo e delle attività del processo è stata usata per attribuire le priorità, tenendo comunque presente l'obiettivo principale del progetto di e-commerce.

Inizialmente, sono stati determinati i benefici ottenibili usando COBIT 5 Implementation:

  • le tabelle RACI personalizzate dei consulenti sono state di aiuto nel rafforzare l’ownership di processo in tutta l’impresa;
  • l'approccio graduale di implementazione definito in COBIT 5 per il raggiungimento degli obiettivi è stato adottato dai consulenti e sviluppato sotto forma di to-do list;
  • gli obiettivi e le metriche di processo hanno permesso di avere una visione molto chiara sugli obiettivi da raggiungere;
  • gli input/output (I/O) delle pratiche di governance sono stati un’ottima fonte di linee guida per quanto riguarda gli strumenti necessari per raggiungere gli obiettivi di governance e gestionali.

A seguito all'implementazione, i vantaggi inizialmente identificabili relativi alla creazione di una struttura di governance, non solo sono stati ottenuti con successo, ma hanno anche aiutato i consulenti a reperire e fare tesoro di processi utili a risolvere i problemi attinenti il sito Web di e-commerce e le attività gestionali quotidiane a tutti i livelli aziendali.


Un evento scatenante

Il progetto del sito Web per l'e-commerce ha presentato sfide enormi e ha introdotto un nuovo rischio nell'attività dell'azienda, rappresentando così l’evento scatenante che ha spinto i consulenti ad optare per una governance e una gestione dei suoi processi. COBIT 5 è stato adottato come framework di riferimento e alla fine è stata implementata una struttura di governance e di gestione sostenibile per l'intera impresa.


Adesso, i ruoli organizzativi e la titolarità del processo sono definiti in modo più netto, i processi sono stati formalizzati e ottimizzati, gli obiettivi aziendali iniziali di gestione del rischio d'impresa, di continuità e disponibilità del servizio e di ottimizzazione dei costi di erogazione del servizio stesso sono stati ampiamente raggiunti.


Chidi Henry Emeribe, CISA, COBIT 5 Foundation

Attualmente ricopre l'incarico di consulente capo per Greengate Consult Limited, azienda di consulenza nel settore IT e ambientale con sede in Nigeria. Vanta oltre 12 anni di esperienza nel settore IT. Le sue qualifiche ricoprono aree come la sicurezza delle informazioni, il controllo, la governance e l’assurance. Ha anche lavorato a lungo nel campo dell'installazione, della manutenzione e dell’assistenza di infrastrutture informatiche. Emeribe ha una conoscenza pratica in campo IS e nella gestione del ciclo di vita delle infrastrutture, nella verifica in ambito IS, nella governance IT, nell'erogazione e nel supporto di servizi IT, nelle risorse per la protezione delle informazioni, nel cloud computing e nelle valutazioni della capacità dei processi.


Note finali

1 ISACA, COBIT 5, 2012, p. 17
2 Ibid, app. D, p. 55
3 Ibid, app. B, p. 49
4 Ibid, app. C, p. 51

THIS WEBSITE USES INFORMATION GATHERING TOOLS INCLUDING COOKIES, AND OTHER SIMILAR TECHNOLOGY.
BY USING THIS WEBSITE, YOU CONSENT TO USE OF THESE TOOLS. IF YOU DO NOT CONSENT, DO NOT USE THIS WEBSITE. USE OF THIS WEBSITE IS NOT REQUIRED BY ISACA. OUR PRIVACY POLICY IS LOCATED HERE.