COBIT.

COBIT è il framework ISACA per la governance e la gestione dell'IT aziendale. L'edizione corrente è COBIT 2019. È il framework utilizzato dalle Big Four per valutare la maturità della governance IT e il riferimento per la certificazione CGEIT. Più strategico di ISO 27001; meno prescrittivo di NIST.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyAudit & complianceAll entries

Il punto di vista di Cyber Academy

COBIT è il framework ISACA per la governance e la gestione dell'IT aziendale. L'edizione corrente è COBIT 2019. È il framework utilizzato dalle Big Four per valutare la maturità della governance IT e il riferimento per la certificazione CGEIT. Più strategico di ISO 27001; meno prescrittivo di NIST.

Che cosa governa realmente COBIT

COBIT è il framework di ISACA per la governance e la gestione dell'IT aziendale. La sua distinzione fondamentale, e quella su cui i professionisti inciampano più spesso, è la linea che traccia tra governance e gestione. La governance riguarda il consiglio di amministrazione e il livello esecutivo: definire la direzione, valutare le opzioni e monitorare i risultati. La gestione riguarda la pianificazione, la costruzione, l'esecuzione e il monitoraggio delle attività che realizzano tale direzione. COBIT mantiene queste due dimensioni come domini separati, affinché chi decide ciò che l'IT deve realizzare non coincida con chi rendiconta se è stato realizzato.

Quella separazione è il motivo per cui gli auditor ricorrono a COBIT quando una norma di sicurezza delle informazioni non basta. ISO 27001 indica come far funzionare un sistema di gestione della sicurezza delle informazioni. NIST fornisce un catalogo di controlli e di risultati. COBIT si colloca al di sopra di entrambi: risponde alla domanda se l'IT nel suo complesso sia orientato verso gli obiettivi dell'azienda, se il rischio e le risorse siano gestiti in modo responsabile, e se gli stakeholder ottengano valore. È più ampio della sicurezza e deliberatamente meno prescrittivo di un elenco di controlli.

La struttura di COBIT 2019

L'edizione attuale è COBIT 2019. Organizza il lavoro in obiettivi raggruppati sotto i domini di governance e di gestione, e associa a ciascuno i componenti necessari per farlo funzionare: processi, strutture organizzative, politiche, flussi informativi, cultura, competenze e servizi. Il punto è che un processo sulla carta non significa nulla se mancano le strutture, le competenze e la cultura che lo circondano, perciò COBIT vi obbliga a esaminarli tutti insieme.

Due idee rendono COBIT 2019 utilizzabile nella pratica, e non semplicemente un poster appeso al muro:

  • I fattori di progettazione. La strategia aziendale, il profilo di rischio, i requisiti di conformità, il ruolo dell'IT e il modello di sourcing determinano insieme quali obiettivi meritano attenzione. COBIT non presuppone che ogni organizzazione abbia bisogno dello stesso sistema di governance, quindi si adatta il framework al contesto anziché adottarlo integralmente.
  • La capacità e la maturità. Ogni obiettivo di governance e di gestione può essere valutato su una scala di capacità, e il framework supporta anche una visione della maturità per aree di interesse. È così che le Big Four e i team di internal audit producono un quadro difendibile del «dove siamo, dove dovremmo essere» anziché un'opinione soggettiva.

Dove si colloca COBIT rispetto agli altri framework

I professionisti utilizzano quasi sempre COBIT accanto ad altri framework anziché al loro posto. Uno schema comune: COBIT definisce gli obiettivi di governance e la baseline di maturità, ISO 27001 rende operativa la sicurezza delle informazioni, ITIL gestisce i servizi, e un framework di rischio alimenta il quadro del rischio. COBIT diventa l'ombrello che mostra come questi elementi servono gli obiettivi aziendali e dove si trovano le lacune.

COBIT a confronto con framework affini
FrameworkFocus principalePosizionamento
COBITGovernance e gestione dell'IT aziendaleStrategico, a livello di framework, adattato al contesto
ISO 27001Sistema di gestione della sicurezza delle informazioniCertificabile, operativo, ambito sicurezza
Framework NISTRisultati di cybersecurity e cataloghi di controlliDettagliato, prescrittivo, orientato ai controlli
ITILGestione dei servizi ITOperativo, focalizzato sull'erogazione dei servizi

COBIT è anche il corpo di conoscenze alla base della certificazione CGEIT di ISACA, rivolta ai professionisti responsabili della governance dell'IT aziendale. Se il vostro ruolo è garantire o progettare il modo in cui l'IT viene guidato a livello di consiglio, COBIT è il framework di riferimento e CGEIT la certificazione corrispondente.

Frequently asked questions

01COBIT è un framework di sicurezza come ISO 27001?

No. COBIT governa e gestisce l'IT aziendale nel suo complesso, non solo la sicurezza delle informazioni. ISO 27001 è una norma certificabile di gestione della sicurezza che rende operativa una parte di ciò che COBIT supervisiona. Molte organizzazioni utilizzano entrambi, con COBIT come ombrello di governance e ISO 27001 al suo interno.

02Qual è la versione attuale di COBIT?

COBIT 2019 è l'edizione attuale. Ha introdotto i fattori di progettazione per adattare il sistema di governance al contesto di un'organizzazione e ha perfezionato il modello di valutazione della capacità e della maturità.

03Qual è la differenza tra governance e gestione in COBIT?

La governance è la responsabilità del consiglio e del livello esecutivo di valutare le opzioni, definire la direzione e monitorare i risultati. La gestione pianifica, costruisce, esegue e monitora le attività che realizzano tale direzione. COBIT le mantiene in domini separati affinché chi decide e chi esegue non valuti il proprio lavoro.

04Si ottiene una certificazione in COBIT?

Le organizzazioni non vengono certificate rispetto a COBIT nel modo in cui certificano un SGSI ISO 27001. Le persone possono conseguire le credenziali COBIT di ISACA, e COBIT è il corpo di conoscenze sottostante alla certificazione CGEIT in governance dell'IT aziendale.

05Perché gli auditor utilizzano COBIT?

COBIT offre un modo strutturato e difendibile di valutare quanto bene l'IT sia governato rispetto agli obiettivi aziendali, utilizzando valutazioni di capacità e di maturità. Ciò fornisce ai team di audit una baseline oggettiva e un quadro delle lacune anziché un'opinione soggettiva.

Hai bisogno di più di una definizione?

Prenota una chiamata di discovery gratuita di 20 minuti. Mappiamo la coorte che trasforma questo termine in una pratica pronta per l'audit.