ITIL, Italia

Mi sono imbattuto casualmente su un articolo di un paio di anni fa (dicembre 2006), pubblicato nel sito ISACA (www.isacaroma.it), ma tradotto dall’originale inglese da Agatino Grillo su di una survey sull’utilizzo di COBIT nel mondo. Incidentalmente, l’articolo da anche utili informazioni sull’utilizzo di altri framework/best practices, ed e’ su questi che mi interessa focalizzare l’attenzione.

L’articolo in forma integrale e’ disponibile qui. Vi riporto i dati relativi all’utilizzo di framework/best practices per comodita’.

• ITIL 54,3%
• ISO/IEC 17799 53,4%
• ISACA Audit Standards 47,3%
• COSO Control 39,8%
• IIA Audit Standards 27,5%
• CMM/CMMI 23%
• PMBOK (o PRINCE2) 22,8%
• Accounting Audit Standards (AICPA, CICA, ICAEW, etc.) 20,8%
• COBIT 20,2%
• COSO ERM 17,4%
• ISF 8,9%
• None 3,4%
• NIST 0,2%
• ISO 27001 0,15%
• ISO 9001 0,12%
• Altri 8,4%

L’articolo non chiarisce l’ambito della survey, ma e’ interessante notare come ITIL risulti il maggiormente adottato nonostante non abbia incentivi “normativi” (mi si passi il termine) all’adozione, cioe’ non vi sono norme che ne obblighino l’adozione, ed a seguire vi siano tutta una serie di standard “normativi”, fino (vado a memoria) al CMM/CMMI e PMBOK (o PRINCE2) che “normativi” non sono, ma che pero’ vantano un’adozione nettamente inferiore ad ITIL (circa la meta’). Ci sarebbe anche da dire che PMBOK e PRINCE2 sono insiemi di best practices diverse, e che probabilmente non dovrebbero essere riportati nella stessa linea… Per la verita’ un po’ tutta la lista sembra un po’ troppo eterogenea. I dati rimangono comunque interessanti.

I Control Objectives for Information and related Technology (COBIT) - Obiettivi di controllo per le informazioni e tecnologie correlate – è un modello (framework), creato nel 1992 dall’associazione americana degli auditor dei sistemi informativi (Information Systems Audit and Control Association – ISACA), e dal IT Governance Institute (ITGI) per la gestione delle tecnologie informatiche – Information and Communication Technology (ICT) . Questo marchio di fabbrica (cioe’ di essere un framework nato da una organizzazione di auditors) lo contraddistingue e lo caratterizza tra altri framework similari.

Uno degli aspetti importanti di COBIT e’ che ha raggiunto lo statuto di norma internazionalmente riconosciuta; l’Unione Europea ha indicato COBIT come uno dei tre standard utilizzabili per garantire la sicurezza dei sistemi d’informazioni (cfr. ad es. Gazzetta Ufficiale dell’Unione Europea L077 pag. 6, 23 marzo 2005).

COBIT fornisce ai manager, agli auditor e agli utenti dei sistemi IT una griglia di riferimento costituita da una struttura dei processi della funzione IT, rispetto alla quale si è venuto formando il consenso degli esperti del settore, una serie di strumenti teorici e pratici collegati ai processi con l’obiettivo di valutare se è in atto un efficace governo della funzione IT (IT governance) o di fornire una guida per instaurarlo.

COBIT è stato pubblicato per la prima volta nel 1996. La sua missione dichiarata è quella di “ricercare, sviluppare, pubblicizzare e promuovere un insieme internazionale di obiettivi di controllo di accettazione generale per l’utilizzo giornaliero da parte di manager e auditor”.

Le aziende devono soddisfare i requisiti di qualità, affidabilità e di sicurezza della loro organizzazione IT perseguendo obiettivi di efficacia, devono cioè:

• controllare la funzione IT affinché fornisca le informazioni necessarie all’azienda
• gestire i rischi che gravano sulle risorse IT
• assicurarsi che la funzione IT raggiunga i propri obiettivi e che questi siano in sintonia con gli obiettivi aziendali

Devono inoltre perseguire obiettivi di efficienza, valutando la maturità dei processi e misurando le prestazioni della funzione IT.

Il modello COBIT si propone di rispondere a questi bisogni:

• Fornendo un collegamento tra gli obiettivi della funzione IT e gli obiettivi aziendali
• Organizzando le attività della funzione IT secondo un modello di processi generalmente accettato
• Definendo gli obiettivi di controllo da utilizzare nella gestione
• Fornendo un modello di maturità rispetto al quale valutare la maturità dei processi IT
• Definendo obiettivi misurabili (goal) secondo metriche basate sui principi delle Balanced Scorecard

La versione corrente di COBIT (la 4.1 – rilasciata nel maggio 2007) divide il controllo della funzione IT in quattro domini:

• Pianificazione e Organizzazione (Plan and Organise),
• Acquisizione e Implementazione (Acquire and Implement),
• Erogazione ed Assistenza (Deliver and Support),
• Monitoraggio e Valutazione (Monitor and Evaluate).

Nei quattro domini sono collocati un totale di 34 processi, ai quali fanno capo, nella versione 4.1, un totale di 210 obiettivi di controllo; questi ultimi rivestono un’importanza centrale nel COBIT, al punto di dare il nome al modello stesso.

Per la prima volta dalla nascita di ITIL l'OGC (Office of Government Commerce) ha ufficialmente avallato (pare) un framework di conformità ad ITIL per strumenti, documenti e processi di terze parti. Il framework sarà gestito dallo stesso gestore delle certificazioni ITIL (APMG) attraversi dei servizi di audit in joint venture tra Aspect Group Inc.e Service Management Consultancy Ltd. (SMCG). SMGC si occuperà di effettuare il servizio di audit in accordo con il framework di conformità.. L'OGC ha approvato l'utilizzo del marchio ITIL.

Vedi l'articolo originale su SearchCIO.

Uno dei modi per ottenere il livello ITIL expert (vedi post precedente) è quello di avere la certificazione ITIL Manager's certificate (v2) e poi passare l'esame specifico per aggiornare la certificazione per ITIL v3. L'esame in questione si chiama "ITIL® v3 Manager Bridge ". 

I prerequisiti all'esame sono i seguenti:

• Avere la certificazione ITIL Manager’s Certificate in IT Service Management (ITIL  v1 o v2)
• Aver frequentato il corso ITIL v3 Manager Bridge da un training provider accreditato. Questo corso fornisce le conoscenze per il passaggio da ITIL Manager’s Certificate in IT Service Management (versions 1 & 2) e ITIL Diploma in IT Service Management (version 3).

L'esame si concentra solo sulle novità di ITIL v3 (vedi il syllabus). In altre parole non si proccupa di verificare le conoscenze comuni tra ITIL v2 ed ITIL v3. In altre parole, le domande dell'esame non toccano i processi che sono rimasti invariati (per esempio incident management), ma si concentra sui nuovi processi (per esempio Access Management) od i processi che sono stati modificati, ma solo sulle modifiche (per esempio il concetto di "Service Change" nel change management).

L'esame si articola in 20 domande a risposta multipla "complesse", con degli scenari allegati, che richiedono esperienza e comprensione, e non solo memoria. Il formato dell'esame è stato abbastanza criticato per le seguente ragioni:

• il concetto di domande a risposta multipla "complesse" non sempre riesce a definire il livello di competenza del candidato. Spesso le domande si prestano a risposte diverse in base alla prospettiva con cui si approccia il problema (che ovviamente non si può giustificare nel formato proposto)
• 20 domande spesso sono poche dal punto di vista statistico, per poter determinare la competenza del candidato.

Sono previsti 1 ora e trenta minuti per i candidati che sono madre lingua, mentre i canonici 30 minuti in più vengono concessi agli non madrelingua.

E' stato pubblicato un manuale sulle certificazioni ITIL v3, reso disponibile nel sito dell' IT Service Management Forum (itSMF) International (http://www.itsmfi.org/). Il volumetto fa' un po' chiarezza sui vari livelli di certificazione ITIL v3, di cui vi diamo un veloce riassunto qui.

Chi e' chi (Who's who)

Nel 2006 l'OGC (Office of Government Commerce, http://www.ogc.gov.uk/), cioe' i creatori di ITIL e detentori del copyright hanno effettuato una gara per aggiudicare il servizio di accreditamento ITIL e lo schema delle certificazioni. La gara e' stata vinta dall'APM group (http://www.apmgroup.co.uk/), i quali sono adesso responsabili per gli standard ed i programmi cui gli Examination Institutes (gli enti esaminatori) devono aderire. L'APM group e' anche responsabile dell'ITIL Qualification Board, che e' un comitato di indirizzo, ad ampia rappresentanza (tra i partecipanti: itSMF International, OGC, gli enti esaminatori e lo stesso APM group) , che certifica le decisioni prese sullo schema di certificazioni ITIL.

L'APM group e' anche responsabile delle licenze rilasciate agli enti esaminatori, che sono quelli che in ultima analisi amministrano gli esami ITIL valutando ed approvando le varie aziende che somministrano i corsi e gli esami ITIL (Accredited Training Organizations o ATO).

Lo schema di certificazioni ITIL v3

Lo schema di certificazioni ITIL v3 e' diviso in quattro livell:

• Foundations Level - che si focalizza sui concetti, terminologia a processi di ITIL v3. Non e' inteso ad armare i candidati con le conoscenze sufficienti ad applicare le best practices ITIL. Lo scopo principale e' la comprensione e la conoscenza (Awareness). 
• Intermediate Level - organizzato per stream che si concentra su aspetti specifici del framework
• Expert Level - ottenibile dopo aver completato un certo numero di unita' intermediate ed il corso "Managing Across the lifecycle" che mette insieme tutti i pezzi
• Master Level - che e' la certificazione di piu' alto livello, attualmente ancora in sviluppo.

Vi daremo conto dei vari livelli, in maggiore dettaglio, in post successivi.

Il documento originale e' disponibile nel sito di itSMF International ai seguenti link:

• http://www.itsmfi.org/content/itil%C2%AE-service-mgt-practices-v3-qualification-guidance
• http://www.itsmfi.org/files/ITILSMPV3QS%20rev1.pdf

Lo standard ISO/IEC 20000 raccomanda l'utilizzo del ciclo PDCA (Plan - Do - Check - Act) per l'implementazione di tutti i processi, e definisce le varie fasi come segue:

• Pianificazione (Plan): identificazione degli obiettivi e dei processi necessari per fornire i servizi in accordo con le necessita' dei clienti e le politiche aziendali
• Implementazione (Do): l'effettiva implementazione del
• Controllo (Check): il monitoraggio e la misura dei risultati conseguiti rispetto agli obiettivi predeterminati
• Azione e Miglioramento (Act): L'attuazione delle azioni necessarie per rendere definitivo e/o migliorare il processo.

Nella fase di Pianificazione, vanno considerati, come parte del piano, i seguenti punti:

• L'ambito nel quale il service management va implementato, con eventuale riferimento ai servizi, le locazioni e/o le organizzazioni coinvolte.
• I processi da implementare
• Il sistema di gestione
• L'approccio nell'interfacciarsi con i progetti che creano (o modificano) servizi
• Quali strumenti verranno utilizzati
• Come la qualita' verra' gestita e controllata

Nella fase di implementazione, invece, vanno tenuti presenti, tra le altre cose, elementi quali l'allocazione delle risorse (anche finanziarie) e delle responsabilita', come da piano. Qui in realta' non si inventa nulla, ma si segue il piano preparato alla fase precedente fino alla completa implementazione dello stesso. Skill di Project Management tornano molto utili in questa fase (ma in realta' in tutte le fasi dell'implementazione).

Nella fase di controllo, chi si occupa di implementare, si deve assicurare chevi siano metodi opportuni per il monitoraggio e misurazione dei processi implementati. Affinche' questi siano parte integrante del sistema di gestione e' necessario che questi siano stati pensati gia' in fase di pianificazione. Queste misure danno il polso delle performance dei processi e possono permettere l'identificazione di aree di attenzione sulle quali lavorare. Un altro metodo utile all'identificazione di aree di intervento sono le ispezioni (audit), che verificano l'aderenza dello stato di fatto ai piani precedentemente elaborati.

Nella fase di Azione e Miglioramento ci si basa, in generale, sui risultati della fase di controllo per pianificare ed indirizzare le azioni di miglioramento a quelle aree ove l'azione puo' portare i massimi benefici per i clienti. Non appena tutte le azioni sono identificate ed applicate, si puo' iniziare un ulteriore iterazione del processo PDCA per continuare a migliorare l'implementazione del Service Management.

In questo post andiamo nel dettaglio dello standard ISO 20000, analizzandone una delle prime parti: il sistema di gestione o "management system". Nello standard, l'obiettivo del sistema di gestione e' quello di fornire le politiche (policies), procedure ed il contesto (framework) per consentire una effettiva gestione ed implementazione dei servizi IT.  

Questa parte dello standard si articola in tre porzioni:

• Le responsabilita' del management
• I requisiti documentali
• I requisiti in termini di competenze, conoscenze e training

La responsabilita' del management si articola prevalentemente nelle seguenti attivita':

• Fornire evidenza del proprio impegno nello sviluppo delle capacita' di service management. Deve essere chiaro allo staff che lo sviluppo, implementazione e miglioramento del Service Management e' una priorita' del management.
• Approvare e rendere note le politiche, le procedure, gli obiettivie ed i piani di service management
• Assicurarsi che i bisogni degli utenti siano da un lato identificati e dall'altro soddisfatti, nel rispetto dei limiti oggettivi definiti (anche di costo)
• Designare un manager responsabile per il coordinamento e gestione di tutti i servizi. Il manager designato deve essere a livello "senior".
• Determinare e fornire le risorse necessarie per seguire tutto il ciclo di vita dei servizi: pianificazione, disegno, implementazione, monitoraggio, miglioramento, etc...
• Assicurarsi che delle "ispezioni" (review) siano effettuate regolarmente per verificare che i servizi siano sempre efficaci (adeguati ai bisogni) ed efficienti (ad un costo ragionevole)

I requisiti documentali sono, tutto sommato, quelli classici, ed includono i seguenti:

• Piani e politiche di service management
• Service level agreements (SLA)
• Documenti che dettagliano i processi e procedure definiti nello standard stesso
• Registrazioni (records) richiesti dallo standard (registrazione degli incidenti, etc...)

E' abbastanza interessante il peso che viene dato alla parte di competenza, conoscenza e training. Si dice esplicitamente che i ruoli e le responsabilita' vanno mantenute insieme alle competenze relative. Forse nulla di rivoluzionario, ma di certo dato troppo spesso per scontato. Un processo di verifica delle competenze e dei bisogni di training viene esplicitamente menzionato come parte dello standard, cosi' come la necessita' di assicurare che tutto lo staff sia conscio dell'importanza delle proprie attivita' nel raggiungere gli obiettivi di service management. Questa parte viene analizzata, in qualche dettaglio, nella seconda parte dello standard (code of practice) nelle diversi fasi, ed in particolare nelle seguenti:

• la fase di assunzione del personale: questa fase ha come obiettivo la verifica delle competenze dei candidati per assicurare un buon inserimento nel ruolo specifico di service management identificato
• la fase di pianificazione: in questa fase l'obiettivo e' pianificare le competenze per i nuovi servizi, o turnover dello staff, od utilizzo di nuove tecnologie
• la fase di training e sviluppo delle competenze: in questa fase l'obiettivo e' l'identificazione dei bisogni in termini di training e competenze per migliorare l'erogazione dei servizi

Il 29 Gennaio 2009, alle ore 14.45 presso la Sala San Domenico - Santa Maria delle Grazie - Convento Padri Domenicani in Via G. Antonio Sassi, 3 a Milano vi sara' un seminario organizzato da Fondazione IRSO in collaborazione con AICA sul tema delle professioni ICT.

Il seminario, il nono di un ciclo dedicato da Fondazione IRSO al tema del "lavoro della conoscenza", partirà dal confronto tra il framework  EUCIP, lo standard europeo del CEPIS di riferimento per le competenze e i profili professionali informatici, e il modello di Fondazione IRSO sviluppato per tutte le professioni.

A seguire ci sara' un  dibattito fra i panelisti e i partecipanti sulle strategie, sulle esperienze di successo e sulle leve per migliorare produttività, innovazione e qualità del lavoro.

La partecipazione è gratuita previa iscrizione inviando una e-mail a maria.laplaca@irso.it.

Maggiori info e programma dell'incontro sul sito AICA.

L'OGC (Office of Government Commerce, UK), che ha battezzato sia le best practices ITIL che PRINCE2, ha anche formalizzato delle best practices di Program Management (http://www.best-management-practice.com/Programme-Management-MSP/), aggiornate nel 2002.

Parleremo del Programme Management come disciplina più in là, per il momento basti sapere che spesso progetti grandi e complessi sono spesso suddivisi in un insieme di progetti più piccoli (quindi più gestibili) e correlati. A questi progetti si aggiunge uno strato di management che è appunto il programme management. Ovviamente la declinazione OGC del Programme Management si integra perfettamente con PRINCE2 (http://www.itil-italia.com/prince2.htm).

Il titolo in inglese sarà: "Delivering IT Services using ITIL, PRINCE2 and DSDM Atern". L'uscita dell'interessante libro, parte della collana ufficiale su ITIL v3 dal TSO, è programmata per l'estate 2009. Offre consigli pratici per fornire servizi IT usando i tre framework:

• ITIL - di cui diciamo ampiamente altrove, vedi pagine su ITIL v2 ed ITIL v3
• PRINCE2 - di cui diciamo qualcosa
• DSDM - (Dynamic Systems Development Method), è una metodologia di project management "agile" distribuita in modo gratuito dal consorzio omonimo ai propri membri. Questa metodologia è fornita insieme ad un framework ed è una metodologia interessante perché si integra facilmente con le altre metodologie agili (esistono risorse già pronte per farlo con Extreme Programming, Prince2, RUP, ecc...) e quindi si può applicare ed adattare facilmente alle proprie necessità.

Oltre a discutere i tre framework, ne fornisce un sommario e descrive le aree di attenzione nell'implementazione degli stessi.