ITIL, Italia

L'obiettivo del libro sul "Service Transition" è di assistere le organizzazioni che pianificano e gestiscono cambiamenti ai propri servizi nell'ambiente di produzione (live). E' interessante notare come un intero stadio del lifecycle dei servizi in ITIL v3 sia dedicato alla questa transizione, a prova del fatto che è, a buon diritto, considerato un passaggio chiave, da gestire opportunamente. E', altresì, interessante notare la gamma di aspetti diversi che vengono considerati nella transizione: organizzativi, tecnologici, di processo e relativi alla conoscenza e competenza.

I concetti di "Service Transition" sono particolarmente importanti per i due gruppi che si situano alle due sponde opposte della transizione: chi crea e sviluppa i servizi e chi li supporta nell'ambiente di produzione. I benefici dell'adottare un approccio standard e riproducibile nella transizione dei servizi, sono evidenti: dalla capacità di stimare correttamente i tempi e costi della transizione alla abilità di ridurre costi e tempi e processare un numero maggiore di "transizioni".

A grandi linee, i momenti che vengono considerati parte della transizione sono quattro:

1.  La catalogazione, in una lista o pacchetto (package) consistente, dei sistemi, processi e funzioni che compongono il servizio da transitare nell'ambiente di produzione.
2. La "costruzione" (build) di questo pacchetto in un insieme coerente ed interoperante.
3. Il test del servizio in condizioni pari o equiparabili all'ambiente di produzione, incluso il testing della transizione
4. Il rilascio del servizio nell'ambiente di produzione

La CISA (Certified Information Systems Auditor) ha pensato bene di organizzare le tipologie di documenti da usare in senso "normativo" nelle organizzazioni. Questa organizzazione normalmente viene usata per la documentazione  della sicurezza in ICT, anche se a volte con declinazione leggermente diverse.

Chi implementa ITIL, ha naturalmente bisogno di codificare i processi che vengono implementati, e, normalmente, ciò va fatto a diversi livelli. Ad ognli livello, dovrebbe essere associata la tipologia di documento opportuna.

Le tipologie suggerite da CISA sono quattro:

1. Policy
2. Standard
3. Guideline
4. Procedure

Le policy sono normalmente intese come postulati a livello alto nell'organizzazione. Sono usate per indicare le priorità dell'organizzazione e stabilirne la direzione. In ambito ITIL potrebbero stipulare l'utilizzo del framework stesso e gli obiettivi specifici dell'organizzazione nella sua adozione. Le policy sono normalmente firmate da autorità manageriali riconosciute nell’organizzazione.

Gli Standard rappresentano attività obbligatorie e regole e specificano il modo uniforme di supportare la Policy. L’osservanza dello standard è obbligatoria. Uno standard, in ambito ITIL, potrebbe documentare il modo "standard" di gestire gli incidenti, stabilendo di fatto una norma. Gli standards sono a volte costosi da amministrare e quindi devono essere impostati con molto giudizio.

Le guidelines sono principi più generali che a differenza degli standard possono rappresentare delle raccomandazioni e non necessariamente degli obblighi. Sostanzialmente suggeriscono azioni da intraprendere in mancanza di standard applicabili, la cui osservanza è facoltativa. Possono essere usati come base per uno standard. In ambito ITIL si potrebbe decidere che alcuni processi siano implementati con delle guidelines, dando quindi facoltà agli operatori di divergere dal processo.

Le Procedure dettagliano invece gli specifici step su come implementare policy, statndards e guidelines. Tali step devono essere completati in ordine. Un esempio in ambito ITIL potrebbe essere il modo di tracciare gli incidenti nel software specifico utilizzato dall'azienda (i.e. chi riceve la chiamata deve aprire la scharmata X, inserire il dato Y, etc...)

Ve ne davamo notizia un po di tempo fa: attraverso l'Office of Government Commerce (OGC), l'APM Group ha finalmente creato uno schema di certificazione, o sarebbe forse meglio dire di endorsement, che permette ai vendor di software gestionale di poter usare il logo che certifica il software come "ITIL Process Compliant". I vendor devono proporre i propri tool a dei "Licensed Software Assessors" che verificano la compliance. Vi sono tre livelli di endorsement: Gold, Silver e Bronze.

Il livello Gold indica che il prodotto software ha almeno tre clienti che usano effettivamente il prodotto in un ambiente di produzione, e che certificano che usano il tool per automatizzare specifici process ITIL in accordo con il framework. La certificazione si basa su delle evidenze prodotte dagli utilizzatori del prodotto software.

Il livello Silver indica che il prodotto software ha almento tre clienti che usano effettivamente il prodotto in un ambiente di produzione. L'unica evidenza richiesta è che il prodotto sia effettivamente in uso.

Il livello Bronze richiede solo che il Prodotto, il processo e la documentazione utente passino l'assessment.

Come si evince dal titolo del post, P3O sarebbe la contrazione dell’acronimo di Portfolio, Programme e Project Offices.

Il modello P3O, della OGC, fornisce una struttura di supporto per tutti i tipi di cambiamento all’interno di un organizzazione. Il modello e’ abbastanza flessibile da permettere al suo interno diverse declinazioni di se stesso a secondo delle necessita’ e delle caratteristiche dell’organizzazione che lo implementa. In particolare le strutture di supporto possono avere diversi nomi, quali Portfolio Office, Centre of Excellence, Enterprise or Corporate Programme Office. Le strutture di supporto possono essere sia permanenti che temporanee, sia localizzate che centralizzate.

Sia PRINCE2, Managing Successful Programmes che Management of Risk menzionano la possibilita’ e l’opportunita’ di usufruire di strutture di supporto, ma non scendono nei particolari della loro implementazione e strutturazione.

P3O e’ il modello che fornisce le good pratice relative a queste strutture di supporto, in un insieme coerente di principi, processi e tecniche, rimanendo allineato a PRINCE2, MSP, e MoR.

Queste good pratice, che spaziano dall’ambito di progetto al programma, fino all’intero portfolio aziendale, coprono l’intero spettro organizzativo dai policy makers fino ai realizzatori.

Finalmente i libri di di ITIL v3 sono stati aggiornati. Sono stati resi disponibili da pochissimi giorni i cinque nuovi core book edizione 2011. Nel 2009 l’OGC, ovvero lo sponsor e “proprietario” di ITIL, aveva avviato un progetto di revisione dei cinque libri fondamentali che costituiscono il framework. La revisione arriva adesso, finalmente, a vedere la luce.

Qual’è l’impatto sul framework? In sostanza si tratta di un aggiornamento rispetto all’edizione precedente (che risale al 2007), non è quindi una vera nuova versione. Non porta cambiamenti rivoluzionari, come già aveva fatto ITIL v3 rispetto alla v2, ma incrementali. In pratica corregge errori e migliora la coerenza dei testi e tra i libri. L’aspetto interessante di questo aggiornamento è che accoglie le indicazioni che erano state segnalate dalla comunità mondiale nel Change Control Log andando a chiarire, aumentare la coerenza e correggere. La parte che è stata, probabilmente, più modificata è stata la pubblicazione sul Service Strategy per rendere i concetti in modo più chiaro, più conciso e più accessibile. Un altro aspetto dell’aggiornamento è stato lo sforzo a rendere il testo più adatto all’insegnamento, e non solo alla consultazione.

Mi sono imbattuto casualmente su un articolo di un paio di anni fa (dicembre 2006), pubblicato nel sito ISACA (www.isacaroma.it), ma tradotto dall’originale inglese da Agatino Grillo su di una survey sull’utilizzo di COBIT nel mondo. Incidentalmente, l’articolo da anche utili informazioni sull’utilizzo di altri framework/best practices, ed e’ su questi che mi interessa focalizzare l’attenzione.

L’articolo in forma integrale e’ disponibile qui. Vi riporto i dati relativi all’utilizzo di framework/best practices per comodita’.

• ITIL 54,3%
• ISO/IEC 17799 53,4%
• ISACA Audit Standards 47,3%
• COSO Control 39,8%
• IIA Audit Standards 27,5%
• CMM/CMMI 23%
• PMBOK (o PRINCE2) 22,8%
• Accounting Audit Standards (AICPA, CICA, ICAEW, etc.) 20,8%
• COBIT 20,2%
• COSO ERM 17,4%
• ISF 8,9%
• None 3,4%
• NIST 0,2%
• ISO 27001 0,15%
• ISO 9001 0,12%
• Altri 8,4%

L’articolo non chiarisce l’ambito della survey, ma e’ interessante notare come ITIL risulti il maggiormente adottato nonostante non abbia incentivi “normativi” (mi si passi il termine) all’adozione, cioe’ non vi sono norme che ne obblighino l’adozione, ed a seguire vi siano tutta una serie di standard “normativi”, fino (vado a memoria) al CMM/CMMI e PMBOK (o PRINCE2) che “normativi” non sono, ma che pero’ vantano un’adozione nettamente inferiore ad ITIL (circa la meta’). Ci sarebbe anche da dire che PMBOK e PRINCE2 sono insiemi di best practices diverse, e che probabilmente non dovrebbero essere riportati nella stessa linea… Per la verita’ un po’ tutta la lista sembra un po’ troppo eterogenea. I dati rimangono comunque interessanti.

I Control Objectives for Information and related Technology (COBIT) - Obiettivi di controllo per le informazioni e tecnologie correlate – è un modello (framework), creato nel 1992 dall’associazione americana degli auditor dei sistemi informativi (Information Systems Audit and Control Association – ISACA), e dal IT Governance Institute (ITGI) per la gestione delle tecnologie informatiche – Information and Communication Technology (ICT) . Questo marchio di fabbrica (cioe’ di essere un framework nato da una organizzazione di auditors) lo contraddistingue e lo caratterizza tra altri framework similari.

Uno degli aspetti importanti di COBIT e’ che ha raggiunto lo statuto di norma internazionalmente riconosciuta; l’Unione Europea ha indicato COBIT come uno dei tre standard utilizzabili per garantire la sicurezza dei sistemi d’informazioni (cfr. ad es. Gazzetta Ufficiale dell’Unione Europea L077 pag. 6, 23 marzo 2005).

COBIT fornisce ai manager, agli auditor e agli utenti dei sistemi IT una griglia di riferimento costituita da una struttura dei processi della funzione IT, rispetto alla quale si è venuto formando il consenso degli esperti del settore, una serie di strumenti teorici e pratici collegati ai processi con l’obiettivo di valutare se è in atto un efficace governo della funzione IT (IT governance) o di fornire una guida per instaurarlo.

COBIT è stato pubblicato per la prima volta nel 1996. La sua missione dichiarata è quella di “ricercare, sviluppare, pubblicizzare e promuovere un insieme internazionale di obiettivi di controllo di accettazione generale per l’utilizzo giornaliero da parte di manager e auditor”.

Le aziende devono soddisfare i requisiti di qualità, affidabilità e di sicurezza della loro organizzazione IT perseguendo obiettivi di efficacia, devono cioè:

• controllare la funzione IT affinché fornisca le informazioni necessarie all’azienda
• gestire i rischi che gravano sulle risorse IT
• assicurarsi che la funzione IT raggiunga i propri obiettivi e che questi siano in sintonia con gli obiettivi aziendali

Devono inoltre perseguire obiettivi di efficienza, valutando la maturità dei processi e misurando le prestazioni della funzione IT.

Il modello COBIT si propone di rispondere a questi bisogni:

• Fornendo un collegamento tra gli obiettivi della funzione IT e gli obiettivi aziendali
• Organizzando le attività della funzione IT secondo un modello di processi generalmente accettato
• Definendo gli obiettivi di controllo da utilizzare nella gestione
• Fornendo un modello di maturità rispetto al quale valutare la maturità dei processi IT
• Definendo obiettivi misurabili (goal) secondo metriche basate sui principi delle Balanced Scorecard

La versione corrente di COBIT (la 4.1 – rilasciata nel maggio 2007) divide il controllo della funzione IT in quattro domini:

• Pianificazione e Organizzazione (Plan and Organise),
• Acquisizione e Implementazione (Acquire and Implement),
• Erogazione ed Assistenza (Deliver and Support),
• Monitoraggio e Valutazione (Monitor and Evaluate).

Nei quattro domini sono collocati un totale di 34 processi, ai quali fanno capo, nella versione 4.1, un totale di 210 obiettivi di controllo; questi ultimi rivestono un’importanza centrale nel COBIT, al punto di dare il nome al modello stesso.

Per la prima volta dalla nascita di ITIL l'OGC (Office of Government Commerce) ha ufficialmente avallato (pare) un framework di conformità ad ITIL per strumenti, documenti e processi di terze parti. Il framework sarà gestito dallo stesso gestore delle certificazioni ITIL (APMG) attraversi dei servizi di audit in joint venture tra Aspect Group Inc.e Service Management Consultancy Ltd. (SMCG). SMGC si occuperà di effettuare il servizio di audit in accordo con il framework di conformità.. L'OGC ha approvato l'utilizzo del marchio ITIL.

Vedi l'articolo originale su SearchCIO.

Uno dei modi per ottenere il livello ITIL expert (vedi post precedente) è quello di avere la certificazione ITIL Manager's certificate (v2) e poi passare l'esame specifico per aggiornare la certificazione per ITIL v3. L'esame in questione si chiama "ITIL® v3 Manager Bridge ". 

I prerequisiti all'esame sono i seguenti:

• Avere la certificazione ITIL Manager’s Certificate in IT Service Management (ITIL  v1 o v2)
• Aver frequentato il corso ITIL v3 Manager Bridge da un training provider accreditato. Questo corso fornisce le conoscenze per il passaggio da ITIL Manager’s Certificate in IT Service Management (versions 1 & 2) e ITIL Diploma in IT Service Management (version 3).

L'esame si concentra solo sulle novità di ITIL v3 (vedi il syllabus). In altre parole non si proccupa di verificare le conoscenze comuni tra ITIL v2 ed ITIL v3. In altre parole, le domande dell'esame non toccano i processi che sono rimasti invariati (per esempio incident management), ma si concentra sui nuovi processi (per esempio Access Management) od i processi che sono stati modificati, ma solo sulle modifiche (per esempio il concetto di "Service Change" nel change management).

L'esame si articola in 20 domande a risposta multipla "complesse", con degli scenari allegati, che richiedono esperienza e comprensione, e non solo memoria. Il formato dell'esame è stato abbastanza criticato per le seguente ragioni:

• il concetto di domande a risposta multipla "complesse" non sempre riesce a definire il livello di competenza del candidato. Spesso le domande si prestano a risposte diverse in base alla prospettiva con cui si approccia il problema (che ovviamente non si può giustificare nel formato proposto)
• 20 domande spesso sono poche dal punto di vista statistico, per poter determinare la competenza del candidato.

Sono previsti 1 ora e trenta minuti per i candidati che sono madre lingua, mentre i canonici 30 minuti in più vengono concessi agli non madrelingua.

E' stato pubblicato un manuale sulle certificazioni ITIL v3, reso disponibile nel sito dell' IT Service Management Forum (itSMF) International (http://www.itsmfi.org/). Il volumetto fa' un po' chiarezza sui vari livelli di certificazione ITIL v3, di cui vi diamo un veloce riassunto qui.

Chi e' chi (Who's who)

Nel 2006 l'OGC (Office of Government Commerce, http://www.ogc.gov.uk/), cioe' i creatori di ITIL e detentori del copyright hanno effettuato una gara per aggiudicare il servizio di accreditamento ITIL e lo schema delle certificazioni. La gara e' stata vinta dall'APM group (http://www.apmgroup.co.uk/), i quali sono adesso responsabili per gli standard ed i programmi cui gli Examination Institutes (gli enti esaminatori) devono aderire. L'APM group e' anche responsabile dell'ITIL Qualification Board, che e' un comitato di indirizzo, ad ampia rappresentanza (tra i partecipanti: itSMF International, OGC, gli enti esaminatori e lo stesso APM group) , che certifica le decisioni prese sullo schema di certificazioni ITIL.

L'APM group e' anche responsabile delle licenze rilasciate agli enti esaminatori, che sono quelli che in ultima analisi amministrano gli esami ITIL valutando ed approvando le varie aziende che somministrano i corsi e gli esami ITIL (Accredited Training Organizations o ATO).

Lo schema di certificazioni ITIL v3

Lo schema di certificazioni ITIL v3 e' diviso in quattro livell:

• Foundations Level - che si focalizza sui concetti, terminologia a processi di ITIL v3. Non e' inteso ad armare i candidati con le conoscenze sufficienti ad applicare le best practices ITIL. Lo scopo principale e' la comprensione e la conoscenza (Awareness). 
• Intermediate Level - organizzato per stream che si concentra su aspetti specifici del framework
• Expert Level - ottenibile dopo aver completato un certo numero di unita' intermediate ed il corso "Managing Across the lifecycle" che mette insieme tutti i pezzi
• Master Level - che e' la certificazione di piu' alto livello, attualmente ancora in sviluppo.

Vi daremo conto dei vari livelli, in maggiore dettaglio, in post successivi.

Il documento originale e' disponibile nel sito di itSMF International ai seguenti link:

• http://www.itsmfi.org/content/itil%C2%AE-service-mgt-practices-v3-qualification-guidance
• http://www.itsmfi.org/files/ITILSMPV3QS%20rev1.pdf