Il Quality & Performance Management applicativo si deve tradurre alla fine in servizi performanti e di qualità per il business. È cruciale a tal fine adottare best practice per la governance che facciano riferimento ai framework ormai diffusi sul mercato, tre principalmente: l’Information Technology Infrastructure Library (Itil), giunta alla Versione 3 (l’insieme di linee guida ispirate dalla pratica dell’IT Service Management, diffusosi negli anni Novanta a cura dell’Organisation of Government Commerce inglese, e ora gestita dal “capitolo” italiano del Forum per la Gestione Servizi It, ItSMF International); i Control OBjectives for Information and related Technology (CObIT), versione 4.1; e una loro preziosa “appendice per il governo degli investimenti business abilitati dall’It (ValIT), entrambe proposte dalla Information Systems Audit and Control Association Usa. Trascuriamo, seppur important, le linee guida specifiche di settore, come per esempio l’Enhanced Telecom Operations Map (eTom), che indirizza i processi di business nelle telecomunicazioni e struttura l’area dei servizi It richiesti a un Service Provider. ZeroUno ha intervistato Angelo Ullo, Business Technology Optimization (Bto) Solution Architect presso Hp, nella sua veste di veterano di progetti internazionali di It Governanc, ed esperto in particolare sul supporto di programmi di qualità e strutture per il controllo dei processi, quali Six-Sigma, e CMMi (Capability Maturity Model Integration), e sul rispetto di conformità alle normative, tipo ad es. IAS/ISFR e Sarbanes-Oxley.
ZeroUno: Nella sua esperienza, come ha visto evolvere la governance per la qualità applicativa e la percezione da parte del business dei servizi It?
Ullo: Le organizzazioni It non sono più le glass-house “statiche” di una volta, quando la governance era riducibile al buon rapporto fra senior management e organizzazione It. Con il business agile e la risposta It sempre più dinamica, sui servizi It occorre avere visibilità e controllo, esercitati attraverso processi di governance, sui quali impattano anche le tematiche della compliance. I vari framework per i servizi It al business (Itil, CObIT, ValIT) o per la stessa maturazione dei processi come Cmmi, volgono tutti a strutturare e organizzare questi processi di governance dei servizi It. Sempre più si deve poter guardar “dentro” a cosa avviene nel mondo It, dandone al Cio e al management delle linee di business il controllo attraverso cruscotti, che consentono di prendere decisioni giuste, al momento giusto e con strumenti giusti perché se questo non avviene il management rischia di subire decisioni altrui o indesiderate situazioni impreviste.
ZeroUno: E come vengono usati questi framework? Per la propria best practice aziendale si deve scegliere o le aziende li utilizzano contemporaneamente?
Ullo: Ho visto una maggioranza di aziende usare Itil, ma con un approccio comunque ibrido. Si parte da una checklist delle aree che si devono indirizzare, anche agli effetti dei vari controlli attesi dagli auditor aziendali. Molti scelgono il riferimento di CObIT, che copre a 360° tutte le esigenze specifiche dell’It. Con CoBIT si fa la checklist di quanto si deve coprire, in termini di pianificazione organizzazione, acquisizione e implementazione, fornitura e supporto, monitoraggio e valutazione [figura 1].
Figura 1 – Cobit v4.1, fonte Isaca
(cliccare sull'immagine per visualizzarla correttamente)
Da questa checklist derivano i processi specifici da definire e implementare, per descrivere il dettaglio dei quali è perfetta la metodologia Itil, che prende in considerazione It service design e It service operation; e questo perché le operazioni (run time) sono determinanti per un It più efficiente. Nel processo di maturazione e ottimizzazione dell’It, si parte dagli elementi essenziali (processi descritti in maniera sintetica come input e output), utilizzando Cmmi i processi vengono sviluppati seguendo un percorso di arricchimento. La versione 3 di Itil dà indubbiamente più valore percepibile al c-level management con la It service transition e il ciclo di vita dei servizi; ed enfatizza, con Roi e Business case, che le cose si fanno per un ritorno e che i progetti devono dar valore nel tempo e allineamento al business [figura 2].
Figura 2 – Itil V3, fonte Itsmf
In ogni caso, all’interno di un’organizzazione, Itil produce il grosso risultato di standardizzare il linguaggio: tutti gli addetti ai lavori si capiscono su incident, ticket, problem management, il che facilita non solo l’adozione della best practice in sé, ma operazioni di merge & acquisition. Un linguaggio consolidato è indispensabile nel percorso strategico di allineare la It governance al business, che, in pratica, significa: avere la visibilità di dove andare, dare risultati immediati che dimostrino risparmio in tempo e/o denaro e quindi valore creato, riutilizzare questo valore per fare il passo successivo di implementazione della governance. La best practice è alla fine proprio questo.
ZeroUno: Perché è nato ValIT?
Ullo: Per lo stesso principio, vissuto dalla parte degli standard Isaca: il cambiamento si giustifica economicamente solo attraverso piccoli progetti con ritorni dimostrabili. I processi in cui ValIT si articola sono Value Governance, Portfolio Management e Investment Management: in pratica, come devo recepire (portfolio), governare (governance) e restituire valore (investment). ValIT verifica a livello business se il Cio sta lavorando sulle cose giuste, e se sta ottenendo i risultati desiderati: il progetto deve mostrare un risultato economico. Si può dire che come Itil normalizza il modo in cui l’It parla con il business, con un linguaggio comune su disegno, transizione o operazioni dei servizi It, così ValIT è un dialogo strategico fra Cio e Cfo che normalizza il linguaggio fra i due.
ZeroUno: Nei servizi It qualità è dunque uguale linguaggio?
Ullo: Precisamente. Quando ci sono richieste legate al tipo di servizio, il difficile è comunicare in modo corretto e persistente ciò che si vuole. Parlare linguaggi diversi impedisce di avere un’applicazione di qualità. Questo, per il business significa anzitutto porsi in un’ottica di servizio e capire se il servizio richiesto resta ancora parente di quello fornito, se funzionerà come descritto, in modo performante, e in modo sicuro. Per il Cio il prerequisito è raccogliere in maniera univoca le richieste del cliente per poi, in sede di delivery delle applicazioni, verificare che esse siano state recepite nel modo corretto, prima di andare in produzione. Itil stabilisce un linguaggio strutturato, comune e bilaterale.
ZeroUno: Cosa significa qualità nel contesto Cobit?
Ullo: Vuol dire assicurarsi che le richieste vengano fatte nel modo corretto e soddisfacibile; che siano tracciate, per non venir cambiate in fase di progettazione o, nel caso fosse comunque necessario farlo, che ciò non avvenga in modo non controllato se non addirittura inavvertito; in fase di delivery si devono evitare (e la checklist basata sulla metodologia Cobit aiuta proprio in questo) report difformi, informazioni inconsistenti tra loro e/o disallineate dalle richieste business, magari perché durante il processo di produzione sono intanto cambiati i requisiti.
ZeroUno: E la qualità in Valit?
Ullo: È la qualità per il business di ciò che è stato prodotto. È il controllo di un intangibile, il Valore appunto, che è più di quanto misuri una variabile come il Roi. In ValIT, valore è che la “It supply chain” consegni applicazioni rispondenti ai requisiti business; qualità non è solo qualità funzionale (trovare in produzione meno bachi); qualità è anche la percezione che ha il fruitore del servizio erogato, quanto cresce la customer satisfaction (e conseguenti fidelizzazione, lealtà, ritenzione).
ZeroUno: Cosa manca in Italia nell’adottare questi framework?
Ullo: La disciplina di esecuzione, che è un aspetto della qualità. “Credere” in un framework ed “eseguirlo” fino in fondo. Si otterrebbero risultati superiori che con esecuzioni minimaliste o superficiali, e non incisive sulla qualità.
ZeroUno: La sicurezza rappresenta un altro importante cardine della qualità dei Servizi It il business. Eppure non sembra specificata né in Itil né in CobIT.
Ullo: Oggi la sicurezza logica non è architettata nei framework, esistono solo best practice dai leader di mercato. Sicuramente è cruciale la qualità che viene dalla sicurezza logica interna dell’azienda, che si articola in tre corone circolari: sicurezza di rete, di sistemi e applicativa. Il vero “buco” è la sicurezza applicativa, la corona circolare più debole. Una policy standard può automatizzare la riconfigurazione adattativa senza buchi di sicurezza di reti e sistemi, non di applicazioni. E non dimentichiamo la forte spinta verso applicazioni web 2.0: dal punto di vista della qualità le applicazioni sono l’anello debole, esposte come sono a buchi che espongono a danni o a guai nel riconfigurare. Non c’è che poter navigare le applicazioni con software come farebbe un hacker, e segnalarne le vulnerabilità.
