Cos'è la governance IT?

Una governance IT efficace è una componente chiave della strategia aziendale complessiva e della governance aziendale come politica di governance, rischio e conformità (GRC). La governance informatica si occupa della gestione della governance e dei rischi e della conformità alle normative governative e di settore. L'ottimizzazione della governance IT richiede il giusto mix di investimenti IT, politiche e personale. Aiuta le organizzazioni a far coincidere i loro obiettivi IT con gli obiettivi aziendali.

Una strategia IT completa con una solida governance IT può semplificare il processo decisionale IT, in ultima analisi indirizzando i risultati verso gli obiettivi aziendali chiave. È sempre più un componente dei team DevOps responsabili delle operazioni IT. I team DevOps collaborano in modo più efficiente per creare, testare e distribuire software.

Man mano che le organizzazioni aumentano i loro investimenti IT, aumenta l'importanza di una forte politica di governance IT. I Chief Information Officer (CIO) guidano la strategia di governance IT insieme ad altri stakeholder chiave dei vertici aziendali.

Mantenere una solida governance IT aiuta le organizzazioni a prosperare in diverse aree chiave.

Le interruzioni dei processi IT di un'organizzazione influiscono sull'intera azienda. Pertanto, le organizzazioni fanno della resilienza una componente fondamentale dei loro processi di governance IT. Le organizzazioni possono orientare le proprie funzioni IT per massimizzare l'operatività e creare backup e ridondanze adeguati per mantenere l'attività in movimento.

Comprendere i costi delle risorse IT e il loro impatto sulla crescita aziendale è una componente chiave del lavoro di qualsiasi CIO. Sebbene la tecnologia sia una componente importante di qualsiasi organizzazione moderna, i CEO vogliono sapere che vari progetti, iniziative e spese IT tracciano una linea diretta verso il raggiungimento degli obiettivi aziendali.

Il maggiore utilizzo dei dati dei clienti per guidare le operazioni aziendali nell'IT aziendale significa che le agenzie governative sono più concentrate sul modo in cui le organizzazioni gestiscono i propri reparti IT. Le organizzazioni che dispongono di solide pratiche di governance IT hanno meno probabilità di incorrere in problemi di conformità e quindi sono maggiormente in grado di concentrarsi su altre aree della loro attività.

Le organizzazioni utilizzano sempre più dati di prime e terze parti, molti dei quali sono proprietari o contengono informazioni private sui consumatori. Sempre più spesso, i malintenzionati prendono di mira le organizzazioni che raccolgono questi dati preziosi. La mitigazione e la gestione del rischio IT sono fondamentali: le organizzazioni possono adottare politiche e procedure che proteggono i propri utenti. Secondo un sondaggio condotto da CIO.com, per i CEO la gestione del rischio IT¹ è la seconda priorità assoluta, dopo la trasformazione digitale.

Diverse organizzazioni governative e non governative (ONG) e imprese private sono responsabili della definizione e del mantenimento degli standard e delle linee guida per la governance IT.

• ISACA: Precedentemente nota come Information Systems Audit and Control Association, è un'organizzazione che fornisce credenziali ai professionisti IT in aree chiave di audit, cybersecurity e altro ancora.
• Organizzazione internazionale per la standardizzazione: questa organizzazione non governativa sviluppa standard tra le unità di business, comprese le operazioni IT, per facilitare meglio il commercio e la cooperazione. Ha emesso diversi standard, tra cui lo standard di governance IT ISO/IEC 38500, pubblicato nel 2008, e lo standard ISO 27001 per la gestione della sicurezza delle informazioni.
• Axelos: originariamente una joint venture tra il governo del Regno Unito e la società Capita, PeopleCert ha acquisito l'organizzazione nel luglio 2021. È responsabile di diverse certificazioni, tra cui la libreria di infrastruttura IT (ITIL).

Esistono diversi criteri e procedure di governance IT seguiti da molte organizzazioni.

Conosciuto anche come COBIT, è un framework di pratiche e strumenti accettati che riducono al minimo i rischi, introducono la conformità normativa e guidano gli obiettivi aziendali.

Questo framework, che raccoglie le best practice, aiuta le organizzazioni a gestire meglio il supporto e i servizi IT. AXELOS è responsabile della gestione degli aggiornamenti ITIL. Il più recente, ITIL 4, è stato rilasciato nel 2019² per includere nuovi strumenti e tecnologie, come l'intelligenza artificiale e il cloud computing.

Questo framework prevede la pianificazione, l'implementazione, la gestione e l'ottimizzazione dei servizi IT per soddisfare le esigenze degli utenti e aiutare le organizzazioni a raggiungere i propri obiettivi aziendali. L'ITSM è destinato a fornire l'implementazione, il funzionamento e la gestione ottimali di ogni risorsa IT per ogni utente di un'azienda. Gli utenti possono includere clienti, dipendenti o partner commerciali.

Le risorse IT possono includere hardware, software o asset informatici, come un computer portatile, un'applicazione software, storage cloud o un server virtuale. In alcune organizzazioni, DevOps viene utilizzato al posto o come alternativa all'ITSM. Ma molte organizzazioni vedono DevOps e ITSM come complementari: DevOps si concentra principalmente su velocità e agilità e ITSM si concentra sulla soddisfazione di utenti e clienti.

Questo modello, originariamente sviluppato dal Dipartimento della Difesa degli Stati Uniti, si riferisce al processo di sviluppo del software di un'organizzazione. Gli attuali modelli CMMI consentono alle organizzazioni di tutte le dimensioni di creare e misurare la maturità delle operazioni IT e di identificare le aree di miglioramento.

• Allineamento strategico: questo concetto prevede l'abbinamento degli obiettivi IT alle esigenze aziendali. Allineando ciò di cui un'organizzazione ha bisogno per avere successo, può allocare meglio le risorse IT e creare la giusta struttura di governance IT per far sì che ciò accada.
• Cybersecurity: le organizzazioni devono dare priorità alla protezione della sicurezza delle informazioni, data l'importanza dei dati che i loro clienti e partner affidano loro. Avere un solido livello di cybersecurity protegge quei dati e difende l'organizzazione da attacchi informatici catastrofici.
• Gestione delle risorse: le organizzazioni devono monitorare costantemente l'utilizzo di strumenti e servizi preziosi ma costosi che generano valore aziendale, come l'utilizzo del cloud e l'archiviazione dei dati. Un'organizzazione che dà priorità alla gestione delle risorse può identificare le giuste iniziative IT e ottimizzare i propri sistemi IT per creare i giusti processi decisionali.
• Disaster recovery: le organizzazioni devono avere un piano solido per quando le cose vanno male. Un guasto irreversibile ai server o ai database delle organizzazioni può portare alla perdita dei dati dei clienti o di altra proprietà intellettuale, a un aumento dei tempi di inattività e ad altre interruzioni dell'attività. Dare priorità al disaster recovery mantiene le organizzazioni attive e operative anche in caso di attacco o problema con i loro sistemi.
• Conformità alle normative: le organizzazioni devono essere conformi alle varie normative nazionali e regionali. Una strategia di governance IT ben gestita aiuta un'organizzazione a comprendere tali normative e monitora le azioni e le attività per mantenere la conformità durante qualsiasi modifica delle politiche IT.

L'AI generativa ha una grande influenza su ogni aspetto delle aziende moderne, IT incluso. Le organizzazioni possono dover riconsiderare le proprie politiche di governance IT nell'era dell'AI, soprattutto se stanno pensando di utilizzare strumenti di terze parti come ChatGPT o altri. L'AI generativa così com'è costruita oggi introduce diverse domande difficili sull'uso lecito, sulla privacy dei dati e sulla fiducia nella correttezza dei risultati.

Le organizzazioni che adottano l'AI generativa devono probabilmente rivedere le loro politiche di governance IT esistenti per vedere se hanno bisogno di nuove regole per l'uso della tecnologia. Inoltre, l'AI generativa potrebbe essere uno strumento prezioso per creare politiche di governance IT, ad esempio suggerire componenti chiave o porre domande al team di governance IT.