Weitere ähnliche Inhalte Ähnlich wie La Resilienza e i Modelli di Maturità (20) Mehr von Luigi Buglione (20) La Resilienza e i Modelli di Maturità1. www.eng.it
La Resilienza e i Modelli di Maturità
Luigi BuglioneBuglione, Ph.D.
Process Improvement & Measurement Specialist
Industry & Service Business Unit
Engineering.IT
Seminario AICQm
Dalla Qualità alla Sicurezza Sociale:
le nuove norme sulla Continuità Operativa
Napoli, 5 Giugno 2013
3. www.eng.it3 Seminario AICQm - Napoli, Giu 5, 2013 © 2013 L.Buglione
Resilienza & MM Obiettivi della presentazione
G1. Definire la resilienza e le sue declinazioni organizzative
G2. Presentare il CERT RMM (Resilience Maturity Model)
G3. Discutere opportunità di usare RMM insieme ad altri MCM
(Maturity & Capability Models) per generare ‘valore’
4. www.eng.it4 Seminario AICQm - Napoli, Giu 5, 2013 © 2013 L.Buglione
Concetto e DefinizioneIntroduzione
Resilienza:“Proprietà di un materiale che recupera le forme originali dopo
deformazioni compatibili con i suoi limiti elastici”
(liberamente tradotto da http://wordnet.princeton.edu)
6. www.eng.it6 Seminario AICQm - Napoli, Giu 5, 2013 © 2013 L.Buglione
Qualità & Resilienza: RelazioneIntroduzione
Qualità
Resilienza
ISO/IEC 20000-1, CMMI-SVC, ISO/IECISO/IEC 20000-1, CMMI-SVC, ISO/IEC
15504 (SPICE), ISO 9001, ISO 900415504 (SPICE), ISO 9001, ISO 9004
ISO 31000, SEI CERT RMMISO 31000, SEI CERT RMM
Erogare servizi IT adeguati alle esigenze del
mercato per conseguire e mantenere nel tempo
il successo dell’organizzazione.
Gestire le situazioni di crisi ed assicurare la
sopravvivenza dell’organizzazione ed il ripristino
delle prestazioni in presenza di minacce
potenzialmente disastrose.
7. www.eng.it7 Seminario AICQm - Napoli, Giu 5, 2013 © 2013 L.Buglione
Convergenza: una promessa RMMIntroduzione
Gestione del rischio operativo
Principi, Infrastruttura di riferimento e Processo di gestione del
rischio
Focus su...
9. www.eng.it9 Seminario AICQm - Napoli, Giu 5, 2013 © 2013 L.Buglione
Sicurezza: short-list di possibili azioni ‘core’Introduzione
Perimetrare il servizio ed i sistemi di gestione aziendale
Identificare tutte le interfacce con l’ambiente
Ripensare alla missione definendo i livelli di resilienza
Analizzare e trattare i rischi
Progettare le misure di sicurezza e le modifiche ai servizi
Gestire il cambiamento dei servizi
Consolidare le operazioni di erogazione e l’organizzazione
Misurare le prestazioni
Migliorare la resilienza operativa
10. www.eng.it10 Seminario AICQm - Napoli, Giu 5, 2013 © 2013 L.Buglione
RMM - Resilience Maturity ModelCERT RMM
www.cert.org/resilience/rmm.html
11. www.eng.it11 Seminario AICQm - Napoli, Giu 5, 2013 © 2013 L.Buglione
Struttura del modello - Process Areas (26)CERT RMM
Id. Process Area (#1)
ADM Access Management
ADM Asset Definition & Management
COMM Communications
COMP Compliance
CTRL Controls Management
EF Enterprise Focus
EC Environmental Control
EXD External Dependencies
Management
FRM Financial Resource Management
HRM Human Resource Management
ID Identity Management
IMC Incident Management & Control
KIM Knowledge & Information Mgmt
Id. Process Area (#2)
MA Measurement & Analysis
MON Monitoring
OPD Organizational Process Definition
OPF Organizational Process Focus
OTA Organizational Training &
Awareness
PM People Management
RRD Resilience Requirement
Development
RRM Resilience Requirement
Management
RTSE Resilient Tech. Solution
Engineering
RISK Risk Management
SC Service Continuity
TM Technology Management
VAR Vulnerability Analysis & Resolution
12. www.eng.it12 Seminario AICQm - Napoli, Giu 5, 2013 © 2013 L.Buglione
Struttura del modello – Process CategoriesCERT RMM
Enterprise Management Process Management Engineering Operations
COMM - Communications
COMP – Compliance
EF – Enterprise Focus
FRM – Financial Resource Mgmt
HRM – Human Resource Mgmt
OTA – Org. Training & Awareness
RISK – Risk Management
MA – Measurement & Analysis
MON – Monitoring
OPD – Org. Process Definition
OPF – Org. Process Focus
ADM – Asset Definition & Mgmt
CTRL – Controls Management
RRD – Resilience Req. Dev.
RRM – Resilience Req. Mgmt
SC – Service Continuity
AM – Access Management
EC – Environmental Control
EXD – Ext. Dependencies Mgt
ID – Identity Control
IMC – Incident Mgmt & Control
KIM – Knowledge & Inf. Mgmt
PM – People Management
TM – Technology Management
VAR - Vulnerability An. & Res.
13. www.eng.it13 Seminario AICQm - Napoli, Giu 5, 2013 © 2013 L.Buglione
Struttura del modello – ArchitetturaCERT RMM
94 Specific Goals (SG)
251 Specific Practices (SP)
3 Generic Goals (GG)
13 Generic Practices (GP)
ISO 31000 presenta
84 raccomandazioni
14. www.eng.it14 Seminario AICQm - Napoli, Giu 5, 2013 © 2013 L.Buglione
Metodi di AppraisalCERT RMM
Tre livelli di ‘profondità’ per gli appraisal:
Rigoroso: CERT-RMM Capability Appraisals
• Tre classi: A/B/C (come in SCAMPI)
• http://www.cert.org/resilience/rmm_appraisals.html
• Output con dettaglio valutazioni singole SP
‘Lightweight’: CERT-RMM Compass
• Questionari per gap analysis prodotti dal CERT
• http://www.cert.org/resilience/rmm_compass.html
• Attualmente in fase di piloting (2011)
Informale: workshop/meeting per determinare la gap analysis
15. www.eng.it15 Seminario AICQm - Napoli, Giu 5, 2013 © 2013 L.Buglione
Risultato di un appraisal ‘continuous’CERT RMM
• Fonte: http://goo.gl/ZxXSQ
Special cause (GP.2.2 @
OT)
Common cause (GP.2.9 @ +PA)
18. www.eng.it18 Seminario AICQm - Napoli, Giu 5, 2013 © 2013 L.Buglione
CERT RMM RMM & gli altri
Mapping non formalizzati,
ma è possibile derivarli per
le singole PA (es: Service
Continuity con l’analogo
processo in ITIL v3 SD
• FonteFonte: RMM book, p.13
19. www.eng.it19 Seminario AICQm - Napoli, Giu 5, 2013 © 2013 L.Buglione
CERT RMM RMM & ITIL v3
La Sicurezza nel Ciclo di Vita (ITIL v3)La Sicurezza nel Ciclo di Vita (ITIL v3) Adozione di RMM per il miglioramentoAdozione di RMM per il miglioramento
Strategia (SS)
Perimetrare il servizio ed i sistemi di gestione aziendale
Identificare tutte le interfacce con l’ambiente
Ripensare alla missione definendo i livelli di resilienza
• Obiettivi
Politiche ed obiettivi aziendali
Politiche ed obiettivi di resilienza
• Ambito
Mappatura processi organizzazione
Definizione ambito miglioramento
• Gap
Rappresentazione situazione AS_IS
Rappresentazione situazione TO_BE
Disegno (SD)
Analizzare e trattare i rischi
Progettare misure di sicurezza e modifiche servizi
• Analisi dei gap
• Implementazione dei cambiamenti
Transizione (ST) - Gestire il cambiamento dei servizi • Implementazione dei cambiamenti
Operazioni (SO): Erogare i servizi, Gestire gli incidenti • Implementazione dei cambiamenti
Miglioramento Continuo (CSI): Misurare le prestazioni,
Proporre azioni correttive e preventive per i livelli di
resilienza operativa
• Valutare i risultati
21. www.eng.it21 Seminario AICQm - Napoli, Giu 5, 2013 © 2013 L.Buglione
LEGO ModelResilienza & MM
1. MCM Repository 2. Process
Architecture
4. Appraisal Method3. Mappings &
Comparisons
1.
Identify goals
2.
Query the
MCM repository
3.
Include new
elements
4.
Adapt
& Adopt
Fonte: Buglione L., Gresse von Wangenheim C., Hauck J.C.R., Mc Caffery F., The LEGO
Maturity & Capability Model Approach, Proceedings of 5WCSQ, 5th
World Congress on
Software Quality, Shanghai (China), Oct 31- Nov 4 2011
22. www.eng.it22 Seminario AICQm - Napoli, Giu 5, 2013 © 2013 L.Buglione
MCM Repository - www.gqs.ufsc.br/mcm
SourceSource: Gresse von Wangenheim C., Hauck J.C.R., Buglione L., Mc Caffery F., Cardoso Lacerda T., Viera da Cruz R.F., Building a Maturity & Capability
Model Repository, Proceedings of PROFES 2011, 12th International Conference Product Focused Software Development and Process Improvement,
Torre Canne - Bari (Italy), June 20-22 2011, Second Proceedings: Short Papers, Doctoral Symposium and Workshops, ACM, ISBN 978-1-4503-0783-3,
pp. 2-5
Resilienza & MM
23. www.eng.it23 Seminario AICQm - Napoli, Giu 5, 2013 © 2013 L.Buglione
CERT RMM Implementare il cambiamento
SEI IDEALIDEAL (http://goo.gl/TcfE3)
24. www.eng.it24 Seminario AICQm - Napoli, Giu 5, 2013 © 2013 L.Buglione
Un’organizzazione che aspira al successo durevole deve coniugare
qualità e sicurezza
Non si tratta di una chiamata alle armi per la prossima certificazione
Rappresenta piuttosto una ulteriore chiave interpretativa per
affrontare il problema della proliferazione dei sistemi di gestione
aziendale
La gestione del rischio e la resilienza operativa come leve
d’integrazione dal livello della cultura e dei valori fino al livello
operativo.
...perchè non provare?
Alcuni (s)punti di riflessione...Resilienza & MM
““People tend to overstate my resilience, but, of course, I hope they're rightPeople tend to overstate my resilience, but, of course, I hope they're right””
David Brudnoy (Entertainer, 1940-2004)
25. www.eng.it25 Seminario AICQm - Napoli, Giu 5, 2013 © 2013 L.Buglione
@ QUALITA’ (Gen 2013)Resilienza & MM
• URLURL: http://aicqna.com/redazione/qualita -
N.1/2013, pp. 30-36
27. www.eng.it27 Seminario AICQm - Napoli, Giu 5, 2013 © 2013 L.Buglione
Q && A
Grazie per la vostra attenzioneGrazie per la vostra attenzione!!
Resilienza & MM
28. www.eng.it28 Seminario AICQm - Napoli, Giu 5, 2013 © 2013 L.Buglione
Dati di contatto
Luigi
Buglione
Engineering.IT/ETS
luigi.buglione@eng.it
Resilienza & MM