Keycloak per l’Identity e Access Management
Keycloak, la soluzione Open source per la gestione di Identità e Accessi
Keycloak è una piattaforma software open source per la gestione unificata di identità e accessi. Consente ad aziende e organizzazioni di gestire l’autenticazione e l’autorizzazione dei propri utenti, in modo centralizzato e sicuro.
Keycloak è progettato per funzionare con applicazioni e servizi moderni e fornisce una varietà di meccanismi di autenticazione supportando diversi protocolli, tra cui social login, OAuth 2.0, SAML e OpenID Connect.
Un’interfaccia moderna e l’alto livello di scalabilità lo rendono il prodotto ideale per chi vuole optare per una soluzione sicura e al tempo stesso altamente personalizzabile. Ora vediamo più nel dettaglio le sue caratteristiche.
Single Sign On (SSO) & Multi-Factor Authentication (MFA)
Keycloak supporta il Single Sign-On (SSO), che consente agli utenti di accedere a più applicazioni e servizi utilizzando un unico set di credenziali. Ciò semplifica enormemente il processo di accesso per gli utenti e si traduce in una maggiore sicurezza derivante dalla riduzione del numero di password che devono essere ricordate e gestite.
La piattaforma, supporta anche l’autenticazione a più fattori. Ciò fornisce un ulteriore livello di sicurezza chiedendo agli utenti di fornire ulteriori informazioni di autenticazione, (es. codice inviato al proprio telefono), prima di accedere alle risorse.
Funzionamento e installazione
Funziona come un server di autenticazione centrale che delega l’autenticazione alle fonti esterne e fornisce token di accesso per le applicazioni richiedenti. A livello di gestione utenti, prevede la suddivisione in 3 macrocategorie governabili attraverso una dashboard di amministrazione personalizzabile:
- Utenti: coloro che possono accedere alle risorse.
- Ruoli: utilizzati per definire i livelli di accesso dei singoli utenti.
- Gruppi: permettono di gestire in modo rapido i diversi ruoli presenti, creando delle aggregazioni tra ruoli e utenti.
Keycloak supporta più archivi utente, inclusi LDAP e Active Directory, così da permettere l’utilizzo delle directory esistenti per l’autenticazione degli utenti. Può essere implementato on-premise, in cloud o come soluzione ibrida, fornendo un’architettura flessibile con un alto grado di scalabilità.
Caratteristiche e Vantaggi
- Single Sign-On (SSO): consente agli utenti di accedere a più applicazioni e servizi utilizzando con un unico set di credenziali.
- Identity brokering: Convalida dell’identità tramite OpenID Connect o SAML 2.0 IdPs.
- Gestione centralizzata: interfaccia personalizzabile per la gestione di utenti, ruoli e autorizzazioni.
- Autenticazione a più fattori: richiede agli utenti di fornire ulteriori informazioni di autenticazione prima di accedere alle risorse.
- Integrazione con le directory: Integrazione con LDAP e Active directory per l’autenticazione attraverso directory esistenti.
- Scalabilità: Facilmente estendibile in base alle diverse esigenze.
Keycloak: integrazioni
Keycloak dispone di una serie di API che permettono l’integrazione della piattaforma con servizi e sistemi di terze parti ed è quindi una soluzione estremamente versatile nata per essere integrata nell’infrastruttura IT di aziende di qualsiasi dimensione.
Inoltre, sono già stati predisposti plugin per l’integrazione di Keycloak con SPID, CieID e CNS (Carta Nazionale dei Servizi)
Keycloak in SaaS
È possibile avere Keycloak anche in SaaS, con un servizio completamente gestito.
Yookey è il nostro prodotto/servizio attraverso il quale si possono sfruttare tutti i vantaggi di Keycloak, senza dover pensare agli oneri di installazione e aggiornamenti, oltre al vantaggio di poter contare su un servizio di Supporto in italiano.
Yookey garantisce massima sicurezza per i processi di accesso e autenticazione con Single Sign-On e una volta implementato nell’ambiente IT, non ci sarà bisogno di sostenere alcuno sforzo aggiuntivo per il funzionamento e la manutenzione del software.
Ulteriori informazioni sul prodotto Yookey potete trovarle anche sul sito dedicato, a questo link: Yookey – Keycloak SaaS.
L’offerta E-time si amplia: nuovi prodotti e servizi IT!
Nuove tecnologie e soluzioni software
L’offerta E-time si allarga! Negli ultimi anni il Know-how aziendale è cresciuto, portando come logica conseguenza anche un aumento dei servizi che l’azienda è in grado di offrire.
Un bagaglio di conoscenze e competenze, maturato nella gestione di nuovi clienti e progetti, che ci permette di progettare e gestire soluzioni ottimali per soddisfare le esigenze delle aziende.
Le nuove aree e soluzioni IT
Le aree IT storiche di E-time, sono rappresentate da:
- System Integration
- Ticketing & ITSM (Service desk management)
- E-learning
- Sviluppo software e progetti custom
I nuovi progetti e le nuove partnership accanto al consolidamente di quelle già esistenti, hanno permesso all’azienda di introdurre nuove aree di servizi IT, che riportiamo di seguito:
- Data Pipeline
- Business Intelligence (BI)
- Data migration
- Cloud integration
- API dev
- Identity Asset Management
- Software ERP
- Web & E-commerce
- Sicurezza sul lavoro
- Team collaboration
Oltre alla consulenza e all’analisi, per ciascuna di queste aree proponiamo diverse soluzioni software basate su soluzioni Open Source o proprietarie. La nuova offerta E-time è così composta:
- Ticketing & ITSM: Rexpondo
- E-learning & Help desk: Docebo e Odoo
- Software ERP: Odoo
- Identity Asset management (IAM): E-auth (basato su Keycloak) e E-box (basato su Passbolt)
- Data Pipeline: Apache Airflow
- Business Intelligence (BI): AWS Quicksight
- Data migration: AWS DB Migration Service
- Salute e sicurezza sul lavoro: 4HSE
- Web & e-commerce: Odoo
- Team collaboration: E-chat (basato su Mattermost), E-cal (basato su ical), E-cloud (basato su Nextcloud), E-board (basato su E-board)
Certificazione AgID per due prodotti E-time!
Rexpondo e 4HSE ottengono l’accreditamento AgID
Il servizi SaaS per Service desk e ITSM, Rexpondo, e per la gestione di salute e sicurezza sul lavoro, 4HSE, ottengono ufficialmente l’accreditamento AgID, rientrando quindi ufficialmente tra le piattaforme SaaS che rispondono ai requisiti per la Pubblica Amministrazione, stabiliti dall’Agenzia per l’Italia digitale.
Un traguardo molto importante che ci ha visto coinvolti su più fronti ed arrivato pochi mesi dopo il conseguimento di un’altra importante certificazione, la CSA Star uno standard progettato dall’organizzazione Cloud Security Alliance per definire standard di sicurezza in ambito cloud computing condivisi e riconosciuti a livello internazionale.
Il ruolo di AgID
L’Agenzia per l’Italia Digitale è l’agenzia tecnica della Presidenza del Consiglio il cui compito è garantire la realizzazione degli obiettivi dell’Agenda digitale italiana e contribuire alla diffusione dell’utilizzo delle tecnologie dell’informazione e della comunicazione.
AgID ha il compito di coordinare le amministrazioni nel percorso di attuazione del Piano Triennale per l’informatica della Pubblica amministrazione, promuovendo la creazione di nuove conoscenze digitali in stretta collaborazione con le istituzioni e gli organismi europei, nazionali e regionali incaricati.
Per ulteriori informazioni su AgID: https://www.agid.gov.it/
Green Pass Attendances | Il plugin Odoo
GREEN PASS - ODOO PLUGIN
L’introduzione dell’obbligo di presentazione del Green Pass per tutti i lavoratori e le lavoratrici, porta inevitabilmente con sè la necessità di adeguare anche la propria infrastruttura aziendale. Per questo motivo abbiamo deciso di lavorare alla realizzazione di un plugin da utilizzare con la piattaforma ERP Odoo.
Come funziona
Il plugin permette il controllo degli accessi e la validazione del Green Pass, necessario per l’ingresso del lavoratore nel luogo di lavoro, come stabilito dalla legislazione italiana (d.l. 21 Settembre 2021 n.127).
Attraverso l’utilizzo di un semplice lettore QR Code, si procede alla scansione del codice QR attestante la validità o meno del Green Pass. L’esito della lettura verrà riportata nel registro presenze all’interno di Odoo (modulo HR / Presenze) collegando il green Pass scansionato all’anagrafica corrispondente, riportandone anche l’orario di ingresso.
Tutte le informazioni relative al plugin sono consultabili direttamente sullo store Odoo a questo indirizzo: Odoo Green Pass plugin
Che cos'è Odoo
Odoo è una soluzione ERP completa composta da diverse App integrabili tra loro, in grado di rispondere alle diverse esigenze aziendali. In quanto partner Odoo, E-time opera come System Integrator nello sviluppo di integrazioni tra Odoo e gli altri sistemi dell’infrastruttura IT aziendale, oltre che allo sviluppo di Addon e personalizzazioni della piattaforma.
CSA STAR Self Assessment v.4.0.2
CSA STAR Self Assessment v.4.0.2
E-time, aderisce allo standard internazionale CSA STAR, per esteso Cloud Security Alliance – Security trust Assurance and Risk.
LA CERTIFICAZIONE STAR
Il Security, Trust & Assurance Registry Program (STAR) è uno standard progettato dall’organizzazione senza scopo di lucro Cloud Security Alliance che ha come obiettivo principale, oltre al fissare degli standard di sicurezza in ambito cloud computing, quello di permette ai clienti di valutare i propri fornitori sulla base di un modello condiviso e riconosciuto a livello internazionale.
Le aziende che scelgono di certificarsi STAR, scelgono di aderire ai principi di trasparenza, auditing rigoroso e armonizzazione degli standard indicando le best practice e le procedure di sicurezza dei propri servizi cloud.
Il registro STAR che raccoglie tutte le aziende che vi aderiscono, è di pubblica consultazione.
E-TIME E CSA STAR
E-time ha deciso di aderire allo standard CSA partendo dal processo di certificazione AgID per quanto riguarda le linee guide e i principi di gestione dei propri servizi cloud per la Pubblica Amministrazione.
E-time ha ottenuto la certificazione CSA STAR level 1 per i diversi servizi in cloud offerti, in particolare per Rexpondo e 4HSE.
L’impegno di E-time nel rispettare i prinicipi dello Standard è riportato nel Consensus Assessments Initiative Questionnaire (CAIQ versione 4.0.2), di cui di seguito riportiamo il link al questionario di E-time: Consensus Assessments Initiative Questionnarie E-time
Il Self Assesment, nella versione aggiornata CAIQ v.4.0.2, fornisce informazioni dettagliate sul SSRM (Shared Security Responsability Model) in particolare in merito a come vengono soddisfatti i requisiti di conformità, risk management, sicurezza e protezione dei dati personali.
Riportiamo inoltre, che il questionario è pubblicato anche all’interno del registro Cloud Security Alliance
Il plugin che risolve i problemi con il protocollo OAuth2
Il plugin che risolve i problemi con il protocollo OAuth2
Anche se non vi sono ancora termini certi, a partire dal 2021 Google e Microsoft termineranno il supporto per l’autenticazione attraverso username e password per i servizi di IMAP e POP3, rendendo obbligatorio il passaggio al protocollo OAuth 2.0.
Al fine di adeguare la propria installazione ((OTRS)) Community edition al nuovo protocollo, il nostro team Rexpondo ha implementato il plugin REXOAuth2.
Ulteriori informazioni sul plugin sono disponbili sul nostro sito rexpondo.it
Cos’è OAuth2
OAuth 2 è la seconda versione del framework OAuth un protocollo di autorizzazione che consente alle applicazioni di ottenere un accesso limitato agli account utente su un servizio HTTP.
Funziona delegando l’autenticazione dell’utente al servizio che ospita l’account utente e autorizzando le applicazioni di terze parti ad accedere all’account utente. OAuth 2.0 fornisce flussi di autorizzazione per applicazioni web e desktop e dispositivi mobili.
Perchè Rexpondo è la soluzione ITSM che stai cercando
Rexpondo non è solo un sistema di ticketing ma è una soluzione di IT Service Management strutturata su processi ITIL standardizzati, ITIL v3 compliant, basata basata sul software Open source ((OTRS)) Community edition.
L’IT è ormai il dipartimento chiave di ogni azienda che va presidiato e regolato per arrivare alla creazione di processi automatizzati in grado di migliorare i tempi di risposta. Ed è proprio su l’automatizzazione e la qualità dei processi che si gioca la partita.
Non è un caso infatti che l’ITIL, sia una disciplina incentrata sulla qualità del servizio percepita dai clienti, e Rexpondo ne supporta l’intera infrastruttura, dai requisiti alle best practice.
Core books ITIL
- SERVICE STRATEGY: comprende gli obiettivi organizzativi e le esigenze dei clienti e descrive i seguenti processi: Strategy Generation, Service Portfolio Management, Demand Management, Financial Management
- SERVICE DESIGN: trasforma la strategia di un servizio in un piano per la realizzazione degli obiettivi aziendali e descrive i seguenti processi: Service Catalogue Management, Service Level Management, Capacity Management, Availability Management, IT Service Continuity Management, Information Security Management, Supplier Management
- SERVICE TRANSITION: sviluppa e migliora le funzionalità per l’introduzione di nuovi servizi negli ambienti supportati e descrive i seguenti processi: Transition Planning and Support, Change Management, Service Asset and Configuration Management, Release and Deployment Management, Service Validation and Testing, Evaluation, Knowledge Management
- SERVICE OPERATION: gestisce i servizi negli ambienti supportati e descrive i seguenti processi: Event Management, Incident Management, Request Fulfillment, Problem Management, Access Management. In questo libro vengono definite anche le seguenti funzioni: Service Desk, Technical Management, IT Operations Management, Applications Management
- CONTINUAL SERVICE IMPROVEMENT: realizza servizi incrementali e miglioramenti su larga scala. Il processo di miglioramento descritto è unico e organizzato in sette passi.
I processi supportati da Rexpondo
Rexpondo è un sistema di Service Desk e quindi per definizione agisce:
- come punto di contatto tra gli utenti e l’ITSM
- gestisce incidenti e problemi degli utenti e fornisce un’interfaccia per gli altri processi quali:
- Incident Management
- Problem management
- Request Fulfilment
- Service Asset e Configuration Management
- Change management
- Knowledge Management
- Service Catalogue e Service Level Management
Per un’ulteriore approfondimento su come Rexpondo può gestire questi processi, rimandiamo a questo link: Rexpondo e ITIL.
IT Asset Management – i benefici di avere sotto controllo gli Asset della tua azienda
Perchè parliamo di IT Asset Management
IT asset management (ITAM) is the set of business practices that join financial, contractual and inventory functions to support life cycle management and strategic decision making for the IT environment. Assets include all elements of software and hardware that are found in the business environment. (def. https://en.wikipedia.org/wiki/IT_asset_management)
Con IT Asset Management indichiamo quindi tutte le attività volte ad una corretta mappatura e gestione degli asset IT (sia software che hardware), integrando le diverse soluzioni tra i vari reparti con un unico macro obiettivo, quello di creare valore per l’impresa.
La maggior parte delle imprese percepisce il bisogno di rinnovarsi tecnologicamente ed “investire nell’IT”, ma forse non è ancora perfettamente chiaro il come e forse nemmeno il motivo concreto.
Il mercato delle aziende è ancora diviso in due grandi categorie:
- Tradizionalista: si è sempre fatto così; ha sempre funzionato; adesso che in tanti cambiano per seguire la moda, liberano spazi e mi andrà ancora meglio.
- Innovativa: il mercato evolverà sempre e l’unico modo per competere è (r)innovarsi. Da quando si è provato a bloccare la “moda” dell’auto, legiferando che un “uomo sventolante una bandiera rossa” dovesse precedere ogni automobile (Regno Unito: Locomotive Act del 1865, noto anche come Red Flag Act) quanta “moda” è diventata …“vita”!
Ignorare, o peggio, ostacolare l’innovazione, è come ignorare la vita.
Il mondo sta inesorabilmente accelerando verso la valorizzazione delle idee.
Le stampanti 3D che erano nei sogni fantascientifici dei bimbi del secolo scorso, sono ora una realtà in evoluzione. Idee sempre nuove che richiedono un Time To Market il più possibile vicino all’immediato. L’unico modo per abbreviare il Time To Market è l’utilizzo della tecnologia, dell’IT.
Dopo la nascita dei primi telefoni portatili, un telefono che facesse da computer, macchina fotografica, radio, tv, ecc…, è arrivato sul mercato ancora prima che la massa lo potesse anche solo immaginare. Questo è un Time To Market efficace! Noi crediamo che questa accelerazione continuerà e quindi crediamo nella necessità di garantire che l’IT di tutte le aziende sia non solo adeguato e performante, ma che sia considerato parte integrante delle linee di business dell’azienda alla pari delle persone; che sia cioè considerato alla stregua delle capacità umane.
L’interazione uomo-macchina oramai non è più nemmeno da considerare un’ “innovazione”, bensì un fatto.
Perché un direttore dovrebbe essere legittimato a pretendere il meglio dal suo staff umano senza prestare attenzione alle risorse IT?
Perché alle persone si assegnano degli obiettivi, mentre all’IT si chiede cosa sia in grado di fare per dare una mano a raggiungere un obiettivo?
Ed allora perché un’azienda dovrebbe preoccuparsi di ottenere il massimo da ciascuna delle proprie Human Resources cercandole attentamente, mettendole nelle migliori condizioni di lavoro possibili, incentivandole, creando gruppi di lavoro che sappiano integrarsi nel modo migliore, ecc… e non dovrebbe dare la stessa attenzione alle risorse IT?
La risposta è che forse si sta ancora cercando di mettere il famoso “uomo con bandiera rossa” davanti all’innovazione dell’iterazione uomo/macchina.
L’IT Asset Management, o meglio, l’IT Governance più in generale, sposta il ruolo dell’IT da “IT Resource” a “Business Resource”. Ed in quanto risorsa di business, al pari delle “human”, deve essere gestita, valorizzata e valutata. Se, ad esempio, sono disposto a spendere tot. € per un progettista, è perché ho avuto modo di valutarne l’operato, tramite colloqui, verifica dei progetti fatti, e quant’altro, che il suo lavoro contribuirà a portare in azienda “adeguati ricavi”.
Le stampanti 3D che erano nei sogni fantascientifici dei bimbi del secolo scorso, sono ora una realtà in evoluzione. Idee sempre nuove che richiedono un Time To Market il più possibile vicino all’immediato. L’unico modo per abbreviare il Time To Market è l’utilizzo della tecnologia, dell’IT.
Dopo la nascita dei primi telefoni portatili, un telefono che facesse da computer, macchina fotografica, radio, tv, ecc…, è arrivato sul mercato ancora prima che la massa lo potesse anche solo immaginare. Questo è un Time To Market efficace! Noi crediamo che questa accelerazione continuerà e quindi crediamo nella necessità di garantire che l’IT di tutte le aziende sia non solo adeguato e performante, ma che sia considerato parte integrante delle linee di business dell’azienda alla pari delle persone; che sia cioè considerato alla stregua delle capacità umane.
L’interazione uomo-macchina oramai non è più nemmeno da considerare un’ “innovazione”, bensì un fatto.
L’IT Asset Management è quello strumento che mi permette di capire di che risorse (IT) ho bisogno, come lavorano le mie risorse (IT) quanto costano realmente le mie risorse (IT), quali criticità/problemi hanno le mie risorse (IT) e se danno al business il contributo atteso al fine di portare “adeguati ricavi”.
In assenza di informazioni, non potendo farne a meno, si prendono decisioni sull’IT “a sensazione” o in base all’esperienza pregressa (sempre che ci sia).Non è raro, ad esempio, che le aziende definiscano degli “standard” per gli acquisti IT e che questi siano definiti dal livello tecnologico medio di mercato.
Con informazioni adeguate, si potrebbe invece, ad esempio, riscontrare che una tal linea di business critica è servita da determinati asset IT per i quali potremmo consapevolmente puntare ad acquisti di livello TOP, mentre per altre funzioni di business meno critiche, puntare su livelli adeguati risparmiando economicamente e soddisfacendo molto di più il mio business critico.
L’assenza di queste procedure porta a volte ad investimenti sbagliati che innescano circoli viziosi che finiscono per relegare l’IT al triste ruolo di “costo necessario” invece che “investimento per il business”. Alla stregua delle risorse umane, gli investimenti per IT devono essere valutati attentamente, misurati ed esaminati per il valore che danno in termini di ritorno economico (ROI).
Da queste osservazioni si evince facilmente il motivo per cui tutte le imprese dovrebbero integrare nella loro struttura una strategia di gestione IT con una visione di lungo termine al fine di rafforzare la competitività in risposta alle esigenze del mercato.
A chi compete?
Proseguendo nel parallelismo tra contributo al business di HR e IT, come è previsto un HR Manager che risponde direttamente al top management, l’ideale, come molte aziende hanno già fatto, è l’istituzione della figura dell’Asset manager. Figura in grado di individuare e attuare le strategie necessarie a conciliare le esigenze del business con quelle delle risorse IT a disposizione.
Dove questa figura è ancora assente, il responsabile IT è la figura più adatta a ricoprire il ruolo a patto che sappia “alzare la testa e vedere il business” con cui lavorare a stretto contatto.
Tuttavia la gestione degli Asset dovrebbe interessare gli alti vertici aziendali al pari delle altre risorse (HR) che contribuiscono al business. Dal buono stato di salute delle risorse (HR e IT) dipende la proficua amministrazione e la competitività globale di tutta l’azienda.
I vantaggi dell’IT Asset Management
- capace (match esigenze/macchine);
- competente (analisi disponibilità di mercato/sviluppo custom);
- che lavora in “team” (…interconnesso al business);
- motivato (…obiettivo di business definito per ogni processo IT) porta anch’esso grandi benefici.
- Riduzione dei rischi (controllo criticità ed adeguata taratura dei sistemi).
- Abbattimento dei costi (gestione più efficiente delle risorse IT grazie ad una corretta gestione degli interventi di manutenzione o sostituzione degli asset).
- Miglioramento delle performance IT (controllo dei carichi, mappatura dei percorsi critici, ecc…).
- Tracciabilità degli interventi (la conoscenza delle interrelazioni tra gli asset consente di identificare la “criticità” di ogni intervento previsto/proposto e di pianificarlo correttamente e senza rischi inattesi).
- Tracciabilità delle performance (si verifica l’efficacia dei sistemi al crescere del business e si pianificano eventuali evoluzioni)
Nuovo plugin ((OTRS)) Community edition
Il plugin che risolve i problemi con il protocollo OAuth2
Anche se non vi sono ancora termini certi, a partire dal 2021 Google e Microsoft termineranno il spporto per l’autenticazione attraverso username e password per i servizi di IMAP e POP3, rendendo obbligatorio il passaggio al protocollo OAuth 2.0.
Al fine di adeguare la propria installazione ((OTRS)) Community edition al nuovo protocollo, il nostro team Rexpondo ha implementato il plugin REXOAuth2.
Ulteriori informazioni sul plugin sono disponbili sul nostro sito rexpondo.it
Cos’è OAuth2
OAuth 2 è la seconda versione del framework OAuth un protocollo di autorizzazione che consente alle applicazioni di ottenere un accesso limitato agli account utente su un servizio HTTP.
Funziona delegando l’autenticazione dell’utente al servizio che ospita l’account utente e autorizzando le applicazioni di terze parti ad accedere all’account utente. OAuth 2.0 fornisce flussi di autorizzazione per applicazioni web e desktop e dispositivi mobili.
LA GUIDA ITSM – IT Service Management & Frameworks
ITSM – IT Service Management cos’è
ITSM è l’acronimo di IT Service Management, ovvero la disciplina che riguarda la gestione di sistemi di Information Technology (IT) e descrive l’approccio strategico con cui si dovrebbe costruire l’infrastruttura IT per renderla funzionale agli obiettivi aziendali e orientata alla soddisfazione del cliente. Un orientamento quindi incentrato sulla qualità e l’efficienza del servizio. I benefici che derivano dall’ITSM, quindi, non riguardano solo la componente tecnologica (IT area) ma coinvolgono l’intero business:
- miglioramento del ROI
- controllo dei processi e misurazione delle performance
- rapida individuazione dei “colli di bottiglia” e criticità
- aumento dell’efficienza e riduzione dei costi
- miglioramento del servizio offerto
La domanda principale che sorge quando si parla di ITSM, riguarda la scelta del framework da utilizzare. La scelta dipende da una serie di variabili, come la complessità delle operazioni e la dimensione del reparto IT.
IN SINTESI
I Frameworks
L’obiettivo di un framework ITSM è quello di assicurare il coordinamento di processi, persone e tecnologie, per garantire il raggiungimento degli obiettivi aziendali. Di seguito riepiloghiamo i frameworks più diffusi.
ITIL (Information Technology Infrastructure Library)
è il framework più utilizzato nell’ITSM e process management arrivato oggi alla sua terza versione. Parliamo infatti di ITIL® V3. ITIL® ed è un marchio registrato Axelos il cui scopo è quello di fornire le linee guida e le best practices per convogliare l’IT con le esigenze di business, quali:
- miglioramento della qualità dei servizi IT erogati
- riduzione dei costi fissi per l’erogazione dei servizi
La filosofia che guida ITIL® parte dal presupposto che l’ITSM sia composto da una serie di processi integrati e correlati tra loro (approccio “process driven”) e si compone di 5 parti, o meglio libri:
1. Service Strategy
cosa ricercano i nostri stakeholders? Qual’è lo stato attuale del sistema IT all’interno dell’organizzazione? Le implementazioni attuali sono sufficienti a raggiungere gli obiettivi aziendali con efficienza oppure è opportuno intervenire?
2. Service Design
di che tipo di organizzazione stiamo parlando? Come deve essere disegnata la struttura IT per limitare i rischi?
3. Service Transition
come deve essere strutturato il processo di transizione tra l’attuale e il nuovo servizio?
4. Service Operation
quali sono gli step operativi da seguire? Ci sono le risorse ed una struttura adeguata ad affrontare il passaggio al nuovo sistema?
5. Continual Service Improvement
una volta implementato il nuovo sistema la parola d’ordine è migliorare, continuamente! Stiamo parlando del ciclo di Deming (PDCA Cycle).
Anche il software ITSM che proponiamo si basa su questo framework ed inoltre ITIL® V3 è predisposto per il recepimento dei principi dello standard ISO/IEC 20000 e fornisce una guida per le aziende che hanno intenzione di ottenere la certificazione.
COBIT (Control Objectives for Information and related Technology)
COBIT è un’infrastruttura per lo sviluppo, l’implementazione e il monitoraggio dei sistemi IT, che nasce con lo scopo di assistere le imprese nel raggiungimento degli obiettivi di IT Governance e management. È un framework realizzato dall’IT Governance Institute and the Information Systems Audit and Control Association (ISACA).
Partendo dal presupposto del ruolo centrale dell’ICT nel processo di creazione di valore coinvolgendo tutte le aree operative e funzionali all’interno dell’organizzazione con particolare attenzione agli interessi degli stakeholders interni ed esterni.
COBIT, oggi alla sua quinta versione (COBIT 5) si basa sull’equilibrio tra gli sforzi per raggiungere gli obiettivi, l’ottimizzazione dei livelli di rischio e di impiego delle risorse ed è rivolto e si rivolge a tutte le organizzazioni indipendentemente dalle dimensioni e dal settore di appartenenza.
COBIT 5 si fonda su cinque principi:
1. Soddisfare le esigenze degli stakeholder
Lo scopo per cui un’organizzazione opera è la creazione di valore per gli stakeholder. Per arrivare a questo obiettivo è necessaria però una mappatura dei processi e la formalizzazione di pratiche specifiche.
2. Considerare l’organizzazione nel suo complesso
COBIT 5 non si concentra solo sull’area IT in senso stretto, ma prende in considerazione tutti i vari aspetti di Governance e management correlati all’organizzazione nel suo complesso. Sono incluse quindi anche le persone e i beni.
3. Applicare un’infrastruttura integrata
COBIT è allineato con diversi standard e infrastrutture rilevanti ad alto livello, può quindi essere utile come infrastruttura “ombrello” per la governance e il management dell’IT.
4. Adottare un approccio globale
COBIT 5 definisce un insieme di attivatori a supporto dell’implementazione di un sistema completo di governance e management IT.
L’infrastruttura COBIT 5 descrive sette categorie di attivatori: principi, policy e strutture, processi, strutture organizzative, cultura, etica e comportamento, informazione, servizi, infrastruttura e applicazioni, persone, abilità e competenze.
5. Separare la Governance dal management
Le due discipline seppur in stretta correlazione tra di loro, riguardano attività e scopi differenti che richiedono strutture organizzative diverse.
Le due discipline seppur in stretta correlazione tra di loro, riguardano attività e scopi differenti che richiedono strutture organizzative diverse.
Per certi versi COBIT e ITIL possono considerarsi due framework complementari poichè il primo si basa sulla mappatura dei processi di gestione dei servizi IT, mentre il secondo detta delle best practices riguardanti strumenti e procedure per arrivare al raggiungimento degli obiettivi fissati da COBIT.
Per ulteriori approfondimenti su questo framework è possibile consultare il sito ISACA, con la possibilità di scaricare la guida in formato PDF.
Microsoft Operations Framework (MOF)
Composto da una serie di documenti contenenti best practices e principi che fungono da linee guida per i professionisti del settore IT. Proprio come il framework ITIL, MOF propone le linee guida dell’intero ciclo di vita di un servizio IT dalla concezione e sviluppo fino alla dismissione. Volendo semplificare ulteriormente potremmo dire che MOF è l’implementazione delle best practices ITIL in ambienti Microsoft.
Lo Standard ISO/IEC 20000 per il framework ITIL
ISO/IEC 20000 è il primo standard per l’IT Service Management riconosciuto ufficialmente e di cui è possibile ottenerne la certificazione. È strutturato per il framework ITIL ma è compatibile anche con Microsoft Operations Framework (MOF) ed è composto da diverse parti:
ISO/IEC 20000-1:2011 (Part 1)
definisce i requisiti di un sistema di service management:
- Requisiti generali di un Service Management system
- Progettazione dell’introduzione o modifica di nuovi servizi
- Service delivery process
- Relationship processes
- Resolution processes
- Control processes
ISO/IEC 20000-2:2012 (Part 2)
Fornisce le linee guida per l’applicazione di un un Service Management system, incluso le best practices relative ai processi di Service Management.
ISO/IEC TR 20000-3 (Part 3)
Fornisce una serie di guide per il raggiungimento degli obiettivi e la corretta applicazione di quanto descritto nella Parte 1.