Parliamoci chiaro: la maggior parte delle PMI italiane non ha idea di cosa sia l'IT governance. Eppure è la differenza tra un'azienda che controlla la propria tecnologia e una che ne è controllata. BullTech Informatica, MSP fondato nel 2009 a Vimercate (MB), gestisce l'infrastruttura IT di oltre 200 aziende con un SLA del 99,2%. In 17 anni abbiamo visto di tutto: aziende che spendono il triplo del necessario in IT perché nessuno governa le scelte, e aziende che con metà del budget ottengono il doppio dei risultati. La differenza? Una governance IT seria.
Cos'è l'IT governance (spiegata semplice)
L'IT governance è il sistema di regole, processi e responsabilità che assicura che la tecnologia in azienda faccia quello che deve fare: supportare il business, non complicarlo. Non è un software da installare e non è un documento da mettere in un cassetto. È un modo di lavorare.
In pratica, l'IT governance risponde a tre domande fondamentali: chi decide cosa in ambito tecnologico? Come si misurano i risultati dell'IT? Come si gestiscono i rischi legati alla tecnologia?
Se nella tua azienda le decisioni IT le prende "chi grida più forte" o "chi conosce il tecnico", hai un problema di governance. Se non sai quanto spendi in IT rispetto al fatturato, o se l'ultimo investimento tecnologico ha generato valore, hai un problema di governance. Se un ransomware può bloccarti per una settimana perché nessuno ha mai definito un piano di disaster recovery, hai un problema di governance.
I 5 pilastri dell'IT governance
Qualunque framework scegli (COBIT, ITIL, ISO), alla fine i pilastri sono sempre questi cinque. Cambia il nome, cambia la struttura, ma la sostanza è la stessa.
1. Allineamento strategico
L'IT deve essere allineato agli obiettivi di business. Sembra ovvio, ma nella pratica non lo è quasi mai. Quante volte il reparto IT compra un server nuovo "perché serviva" senza che nessuno si chieda se quell'investimento supporta la strategia aziendale? L'allineamento strategico significa che ogni decisione IT — dall'acquisto di un laptop alla migrazione in cloud — viene valutata in funzione del valore che genera per il business.
2. Creazione di valore
L'IT deve generare valore, non solo costi. Questo significa misurare il ROI degli investimenti tecnologici, ottimizzare i processi, eliminare gli sprechi. Se spendi 50.000 euro l'anno in licenze software che nessuno usa, non stai creando valore. Se il tuo ERP dimezza i tempi di fatturazione, sì. Un buon framework di governance include metriche chiare per misurare il valore generato dall'IT. Ne parliamo in dettaglio nella guida sui costi di gestione IT aziendale.
3. Gestione del rischio
Ogni tecnologia porta con sé dei rischi: cybersecurity, continuità operativa, compliance normativa, dipendenza da fornitori. La governance IT identifica questi rischi, li valuta e definisce come mitigarli. Un buon punto di partenza è un audit di sicurezza informatica che fotografi la situazione attuale. Con la NIS2 in vigore, la gestione del rischio IT non è più opzionale — è un obbligo di legge per molte aziende.
4. Gestione delle risorse
Budget IT, personale, infrastrutture, fornitori: tutto deve essere gestito in modo efficiente. La governance definisce come allocare le risorse, come selezionare i fornitori (inclusi gli MSP come noi), come gestire il ciclo di vita degli asset IT. Un'azienda senza governance delle risorse IT finisce per avere 3 antivirus diversi, 2 sistemi di backup incompatibili e un server sotto la scrivania del contabile che nessuno sa cosa faccia.
5. Misurazione delle performance
Se non misuri, non governi. Servono KPI chiari: disponibilità dei sistemi (uptime), tempo di risoluzione dei ticket, costo per utente, numero di incidenti di sicurezza, livello di soddisfazione degli utenti. La governance definisce quali KPI monitorare, con quale frequenza e chi è responsabile dei risultati.
COBIT vs ITIL vs ISO 27001: quale scegliere
Tre framework, tre approcci diversi. Ecco un confronto diretto per capire quale fa al caso tuo.
| Aspetto | COBIT 2019 | ITIL 4 | ISO 27001 |
|---|---|---|---|
| Focus principale | Governance e controllo IT | Service management | Sicurezza informazioni |
| Destinatario | CDA e top management | Team IT e service desk | Tutta l'organizzazione |
| Complessità | Alta (40 obiettivi) | Media (34 pratiche) | Media (114 controlli) |
| Certificabile | No (solo assessment) | Sì (individuale) | Sì (organizzazione) |
| Adatto a PMI | Con semplificazione | Sì, molto pratico | Sì, ma impegnativo |
| Costo implementazione | 15.000-40.000 € | 8.000-25.000 € | 20.000-60.000 € |
| Tempo medio | 6-12 mesi | 3-6 mesi | 6-18 mesi |
| Compliance NIS2 | Parziale | Parziale | Ottima base |
Il nostro consiglio per le PMI: non impazzire cercando di implementare tutti e tre. Scegli quello che risponde al tuo bisogno primario e poi evolvi. Se devi partire da zero, ITIL 4 è il più pragmatico. Se devi rispondere alla NIS2, ISO 27001 è la scelta migliore. Se il CDA vuole controllo strategico sull'IT, COBIT è il framework giusto.
COBIT 2019: governance per il CDA
COBIT (Control Objectives for Information and Related Technologies) è il framework di ISACA pensato specificamente per la governance IT. La versione 2019 ha 40 obiettivi di governance e management organizzati in 5 domini.
Il punto forte di COBIT è che parla la lingua del business, non quella dell'IT. Non ti dice come configurare un firewall — ti dice come assicurarti che il firewall sia allineato alla strategia aziendale, che il budget sia giustificato e che qualcuno misuri se funziona.
Per una PMI, COBIT nella sua interezza è troppo. Ma i principi di base sono oro: separazione tra governance e management, definizione chiara di ruoli e responsabilità, cascata di obiettivi dal business all'IT, sistema di metriche per misurare le performance.
I 5 domini COBIT 2019
- EDM (Evaluate, Direct, Monitor): il dominio di governance pura. Il CDA valuta, dirige e monitora. Definisce la strategia IT, alloca le risorse, verifica i risultati.
- APO (Align, Plan, Organize): allineamento strategico, pianificazione, gestione del rischio, gestione delle risorse umane IT.
- BAI (Build, Acquire, Implement): sviluppo, acquisizione e implementazione di soluzioni IT. Gestione dei progetti e dei cambiamenti.
- DSS (Deliver, Service, Support): erogazione dei servizi IT, gestione delle operazioni, sicurezza, continuità operativa.
- MEA (Monitor, Evaluate, Assess): monitoraggio delle performance, compliance normativa, audit.
ITIL 4: il framework operativo
ITIL (Information Technology Infrastructure Library) è il framework più diffuso al mondo per il service management IT. La versione 4, rilasciata nel 2019, ha abbandonato l'approccio rigido delle versioni precedenti per adottare un modello più flessibile basato sul concetto di Service Value System (SVS).
ITIL 4 è più pratico e operativo rispetto a COBIT. Ti dice come gestire gli incidenti, come processare le richieste, come pianificare i cambiamenti, come gestire il catalogo dei servizi. Per una PMI che parte da zero, è il framework più accessibile.
Le 34 pratiche di ITIL 4 sono divise in tre categorie: pratiche generali di management (14), pratiche di service management (17) e pratiche di technical management (3). Non devi implementarle tutte — parti con quelle che risolvono i tuoi problemi più urgenti: incident management, service request management, change enablement, problem management.
ISO 27001: governance della sicurezza
La ISO 27001 è lo standard internazionale per i sistemi di gestione della sicurezza delle informazioni (ISMS). È l'unico dei tre framework che è certificabile a livello organizzativo, e questo lo rende particolarmente interessante per chi deve dimostrare la propria postura di sicurezza a clienti, partner o autorità.
Con la NIS2 in vigore, la ISO 27001 è diventata ancora più rilevante. Non è un requisito obbligatorio della NIS2, ma copre la grande maggioranza dei requisiti dell'articolo 21 (le 10 misure minime). Un'azienda certificata ISO 27001 ha già fatto gran parte del lavoro di adeguamento NIS2.
I 114 controlli dell'Annex A della ISO 27001:2022 coprono 4 aree: controlli organizzativi (37), controlli sulle persone (8), controlli fisici (14) e controlli tecnologici (34). Per una PMI, l'implementazione richiede tipicamente 6-18 mesi e un investimento di 20.000-60.000 euro, inclusa la certificazione.
KPI per l'IT governance: cosa misurare
Senza KPI, la governance è solo chiacchiere. Ecco i KPI essenziali che ogni PMI dovrebbe monitorare, divisi per area.
KPI di disponibilità
- Uptime dei sistemi critici: target minimo 99,5% (8,76 ore di downtime/anno). Noi di BullTech garantiamo il 99,2% SLA complessivo, ma sui sistemi critici puntiamo al 99,9%.
- MTTR (Mean Time To Repair): tempo medio di risoluzione. Per incidenti P1 (bloccanti) il target è sotto le 4 ore.
- MTBF (Mean Time Between Failures): tempo medio tra i guasti. Più è alto, meglio è.
KPI di sicurezza
- Numero di incidenti di sicurezza/mese: trend in calo è l'obiettivo.
- Tempo di rilevamento (MTTD): quanto tempo passa tra l'inizio dell'attacco e la sua identificazione. La media italiana è 200+ giorni (Clusit 2025). Con un SOC/SIEM si scende sotto le 24 ore.
- Percentuale di patch applicate entro SLA: target 95% entro 30 giorni per patch critiche.
KPI finanziari
- Spesa IT / fatturato: benchmark per PMI italiane 3-6%. Sotto il 2% stai probabilmente sottoinvestendo. Sopra l'8% stai probabilmente sprecando.
- Costo per postazione/mese: benchmark 80-200 € tutto incluso (hardware, software, supporto, sicurezza).
- ROI degli investimenti IT: ogni progetto IT dovrebbe avere un business case con ROI atteso e misurato.
Risk management IT: un approccio pratico
La gestione del rischio IT non deve essere un esercizio accademico. Ecco un approccio in 5 passi che funziona per le PMI.
Passo 1: Inventario degli asset. Fai una lista di tutti gli asset IT: server, client, switch, firewall, applicazioni, dati. Sembra banale, ma il 40% delle PMI non ha un inventario aggiornato (fonte: Gartner 2025). Se non sai cosa hai, non puoi proteggerlo.
Passo 2: Identificazione delle minacce. Per ogni asset, identifica le minacce rilevanti: ransomware, guasto hardware, errore umano, disastro naturale, attacco insider. Non serve immaginare scenari da film — concentrati su quello che succede davvero.
Passo 3: Valutazione dell'impatto. Se il server ERP va giù per un giorno, quanto costa? Se i dati dei clienti vengono esfiltrati, quali sono le conseguenze legali? Quantifica l'impatto in euro e in giorni di interruzione.
Passo 4: Definizione delle contromisure. Per ogni rischio, definisci la contromisura: backup, ridondanza, cifratura, formazione, assicurazione. Ogni contromisura ha un costo — confrontalo con l'impatto del rischio.
Passo 5: Monitoraggio continuo. I rischi cambiano. Un server nuovo ieri è obsoleto tra 5 anni. Una minaccia trascurabile ieri (IA generativa per il phishing) oggi è la minaccia numero uno. Rivedi il risk assessment almeno una volta l'anno.
IT governance e NIS2: il collegamento
La direttiva NIS2 ha reso la governance IT un tema da consiglio di amministrazione, non da sala server. L'articolo 20 è chiaro: gli organi di gestione devono approvare le misure di cybersecurity, supervisionarne l'implementazione e formarsi sulle tematiche di rischio IT.
Questo significa che il CDA non può più delegare tutto al "ragazzo dell'IT". Serve una struttura di governance che colleghi le decisioni strategiche (budget, priorità, risk appetite) con l'operatività quotidiana (patch management, incident response, backup).
Un framework di governance IT — che sia COBIT, ITIL, ISO 27001 o un mix personalizzato — fornisce esattamente questa struttura. Non è un caso che l'ACN (Agenzia per la Cybersicurezza Nazionale) raccomandi l'adozione di standard internazionali come base per l'adeguamento NIS2.
Come implementare l'IT governance in una PMI
Basta teoria, passiamo alla pratica. Ecco un piano di implementazione realistico per una PMI con 20-100 dipendenti.
Fase 1: Assessment (settimane 1-3)
Parti da dove sei. Fai un assessment della situazione attuale: quali processi IT esistono (anche informali)? Chi prende le decisioni? Quali KPI vengono monitorati? Quali rischi sono noti? Quanto si spende in IT? Questo assessment lo puoi fare internamente o con l'aiuto di un MSP come BullTech.
Fase 2: Definizione dei ruoli (settimane 3-4)
Chi è responsabile di cosa? In una PMI non serve un organigramma IT da enterprise. Servono ruoli chiari: chi approva gli acquisti IT? Chi gestisce gli incidenti? Chi è il referente per la sicurezza? Chi riporta al CDA? Spesso in una PMI una persona copre più ruoli — va bene, purché sia documentato.
Fase 3: Policy essenziali (settimane 4-8)
Non 200 pagine di documenti. Cinque policy fondamentali: acceptable use policy (cosa possono e non possono fare i dipendenti con gli strumenti IT), password e autenticazione, gestione degli incidenti, backup e disaster recovery, gestione degli accessi. Ogni policy deve essere breve, chiara e applicabile.
Fase 4: KPI e reporting (settimane 8-12)
Definisci 5-10 KPI essenziali (quelli elencati sopra sono un buon punto di partenza) e crea un report mensile per il management. Non serve un tool sofisticato — anche un foglio Excel va bene all'inizio. L'importante è iniziare a misurare.
Fase 5: Miglioramento continuo (ongoing)
La governance non è un progetto con una data di fine — è un processo continuo. Ogni trimestre rivedi i KPI, aggiorna le policy, valuta nuovi rischi, verifica l'allineamento con gli obiettivi di business. È qui che il valore della governance diventa evidente.
Gli errori più comuni nella governance IT
In 17 anni di lavoro con le PMI, abbiamo visto questi errori ripetersi all'infinito.
- Troppa burocrazia: governance non significa carta. Se i tuoi processi rallentano il lavoro invece di facilitarlo, stai sbagliando. La governance deve essere snella e proporzionata alla dimensione dell'azienda.
- Nessun coinvolgimento del management: se il CDA non è coinvolto, la governance IT resta un esercizio del reparto IT. Senza sponsor al vertice, ogni iniziativa muore dopo 6 mesi.
- KPI sbagliati: misurare il numero di ticket chiusi non ti dice niente sulla qualità del servizio. Misura quello che conta per il business: disponibilità, sicurezza, costi, soddisfazione degli utenti.
- Copiare framework senza adattarli: COBIT ha 40 obiettivi. Per una PMI con 30 dipendenti, ne servono forse 10. Adatta il framework alla tua realtà, non viceversa.
- Ignorare la cultura aziendale: la governance funziona solo se le persone la adottano. Se imponi processi senza spiegare il perché, avrai resistenza passiva e workaround. Coinvolgi le persone, spiega i benefici, ascolta il feedback.
Come BullTech aiuta con l'IT governance
Non vendiamo "pacchetti governance" preconfezionati. Ogni azienda è diversa, e la governance deve essere su misura. Il nostro approccio è pratico e graduale:
- Assessment iniziale: mappiamo la situazione attuale, identifichiamo le lacune e le priorità. Tempo: 1-2 settimane.
- Definizione del framework: costruiamo un framework di governance proporzionato alla tua azienda. Non COBIT integrale per 30 dipendenti — un set di regole, ruoli e KPI che funzionano nella pratica.
- Implementazione degli strumenti: monitoring, ticketing, reporting, documentazione. Tutto integrato nella nostra piattaforma MSP, senza costi aggiuntivi di licenze per il cliente.
- Supporto NIS2: se la tua azienda rientra nel perimetro NIS2, la governance IT diventa il framework portante per la compliance. Lo costruiamo già allineato ai requisiti dell'articolo 21.
- Reporting periodico: report mensili con KPI, trend, raccomandazioni. Il CDA ha visibilità sullo stato dell'IT senza dover diventare tecnico.
Vuoi implementare l'IT governance nella tua azienda?
BullTech offre un assessment gratuito per valutare la maturità della tua governance IT. Analizziamo processi, ruoli, KPI e rischi, e costruiamo un piano di implementazione su misura. Chiamaci al 039 6099 023 o scrivici.
Checklist IT Governance per PMI: 10 Punti Essenziali
Prima di implementare qualsiasi framework, verifica questi 10 punti base. Se ne hai meno di 6, la tua governance IT ha lacune significative.
- Responsabile IT definito (anche se esterno/MSP) con mandate scritto dal CDA
- Budget IT documentato e approvato annualmente, con distinzione tra OPEX e CAPEX
- Inventario asset IT aggiornato: server, client, switch, firewall, licenze, contratti
- Policy di sicurezza approvata dal CDA e comunicata a tutti i dipendenti
- Backup verificato con test di ripristino documentati almeno trimestrali
- Gestione incidenti: procedura scritta con escalation, tempi di risposta e responsabili
- Patch management: processo per applicare aggiornamenti critici entro 72 ore
- KPI monitorati: almeno uptime, MTTR, spesa IT/fatturato, incidenti di sicurezza
- Report periodico al management: stato IT, rischi, raccomandazioni, trend
- Risk assessment: valutazione documentata dei rischi IT, aggiornata almeno annualmente
Hai bisogno di aiuto? BullTech puo fare l'assessment gratuito della tua governance IT e costruire un piano personalizzato. Scopri la nostra consulenza IT, il percorso di adeguamento NIS2 e i contratti di assistenza IT a canone fisso.