ITIL e sicurezza

La sicurezza secondo ITILLa sicurezza secondo ITIL

Relazioni fra ITIL e la sicurezzaAndrea PraitanoConsigliere itSMF Italia

Andrea Praitano – itSMF Italia 2

AgendaAgenda

itSMF Italia: cos’è e che cosa fa; Cos’è l’IT Service Management; Introduzione a ITIL v3; Il processo di Information Security

Management secondo ITIL v3; L’information security secondo la

ISO/IEC 20000; ITIL e Analisi dei Rischi; Conclusioni.

““È stato detto che la democrazia è È stato detto che la democrazia è la peggior forma di governo, la peggior forma di governo, eccezion fatta per tutte quelle eccezion fatta per tutte quelle forme che si sono sperimentate forme che si sono sperimentate fino ad ora.”fino ad ora.”(Winston Leonard Spencer Churchill – (Winston Leonard Spencer Churchill – Primo Ministro Inglese)Primo Ministro Inglese)


ititSMF ItaliaSMF Italia

è un’Associazione è un’Associazione senza fini di lucrosenza fini di lucro,,

costituita per promuovere lo scambio di costituita per promuovere lo scambio di esperienze ed informazioni esperienze ed informazioni sulla sulla gestione dei Servizi ICTgestione dei Servizi ICT

e l’adozione delle migliori pratiche professionali ad essi relative oltre e l’adozione delle migliori pratiche professionali ad essi relative oltre ad ITILad ITIL

(art.2 Statuto)(art.2 Statuto)


Attività Attività ititSMF ItaliaSMF Italia

Tutorial – ITIL V3 Incontri – La domanda incontra la domanda Seminari con i nostri Sponsor Interventi in Master e corsi universitari Presentazioni presso Associazioni Professionali Tavole Rotonde Articoli su Riviste di settore Rubriche - Spazio “IT management” su ICT Professional e

altro ancora in progetto …


AgendaAgenda

itSMF Italia: cos’è e che cosa fa; Cos’è l’IT Service Management;Cos’è l’IT Service Management; Introduzione a ITIL v3; Il processo di Information Security



““Bisogna dire ai giovani quanto Bisogna dire ai giovani quanto sono stati fortunati a nascere in sono stati fortunati a nascere in questo splendido Paese che è questo splendido Paese che è l’Italia.”l’Italia.”(Rita Levi Montalcini)(Rita Levi Montalcini)


IT Service ManagementIT Service Management

L’IT inizialmente è visto solo come una tecnologia che è al supporto del Business;

Il secondo passo è stato il vedere l’IT come uno strumento che fornisce servizi al Business, quindi l’IT è diventato uno strumento di Business che rende possibile nuove funzioni e nuovi business che precedentemente non erano possibili;

Oggi l’IT è ritenuto un elemento vitale delle Organizzazioni.

ITIMITSM

IT Governance

ITSM: IT Service Management

ITIM: IT Infrastructure Management


Principali Framework di ITSMPrincipali Framework di ITSM

V2 & V3


AgendaAgenda

itSMF Italia: cos’è e che cosa fa; Cos’è l’IT Service Management; Introduzione a ITIL v3;Introduzione a ITIL v3; Il processo di Information Security



““Abbiamo conquistato il cielo Abbiamo conquistato il cielo come gli uccelli e il mare come i come gli uccelli e il mare come i pesci, ma dobbiamo imparare di pesci, ma dobbiamo imparare di nuovo il semplice gesto di nuovo il semplice gesto di camminare sulla terra come camminare sulla terra come fratelli.”fratelli.”(Martin Luther King)(Martin Luther King)


ITIL & il Service LifecycleITIL & il Service Lifecycle Il Service Strategy (SS) è il perno

centrale attorno al quale ruota tutto il ciclo di vita del servizio;

© Crown copyright 2008 Reproduced under license from OGC

Il Continual Service Improvement (CSI) supporta l’attuazione dei programmi e dei progetti di miglioramento sulla base degli obiettivi strategici.

Il Service Operation (SO) contiene le best practice per la gestione dell’esercizio dei servizi;

Il Service Transition (ST) è la guida per migliorare l’introduzione in esercizio di cambiamenti;

Il Service Design (SD) è la guida per progettare e sviluppare i processi e i servizi di gestione. Traduce gli obiettivi strategici in Service Portfolio e Service Asset;


The ITIL collateral publicationsThe ITIL collateral publications



… … libreria di riferimento ITIL v3libreria di riferimento ITIL v3

http://images.google.it/imgres?imgurl=http://www.palmics.it/BandieraInglese.jpg&imgrefurl=http://www.palmics.it/&h=144&w=250&sz=16&tbnid=fWME4ZpXGGEJ:&tbnh=61&tbnw=106&hl=it&start=7&prev=/images%3Fq%3Dbandiera%2Binglese%26svnum%3D10%26hl%3Dit%26lr%3D









Processi del Service Strategy:• Service Portfolio Management;• Demand Management;• Financial Management.

Processi del Service Design:• Service Catalogue Management;• Service Level Management;• Supplier Management;• Capacity Management;• Availability Management;• IT Service Continuity Management;• Information Security Management.

Processi del Service Transition:• Service Asset and Configuration Management;• Change Management;• Release and Deployment Management;• Knowledge Management;

Processi del Service Operation:• Event Management;• Incident Management;• Problem Management;• Request Fulfilment;• Access Management.

Funzioni del Service Operation:• Service Desk;• IT Operation Management;• Technical Management;• Application Management.

Processi del Continual Service Improvement:• 7 steps Improvement Process;


AgendaAgenda

itSMF Italia: cos’è e che cosa fa; Cos’è l’IT Service Management; Introduzione a ITIL v3; Il processo di Information Il processo di Information

Security Management secondo Security Management secondo ITIL v3;ITIL v3;

L’information security secondo la ISO/IEC 20000;

ITIL e Analisi dei Rischi; Conclusioni.

““Se non riuscite a descrivere Se non riuscite a descrivere quello che state facendo come quello che state facendo come se fosse un processo, non se fosse un processo, non sapete cosa state facendo.”sapete cosa state facendo.”(William Edward Deming)(William Edward Deming)


Information Security ManagementInformation Security Management

“La finalità (goal) del processo di Information Security Management è quella di allineare l’IT Security con la business security e di assicurare che l’information security è effettivamente gestita in tutti i servizi e in tutte le attività del Service Management.”


Scope del ISMScope del ISM

Il processo di ISM dovrebbe essere il punto focale per tutte le questioni di sicurezza IT; deve garantire che l’Information Security Policy sia prodotta, mantenuta e attuata e che copra l’uso e l’abuso di tutti i sistemi e dei servizi IT.


Security FrameworkSecurity Framework Il processo e framework di Information Security Management

generalmente consiste di: Un Information Security Policy e politiche specifiche di sicurezza che

indirizzano tutti gli aspetti della strategia, controlli e normative; Un Information Security Management System (ISMS), contenente le

norme, procedure e linee guida di gestione delle informazioni a sostegno delle politiche di sicurezza;

Una strategia di sicurezza globale, strettamente legata agli obiettivi, strategie e piani di business;

Una struttura organizzativa di sicurezza effettiva; Un set di security controls per il supporto della policy; La gestione dei rischi di sicurezza; Il monitoraggio dei processi per garantire il rispetto e fornire un feedback

sull’efficacia; Strategia di comunicazione e piano per la sicurezza; Strategia e piani di formazione e sensibilizzazione.


Framework for managing IT securityFramework for managing IT securityCustomers – Requirements – Business Needs

PLANService Level Agreements

Underpinning contractsOperational Level Agreements

Policy Statements

IMPLEMENTCreate awareness

Classification and registrationPersonnel securityPhysical security

Networks, applications, computersManagement of access rightsSecurity incident procedures

CONTROLOrganize

Establish frameworkAllocate responsibilities

MAINTAINLearn

ImprovePlan

Implement

EVALUATEInternal auditsExternal audits

Self assessmentsSecurity incidents

© C

row

n co

pyrig

ht 2

008

Rep

rodu

ced

unde

r lic

ense

from

OG

C


IT Security Management processIT Security Management process

Security Management Information System (SMIS)

Information Security Policy(s)

Security reports and information

Security controls

Security risks and responses

Communicate, implement and enforce adherence to all security policies

Monitor and manage security incidents and breaches

Assess andCategorize information assets, risks and vulnerabilities

Produce and maintain an Information Security Policy

Regularly assess, review and report security risks and threats

Impose and review risk security controls, review and Implement risk mitigation

Report, review and reduce security breaches and major incidents

© C

row

n co

pyrig

ht 2

008

Rep

rodu

ced

unde

r lic

ense

from

OG

C


Security controls for threats and Security controls for threats and incidentsincidents

Incident

Threat

Damage

Control

Prevention/Reduction

Direction/Repression

Correction/Recovery

Evaluation/Reporting



© C

row

n co

pyrig

ht 2

008

Rep

rodu

ced

unde

r lic

ense

from

OG

C


AgendaAgenda


Management secondo ITIL v3; L’information security secondo L’information security secondo

la ISO/IEC 20000;la ISO/IEC 20000; ITIL e Analisi dei Rischi; Conclusioni.

"Il fare economia non è il "Il fare economia non è il risparmiare denaro, ma nello risparmiare denaro, ma nello spenderlo con saggezza".spenderlo con saggezza".(Thomas Henry Huxley)(Thomas Henry Huxley)


Resolution Processes

Incident Management

Problem Management

ISO/IEC 20000:2005ISO/IEC 20000:2005

Release Processes

Release Management

Relationship Processes

Business Relationship Management

Supplier Management

Service Delivery Processes

Capacity Management

Service Continuity and Availability

Management

Service Level Management

Service Reporting

Information Security Management

Budgeting and Accounting

for IT serviceControl Processes

Configuration ManagementChange Management


AgendaAgenda



ISO/IEC 20000; ITIL e Analisi dei RischiITIL e Analisi dei Rischi; Conclusioni.

““Frankie amava ripetere che la boxe Frankie amava ripetere che la boxe era qualcosa di innaturale, che nella era qualcosa di innaturale, che nella boxe si fa tutto al contrario. A volte, boxe si fa tutto al contrario. A volte, per tirare un colpo vincente, bisogna per tirare un colpo vincente, bisogna arretrare. Ma se arretri troppo, non arretrare. Ma se arretri troppo, non combatti più.”combatti più.”(Million Dollar Baby)(Million Dollar Baby)


L’ITSM a supporto della sicurezzaL’ITSM a supporto della sicurezza

ITIL come supporto all’analisi dei rischi OBIETTIVO del GdL:

Definire un processo per l’utilizzo di ITIL (V.2-.3) valorizzandolo come strumento a supporto dell’attività di Analisi dei Rischi in ambito IT.


L’ITSM a supporto della sicurezzaL’ITSM a supporto della sicurezza

Premessa: ITIL fornisce un approccio strutturato all’erogazione dei servizi IT

all’interno di un’organizzazione; questo fa si che un’organizzazione che adotta ITIL può avere dei vantaggi anche in settori diversi dall’ITSM quali: Project Management, Hetichal Hacking, Application Development & Management, Compliance a normative, Analisi e Gestione dei Rischi, ecc.


ITIL come supporto all'analisi dei ITIL come supporto all'analisi dei rischirischi

Modello ITIL e processo di R.M.

© C

row

n co

pyrig

ht 2

008

Rep

rodu

ced

unde

r lic

ense

from

OG

C


ITIL come supporto all'analisi dei ITIL come supporto all'analisi dei rischirischi

CMSRegistrazione delle vulnerabilità come

attributo del CI

Registrazione dei rischi come attributo del CI

Analisi del rischioFinancial ManagementFinancial Management



ITIL come supporto all'analisi dei ITIL come supporto all'analisi dei rischirischiMitigazione del rischio

Change ManagementChange Management

Release & Deployment Release & Deployment ManagementManagementRfC



AgendaAgenda



ISO/IEC 20000; ITIL e Analisi dei Rischi; Conclusioni.Conclusioni.

““Bisogna aver rinunciato al buon Bisogna aver rinunciato al buon senso per non convenire che non senso per non convenire che non conosciamo nulla se non conosciamo nulla se non attraverso l’esperienza.”attraverso l’esperienza.”(François Voltaire)(François Voltaire)


ConclusioniConclusioni

ITIL è un Framework di IT Service Management e non specifico sulla sicurezza;

ITIL (ma anche la ISO/IEC 20k) incorpora al suo interno un processo di Information Security Management che ha la responsabilità di dare tutte le linee guida sulla sicurezza;

Il processo Information Security Management definito da ITIL e ISO/IEC 20k è coerente con la ISO/IEC 27000 a cui rimanda per l’implementazione effettiva dell’ISMS;

A un’organizzazione può essere utili adottare un modello strutturato di IT Service Management, quale ITIL, per fare meglio altre cose tra cui anche l’Analisi dei Rischi richiesta da tante normative.


Non hai mai commesso un errore, non hai mai tentato qualcosa di nuovo.

A. Einstein

thanks

grazie

graciasmercì

takta

bedankje

danke

Andrea PraitanoRoma

+39 328 8122642

[email protected]

itSMF ItaliaVia Ventimiglia, 11510126 Torinotel.011 [email protected]

Grazie.Grazie.

obrigado

ITIL e sicurezza

Internet

Transcript of ITIL e sicurezza