La sicurezza secondo ITIL - IS-Portal · indirizzano tutti gli aspetti della strategia, controlli e...

La sicurezza secondo ITIL

Relazioni fra ITIL e la sicurezzaAndrea PraitanoConsigliere itSMF Italia

Andrea Praitano – itSMF Italia 2

Agenda

� itSMF Italia: cos’è e che cosa fa;

� Cos’è l’IT Service Management;� Introduzione a ITIL v3;� Il processo di Information Security

Management secondo ITIL v3;� L’information security secondo la

ISO/IEC 20000;� ITIL e Analisi dei Rischi;

� Conclusioni.

“È stato detto che la democrazia è la peggior forma di governo, eccezion fatta per tutte quelle forme che si sono sperimentate fino ad ora.”

(Winston Leonard Spencer Churchill –Primo Ministro Inglese)


itSMF Italia

è un’Associazione senza fini di lucro ,costituita per promuovere lo scambio di esperienze ed informazioni

sulla gestione dei Servizi ICTe l’adozione delle migliori pratiche professionali ad essi relative oltre

ad ITIL(art.2 Statuto)


Attività itSMF Italia

� Tutorial – ITIL V3

� Incontri – La domanda incontra la domanda� Seminari con i nostri Sponsor� Interventi in Master e corsi universitari� Presentazioni presso Associazioni Professionali

� Tavole Rotonde� Articoli su Riviste di settore� Rubriche - Spazio “IT management” su ICT Professional e

altro ancora in progetto …


Agenda





� Conclusioni.

“Bisogna dire ai giovani quanto sono stati fortunati a nascere in questo splendido Paese che è l’Italia.”

(Rita Levi Montalcini)


IT Service Management

� L’IT inizialmente è visto solo come una tecnologia che è al supporto del Business;

� Il secondo passo è stato il vedere l’IT come uno strumento che fornisce servizi al Business , quindi l’IT è diventato uno strumento di Business che rende possibile nuove funzioni e nuovi business che precedentemente non erano possibili;

� Oggi l’IT è ritenuto un elemento vitale delle Organizzazioni .

ITIMITSM

IT Governance

ITSM: IT Service Management

ITIM: IT Infrastructure Management


Principali Framework di ITSM

V2 & V3


Agenda





� Conclusioni.

“Abbiamo conquistato il cielo come gli uccelli e il mare come i pesci, ma dobbiamo imparare di nuovo il semplice gesto di camminare sulla terra come fratelli.”

(Martin Luther King)


ITIL & il Service Lifecycle

� Il Service Strategy (SS) è il perno centrale attorno al quale ruota tutto il ciclo di vita del servizio;

© Crown copyright 2008 Reproduced under license from OGC

� Il Continual Service Improvement (CSI) supporta l’attuazione dei programmi e dei progetti di miglioramento sulla base degli obiettivi strategici.

� Il Service Operation (SO) contiene le best practice per la gestione dell’esercizio dei servizi;

� Il Service Transition (ST) è la guida per migliorare l’introduzione in esercizio di cambiamenti;

� Il Service Design (SD) è la guida per progettare e sviluppare i processi e i servizi di gestione. Traduce gli obiettivi strategici in Service Portfolio e Service Asset;


The ITIL collateral publications



… libreria di riferimento ITIL v3



Processi del Service Strategy:• Service Portfolio Management;• Demand Management;• Financial Management.

Processi del Service Design:• Service Catalogue Management;• Service Level Management;• Supplier Management;• Capacity Management;• Availability Management;• IT Service Continuity Management;• Information Security Management.

Processi del Service Transition:• Service Asset and Configuration Management;• Change Management;• Release and Deployment Management;• Knowledge Management;

Processi del Service Operation:• Event Management;• Incident Management;• Problem Management;• Request Fulfilment;• Access Management.

Funzioni del Service Operation:• Service Desk;• IT Operation Management;• Technical Management;• Application Management.

Processi del Continual Service Improvement:• 7 steps Improvement Process;


Agenda


� Cos’è l’IT Service Management;� Introduzione a ITIL v3;� Il processo di Information

Security Management secondo ITIL v3;

� L’information security secondo la ISO/IEC 20000;

� ITIL e Analisi dei Rischi;� Conclusioni.

“Se non riuscite a descrivere quello che state facendo come se fosse un processo, non sapete cosa state facendo.”

(William Edward Deming)


Information Security Management

� “La finalità (goal) del processo di Information Security Management è quella di allineare l’IT Security con la business security e di assicurare che l’information security è effettivamente gestita in tutti i servizi e in tutte le attività del Service Management.”


Scope del ISM

� Il processo di ISM dovrebbe essere il punto focale per tutte le questioni di sicurezza IT; deve garantire che l’Information Security Policy sia prodotta, mantenuta e attuata e che copra l’uso e l’abuso di tutti i sistemi e dei servizi IT.


Security Framework

� Il processo e framework di Information Security Management generalmente consiste di:� Un Information Security Policy e politiche specifiche di sicurezza che

indirizzano tutti gli aspetti della strategia, controlli e normative; � Un Information Security Management System (ISMS), contenente le

norme, procedure e linee guida di gestione delle informazioni a sostegno delle politiche di sicurezza;

� Una strategia di sicurezza globale, strettamente legata agli obiettivi, strategie e piani di business;

� Una struttura organizzativa di sicurezza effettiva;� Un set di security controls per il supporto della policy;� La gestione dei rischi di sicurezza;� Il monitoraggio dei processi per garantire il rispetto e fornire un feedback

sull’efficacia;� Strategia di comunicazione e piano per la sicurezza;� Strategia e piani di formazione e sensibilizzazione.


Framework for managing IT security

Customers – Requirements – Business Needs

PLANService Level Agreements

Underpinning contractsOperational Level Agreements

Policy Statements

IMPLEMENTCreate awareness

Classification and registrationPersonnel securityPhysical security

Networks, applications, computersManagement of access rightsSecurity incident procedures

CONTROLOrganize

Establish frameworkAllocate responsibilities

MAINTAINLearn

ImprovePlan

Implement

EVALUATEInternal auditsExternal audits

Self assessmentsSecurity incidents

© C

row

n co

pyrig

ht 2

008

Rep

rodu

ced

unde

r lic

ense

from

OG

C


IT Security Management process

Security Management Information System (SMIS)

Information Security Policy(s)

Security reports and information

Security controls

Security risks and responses

Communicate,implement and enforce adherence to all security policies

Monitor and manage security incidents and breaches

Assess andCategorize information assets, risks and vulnerabilities

Produce and maintain an Information Security Policy

Regularly assess, review and report security risks and threats

Impose and review risk security controls, review and Implement risk mitigation

Report, review and reduce security breaches and major incidents

© C

row

n co

pyrig

ht 2

008

Rep

rodu

ced

unde

r lic

ense

from

OG

C


Security controls for threats and incidents

Incident

Threat

Damage

Control

Prevention/Reduction

Direction/Repression

Correction/Recovery

Evaluation/Reporting



© C

row

n co

pyrig

ht 2

008

Rep

rodu

ced

unde

r lic

ense

from

OG

C


Agenda



Management secondo ITIL v3;� L’information security secondo

la ISO/IEC 20000;� ITIL e Analisi dei Rischi;

� Conclusioni.

"Il fare economia non è ilrisparmiare denaro, ma nellospenderlo con saggezza".

(Thomas Henry Huxley)


Resolution Processes

Incident Management

Problem Management

ISO/IEC 20000:2005

Release Processes

Release Management

Relationship Processes

Business Relationship Management

Supplier Management

Service Delivery Processes

Capacity Management

Service Continuity and Availability

Management

Service Level Management

Service Reporting

Information Security Management

Budgeting and Accounting

for IT serviceControl Processes

Configuration ManagementChange Management


Agenda




ISO/IEC 20000;� ITIL e Analisi dei Rischi ;

� Conclusioni.

“Frankie amava ripetere che la boxe era qualcosa di innaturale, che nella boxe si fa tutto al contrario. A volte, per tirare un colpo vincente, bisogna arretrare. Ma se arretri troppo, non combatti più.”

(Million Dollar Baby)


L’ITSM a supporto della sicurezza

� ITIL come supporto all’analisi dei rischi

� OBIETTIVO del GdL:� Definire un processo per l’utilizzo di ITIL (V.2-.3) valorizzandolo

come strumento a supporto dell’attività di Analisi dei Rischi in ambito IT.


L’ITSM a supporto della sicurezza

� Premessa:� ITIL fornisce un approccio strutturato all’erogazione dei servizi IT

all’interno di un’organizzazione; questo fa si che un’organizzazione che adotta ITIL può avere dei vantaggi anche in settori diversi dall’ITSM quali: Project Management, Hetichal Hacking, Application Development & Management, Compliance a normative, Analisi e Gestione dei Rischi , ecc.


ITIL come supporto all'analisi dei rischi

Modello ITIL e processo di R.M.

© C

row

n co

pyrig

ht 2

008

Rep

rodu

ced

unde

r lic

ense

from

OG

C


ITIL come supporto all'analisi dei rischi

CMSRegistrazione delle vulnerabilità come

attributo del CI

Registrazione dei rischi come attributo del CI

Analisi del rischioFinancial Management



ITIL come supporto all'analisi dei rischiMitigazione del rischio

Change Management

Release & Deployment ManagementRfC



Agenda





� Conclusioni.

“Bisogna aver rinunciato al buon senso per non convenire che non conosciamo nulla se non attraverso l’esperienza.”

(François Voltaire)


Conclusioni

� ITIL è un Framework di IT Service Management e non specifico sulla sicurezza;

� ITIL (ma anche la ISO/IEC 20k) incorpora al suo interno un processo di Information Security Management che ha la responsabilità di dare tutte le linee guida sulla sicurezza;

� Il processo Information Security Management definito da ITIL e ISO/IEC 20k è coerente con la ISO/IEC 27000 a cui rimanda per l’implementazione effettiva dell’ISMS;

� A un’organizzazione può essere utili adottare un modello strutturato di IT Service Management, quale ITIL, per fare meglio altre cose tra cui anche l’Analisi dei Rischi richiesta da tante normative.


Non hai mai commesso un errore, non hai mai tentato qualcosa di nuovo.

A. Einstein

Andrea PraitanoRoma

+39 328 8122642

[email protected]

itSMF ItaliaVia Ventimiglia, 11510126 Torinotel.011 [email protected]

Grazie.

La sicurezza secondo ITIL - IS-Portal · indirizzano tutti gli aspetti della strategia, controlli e...

Documents

Transcript of La sicurezza secondo ITIL - IS-Portal · indirizzano tutti gli aspetti della strategia, controlli e...