Area IT: da centro di costo a centro di servizio a valore

Transcript

1 Area IT: da centro di costo a centro di servizio a valore Dott. De Pretto Flavio Vicenza, 16 giugno 2015

2 De Pretto Flavio Formazione superiore in ambito Elettronico/Telecomunicazioni Laurea in Economia Aziendale, indirizzo Economico/Quantitativo, all Università Ca Foscari di Venezia Certificazioni ISACA COBIT 5F, ITILv3 Foundation, SIX SIGMA Green Belt Attualmente CIO di Siderforgerossi Group Spa Pagina 2

3 Pagina 3

4 Pagina 4

5 Pagina 5

6 Pagina 6

7 Pagina 7

8 Pagina 8

9 01/01/2014 Pagina 9

10 Rete Server Farm Infrastruttura applicativa OBIETTIVO: garantire la continuità di Business Pagina 10

11 nuovo Dominio nuovo Server di Posta nuovi Server applicativi nuovo ERP di gruppo nuovi collegamenti di rete (elevata delocalizzazione stabilimenti in un area ristretta) mantenimento applicativi verticali specifici delle 2 ex aziende mantenimento dello storico. Passa il tempo e il «cantiere» si ingrandisce diventa necessario consolidare sia la parte infrastrutturale sia la parte applicativa. IT GOVERNANCE? In questa prima fase. FARE per garantire il successo dell operazione di fusione e la continuità di business BC / DR? Attenzione ai BACKUP in un sito alternativo Pagina 11

12 IT GOVERNANCE: primo incontro con COBIT 5 attività di Audit legate alla revisione del Bilancio mirata a stabilire grado di maturità dei processi IT Fonte: ISACA: Cobit5 Framework Pagina 12

13 Percorso di formazione e certificazione per alcuni componenti dello staff IT Corsi di formazione su: Risk mangement Change management Consapevolezza che l'allineamento del business con l'it è l'elemento di base su cui costruire la governance Pagina 13

14 Consapevolezza che l IT deve creare valore per il business UTILITY Migliora l efficienza? Elimina i vincoli? OR Adatto allo scopo AND Creazione del Valore per il Cliente Disponibile? Capacità sufficiente? Garantisce la continuità? Sicuro? AND Efficiente WARRANTY Pagina 14

15 La credibilità del servizio IT La credibilità dipende dal modo in cui il servizio erogato rispetta i requisiti del cliente. In tal senso il service provider deve: Rispettare la WARRANTY : disponibilità, capacità, continuità, sicurezza delle informazioni Garantire la visibilità e la trasparenza di quanto fornito Organizzare il proprio processo di gestione in modo service oriented Pagina 15

16 Allineamento dei sistemi agli obiettivi di Business IT Governance Gestione dei rischi informatici Pagina 16

17 IT Governance IS Audit quick surveyit Risk Assessment perimetro IT Obiettivo: evidenziare le potenziali minacce, le vulnerabilità e mappare i livelli di rischio che incombono sugli asset informativi. Pagina 17

18 IT Governance quick survey Seguendo le indicazione di best-practices indicate dalla normativa di riferimento in ambito IT Governance (COBIT), in linea generale l ambito IT di SIDERFORGEROSSI Spa è caratterizzato da Consapevolezza del grado di maturità dei processi MIGLIORAMENTO CONTINUO Pagina 18

19 Mappare i processi IT sulla base del framework COBIT 5 DSS04 Manage Continuity Fonte: ISACA: Cobit5 Framework Fonte: ISACA: Cobit5 Framework Obiettivi del processo: Stabilire e manutenere un piano di Business Continuity e Disaster Recovery che minimizzi l impatto degli incidenti sui sistemi informatici e permetta di continuare l operatività dei processi di business critici. Rischi collegati: Mancata continuità dei processi aziendali. Indisponibilità delle risorse informatiche. Criticità: E stata rilevata la presenza di procedure di Business Continuity, Disaster Recovery e Business Impact Analysis non adeguatamente strutturate. Tali documenti sono necessari per una corretta gestione della continuità di servizio per i processi più critici. Pagina 19

20 Progetto Revisione Infrastruttura SIDERFORGEROSSI Pagina 20

21 Progetto Revisione Infrastruttura SIDERFORGEROSSI Principali evidenze e criticità: Infrastruttura server e storage con performance «limitate»: - Server con diverse generazioni di processori - In caso di failover di uno dei server i restanti non sono in grado di - garantire la piena continuità operativa dei servizi IT ma solo un sottoinsieme dei servizi Lo Storage A rappresenta il single point of failure per l infrastruttura centrale anche se la repository dei Backup è dislocata presso una diversa struttura Principali interventi: Nuova Server Room (sito principale) nuovo impianto in HA/BC: - Farm Virtualizzata - Farm Citrix - Impianto Storage in Business Pagina 21

22 Progetto Revisione Infrastruttura SIDERFORGEROSSI Principali interventi: Next step: stesura, formalizzazione Server Room sito secondario: e operatività del nuovo Piano di nuovo impianto in HA/BC: Business Continuity (BCP). - Farm Virtuale /Virtual SAN Necessaria BIA (Business Impact Server Room sito di DR: Analisys) riutilizzato l impianto esistente + attivate le funzionalità di DR mediante nuovo sistema di virtualizzazione Storage: - Nuovo Server per virtualizzazione Storage e DR - Farm Virtualizzata + Farm Citrix composta dagli attuali nodi - Storage A composto dall attuale Storage Adozione di una soluzione di DR/BC: RTO Recovery Time Objective (tempo che intercorre dall evento disastroso, al momento in cui il sistema è di nuovo operativo) RPO Recovery Point Objective (misura della massima quantità di dati che il sistema può perdere a causa di guasto improvviso) MTPD Maximum Tolerable Period of Disruption (massimo periodo di interruzione del servizio accettabile) MBCO Minimum Business Continuity Objective (indica il livello minimo di operatività accettabile) in linea con le richieste del business Pagina 22

23 Progetto Adeguamento Server Room SIDERFORGEROSSI Principali evidenze, criticità e requisiti presentati al progettista: - Vanno aggiunti 2 armadi 48U completi di PDU (vedere punti seguenti) e adeguato l'impianto elettrico a valle (carichi,magneto termici, ecc...) - Va adeguato l'attuale impianto elettrico tenendo in considerazione che dovranno essere spostati su nuovi armadi circa 20U - Si devono inserire due gruppi di continuità, tenendo conto degli attuali consumi; Gli UPS devono essere network managed. vanno collegati al gruppo elettrogeno aziendale ( da verificare il funzionamento con test di simulazione) - Vanno inserire PDU Metered (es. APC) su tutti gli armadi in form- factor zero-unit con connettorizzazione C13 e disponibilita' di 24 porte per PDU (minimo) - L'impianto elettrico va segmentato portando per ogni armadio 2 linee indipendenti (UPS A, ARMADIO A, PDU A UPS B, ARMADIO A, PDU B) - (Per ogni armadio le due PDU, vanno attestate su linee differenti). Pagina 23

24 Progetto Adeguamento Server Room SIDERFORGEROSSI Principali evidenze, criticità e requisiti presentati al progettista: -Va inserita una sonda di temperatura IP compatibile con i programmi di monitoraggio ( es Nagios) - Va adeguato l'impianto di condizionamento, aggiungendo ridondanza e inserendo lo split sul lato lungo della stanza, anche questo attestato su due differenti linee di potenza per aggiungere ridondanza. - Vanno inserite minimo due telecamere di videosorveglianza (su IP) su un circuito e storage dedicato. - Va ristretto il controllo accessi alla sala server ad un gruppo limitato di personale. - Va rimosso l'impianto elettrico a muro e liberata la zona. - Si deve pulire ed aspirare attentamente il pavimento. - UPS e PDU devono avere garanzia e contratto di manutenzione per le PDU NBD, per l'ups 4h. - Vanno rilasciate certificazioni dei lavori svolti e dell'impianto nel complesso. Pagina 24

25 In cantiere: Impianto elettrico segmentato portando per ogni armadio 2 linee indipendenti UPS ridondati in parallelo collegati al gruppo elettrogeno primario Dalla RISK ANALISYS alla PROGETTAZIONE ADEGUATA per MITGARE il rischio Pagina 25

26 DSS02 Manage Service Requests and Incidents Obiettivi del processo: Fornire una risposta tempestiva ed efficace alle richieste degli utenti e alla risoluzione di ogni tipo di incidente informatico. Registrare e gestire ogni richiesta degli utenti. Registrare, investigare, diagnosticare e risolvere gli incidenti. Rischi collegati: Mancata identificazione o risoluzione tempestiva degli incidenti informatici. Mancata gestione tempestiva ed efficiente delle richieste degli utenti. Criticità: Il principale presidio sugli incidenti di sicurezza informatici è gestito e coperto da un servizio in Outsourcing.La gestione delle richieste degli utenti e la tracciatura dei principali incidenti dovrebbe essere comunque gestito internamente, mediante lo strumento di ticketing. Allo stato attuale, tale gestione, risulta destrutturata e non definita da una specifica procedura. Fonte: ISACA Pagina 26

27 Help Desk Siderforgerossi: Fornisce un singolo contatto tra i servizi forniti e gli utenti Le segnalazioni ricevute attraverso il portale di Help Desk hanno un trattamento preferenziale Vengono registrati tutti gli incidenti e le richieste di servizio rilevanti attribuendo codici di categoria e di priorità Tutti i ticket vengono classificati e trattati in base alla loro priorità. Viene data evidenza all utente dello stato di avanzamento nella gestione del ticket Tutti i ticket riguardanti situazioni risolte vengono chiusi L attività di helpdesk viene monitorata tramite appositi report riguardanti sia i tipi di incident che le normali segnalazioni degli utenti L attività di helpdesk è integrata tramite apposito applicativo alla gestione dell asset management con funzionalità di inventory di rete Pagina 27

28 DSS05 Manage Security Services Obiettivi del processo: Proteggere i dati e le risorse informatiche mediante strumenti e misure di sicurezza informatica in grado di garantire un adeguato livello di protezione, in linea con le policy di sicurezza. Rischi collegati: Accesso non autorizzato ai dati. Attacchi informatici sui sistemi informativi. Mancata disponibilità dei servizi IT. Criticità: E stato rilevato che: - Il processo di User Management, che dovrebbe prevedere una gestione formale e autorizzata delle richieste di creazione, modifica e cancellazione degli utenti, è basato su comunicazioni non strutturate e tracciate. In particolare è molto importante prevedere un processo formale per la fornitura della autorizzazioni all accesso delle funzionalità e dei dati più critici; - Mancata applicazione della corretta scadenza periodica della password sul Dominio Windows. Fonte: ISACA: Cobit5 Framework Pagina 28

29 agli utenti riportante la procedura per la gestione delle credenziali Oggetto:MISURE DI SICUREZZA INFORMATICA - CAMBIO PASSWORD Buongiorno, vi informo che da Lunedì 25 maggio verrà effettuata una procedura di cambio password degli utenti di Siderforgerossi al fine di garantire la confomità alle norme legislative vigenti. Secondo quanto previsto dalla vigente normativa privacy (vedasi il Disciplinare tecnico in materia di misure di sicurezza, Allegato B al Decreto Legislativo n. 196/2003), ciascuna password deve essere composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; la password non deve contenere riferimenti agevolmente riconducibili all'incaricato (pertanto non si devono utilizzare nome e cognome o date particolari) e deve essere modificata con cadenza almeno semestrale (a titolo meramente esemplificativo e non esaustivo: dati amministrazione, dati commerciali) o trimestrale (a titolo meramente esemplificativo e non esaustivo: dati del personale dipendente, dati di utenti strutture sanitarie). Pertanto verrà effettuato il cambio password dove le credenziali di accesso al sistema saranno conosciute solamente dal proprietario dell account come previsto dalle normative sulla privacy. La nuova password che andrete ad impostare richiede ( come da obblighi di legge) dovrà soddisfare ai requisiti minimi: La password deve essere lunga almeno 8 caratteri e contenere almeno 3 delle seguenti caratteristiche: - 1 carattere speciale - 1 uppercare (maiuscolo) - 1 lowecase (minuscolo) - 1 numerico Non si può immettere la password usata nel periodo precedente La password scade ogni 180 giorni e va reimpostata dall utente stesso Dopo 10 tentativi di password errata il profilo utente sarà bloccato. LE PASSWORD SONO STRETTAMENTE PERSONALI L'azienda potrà individuare dei criteri di conservazione direttamente nella policy interna, specificando le modalità mediante le quali potranno essere ridotti i rischi di conoscibilità delle password (a titolo meramente esemplificativo e non esaustivo: non scrivere le password su post-it affissi al pc non comunicare la password via telefono o via mail in caso di mancanza di assoluta certezza circa l'identità della controparte Pagina 29

30 «Abbiamo realizzato tanto. C è ancora molto da fare. Abbiamo maturato la consapevolezza che l adozione di framework come Cobit 5 e di librerie come ITIL v3 può contribuire a costruire l IT Governance necessaria all azienda e fondamentale per l IT Manager per rapportarsi con il Business in modo credibile, con la massima trasparenza riuscendo a comunicare le attività e le strategie IT nel modo più consono agli interessi dei nostri principali interlocutori». Pagina 30

31 Domande? RISPOSTE! Pagina 31

32 Adopt e Adapt Pagina 32