Gruppo di Lavoro: ITIL & Analisi dei Rischi. Marco Pinzaglia

Transcript

1 Gruppo di Lavoro: ITIL & Analisi dei Rischi Marco Pinzaglia

2 ITIL come supporto all analisi dei rischi OBIETTIVO del GdL: Definire un processo per l utilizzo di ITIL (V.2-.3) valorizzandolo come strumento a supporto dell attività di Analisi dei Rischi in ambito IT. Inizio lavori: Giugno 2008 Fine lavori prevista: Aprile

3 Vantaggi nell adozione di ITIL f Consente in modo strutturato e organizzato di svolgere i servizi IT I cambiamenti e le relative release all interno della infrastruttura sono governate e gestite. Sono facilemente presenti tutte (o molte) delle informazioni sulla infrastruttura IT (CMDB e CMS). Questo fa si che ITIL può essere di supporto a molti settori diversi dall IT Service Management quali: Project Management, Hetichal Hacking, Application Development & Management, Compliance a normative, Analisi e Gestione dei Rischi, ecc. 3

4 Drivers del Gruppo di Lavoro Quali possono essere i benefici nell utilizzare i processi ITIL nell esecuzione di Analisi dei Rischi; Quali sono i processi ITIL che possono supportare e creare un valore per le attività di Analisi dei Rischi; 4

5 Punti di attenzione nell IT - Il mercato della sicurezza cresce del 19.7% Compliance, dati e Privacy sono i segmenti a più rapida evoluzione, dove la spesa in sicurezza cresce. The State Of SMB IT Security Adoption: Business Data Services North America And Europe. 2K IT decision maker affermano l importanza delle Sicurezza e il peso in EU anche rispetto alle rispettive USA Understanding How Business Goals Drive IT Goals (Pubblicated by ITGI in 08) 5

6 Punti di attenzione nell IT Analisi ITGI su 5 settori industriali Government Retail, Distribuition and Trasport IT Professional, TLC and media Finanacial Manufacturing and Pharmaceuticals 6

7 Punti di attenzione nell IT Campione 158 IT business (>150 employees) Analisi ITGI su 5 settori industriali 51 North America 37 Europe 28 Asia + 42 Other 7

8 Punti di attenzione nell IT IT Governance Institute: Understanding How Business Goals Drive IT Goals (Pubblicated by ITGI in 08) 8

9 ITIL e Analisi dei Rischi Perché è necessario fare Analisi dei Rischi PERCHÈ? In che modo ITIL può supportare questa attività COME? 9

10 L. 262/05 SoX Regolamenti emanati dagli Enti Regolatori L. 196/03 L. 231/01 Standard e Modelli autoadottati ISO/IEC 27001:2005 ISO/IEC 20000:2005 ISO/IEC 38500:2008 Possibili trigger del Risk Management (IT-GOV) 10

11 Perché? Evitare le FRODI ATTORE INGANNO VITTIMA ARTIFICIO RAGGIRO Furto di identità Garantire trasparenza e legalità Garantire controllo e verificabilità per gli interessi degli azionisti e stakeholders Effettiva riduzione dei rischi Migliore tempestività e qualità nel dare risposte e trovare soluzioni 11

12 Perché? ANALISI DEI RISCHI nella IT GOV Costituisce un elemento essenziale per assicurare che i sistemi di sicurezza implementati siano coerenti alle minacce che nell azienda possono accadere. 12

13 Perché fare Analisi dei rischi 13

14 Perché fare Analisi dei rischi Using Risk Management to Keep Your Boss Out of Jail 14

15 Metodologie di Analisi dei Rischi Analisi di Tipo Qualitativo (H,M,L) Analisi di Tipo Quantitativo Analisi modelli di IIM e simulazione dei processi 15

16 Modello ITIL ed il ciclo di Deming Efficienza / Sviluppo tecnologico / Sicurezza Tempo Analisi Rischi Crown copyright 2008 Reproduced under license from OGC 16

17 Modello ITIL e processo di R.M. 17 Crown copyright 2008 Reproduced under license from OGC

18 CMS Analisi del rischio Registrazione delle vulnerabilità come attributo del CI Registrazione dei rischi come attributo del CI 18

19 Mitigazione del rischio Financial Management Change Management RfC Release & Deployment Management 19

20 Modelli di riferimento, ITIL Detailed guidance (technical/ operational profoundity) (+) Frequently Addressed Addressed with Cobit 20

21 Possibile Esempio di implementazione Un Organizzazione adotta ITIL v2/v3 e/o ISO/IEC 20000; Decide di adottare ISO/IEC 27001: Analisi dei rischi iniziale; Implementazione delle contromisure. I dati/informazioni sono già presenti nel CMDB; Le contromisure sono implementate e governate; Informazioni sui rischi/vulnerabilità possono essere memorizzate e mantenute nel CMDB; 21

22 SAL GdL Definita la struttura del deliverable del GdL; Sviluppate le parti introduttive: Modelli di analisi dei rischi Vista sintetica di ITIL v2 e v3 Introduzione alle principali normative e standard Analisi delle relazioni fra i processi di ITIL e il processo di Risk Management Analisi preliminare del collocamento del ciclo di vita dell analisi dei Rischi nel Service Lifecycle Ipotesi di implementazione in un contesto reale 22

23 Gruppo di Lavoro Core Team: Andrea Praitano (TL) Marco Pinzaglia Annalisa Ruggero Flavio de Trane Francesco Ursini Fabio Meloni Ringraziamenti Marco Pinzaglia Support Team: Sandro D averia Ana Maria Arroyo Giorgio Frascà Thanks to partecipations. Cesare Gallotti 23

24 Fine. Bibbliografia The State Of SMB IT Security Adoption: 2007 Business Data Services North America And Europe (Feb.2008 Forrester) Understanding How Business Goals Drive IT Goals (ITGI 2008) Obiettivi di controllo IT per la Sarbanes-Oxley (ITGI 2006) Overview of International IT Guidance (ITGI 2006) Indagine AICOM sui costi/benefici della funzione Compliance 24