La sicurezza secondo ITIL. Relazioni fra ITIL e la sicurezza Andrea Praitano Consigliere itsmf Italia

Transcript

1 La sicurezza secondo ITIL Relazioni fra ITIL e la sicurezza Andrea Praitano Consigliere itsmf Italia

2 Agenda itsmf Italia: cos è e che cosa fa; Cos è l IT Service Management; Introduzione a ITIL v3; Il processo di Information Security Management secondo ITIL v3; L information security secondo la ISO/IEC 20000; ITIL e Analisi dei Rischi; Conclusioni. È stato detto che la democrazia è la peggior forma di governo, eccezion fatta per tutte quelle forme che si sono sperimentate fino ad ora. (Winston Leonard Spencer Churchill Primo Ministro Inglese) Andrea Praitano itsmf Italia 2

3 itsmf Italia è un Associazione senza fini di lucro, costituita per promuovere lo scambio di esperienze ed informazioni sulla gestione dei Servizi ICT e l adozione delle migliori pratiche professionali ad essi relative oltre ad ITIL (art.2 Statuto) Andrea Praitano itsmf Italia 3

4 Attività itsmf Italia Tutorial ITIL V3 Incontri La domanda incontra la domanda Seminari con i nostri Sponsor Interventi in Master e corsi universitari Presentazioni presso Associazioni Professionali Tavole Rotonde Articoli su Riviste di settore Rubriche - Spazio IT management su ICT Professional e altro ancora in progetto Andrea Praitano itsmf Italia 4

5 Agenda itsmf Italia: cos è e che cosa fa; Cos è l IT Service Management; Introduzione a ITIL v3; Il processo di Information Security Management secondo ITIL v3; L information security secondo la ISO/IEC 20000; ITIL e Analisi dei Rischi; Conclusioni. Bisogna dire ai giovani quanto sono stati fortunati a nascere in questo splendido Paese che è l Italia. (Rita Levi Montalcini) Andrea Praitano itsmf Italia 5

6 IT Service Management L IT inizialmente è visto solo come una tecnologia che è al supporto del Business; Il secondo passo è stato il vedere l IT come uno strumento che fornisce servizi al Business, quindi l IT è diventato uno strumento di Business che rende possibile nuove funzioni e nuovi business che precedentemente non erano possibili; Oggi l IT è ritenuto un elemento vitale delle Organizzazioni. IT Governance ITIM ITSM ITSM: ITIM: IT Service Management IT Infrastructure Management Andrea Praitano itsmf Italia 6

7 Principali Framework di ITSM V2 & V3 Andrea Praitano itsmf Italia 7

8 Agenda itsmf Italia: cos è e che cosa fa; Cos è l IT Service Management; Introduzione a ITIL v3; Il processo di Information Security Management secondo ITIL v3; L information security secondo la ISO/IEC 20000; ITIL e Analisi dei Rischi; Conclusioni. Abbiamo conquistato il cielo come gli uccelli e il mare come i pesci, ma dobbiamo imparare di nuovo il semplice gesto di camminare sulla terra come fratelli. (Martin Luther King) Andrea Praitano itsmf Italia 8

9 ITIL & il Service Lifecycle Il Service Strategy (SS) è il perno centrale attorno al quale ruota tutto il ciclo di vita del servizio; Il Service Design (SD) è la guida per progettare e sviluppare i processi e i servizi di gestione. Traduce gli obiettivi strategici in Service Portfolio e Service Asset; Il Service Transition (ST) è la guida per migliorare l introduzione in esercizio di cambiamenti; Il Service Operation (SO) contiene le best practice per la gestione dell esercizio dei servizi; Il Continual Service Improvement (CSI) supporta l attuazione dei programmi e dei progetti di miglioramento sulla base degli obiettivi strategici. Crown copyright 2008 Reproduced under license from OGC Andrea Praitano itsmf Italia 9

10 The ITIL collateral publications Crown copyright 2008 Reproduced under license from OGC Andrea Praitano itsmf Italia 10

11 libreria di riferimento ITIL v3 Andrea Praitano itsmf Italia 11

12 Processi del Service Design: Service Catalogue Management; Service Level Management; Supplier Management; Capacity Management; Availability Management; IT Service Continuity Management; Information Security Management. Processi del Service Transition: Service Asset and Configuration Management; Change Management; Release and Deployment Management; Knowledge Management; Processi del Service Operation: Event Management; Incident Management; Problem Management; Request Fulfilment; Access Management. Funzioni del Service Operation: Service Desk; IT Operation Management; Technical Management; Application Management. Processi del Service Strategy: Service Portfolio Management; Demand Management; Financial Management. Processi del Continual Service Improvement: 7 steps Improvement Process; Crown copyright 2008 Reproduced under license from OGC Andrea Praitano itsmf Italia 12

13 Agenda itsmf Italia: cos è e che cosa fa; Cos è l IT Service Management; Introduzione a ITIL v3; Il processo di Information Security Management secondo ITIL v3; L information security secondo la ISO/IEC 20000; ITIL e Analisi dei Rischi; Conclusioni. Se non riuscite a descrivere quello che state facendo come se fosse un processo, non sapete cosa state facendo. (William Edward Deming) Andrea Praitano itsmf Italia 13

14 Information Security Management La finalità (goal) del processo di Information Security Management è quella di allineare l IT Security con la business security e di assicurare che l information security è effettivamente gestita in tutti i servizi e in tutte le attività del Service Management. Andrea Praitano itsmf Italia 14

15 Scope del ISM Il processo di ISM dovrebbe essere il punto focale per tutte le questioni di sicurezza IT; deve garantire che l Information Security Policy sia prodotta, mantenuta e attuata e che copra l uso e l abuso di tutti i sistemi e dei servizi IT. Andrea Praitano itsmf Italia 15

16 Security Framework Il processo e framework di Information Security Management generalmente consiste di: Un Information Security Policy e politiche specifiche di sicurezza che indirizzano tutti gli aspetti della strategia, controlli e normative; Un Information Security Management System (ISMS), contenente le norme, procedure e linee guida di gestione delle informazioni a sostegno delle politiche di sicurezza; Una strategia di sicurezza globale, strettamente legata agli obiettivi, strategie e piani di business; Una struttura organizzativa di sicurezza effettiva; Un set di security controls per il supporto della policy; La gestione dei rischi di sicurezza; Il monitoraggio dei processi per garantire il rispetto e fornire un feedback sull efficacia; Strategia di comunicazione e piano per la sicurezza; Strategia e piani di formazione e sensibilizzazione. Andrea Praitano itsmf Italia 16

17 Framework for managing IT security Customers Requirements Business Needs Crown copyright 2008 Reproduced under license from OGC MAINTAIN Learn Improve Plan Implement EVALUATE Internal audits External audits Self assessments Security incidents CONTROL Organize Establish framework Allocate responsibilities PLAN Service Level Agreements Underpinning contracts Operational Level Agreements Policy Statements IMPLEMENT Create awareness Classification and registration Personnel security Physical security Networks, applications, computers Management of access rights Security incident procedures Andrea Praitano itsmf Italia 17

18 IT Security Management process Produce and maintain an Information Security Policy Crown copyright 2008 Reproduced under license from OGC Communicate, implement and enforce adherence to all security policies Monitor and manage security incidents and breaches Report, review and reduce security breaches and major incidents Assess and Categorize information assets, risks and vulnerabilities Regularly assess, review and report security risks and threats Impose and review risk security controls, review and Implement risk mitigation Security Management Information System (SMIS) Information Security Policy(s) Security reports and information Security controls Security risks and responses Andrea Praitano itsmf Italia 18

19 Security controls for threats and incidents Threat Crown copyright 2008 Reproduced under license from OGC Prevention/ Reduction Direction/ Repression Incident Damage Evaluation/ Reporting Evaluation/ Reporting Correction/ Recovery Evaluation/ Reporting Control Andrea Praitano itsmf Italia 19

20 Agenda itsmf Italia: cos è e che cosa fa; Cos è l IT Service Management; Introduzione a ITIL v3; Il processo di Information Security Management secondo ITIL v3; L information security secondo la ISO/IEC 20000; ITIL e Analisi dei Rischi; Conclusioni. "Il fare economia non è il risparmiare denaro, ma nello spenderlo con saggezza". (Thomas Henry Huxley) Andrea Praitano itsmf Italia 20

21 ISO/IEC 20000:2005 Service Delivery Processes Capacity Management Service Continuity and Availability Management Service Level Management Service Reporting Control Processes Information Security Management Budgeting and Accounting for IT service Release Processes Release Management Configuration Management Change Management Resolution Processes Incident Management Problem Management Relationship Processes Business Relationship Management Supplier Management Andrea Praitano itsmf Italia 21

22 Agenda itsmf Italia: cos è e che cosa fa; Cos è l IT Service Management; Introduzione a ITIL v3; Il processo di Information Security Management secondo ITIL v3; L information security secondo la ISO/IEC 20000; ITIL e Analisi dei Rischi; Conclusioni. Frankie amava ripetere che la boxe era qualcosa di innaturale, che nella boxe si fa tutto al contrario. A volte, per tirare un colpo vincente, bisogna arretrare. Ma se arretri troppo, non combatti più. (Million Dollar Baby) Andrea Praitano itsmf Italia 22

23 L ITSM a supporto della sicurezza ITIL come supporto all analisi dei rischi OBIETTIVO del GdL: Definire un processo per l utilizzo di ITIL (V.2-.3) valorizzandolo come strumento a supporto dell attività di Analisi dei Rischi in ambito IT. Andrea Praitano itsmf Italia 23

24 L ITSM a supporto della sicurezza Premessa: ITIL fornisce un approccio strutturato all erogazione dei servizi IT all interno di un organizzazione; questo fa si che un organizzazione che adotta ITIL può avere dei vantaggi anche in settori diversi dall ITSM quali: Project Management, Hetichal Hacking, Application Development & Management, Compliance a normative, Analisi e Gestione dei Rischi, ecc. Andrea Praitano itsmf Italia 24

25 ITIL come supporto all'analisi dei rischi Modello ITIL e processo di R.M. Crown copyright 2008 Reproduced under license from OGC Andrea Praitano itsmf Italia 25

26 ITIL come supporto all'analisi dei rischi Financial Management CMS Analisi del rischio Registrazione delle vulnerabilità come attributo del CI Registrazione dei rischi come attributo del CI Crown copyright 2008 Reproduced under license from OGC Andrea Praitano itsmf Italia 26

27 ITIL come supporto all'analisi dei rischi Mitigazione del rischio Change Management RfC Release & Deployment Management Crown copyright 2008 Reproduced under license from OGC Andrea Praitano itsmf Italia 27

28 Agenda itsmf Italia: cos è e che cosa fa; Cos è l IT Service Management; Introduzione a ITIL v3; Il processo di Information Security Management secondo ITIL v3; L information security secondo la ISO/IEC 20000; ITIL e Analisi dei Rischi; Conclusioni. Bisogna aver rinunciato al buon senso per non convenire che non conosciamo nulla se non attraverso l esperienza. (François Voltaire) Andrea Praitano itsmf Italia 28

29 Conclusioni ITIL è un Framework di IT Service Management e non specifico sulla sicurezza; ITIL (ma anche la ISO/IEC 20k) incorpora al suo interno un processo di Information Security Management che ha la responsabilità di dare tutte le linee guida sulla sicurezza; Il processo Information Security Management definito da ITIL e ISO/IEC 20k è coerente con la ISO/IEC a cui rimanda per l implementazione effettiva dell ISMS; A un organizzazione può essere utili adottare un modello strutturato di IT Service Management, quale ITIL, per fare meglio altre cose tra cui anche l Analisi dei Rischi richiesta da tante normative. Andrea Praitano itsmf Italia 29

30 Grazie. Andrea Praitano Roma itsmf Italia Via Ventimiglia, Torino tel Non hai mai commesso un errore, non hai mai tentato qualcosa di nuovo. A. Einstein Andrea Praitano itsmf Italia 30