Problem Management proattivo di sicurezza secondo ITIL: attività di Etichal Hacking

Transcript

1 Seminario associazioni: Seminario a cura di itsmf Italia Problem Management proattivo di sicurezza secondo ITIL: attività di Etichal Hacking Andrea Praitano

2 Agenda Struttura dei processi ITIL v3; Il Problem Management proattivo; Attività di Ethical Hacking: cosa sono; processo di gestione e trattamento; Sovrapposizione con i processi ITIL v3; Conclusioni.

3 Introduzione Relatore - Andrea Praitano Membro del Consiglio Direttivo di itsmf Italia; Responsabile della Comunicazione per itsmf Italia; Team Leader del GdL itsmf Italia ITIL & Analisi dei Rischi ; Socio fondatore di ISIPM (IStituto Italiano di Project Management); Pubblicazioni: Foundations of IT Service Management Basato su ITIL v3 (Van Haren Publishing); Foundations of IT Service Management Basato su ITIL (Van Haren Publishing); Introduzione a ITIL (OGC); ISO/IEC Pocket Guide (Van Haren Publishing); Roles in Security Management (Van haren Publishing); Service & Security Consultant per Business-e S.p.A. (Gruppo IT Way) presso Banche, Telco, industrie, ecc

4 Struttura dei processi ITIL v3 4

5 ITIL & il Service Lifecycle Il Service Strategy (SS) è il perno centrale attorno al quale ruota tutto il ciclo di vita del servizio; Il Service Design (SD) è la guida per progettare e sviluppare i processi e i servizi di gestione. Traduce gli obiettivi strategici; Il Service Transition (ST) è la guida per migliorare l introduzione in esercizio di cambiamenti; Il Service Operation (SO) contiene le best practice per la gestione dell esercizio dei servizi; Il Continual Service Improvement (CSI) supporta l attuazione dei programmi e dei progetti di miglioramento sulla base degli obiettivi strategici. Crown copyright 2008 Reproduced under license from OGC

6 Processi del Service Design: Service Catalogue Management; Service Level Management; Supplier Management; Capacity Management; Availability Management; IT Service Continuity Management; Information Security Management. Processi del Service Transition: Transition Planning and Support; Service Asset and Configuration Management; Change Management; Release and Deployment Management; Knowledge Management; Service Validation and Testing; Evaluation. Processi del Service Operation: Event Management; Incident Management; Problem Management; Request Fulfilment; Access Management. Funzioni del Service Operation: Service Desk; IT Operation Management; Technical Management; Application Management. Processi del Continual Service Improvement: 7 steps Improvement Process; Service reporting; Service measurement; Return on Investment for CSI Business questions for CSI Service Level Management Processi del Service Strategy: Service Portfolio Management; Demand Management; Financial Management; Return on Investment; Strategy Generation. Crown copyright 2008 Reproduced under license from OGC

7 Relazioni fra processi (flusso reattivo ) CMDB Il flusso reattivo parte da un evento che è avvenuto e, mano a mano, viene approfondito dalle diverse strutture fino ad arrivare alla sua completa e definitiva risoluzione. DML Release Management

8 Incident Nella terminologia ITIL, un incident è definito come: una interruzione non pianificata a un servizio IT o la riduzione della qualità di un servizio IT. Il guasto di un configuration item che non ha ancora impattato sul servizio è anche un incidente, ad esempio, il malfunzionamento di un disco da un mirror set.

9 Incidente su CI Informazioni sul/sui CI Relazioni fra processi (flusso reattivo ) Incident Management Incident Event Management IDB Problem Management RfC Change Management CMDB Service Asset & Configuration Management Release & Deployment Management

10 Problem Management Proattivo Andrea Praitano 10

11 Relazioni fra processi (flusso proattivo) CMDB Il flusso proattivo parte da un evento che è ipotizzato (ma probabile) e, mano a mano, viene approfondito dalle diverse strutture fino ad arrivare a mettere in esercizio le opportune contromisure atte a far si che non accada. DML Release Management

12 Relazioni fra processi (flusso proattivo) Proactive Problem Management Problem Management CMDB Service Asset & Si ipotizza cosa potrebbe Configuration succedere come Management potenziali eventi Analizza: gli eventi potenziali; la probabilità di accadimento; gli impatti; ecc. Change Management RfC Individua le contromisure da mettere in esercizio per evitare l accadimento ovvero ridurre Release & Deployment l impatto dell evento potenziale Management ipotizzato

13 Attività di Ethical Hacking

14 Ethical Hacking cos è? Gli obiettivi possono essere molteplici: furto di informazioni; frodi; furto di denaro; ecc. Sono svolte al fine di andare ad individuare delle vulnerabilità in essere. Le vulnerabilità analizzate sono quelle sfruttabili. Sono attività che simulano attacchi. Sono svolte con modalità similari a quelle usabili da hacker malevoli. Sono svolte sia in modo proattivo (ad es. PT) che reattivo (ad es. indagini forensi).

15 Ethical Hacking - processo Information Gathering Test Planning Svolgimento Test (PT, VA, ecc.) Reporting Si effettua una raccolta di informazioni relativamente al sistema da attaccare Si pianifica l attività da svolgere Si svolgono le verifiche in campo relativamente alle vulnerabilità presenti sui sistemi e che sono effettivamente sfruttabili da un malintenzionato Si riportano le vulnerabilità rilevate e le modalità di sfruttamento delle stesse

16 Ethical Hacking - processo Information Gathering Test Planning Svolgimento Test (PT, VA, ecc.) Reporting Risk Analysis (classificazione in funzione della criticità) Risk Treatment (individuazione possibili contromisure, valutazione fattibilità, messa in esercizio ) Si classificano le vulnerabilità rilevate, la probabilità di sfruttamento, ecc. Vengono individuate le possibili contromisure che possono essere messe in campo, se ne valuta la fattibilità, la messa in esercizio, ecc.

17 Ethical Hacking - processo Information Gathering Test Planning Svolgimento Test (PT, VA, ecc.) Reporting Risk Analysis (classificazione in funzione della criticità) Risk Treatment (individuazione possibili contromisure, valutazione fattibilità, messa in esercizio ) Verifica della bontà delle contromisure messe in campo Information Test Gathering Planning Si verifica se le contromisure messe in campo sono realmente efficaci

18 Sovrapposizioni con i processi ITIL v3 Andrea Praitano 18

19 Ethical Hacking processi ITIL Information Gathering Test Planning Svolgimento Test (PT, VA, ecc.) Proactive Problem Management Reporting Risk Analysis (classificazione in funzione della criticità) Problem Management Change Management Verifica della bontà delle contromisure messe in campo (Post Implementation Review) Risk Treatment (individuazione possibili contromisure, valutazione fattibilità, messa in esercizio ) Change Management CMDB Release Management

20 Conclusioni Andrea Praitano 20

21 Conclusioni Un organizzazione strutturata secondo ITIL può: essere di supporto allo svolgimento delle verifiche perché è in grado di fornire le informazioni per rendere la verifica più efficace; gestire la messa in esercizio delle contromisure necessarie a sanare le vulnerabilità rilevate; Le attività di Ethical Hacking (Penetration Test/Vulnerability Assessment) si inseriscono perfettamente nell ottica di un Problem Management Proattivo di sicurezza secondo ITIL. Ci sono poi altre connessioni relative a: Governo delle verifiche di sicurezza (Information Security Management); Gestione delle utenze (Access Management); Gestione degli incidenti di sicurezza (Incident Management); Centri di competenza per l analisi di vulnerabilità specifiche (Availability Management, Capacity Management, ecc.).

22 Conclusioni complessive IT Service Management e Information Security sono solo apparentemente due branche dell ICT differenti. L adozione di framework di IT Service Management (ISO 20k, ITIL, ecc.) permette di dare un approccio strutturato che può essere di aiuto all Information Security, al Project Management, all Application Management, ecc...ma in realtà sono complementari e non in concorrenza. Anzi l una può essere di aiuto a fare meglio il lavoro dell altra. La ISO 20k e la ISO 27k hanno delle impostazioni un po diverse e ci si auspica che, tramite la ISO 27013, si riescano a far convergere.

23 ? Question Time Conclusion

24 Grazie. Andrea Praitano itsmf Italia Via Ventimiglia, Torino tel Non hai mai commesso un errore, non hai mai tentato qualcosa di nuovo. A. Einstein