Post on 13-Apr-2017
transcript
La sicurezza secondo ITILLa sicurezza secondo ITIL
Relazioni fra ITIL e la sicurezzaAndrea PraitanoConsigliere itSMF Italia
Andrea Praitano – itSMF Italia 2
AgendaAgenda
itSMF Italia: cos’è e che cosa fa; Cos’è l’IT Service Management; Introduzione a ITIL v3; Il processo di Information Security
Management secondo ITIL v3; L’information security secondo la
ISO/IEC 20000; ITIL e Analisi dei Rischi; Conclusioni.
““È stato detto che la democrazia è È stato detto che la democrazia è la peggior forma di governo, la peggior forma di governo, eccezion fatta per tutte quelle eccezion fatta per tutte quelle forme che si sono sperimentate forme che si sono sperimentate fino ad ora.”fino ad ora.”(Winston Leonard Spencer Churchill – (Winston Leonard Spencer Churchill – Primo Ministro Inglese)Primo Ministro Inglese)
Andrea Praitano – itSMF Italia 3
ititSMF ItaliaSMF Italia
è un’Associazione è un’Associazione senza fini di lucrosenza fini di lucro,,
costituita per promuovere lo scambio di costituita per promuovere lo scambio di esperienze ed informazioni esperienze ed informazioni sulla sulla gestione dei Servizi ICTgestione dei Servizi ICT
e l’adozione delle migliori pratiche professionali ad essi relative oltre e l’adozione delle migliori pratiche professionali ad essi relative oltre ad ITILad ITIL
(art.2 Statuto)(art.2 Statuto)
Andrea Praitano – itSMF Italia 4
Attività Attività ititSMF ItaliaSMF Italia
Tutorial – ITIL V3 Incontri – La domanda incontra la domanda Seminari con i nostri Sponsor Interventi in Master e corsi universitari Presentazioni presso Associazioni Professionali Tavole Rotonde Articoli su Riviste di settore Rubriche - Spazio “IT management” su ICT Professional e
altro ancora in progetto …
Andrea Praitano – itSMF Italia 5
AgendaAgenda
itSMF Italia: cos’è e che cosa fa; Cos’è l’IT Service Management;Cos’è l’IT Service Management; Introduzione a ITIL v3; Il processo di Information Security
Management secondo ITIL v3; L’information security secondo la
ISO/IEC 20000; ITIL e Analisi dei Rischi; Conclusioni.
““Bisogna dire ai giovani quanto Bisogna dire ai giovani quanto sono stati fortunati a nascere in sono stati fortunati a nascere in questo splendido Paese che è questo splendido Paese che è l’Italia.”l’Italia.”(Rita Levi Montalcini)(Rita Levi Montalcini)
Andrea Praitano – itSMF Italia 6
IT Service ManagementIT Service Management
L’IT inizialmente è visto solo come una tecnologia che è al supporto del Business;
Il secondo passo è stato il vedere l’IT come uno strumento che fornisce servizi al Business, quindi l’IT è diventato uno strumento di Business che rende possibile nuove funzioni e nuovi business che precedentemente non erano possibili;
Oggi l’IT è ritenuto un elemento vitale delle Organizzazioni.
ITIMITSM
IT Governance
ITSM: IT Service Management
ITIM: IT Infrastructure Management
Andrea Praitano – itSMF Italia 7
Principali Framework di ITSMPrincipali Framework di ITSM
V2 & V3
Andrea Praitano – itSMF Italia 8
AgendaAgenda
itSMF Italia: cos’è e che cosa fa; Cos’è l’IT Service Management; Introduzione a ITIL v3;Introduzione a ITIL v3; Il processo di Information Security
Management secondo ITIL v3; L’information security secondo la
ISO/IEC 20000; ITIL e Analisi dei Rischi; Conclusioni.
““Abbiamo conquistato il cielo Abbiamo conquistato il cielo come gli uccelli e il mare come i come gli uccelli e il mare come i pesci, ma dobbiamo imparare di pesci, ma dobbiamo imparare di nuovo il semplice gesto di nuovo il semplice gesto di camminare sulla terra come camminare sulla terra come fratelli.”fratelli.”(Martin Luther King)(Martin Luther King)
Andrea Praitano – itSMF Italia 9
ITIL & il Service LifecycleITIL & il Service Lifecycle Il Service Strategy (SS) è il perno
centrale attorno al quale ruota tutto il ciclo di vita del servizio;
© Crown copyright 2008 Reproduced under license from OGC
Il Continual Service Improvement (CSI) supporta l’attuazione dei programmi e dei progetti di miglioramento sulla base degli obiettivi strategici.
Il Service Operation (SO) contiene le best practice per la gestione dell’esercizio dei servizi;
Il Service Transition (ST) è la guida per migliorare l’introduzione in esercizio di cambiamenti;
Il Service Design (SD) è la guida per progettare e sviluppare i processi e i servizi di gestione. Traduce gli obiettivi strategici in Service Portfolio e Service Asset;
Andrea Praitano – itSMF Italia 10
The ITIL collateral publicationsThe ITIL collateral publications
© Crown copyright 2008 Reproduced under license from OGC
Andrea Praitano – itSMF Italia 11
… … libreria di riferimento ITIL v3libreria di riferimento ITIL v3
Andrea Praitano – itSMF Italia 12
© Crown copyright 2008 Reproduced under license from OGC
Processi del Service Strategy:• Service Portfolio Management;• Demand Management;• Financial Management.
Processi del Service Design:• Service Catalogue Management;• Service Level Management;• Supplier Management;• Capacity Management;• Availability Management;• IT Service Continuity Management;• Information Security Management.
Processi del Service Transition:• Service Asset and Configuration Management;• Change Management;• Release and Deployment Management;• Knowledge Management;
Processi del Service Operation:• Event Management;• Incident Management;• Problem Management;• Request Fulfilment;• Access Management.
Funzioni del Service Operation:• Service Desk;• IT Operation Management;• Technical Management;• Application Management.
Processi del Continual Service Improvement:• 7 steps Improvement Process;
Andrea Praitano – itSMF Italia 13
AgendaAgenda
itSMF Italia: cos’è e che cosa fa; Cos’è l’IT Service Management; Introduzione a ITIL v3; Il processo di Information Il processo di Information
Security Management secondo Security Management secondo ITIL v3;ITIL v3;
L’information security secondo la ISO/IEC 20000;
ITIL e Analisi dei Rischi; Conclusioni.
““Se non riuscite a descrivere Se non riuscite a descrivere quello che state facendo come quello che state facendo come se fosse un processo, non se fosse un processo, non sapete cosa state facendo.”sapete cosa state facendo.”(William Edward Deming)(William Edward Deming)
Andrea Praitano – itSMF Italia 14
Information Security ManagementInformation Security Management
“La finalità (goal) del processo di Information Security Management è quella di allineare l’IT Security con la business security e di assicurare che l’information security è effettivamente gestita in tutti i servizi e in tutte le attività del Service Management.”
Andrea Praitano – itSMF Italia 15
Scope del ISMScope del ISM
Il processo di ISM dovrebbe essere il punto focale per tutte le questioni di sicurezza IT; deve garantire che l’Information Security Policy sia prodotta, mantenuta e attuata e che copra l’uso e l’abuso di tutti i sistemi e dei servizi IT.
Andrea Praitano – itSMF Italia 16
Security FrameworkSecurity Framework Il processo e framework di Information Security Management
generalmente consiste di: Un Information Security Policy e politiche specifiche di sicurezza che
indirizzano tutti gli aspetti della strategia, controlli e normative; Un Information Security Management System (ISMS), contenente le
norme, procedure e linee guida di gestione delle informazioni a sostegno delle politiche di sicurezza;
Una strategia di sicurezza globale, strettamente legata agli obiettivi, strategie e piani di business;
Una struttura organizzativa di sicurezza effettiva; Un set di security controls per il supporto della policy; La gestione dei rischi di sicurezza; Il monitoraggio dei processi per garantire il rispetto e fornire un feedback
sull’efficacia; Strategia di comunicazione e piano per la sicurezza; Strategia e piani di formazione e sensibilizzazione.
Andrea Praitano – itSMF Italia 17
Framework for managing IT securityFramework for managing IT securityCustomers – Requirements – Business Needs
PLANService Level Agreements
Underpinning contractsOperational Level Agreements
Policy Statements
IMPLEMENTCreate awareness
Classification and registrationPersonnel securityPhysical security
Networks, applications, computersManagement of access rightsSecurity incident procedures
CONTROLOrganize
Establish frameworkAllocate responsibilities
MAINTAINLearn
ImprovePlan
Implement
EVALUATEInternal auditsExternal audits
Self assessmentsSecurity incidents
© C
row
n co
pyrig
ht 2
008
Rep
rodu
ced
unde
r lic
ense
from
OG
C
Andrea Praitano – itSMF Italia 18
IT Security Management processIT Security Management process
Security Management Information System (SMIS)
Information Security Policy(s)
Security reports and information
Security controls
Security risks and responses
Communicate, implement and enforce adherence to all security policies
Monitor and manage security incidents and breaches
Assess andCategorize information assets, risks and vulnerabilities
Produce and maintain an Information Security Policy
Regularly assess, review and report security risks and threats
Impose and review risk security controls, review and Implement risk mitigation
Report, review and reduce security breaches and major incidents
© C
row
n co
pyrig
ht 2
008
Rep
rodu
ced
unde
r lic
ense
from
OG
C
Andrea Praitano – itSMF Italia 19
Security controls for threats and Security controls for threats and incidentsincidents
Incident
Threat
Damage
Control
Prevention/Reduction
Direction/Repression
Correction/Recovery
Evaluation/Reporting
Evaluation/Reporting
Evaluation/Reporting
© C
row
n co
pyrig
ht 2
008
Rep
rodu
ced
unde
r lic
ense
from
OG
C
Andrea Praitano – itSMF Italia 20
AgendaAgenda
itSMF Italia: cos’è e che cosa fa; Cos’è l’IT Service Management; Introduzione a ITIL v3; Il processo di Information Security
Management secondo ITIL v3; L’information security secondo L’information security secondo
la ISO/IEC 20000;la ISO/IEC 20000; ITIL e Analisi dei Rischi; Conclusioni.
"Il fare economia non è il "Il fare economia non è il risparmiare denaro, ma nello risparmiare denaro, ma nello spenderlo con saggezza".spenderlo con saggezza".(Thomas Henry Huxley)(Thomas Henry Huxley)
Andrea Praitano – itSMF Italia 21
Resolution Processes
Incident Management
Problem Management
ISO/IEC 20000:2005ISO/IEC 20000:2005
Release Processes
Release Management
Relationship Processes
Business Relationship Management
Supplier Management
Service Delivery Processes
Capacity Management
Service Continuity and Availability
Management
Service Level Management
Service Reporting
Information Security Management
Budgeting and Accounting
for IT serviceControl Processes
Configuration ManagementChange Management
Andrea Praitano – itSMF Italia 22
AgendaAgenda
itSMF Italia: cos’è e che cosa fa; Cos’è l’IT Service Management; Introduzione a ITIL v3; Il processo di Information Security
Management secondo ITIL v3; L’information security secondo la
ISO/IEC 20000; ITIL e Analisi dei RischiITIL e Analisi dei Rischi; Conclusioni.
““Frankie amava ripetere che la boxe Frankie amava ripetere che la boxe era qualcosa di innaturale, che nella era qualcosa di innaturale, che nella boxe si fa tutto al contrario. A volte, boxe si fa tutto al contrario. A volte, per tirare un colpo vincente, bisogna per tirare un colpo vincente, bisogna arretrare. Ma se arretri troppo, non arretrare. Ma se arretri troppo, non combatti più.”combatti più.”(Million Dollar Baby)(Million Dollar Baby)
Andrea Praitano – itSMF Italia 23
L’ITSM a supporto della sicurezzaL’ITSM a supporto della sicurezza
ITIL come supporto all’analisi dei rischi OBIETTIVO del GdL:
Definire un processo per l’utilizzo di ITIL (V.2-.3) valorizzandolo come strumento a supporto dell’attività di Analisi dei Rischi in ambito IT.
Andrea Praitano – itSMF Italia 24
L’ITSM a supporto della sicurezzaL’ITSM a supporto della sicurezza
Premessa: ITIL fornisce un approccio strutturato all’erogazione dei servizi IT
all’interno di un’organizzazione; questo fa si che un’organizzazione che adotta ITIL può avere dei vantaggi anche in settori diversi dall’ITSM quali: Project Management, Hetichal Hacking, Application Development & Management, Compliance a normative, Analisi e Gestione dei Rischi, ecc.
Andrea Praitano – itSMF Italia 25
ITIL come supporto all'analisi dei ITIL come supporto all'analisi dei rischirischi
Modello ITIL e processo di R.M.
© C
row
n co
pyrig
ht 2
008
Rep
rodu
ced
unde
r lic
ense
from
OG
C
Andrea Praitano – itSMF Italia 26
ITIL come supporto all'analisi dei ITIL come supporto all'analisi dei rischirischi
CMSRegistrazione delle vulnerabilità come
attributo del CI
Registrazione dei rischi come attributo del CI
Analisi del rischioFinancial ManagementFinancial Management
© Crown copyright 2008 Reproduced under license from OGC
Andrea Praitano – itSMF Italia 27
ITIL come supporto all'analisi dei ITIL come supporto all'analisi dei rischirischiMitigazione del rischio
Change ManagementChange Management
Release & Deployment Release & Deployment ManagementManagementRfC
© Crown copyright 2008 Reproduced under license from OGC
Andrea Praitano – itSMF Italia 28
AgendaAgenda
itSMF Italia: cos’è e che cosa fa; Cos’è l’IT Service Management; Introduzione a ITIL v3; Il processo di Information Security
Management secondo ITIL v3; L’information security secondo la
ISO/IEC 20000; ITIL e Analisi dei Rischi; Conclusioni.Conclusioni.
““Bisogna aver rinunciato al buon Bisogna aver rinunciato al buon senso per non convenire che non senso per non convenire che non conosciamo nulla se non conosciamo nulla se non attraverso l’esperienza.”attraverso l’esperienza.”(François Voltaire)(François Voltaire)
Andrea Praitano – itSMF Italia 29
ConclusioniConclusioni
ITIL è un Framework di IT Service Management e non specifico sulla sicurezza;
ITIL (ma anche la ISO/IEC 20k) incorpora al suo interno un processo di Information Security Management che ha la responsabilità di dare tutte le linee guida sulla sicurezza;
Il processo Information Security Management definito da ITIL e ISO/IEC 20k è coerente con la ISO/IEC 27000 a cui rimanda per l’implementazione effettiva dell’ISMS;
A un’organizzazione può essere utili adottare un modello strutturato di IT Service Management, quale ITIL, per fare meglio altre cose tra cui anche l’Analisi dei Rischi richiesta da tante normative.
Andrea Praitano – itSMF Italia 30
Non hai mai commesso un errore, non hai mai tentato qualcosa di nuovo.
A. Einstein
thanks
grazie
graciasmercì
takta
bedankje
danke
Andrea PraitanoRoma
+39 328 8122642
andrea.praitano@itsmf.it
itSMF ItaliaVia Ventimiglia, 11510126 Torinotel.011 6399.345segreteria@itsmf.it
Grazie.Grazie.
obrigado