L’utilizzo crescente dei droni, che implicazioni sulla privacy
ITIL e sicurezza
1. La sicurezza secondo ITILLa sicurezza secondo ITIL
Relazioni fra ITIL e la sicurezza
Andrea Praitano
Consigliere itSMF Italia
2. Andrea Praitano – itSMF Italia 2
AgendaAgenda
itSMF Italia: cos’è e che cosa fa;
Cos’è l’IT Service Management;
Introduzione a ITIL v3;
Il processo di Information Security
Management secondo ITIL v3;
L’information security secondo la
ISO/IEC 20000;
ITIL e Analisi dei Rischi;
Conclusioni.
““È stato detto che la democrazia èÈ stato detto che la democrazia è
la peggior forma di governo,la peggior forma di governo,
eccezion fatta per tutte quelleeccezion fatta per tutte quelle
forme che si sono sperimentateforme che si sono sperimentate
fino ad ora.”fino ad ora.”
(Winston Leonard Spencer Churchill –(Winston Leonard Spencer Churchill –
Primo Ministro Inglese)Primo Ministro Inglese)
3. Andrea Praitano – itSMF Italia 3
ititSMF ItaliaSMF Italia
è un’Associazioneè un’Associazione senza fini di lucrosenza fini di lucro,,
costituita per promuovere lo scambio dicostituita per promuovere lo scambio di esperienze ed informazioniesperienze ed informazioni
sullasulla gestione dei Servizi ICTgestione dei Servizi ICT
e l’adozione delle migliori pratiche professionali ad essi relative oltree l’adozione delle migliori pratiche professionali ad essi relative oltre
ad ITILad ITIL
(art.2 Statuto)(art.2 Statuto)
4. Andrea Praitano – itSMF Italia 4
AttivitàAttività ititSMF ItaliaSMF Italia
Tutorial – ITIL V3
Incontri – La domanda incontra la domanda
Seminari con i nostri Sponsor
Interventi in Master e corsi universitari
Presentazioni presso Associazioni Professionali
Tavole Rotonde
Articoli su Riviste di settore
Rubriche - Spazio “IT management” su ICT Professional e
altro ancora in progetto …
5. Andrea Praitano – itSMF Italia 5
AgendaAgenda
itSMF Italia: cos’è e che cosa fa;
Cos’è l’IT Service Management;Cos’è l’IT Service Management;
Introduzione a ITIL v3;
Il processo di Information Security
Management secondo ITIL v3;
L’information security secondo la
ISO/IEC 20000;
ITIL e Analisi dei Rischi;
Conclusioni.
““Bisogna dire ai giovani quantoBisogna dire ai giovani quanto
sono stati fortunati a nascere insono stati fortunati a nascere in
questo splendido Paese che èquesto splendido Paese che è
l’Italia.”l’Italia.”
(Rita Levi Montalcini)(Rita Levi Montalcini)
6. Andrea Praitano – itSMF Italia 6
IT Service ManagementIT Service Management
L’IT inizialmente è visto solo come una tecnologia che è al
supporto del Business;
Il secondo passo è stato il vedere l’IT come uno strumento che
fornisce servizi al Business, quindi l’IT è diventato uno strumento di
Business che rende possibile nuove funzioni e nuovi business che
precedentemente non erano possibili;
Oggi l’IT è ritenuto un elemento vitale delle Organizzazioni.
ITIM
ITSM
IT Governance
ITSM: IT Service Management
ITIM: IT Infrastructure Management
7. Andrea Praitano – itSMF Italia 7
Principali Framework di ITSMPrincipali Framework di ITSM
V2 & V3
8. Andrea Praitano – itSMF Italia 8
AgendaAgenda
itSMF Italia: cos’è e che cosa fa;
Cos’è l’IT Service Management;
Introduzione a ITIL v3;Introduzione a ITIL v3;
Il processo di Information Security
Management secondo ITIL v3;
L’information security secondo la
ISO/IEC 20000;
ITIL e Analisi dei Rischi;
Conclusioni.
““Abbiamo conquistato il cieloAbbiamo conquistato il cielo
come gli uccelli e il mare come icome gli uccelli e il mare come i
pesci, ma dobbiamo imparare dipesci, ma dobbiamo imparare di
nuovo il semplice gesto dinuovo il semplice gesto di
camminare sulla terra comecamminare sulla terra come
fratelli.”fratelli.”
(Martin Luther King)(Martin Luther King)
13. Andrea Praitano – itSMF Italia 13
AgendaAgenda
itSMF Italia: cos’è e che cosa fa;
Cos’è l’IT Service Management;
Introduzione a ITIL v3;
Il processo di InformationIl processo di Information
Security Management secondoSecurity Management secondo
ITIL v3;ITIL v3;
L’information security secondo la
ISO/IEC 20000;
ITIL e Analisi dei Rischi;
Conclusioni.
““Se non riuscite a descrivereSe non riuscite a descrivere
quello che state facendo comequello che state facendo come
se fosse un processo, nonse fosse un processo, non
sapete cosa state facendo.”sapete cosa state facendo.”
(William Edward Deming)(William Edward Deming)
14. Andrea Praitano – itSMF Italia 14
Information Security ManagementInformation Security Management
“La finalità (goal) del processo di Information Security
Management è quella di allineare l’IT Security con la
business security e di assicurare che l’information security
è effettivamente gestita in tutti i servizi e in tutte le attività
del Service Management.”
15. Andrea Praitano – itSMF Italia 15
Scope del ISMScope del ISM
Il processo di ISM dovrebbe essere il punto focale per tutte
le questioni di sicurezza IT; deve garantire che
l’Information Security Policy sia prodotta, mantenuta e
attuata e che copra l’uso e l’abuso di tutti i sistemi e dei
servizi IT.
16. Andrea Praitano – itSMF Italia 16
Security FrameworkSecurity Framework
Il processo e framework di Information Security Management
generalmente consiste di:
Un Information Security Policy e politiche specifiche di sicurezza che
indirizzano tutti gli aspetti della strategia, controlli e normative;
Un Information Security Management System (ISMS), contenente le
norme, procedure e linee guida di gestione delle informazioni a sostegno
delle politiche di sicurezza;
Una strategia di sicurezza globale, strettamente legata agli obiettivi,
strategie e piani di business;
Una struttura organizzativa di sicurezza effettiva;
Un set di security controls per il supporto della policy;
La gestione dei rischi di sicurezza;
Il monitoraggio dei processi per garantire il rispetto e fornire un feedback
sull’efficacia;
Strategia di comunicazione e piano per la sicurezza;
Strategia e piani di formazione e sensibilizzazione.
20. Andrea Praitano – itSMF Italia 20
AgendaAgenda
itSMF Italia: cos’è e che cosa fa;
Cos’è l’IT Service Management;
Introduzione a ITIL v3;
Il processo di Information Security
Management secondo ITIL v3;
L’information security secondoL’information security secondo
la ISO/IEC 20000;la ISO/IEC 20000;
ITIL e Analisi dei Rischi;
Conclusioni.
"Il fare economia non è il"Il fare economia non è il
risparmiare denaro, ma nellorisparmiare denaro, ma nello
spenderlo con saggezza".spenderlo con saggezza".
(Thomas Henry Huxley)(Thomas Henry Huxley)
21. Andrea Praitano – itSMF Italia 21
Resolution Processes
Incident Management
Problem Management
ISO/IEC 20000:2005ISO/IEC 20000:2005
Release
Processes
Release Management
Relationship
Processes
Business Relationship
Management
Supplier Management
Service Delivery Processes
Capacity Management
Service Continuity and
Availability
Management
Service Level Management
Service Reporting
Information Security
Management
Budgeting and
Accounting
for IT serviceControl Processes
Configuration Management
Change Management
22. Andrea Praitano – itSMF Italia 22
AgendaAgenda
itSMF Italia: cos’è e che cosa fa;
Cos’è l’IT Service Management;
Introduzione a ITIL v3;
Il processo di Information Security
Management secondo ITIL v3;
L’information security secondo la
ISO/IEC 20000;
ITIL e Analisi dei RischiITIL e Analisi dei Rischi;
Conclusioni.
““Frankie amava ripetere che la boxeFrankie amava ripetere che la boxe
era qualcosa di innaturale, che nellaera qualcosa di innaturale, che nella
boxe si fa tutto al contrario. A volte,boxe si fa tutto al contrario. A volte,
per tirare un colpo vincente, bisognaper tirare un colpo vincente, bisogna
arretrare. Ma se arretri troppo, nonarretrare. Ma se arretri troppo, non
combatti più.”combatti più.”
(Million Dollar Baby)(Million Dollar Baby)
23. Andrea Praitano – itSMF Italia 23
L’ITSM a supporto della sicurezzaL’ITSM a supporto della sicurezza
ITIL come supporto all’analisi dei rischi
OBIETTIVO del GdL:
Definire un processo per l’utilizzo di ITIL (V.2-.3) valorizzandolo
come strumento a supporto dell’attività di Analisi dei Rischi in
ambito IT.
24. Andrea Praitano – itSMF Italia 24
L’ITSM a supporto della sicurezzaL’ITSM a supporto della sicurezza
Premessa:
ITIL fornisce un approccio strutturato all’erogazione dei servizi IT
all’interno di un’organizzazione; questo fa si che un’organizzazione
che adotta ITIL può avere dei vantaggi anche in settori diversi
dall’ITSM quali: Project Management, Hetichal Hacking, Application
Development & Management, Compliance a normative, Analisi e
Gestione dei Rischi, ecc.
28. Andrea Praitano – itSMF Italia 28
AgendaAgenda
itSMF Italia: cos’è e che cosa fa;
Cos’è l’IT Service Management;
Introduzione a ITIL v3;
Il processo di Information Security
Management secondo ITIL v3;
L’information security secondo la
ISO/IEC 20000;
ITIL e Analisi dei Rischi;
Conclusioni.Conclusioni.
““Bisogna aver rinunciato al buonBisogna aver rinunciato al buon
senso per non convenire che nonsenso per non convenire che non
conosciamo nulla se nonconosciamo nulla se non
attraverso l’esperienza.”attraverso l’esperienza.”
(François Voltaire)(François Voltaire)
29. Andrea Praitano – itSMF Italia 29
ConclusioniConclusioni
ITIL è un Framework di IT Service Management e non
specifico sulla sicurezza;
ITIL (ma anche la ISO/IEC 20k) incorpora al suo interno un
processo di Information Security Management che ha la
responsabilità di dare tutte le linee guida sulla sicurezza;
Il processo Information Security Management definito da
ITIL e ISO/IEC 20k è coerente con la ISO/IEC 27000 a cui
rimanda per l’implementazione effettiva dell’ISMS;
A un’organizzazione può essere utili adottare un modello
strutturato di IT Service Management, quale ITIL, per fare
meglio altre cose tra cui anche l’Analisi dei Rischi richiesta
da tante normative.
30. Andrea Praitano – itSMF Italia 30
Non hai mai commesso un errore, non hai
mai tentato qualcosa di nuovo.
A. Einstein
thanks
grazie
gracias
mercì
takta
bedankje
danke
Andrea Praitano
Roma
+39 328 8122642
andrea.praitano@itsmf.it
itSMF Italia
Via Ventimiglia, 115
10126 Torino
tel.011 6399.345
segreteria@itsmf.it
Grazie.Grazie.
obrigado
Editor's Notes
<number>
ITIL v3 è strutturata su 5 ambiti:
Service Strategy;
Service Design;
Service Operation;
Service Transition;
Continual Service Improvement.
A queste pubblicazioni si affianca una pubblicazione introduttiva ai 5 libri e una serie di White Paper che analizzano relazioni specifiche fra ITIL v3 e altri framework.