SlideShare a Scribd company logo

Problem Management proattivo di sicurezza secondo ITIL: attività di Ethical Hacking

Andrea Praitano
Andrea Praitano

Presentazione tenuta presso il Security Summit del 2011 e relativa all'inquadramento delle attività di Etical Hacking come problem management proattivo.

Technology
1 of 24
Seminario associazioni: Seminario a cura di itSMF Italia Problem Management proattivo di sicurezza secondo ITIL: attività di Ethical Hacking Andrea Praitano 14/03/2011 Security Summit 2011 1
Agenda • Struttura dei processi ITIL v3; • Il Problem Management proattivo; • Attività di Ethical Hacking: – cosa sono; – processo di gestione e trattamento; • Sovrapposizione con i processi ITIL v3; • Conclusioni. 14/03/2011 Security Summit 2011 2
Introduzione Relatore - Andrea Praitano • Membro del Consiglio Direttivo di itSMF Italia; • Responsabile della Comunicazione per itSMF Italia; • Team Leader del GdL itSMF Italia “ITIL & Analisi dei Rischi”; • Socio fondatore di ISIPM (IStituto Italiano di Project Management); • Pubblicazioni: – Foundations of IT Service Management Basato su ITIL v3 (Van Haren Publishing); – Foundations of IT Service Management Basato su ITIL (Van Haren Publishing); – Introduzione a ITIL (OGC); – ISO/IEC 20000 Pocket Guide (Van Haren Publishing); – Roles in Security Management (Van haren Publishing); • Service & Security Consultant per Business-e S.p.A. (Gruppo IT Way) presso Banche, Telco, industrie, ecc. 20000 27002 14/03/2011 Security Summit 2011 3
Struttura dei processi ITIL v3
ITIL & il Service Lifecycle Il Service Strategy (SS) è il perno centrale attorno al quale ruota tutto il ciclo di vita del servizio; © Crown copyright 2008 Reproduced under license from OGC Il Continual Service Improvement (CSI) supporta l’attuazione dei programmi e dei progetti di miglioramento sulla base degli obiettivi strategici. Il Service Operation (SO) contiene le best practice per la gestione dell’esercizio dei servizi; Il Service Transition (ST) è la guida per migliorare l’introduzione in esercizio di cambiamenti; Il Service Design (SD) è la guida per progettare e sviluppare i processi e i servizi di gestione. Traduce gli obiettivi strategici; 14/03/2011 Security Summit 2011 5
Processi del Service Strategy: • Service Portfolio Management; • Demand Management; • Financial Management; • Return on Investment; • Strategy Generation. Processi del Service Design: • Service Catalogue Management; • Service Level Management; • Supplier Management; • Capacity Management; • Availability Management; • IT Service Continuity Management; • Information Security Management. Processi del Service Transition: • Transition Planning and Support; • Service Asset and Configuration Management; • Change Management; • Release and Deployment Management; • Knowledge Management; • Service Validation and Testing; • Evaluation. Processi del Service Operation: • Event Management; • Incident Management; • Problem Management; • Request Fulfilment; • Access Management. Funzioni del Service Operation: • Service Desk; • IT Operation Management; • Technical Management; • Application Management. Processi del Continual Service Improvement: • 7 steps Improvement Process; • Service reporting; • Service measurement; • Return on Investment for CSI • Business questions for CSI • Service Level Management ©Crowncopyright2008 Reproducedunderlicensefrom OGC
Release Management CMDB DML Relazioni fra processi (flusso “reattivo”) Il flusso reattivo parte da un evento che è avvenuto e, mano a mano, viene approfondito dalle diverse strutture fino ad arrivare alla sua completa e definitiva risoluzione. 14/03/2011 Security Summit 2011 7
Incident • Nella terminologia ITIL, un “incident” è definito come: – una interruzione non pianificata a un servizio IT o la riduzione della qualità di un servizio IT. Il guasto di un configuration item che non ha ancora impattato sul servizio è anche un incidente, ad esempio, il malfunzionamento di un disco da un mirror set. 14/03/2011 Security Summit 2011 8
Relazioni fra processi (flusso “reattivo”) Incident Incident Management IncidentesuCI Informazionisul/suiCI Event Management Service Asset & Configuration Management CMDB IDB Problem Management RfC Change Management Release & Deployment Management 14/03/2011 Security Summit 2011 9
Security Summit 2011 Problem Management Proattivo 14/03/2011 10
Release Management CMDB DML Relazioni fra processi (flusso proattivo) Il flusso proattivo parte da un evento che è ipotizzato (ma probabile) e, mano a mano, viene approfondito dalle diverse strutture fino ad arrivare a mettere in esercizio le opportune contromisure atte a far si che non accada. 14/03/2011 Security Summit 2011 11
Relazioni fra processi (flusso proattivo) Si ipotizza cosa potrebbe succedere come “potenziali” eventi Proactive Problem Management Analizza: • gli eventi potenziali; • la probabilità di accadimento; • gli impatti; • ecc. Individua le contromisure da mettere in esercizio per evitare l’accadimento ovvero ridurre l’impatto dell’evento potenziale ipotizzato Release & Deployment Management Service Asset & Configuration Management CMDB Problem Management Change Management RfC 14/03/2011 Security Summit 2011 12
Attività di Ethical Hacking 14/03/2011 Security Summit 2011 13
Ethical Hacking – cos’è? Sono attività che simulano attacchi. Sono svolte con modalità similari a quelle usabili da hacker malevoli. Sono svolte al fine di andare ad individuare delle vulnerabilità “in essere”. Le vulnerabilità analizzate sono quelle sfruttabili. Gli obiettivi possono essere molteplici: furto di informazioni; frodi; furto di denaro; ecc. Sono svolte sia in modo proattivo (ad es. PT) che reattivo (ad es. indagini forensi). 14/03/2011 Security Summit 2011 14
Ethical Hacking - processo Information Gathering Test Planning Svolgimento Test (PT, VA, ecc.) Reporting Si effettua una raccolta di informazioni relativamente al sistema da “attaccare” Si pianifica l’attività da svolgere Si svolgono le verifiche “in campo” relativamente alle vulnerabilità presenti sui sistemi e che sono effettivamente sfruttabili da un malintenzionato Si riportano le vulnerabilità rilevate e le modalità di sfruttamento delle stesse 14/03/2011 Security Summit 2011 15
Ethical Hacking - processo Information Gathering Test Planning Svolgimento Test (PT, VA, ecc.) Reporting Risk Analysis (classificazione in funzione della criticità) Risk Treatment (individuazione possibili contromisure, valutazione fattibilità, messa in esercizio ) Si classificano le vulnerabilità rilevate, la probabilità di sfruttamento, ecc. Vengono individuate le possibili contromisure che possono essere messe in campo, se ne valuta la fattibilità, la messa in esercizio, ecc. 14/03/2011 Security Summit 2011 16
Ethical Hacking - processo Information Gathering Test Planning Svolgimento Test (PT, VA, ecc.) Reporting Risk Analysis (classificazione in funzione della criticità) Risk Treatment (individuazione possibili contromisure, valutazione fattibilità, messa in esercizio ) Verifica della bontà delle contromisure messe in campo Information Gathering Test Planning Si verifica se le contromisure messe in campo sono realmente “efficaci” 14/03/2011 Security Summit 2011 17
Security Summit 2011 Sovrapposizioni con i processi ITIL v3 14/03/2011 18
Ethical Hacking – processi ITIL Information Gathering Test Planning Svolgimento Test (PT, VA, ecc.) Reporting Risk Analysis (classificazione in funzione della criticità) Risk Treatment (individuazione possibili contromisure, valutazione fattibilità, messa in esercizio ) Verifica della bontà delle contromisure messe in campo CMDB Proactive Problem Management Problem Management Change Management Release Management Change Management (Post Implementation Review) 14/03/2011 Security Summit 2011 19
Security Summit 2011 Conclusioni
Conclusioni • Un’organizzazione strutturata secondo ITIL può: – essere di supporto allo svolgimento delle verifiche perché è in grado di fornire le informazioni per rendere la verifica più efficace; – gestire la messa in esercizio delle contromisure necessarie a sanare le vulnerabilità rilevate; • Le attività di Ethical Hacking (Penetration Test/Vulnerability Assessment) si inseriscono perfettamente nell’ottica di un Problem Management Proattivo di sicurezza secondo ITIL. • Ci sono poi altre connessioni relative a: – Governo delle verifiche di sicurezza (Information Security Management); – Gestione delle utenze (Access Management); – Gestione degli incidenti di sicurezza (Incident Management); – Centri di competenza per l’analisi di vulnerabilità specifiche (Availability Management, Capacity Management, ecc.). 14/03/2011 Security Summit 2011 21
Conclusioni complessive IT Service Management e Information Security sono solo apparentemente due branche dell’ICT differenti. …..ma in realtà sono complementari e non in concorrenza. Anzi l’una può essere di aiuto a fare meglio il lavoro dell’altra. L’adozione di framework di IT Service Management (ISO 20k, ITIL, ecc.) permette di dare un approccio “strutturato” che può essere di aiuto all’Information Security, al Project Management, all’Application Management, ecc. La ISO 20k e la ISO 27k hanno delle impostazioni un po’ diverse e ci si auspica che, tramite la ISO 27013, si riescano a far convergere. 14/03/2011 Security Summit 2011 22
Conclusion Question Time …? 14/03/2011 Security Summit 2011 23
Non hai mai commesso un errore, non hai mai tentato qualcosa di nuovo. A. Einstein Andrea Praitano +39 328 8122642 andrea.praitano@itsmf.it itSMF Italia Via Ventimiglia, 115 10126 Torino tel.011 6399.345 segreteria@itsmf.it Grazie. 14/03/2011 Security Summit 2011 24

Recommended

Novità di ITIL 2011
Novità di ITIL 2011Novità di ITIL 2011
Novità di ITIL 2011Andrea Praitano
 
Introduzione a ITIL v3
Introduzione a ITIL v3Introduzione a ITIL v3
Introduzione a ITIL v3Andrea Praitano
 
ITIL e sicurezza
ITIL e sicurezzaITIL e sicurezza
ITIL e sicurezzaAndrea Praitano
 
ITIL e project management
ITIL e project managementITIL e project management
ITIL e project managementAndrea Praitano
 
ITIL come sistema di Governancedei servizi IT,CMDBuilda supporto delle “best ...
ITIL come sistema di Governancedei servizi IT,CMDBuilda supporto delle “best ...ITIL come sistema di Governancedei servizi IT,CMDBuilda supporto delle “best ...
ITIL come sistema di Governancedei servizi IT,CMDBuilda supporto delle “best ...CMDBuild org
 
Identity Governance
Identity GovernanceIdentity Governance
Identity GovernanceDomenico De Angelis
 
E&Y Implement It Service Operations 11 07 2008
E&Y Implement It Service Operations 11 07 2008E&Y Implement It Service Operations 11 07 2008
E&Y Implement It Service Operations 11 07 2008tosant
 
Esame ITIL Foundations - Basi
Esame ITIL Foundations - BasiEsame ITIL Foundations - Basi
Esame ITIL Foundations - BasiLudovico Ristori
 

Recommended

Novità di ITIL 2011
Novità di ITIL 2011Novità di ITIL 2011
Novità di ITIL 2011Andrea Praitano
 
Introduzione a ITIL v3
Introduzione a ITIL v3Introduzione a ITIL v3
Introduzione a ITIL v3Andrea Praitano
 
ITIL e sicurezza
ITIL e sicurezzaITIL e sicurezza
ITIL e sicurezzaAndrea Praitano
 
ITIL e project management
ITIL e project managementITIL e project management
ITIL e project managementAndrea Praitano
 
ITIL come sistema di Governancedei servizi IT,CMDBuilda supporto delle “best ...
ITIL come sistema di Governancedei servizi IT,CMDBuilda supporto delle “best ...ITIL come sistema di Governancedei servizi IT,CMDBuilda supporto delle “best ...
ITIL come sistema di Governancedei servizi IT,CMDBuilda supporto delle “best ...CMDBuild org
 
Identity Governance
Identity GovernanceIdentity Governance
Identity GovernanceDomenico De Angelis
 
E&Y Implement It Service Operations 11 07 2008
E&Y Implement It Service Operations 11 07 2008E&Y Implement It Service Operations 11 07 2008
E&Y Implement It Service Operations 11 07 2008tosant
 
Esame ITIL Foundations - Basi
Esame ITIL Foundations - BasiEsame ITIL Foundations - Basi
Esame ITIL Foundations - BasiLudovico Ristori
 
ITIL - IT Infrastructure Library Certificate
ITIL - IT Infrastructure Library CertificateITIL - IT Infrastructure Library Certificate
ITIL - IT Infrastructure Library CertificateVijayananda Mohire
 
ITIL® e CMDBuild in Eurogroup Per La Gestione Dei Servizi IT
ITIL® e CMDBuild in Eurogroup Per La Gestione Dei Servizi ITITIL® e CMDBuild in Eurogroup Per La Gestione Dei Servizi IT
ITIL® e CMDBuild in Eurogroup Per La Gestione Dei Servizi ITCMDBuild org
 
Polarion UC 2010 - Lispa SpA - Il change management secondo il framework ITIL...
Polarion UC 2010 - Lispa SpA - Il change management secondo il framework ITIL...Polarion UC 2010 - Lispa SpA - Il change management secondo il framework ITIL...
Polarion UC 2010 - Lispa SpA - Il change management secondo il framework ITIL...Emerasoft, solutions to collaborate
 
Itil 2011 mod1_intro
Itil 2011 mod1_introItil 2011 mod1_intro
Itil 2011 mod1_introarenafiel
 
Continual service improvement tutorial
Continual service improvement tutorialContinual service improvement tutorial
Continual service improvement tutorialAndrea Praitano
 
ITIL / CMDBuild: un esempio di progetto di BPR e riuso in ambito ICT
ITIL / CMDBuild: un esempio di progetto di BPR e riuso in ambito ICTITIL / CMDBuild: un esempio di progetto di BPR e riuso in ambito ICT
ITIL / CMDBuild: un esempio di progetto di BPR e riuso in ambito ICTCMDBuild org
 
CMDBuild: l’Open Source e ITIL per la gestione degli asset informatici (e non...
CMDBuild: l’Open Source e ITIL per la gestione degli asset informatici (e non...CMDBuild: l’Open Source e ITIL per la gestione degli asset informatici (e non...
CMDBuild: l’Open Source e ITIL per la gestione degli asset informatici (e non...CMDBuild org
 
RESILIA™ - il sesto libro di ITIL®?
RESILIA™ - il sesto libro di ITIL®?RESILIA™ - il sesto libro di ITIL®?
RESILIA™ - il sesto libro di ITIL®?equality-italia
 
Un progetto open source per la gestione dei processi ICT. Presentazione e dim...
Un progetto open source per la gestione dei processi ICT. Presentazione e dim...Un progetto open source per la gestione dei processi ICT. Presentazione e dim...
Un progetto open source per la gestione dei processi ICT. Presentazione e dim...CMDBuild org
 
Itil v3-overview-it-trad-vs 1.2
Itil v3-overview-it-trad-vs 1.2Itil v3-overview-it-trad-vs 1.2
Itil v3-overview-it-trad-vs 1.2Daniela Elmi
 
Ke-Tuhanan Yang Berkebudayaan
Ke-Tuhanan Yang BerkebudayaanKe-Tuhanan Yang Berkebudayaan
Ke-Tuhanan Yang BerkebudayaanRizki Amalia
 
εργασια τηλεοπτικη παραγωγη
εργασια τηλεοπτικη παραγωγηεργασια τηλεοπτικη παραγωγη
εργασια τηλεοπτικη παραγωγηxristoforos foris
 
Wireless sensors white paper
Wireless sensors white paperWireless sensors white paper
Wireless sensors white paperEric Domont
 
Analisisdelacompetencia
AnalisisdelacompetenciaAnalisisdelacompetencia
AnalisisdelacompetenciaAiaz HL
 
Made in ukraine
Made in ukraineMade in ukraine
Made in ukrainesavostina
 
Parque nacional la malinche
Parque nacional la malincheParque nacional la malinche
Parque nacional la malincheAiaz HL
 
Prezentatsia
PrezentatsiaPrezentatsia
PrezentatsiaNatalya Beloborodko
 
ENGG437 Entrepreneurship and Leadership
ENGG437 Entrepreneurship and LeadershipENGG437 Entrepreneurship and Leadership
ENGG437 Entrepreneurship and Leadershipwahdan94
 
Hukum Perdata : Kawin Kontrak
Hukum Perdata : Kawin KontrakHukum Perdata : Kawin Kontrak
Hukum Perdata : Kawin KontrakRizki Amalia
 
Sourcesofenergy rohit &shabrinath 10th-b k.v vikas puri
Sourcesofenergy rohit &shabrinath 10th-b k.v vikas puriSourcesofenergy rohit &shabrinath 10th-b k.v vikas puri
Sourcesofenergy rohit &shabrinath 10th-b k.v vikas puriRohit Naik
 
Security Operations Center
Security Operations CenterSecurity Operations Center
Security Operations CenterSylvio Verrecchia - IT Security Engineer
 
Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Security Project Management: Esperienze nella gestione di Vulnerability Asses...Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Security Project Management: Esperienze nella gestione di Vulnerability Asses...Simone Onofri
 

More Related Content

Viewers also liked

ITIL - IT Infrastructure Library Certificate
ITIL - IT Infrastructure Library CertificateITIL - IT Infrastructure Library Certificate
ITIL - IT Infrastructure Library CertificateVijayananda Mohire
 
ITIL® e CMDBuild in Eurogroup Per La Gestione Dei Servizi IT
ITIL® e CMDBuild in Eurogroup Per La Gestione Dei Servizi ITITIL® e CMDBuild in Eurogroup Per La Gestione Dei Servizi IT
ITIL® e CMDBuild in Eurogroup Per La Gestione Dei Servizi ITCMDBuild org
 
Polarion UC 2010 - Lispa SpA - Il change management secondo il framework ITIL...
Polarion UC 2010 - Lispa SpA - Il change management secondo il framework ITIL...Polarion UC 2010 - Lispa SpA - Il change management secondo il framework ITIL...
Polarion UC 2010 - Lispa SpA - Il change management secondo il framework ITIL...Emerasoft, solutions to collaborate
 
Itil 2011 mod1_intro
Itil 2011 mod1_introItil 2011 mod1_intro
Itil 2011 mod1_introarenafiel
 
Continual service improvement tutorial
Continual service improvement tutorialContinual service improvement tutorial
Continual service improvement tutorialAndrea Praitano
 
ITIL / CMDBuild: un esempio di progetto di BPR e riuso in ambito ICT
ITIL / CMDBuild: un esempio di progetto di BPR e riuso in ambito ICTITIL / CMDBuild: un esempio di progetto di BPR e riuso in ambito ICT
ITIL / CMDBuild: un esempio di progetto di BPR e riuso in ambito ICTCMDBuild org
 
CMDBuild: l’Open Source e ITIL per la gestione degli asset informatici (e non...
CMDBuild: l’Open Source e ITIL per la gestione degli asset informatici (e non...CMDBuild: l’Open Source e ITIL per la gestione degli asset informatici (e non...
CMDBuild: l’Open Source e ITIL per la gestione degli asset informatici (e non...CMDBuild org
 
RESILIA™ - il sesto libro di ITIL®?
RESILIA™ - il sesto libro di ITIL®?RESILIA™ - il sesto libro di ITIL®?
RESILIA™ - il sesto libro di ITIL®?equality-italia
 
Un progetto open source per la gestione dei processi ICT. Presentazione e dim...
Un progetto open source per la gestione dei processi ICT. Presentazione e dim...Un progetto open source per la gestione dei processi ICT. Presentazione e dim...
Un progetto open source per la gestione dei processi ICT. Presentazione e dim...CMDBuild org
 
Itil v3-overview-it-trad-vs 1.2
Itil v3-overview-it-trad-vs 1.2Itil v3-overview-it-trad-vs 1.2
Itil v3-overview-it-trad-vs 1.2Daniela Elmi
 
Ke-Tuhanan Yang Berkebudayaan
Ke-Tuhanan Yang BerkebudayaanKe-Tuhanan Yang Berkebudayaan
Ke-Tuhanan Yang BerkebudayaanRizki Amalia
 
εργασια τηλεοπτικη παραγωγη
εργασια τηλεοπτικη παραγωγηεργασια τηλεοπτικη παραγωγη
εργασια τηλεοπτικη παραγωγηxristoforos foris
 
Wireless sensors white paper
Wireless sensors white paperWireless sensors white paper
Wireless sensors white paperEric Domont
 
Analisisdelacompetencia
AnalisisdelacompetenciaAnalisisdelacompetencia
AnalisisdelacompetenciaAiaz HL
 
Made in ukraine
Made in ukraineMade in ukraine
Made in ukrainesavostina
 
Parque nacional la malinche
Parque nacional la malincheParque nacional la malinche
Parque nacional la malincheAiaz HL
 
ENGG437 Entrepreneurship and Leadership
ENGG437 Entrepreneurship and LeadershipENGG437 Entrepreneurship and Leadership
ENGG437 Entrepreneurship and Leadershipwahdan94
 
Hukum Perdata : Kawin Kontrak
Hukum Perdata : Kawin KontrakHukum Perdata : Kawin Kontrak
Hukum Perdata : Kawin KontrakRizki Amalia
 
Sourcesofenergy rohit &shabrinath 10th-b k.v vikas puri
Sourcesofenergy rohit &shabrinath 10th-b k.v vikas puriSourcesofenergy rohit &shabrinath 10th-b k.v vikas puri
Sourcesofenergy rohit &shabrinath 10th-b k.v vikas puriRohit Naik
 

Viewers also liked (20)

ITIL - IT Infrastructure Library Certificate
ITIL - IT Infrastructure Library CertificateITIL - IT Infrastructure Library Certificate
ITIL - IT Infrastructure Library Certificate
 
ITIL® e CMDBuild in Eurogroup Per La Gestione Dei Servizi IT
ITIL® e CMDBuild in Eurogroup Per La Gestione Dei Servizi ITITIL® e CMDBuild in Eurogroup Per La Gestione Dei Servizi IT
ITIL® e CMDBuild in Eurogroup Per La Gestione Dei Servizi IT
 
Polarion UC 2010 - Lispa SpA - Il change management secondo il framework ITIL...
Polarion UC 2010 - Lispa SpA - Il change management secondo il framework ITIL...Polarion UC 2010 - Lispa SpA - Il change management secondo il framework ITIL...
Polarion UC 2010 - Lispa SpA - Il change management secondo il framework ITIL...
 
Itil 2011 mod1_intro
Itil 2011 mod1_introItil 2011 mod1_intro
Itil 2011 mod1_intro
 
Continual service improvement tutorial
Continual service improvement tutorialContinual service improvement tutorial
Continual service improvement tutorial
 
ITIL / CMDBuild: un esempio di progetto di BPR e riuso in ambito ICT
ITIL / CMDBuild: un esempio di progetto di BPR e riuso in ambito ICTITIL / CMDBuild: un esempio di progetto di BPR e riuso in ambito ICT
ITIL / CMDBuild: un esempio di progetto di BPR e riuso in ambito ICT
 
CMDBuild: l’Open Source e ITIL per la gestione degli asset informatici (e non...
CMDBuild: l’Open Source e ITIL per la gestione degli asset informatici (e non...CMDBuild: l’Open Source e ITIL per la gestione degli asset informatici (e non...
CMDBuild: l’Open Source e ITIL per la gestione degli asset informatici (e non...
 
RESILIA™ - il sesto libro di ITIL®?
RESILIA™ - il sesto libro di ITIL®?RESILIA™ - il sesto libro di ITIL®?
RESILIA™ - il sesto libro di ITIL®?
 
Un progetto open source per la gestione dei processi ICT. Presentazione e dim...
Un progetto open source per la gestione dei processi ICT. Presentazione e dim...Un progetto open source per la gestione dei processi ICT. Presentazione e dim...
Un progetto open source per la gestione dei processi ICT. Presentazione e dim...
 
Itil v3-overview-it-trad-vs 1.2
Itil v3-overview-it-trad-vs 1.2Itil v3-overview-it-trad-vs 1.2
Itil v3-overview-it-trad-vs 1.2
 
Ke-Tuhanan Yang Berkebudayaan
Ke-Tuhanan Yang BerkebudayaanKe-Tuhanan Yang Berkebudayaan
Ke-Tuhanan Yang Berkebudayaan
 
εργασια τηλεοπτικη παραγωγη
εργασια τηλεοπτικη παραγωγηεργασια τηλεοπτικη παραγωγη
εργασια τηλεοπτικη παραγωγη
 
Wireless sensors white paper
Wireless sensors white paperWireless sensors white paper
Wireless sensors white paper
 
Analisisdelacompetencia
AnalisisdelacompetenciaAnalisisdelacompetencia
Analisisdelacompetencia
 
Made in ukraine
Made in ukraineMade in ukraine
Made in ukraine
 
Parque nacional la malinche
Parque nacional la malincheParque nacional la malinche
Parque nacional la malinche
 
Prezentatsia
PrezentatsiaPrezentatsia
Prezentatsia
 
ENGG437 Entrepreneurship and Leadership
ENGG437 Entrepreneurship and LeadershipENGG437 Entrepreneurship and Leadership
ENGG437 Entrepreneurship and Leadership
 
Hukum Perdata : Kawin Kontrak
Hukum Perdata : Kawin KontrakHukum Perdata : Kawin Kontrak
Hukum Perdata : Kawin Kontrak
 
Sourcesofenergy rohit &shabrinath 10th-b k.v vikas puri
Sourcesofenergy rohit &shabrinath 10th-b k.v vikas puriSourcesofenergy rohit &shabrinath 10th-b k.v vikas puri
Sourcesofenergy rohit &shabrinath 10th-b k.v vikas puri
 

Similar to Problem Management proattivo di sicurezza secondo ITIL: attività di Ethical Hacking

Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Security Project Management: Esperienze nella gestione di Vulnerability Asses...Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Security Project Management: Esperienze nella gestione di Vulnerability Asses...Simone Onofri
 
PMexpo16 - Corvallis PMC - Lucia Venturini
PMexpo16 - Corvallis PMC - Lucia VenturiniPMexpo16 - Corvallis PMC - Lucia Venturini
PMexpo16 - Corvallis PMC - Lucia VenturiniPMexpo
 
Come Implementare Strategie Zero Trust
Come Implementare Strategie Zero TrustCome Implementare Strategie Zero Trust
Come Implementare Strategie Zero TrustVincenzo Calabrò
 
Security summit2015 evoluzione della sicurezza inail- v06
Security summit2015 evoluzione della sicurezza inail- v06Security summit2015 evoluzione della sicurezza inail- v06
Security summit2015 evoluzione della sicurezza inail- v06Pietro Monti
 
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...Par-Tec S.p.A.
 
La Gestione Dei Servizi IT - Fattore abilitante dei Risultati Aziendali
La Gestione Dei Servizi IT - Fattore abilitante dei Risultati AziendaliLa Gestione Dei Servizi IT - Fattore abilitante dei Risultati Aziendali
La Gestione Dei Servizi IT - Fattore abilitante dei Risultati AziendaliGianfranco Ruffini
 
EVENTO PARADIGMA
EVENTO PARADIGMAEVENTO PARADIGMA
EVENTO PARADIGMASWASCAN
 
Come realizzare e gestire un Security Operations Center.
Come realizzare e gestire un Security Operations Center.Come realizzare e gestire un Security Operations Center.
Come realizzare e gestire un Security Operations Center.Davide Del Vecchio
 
La sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoLa sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoVincenzo Calabrò
 
Vigilanza ed esperienza: come le norme e le metodologie evolvono
Vigilanza ed esperienza: come le norme e le metodologie evolvonoVigilanza ed esperienza: come le norme e le metodologie evolvono
Vigilanza ed esperienza: come le norme e le metodologie evolvonoClaudio Bergamini
 
iDialoghi - ICT Security Consulting
iDialoghi - ICT Security ConsultingiDialoghi - ICT Security Consulting
iDialoghi - ICT Security ConsultingiDIALOGHI
 
IT GRC, Soluzioni Risk Management
IT GRC, Soluzioni Risk ManagementIT GRC, Soluzioni Risk Management
IT GRC, Soluzioni Risk ManagementDFLABS SRL
 
DevOps & ITIL: Friends or Foes?
DevOps & ITIL: Friends or Foes?DevOps & ITIL: Friends or Foes?
DevOps & ITIL: Friends or Foes?Luigi Buglione
 
Servizi e Prodotti - Lean It Consulting
Servizi e Prodotti - Lean It ConsultingServizi e Prodotti - Lean It Consulting
Servizi e Prodotti - Lean It ConsultingGiulio Rizzo
 
Managed operations: fare Service Support al tempo della crisi
Managed operations: fare Service Support al tempo della crisiManaged operations: fare Service Support al tempo della crisi
Managed operations: fare Service Support al tempo della crisiNiccolò Avico
 
Italgo Information Security Governance
Italgo Information Security GovernanceItalgo Information Security Governance
Italgo Information Security GovernanceGianandrea Daverio
 
SIEM visione complessiva
SIEM visione complessivaSIEM visione complessiva
SIEM visione complessivaSergio Leoni
 

Similar to Problem Management proattivo di sicurezza secondo ITIL: attività di Ethical Hacking (20)

Security Operations Center
Security Operations CenterSecurity Operations Center
Security Operations Center
 
Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Security Project Management: Esperienze nella gestione di Vulnerability Asses...Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Security Project Management: Esperienze nella gestione di Vulnerability Asses...
 
PMexpo16 - Corvallis PMC - Lucia Venturini
PMexpo16 - Corvallis PMC - Lucia VenturiniPMexpo16 - Corvallis PMC - Lucia Venturini
PMexpo16 - Corvallis PMC - Lucia Venturini
 
Come Implementare Strategie Zero Trust
Come Implementare Strategie Zero TrustCome Implementare Strategie Zero Trust
Come Implementare Strategie Zero Trust
 
Last Pw Siem 2
Last Pw Siem 2Last Pw Siem 2
Last Pw Siem 2
 
Security summit2015 evoluzione della sicurezza inail- v06
Security summit2015 evoluzione della sicurezza inail- v06Security summit2015 evoluzione della sicurezza inail- v06
Security summit2015 evoluzione della sicurezza inail- v06
 
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
 
La Gestione Dei Servizi IT - Fattore abilitante dei Risultati Aziendali
La Gestione Dei Servizi IT - Fattore abilitante dei Risultati AziendaliLa Gestione Dei Servizi IT - Fattore abilitante dei Risultati Aziendali
La Gestione Dei Servizi IT - Fattore abilitante dei Risultati Aziendali
 
EVENTO PARADIGMA
EVENTO PARADIGMAEVENTO PARADIGMA
EVENTO PARADIGMA
 
Come realizzare e gestire un Security Operations Center.
Come realizzare e gestire un Security Operations Center.Come realizzare e gestire un Security Operations Center.
Come realizzare e gestire un Security Operations Center.
 
La sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoLa sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processo
 
Vigilanza ed esperienza: come le norme e le metodologie evolvono
Vigilanza ed esperienza: come le norme e le metodologie evolvonoVigilanza ed esperienza: come le norme e le metodologie evolvono
Vigilanza ed esperienza: come le norme e le metodologie evolvono
 
iDialoghi - ICT Security Consulting
iDialoghi - ICT Security ConsultingiDialoghi - ICT Security Consulting
iDialoghi - ICT Security Consulting
 
IT GRC, Soluzioni Risk Management
IT GRC, Soluzioni Risk ManagementIT GRC, Soluzioni Risk Management
IT GRC, Soluzioni Risk Management
 
DevOps & ITIL: Friends or Foes?
DevOps & ITIL: Friends or Foes?DevOps & ITIL: Friends or Foes?
DevOps & ITIL: Friends or Foes?
 
Agg. xv rischio informatico al
Agg. xv rischio informatico alAgg. xv rischio informatico al
Agg. xv rischio informatico al
 
Servizi e Prodotti - Lean It Consulting
Servizi e Prodotti - Lean It ConsultingServizi e Prodotti - Lean It Consulting
Servizi e Prodotti - Lean It Consulting
 
Managed operations: fare Service Support al tempo della crisi
Managed operations: fare Service Support al tempo della crisiManaged operations: fare Service Support al tempo della crisi
Managed operations: fare Service Support al tempo della crisi
 
Italgo Information Security Governance
Italgo Information Security GovernanceItalgo Information Security Governance
Italgo Information Security Governance
 
SIEM visione complessiva
SIEM visione complessivaSIEM visione complessiva
SIEM visione complessiva
 

More from Andrea Praitano

[Ord ing] data protection by design v1.6
[Ord ing] data protection by design v1.6[Ord ing] data protection by design v1.6
[Ord ing] data protection by design v1.6Andrea Praitano
 
Le misure minime di sicurezza AgID e come questi si intrecciano all’applicazi...
Le misure minime di sicurezza AgID e come questi si intrecciano all’applicazi...Le misure minime di sicurezza AgID e come questi si intrecciano all’applicazi...
Le misure minime di sicurezza AgID e come questi si intrecciano all’applicazi...Andrea Praitano
 
Introduzione al nuovo quadro normativo Europeo per la protezione dei dati (20...
Introduzione al nuovo quadro normativo Europeo per la protezione dei dati (20...Introduzione al nuovo quadro normativo Europeo per la protezione dei dati (20...
Introduzione al nuovo quadro normativo Europeo per la protezione dei dati (20...Andrea Praitano
 
[Wef 2017] praitano v1.0
[Wef 2017] praitano v1.0[Wef 2017] praitano v1.0
[Wef 2017] praitano v1.0Andrea Praitano
 
2017 07-10 - proposta di regolamento e privacy v2
2017 07-10 - proposta di regolamento e privacy v22017 07-10 - proposta di regolamento e privacy v2
2017 07-10 - proposta di regolamento e privacy v2Andrea Praitano
 
L’applicazione del Disciplinare Tecnico della 196 alla luce degli standard IS...
L’applicazione del Disciplinare Tecnico della 196 alla luce degli standard IS...L’applicazione del Disciplinare Tecnico della 196 alla luce degli standard IS...
L’applicazione del Disciplinare Tecnico della 196 alla luce degli standard IS...Andrea Praitano
 
Impatto dell’utilizzo dei droni sulla sicurezza e sulla privacy
Impatto dell’utilizzo dei droni sulla sicurezza e sulla privacyImpatto dell’utilizzo dei droni sulla sicurezza e sulla privacy
Impatto dell’utilizzo dei droni sulla sicurezza e sulla privacyAndrea Praitano
 
Novità della norma ISO/IEC 27001:2013
Novità della norma ISO/IEC 27001:2013Novità della norma ISO/IEC 27001:2013
Novità della norma ISO/IEC 27001:2013Andrea Praitano
 
L’utilizzo crescente dei droni, che implicazioni sulla privacy
L’utilizzo crescente dei droni, che implicazioni sulla privacyL’utilizzo crescente dei droni, che implicazioni sulla privacy
L’utilizzo crescente dei droni, che implicazioni sulla privacyAndrea Praitano
 

More from Andrea Praitano (9)

[Ord ing] data protection by design v1.6
[Ord ing] data protection by design v1.6[Ord ing] data protection by design v1.6
[Ord ing] data protection by design v1.6
 
Le misure minime di sicurezza AgID e come questi si intrecciano all’applicazi...
Le misure minime di sicurezza AgID e come questi si intrecciano all’applicazi...Le misure minime di sicurezza AgID e come questi si intrecciano all’applicazi...
Le misure minime di sicurezza AgID e come questi si intrecciano all’applicazi...
 
Introduzione al nuovo quadro normativo Europeo per la protezione dei dati (20...
Introduzione al nuovo quadro normativo Europeo per la protezione dei dati (20...Introduzione al nuovo quadro normativo Europeo per la protezione dei dati (20...
Introduzione al nuovo quadro normativo Europeo per la protezione dei dati (20...
 
[Wef 2017] praitano v1.0
[Wef 2017] praitano v1.0[Wef 2017] praitano v1.0
[Wef 2017] praitano v1.0
 
2017 07-10 - proposta di regolamento e privacy v2
2017 07-10 - proposta di regolamento e privacy v22017 07-10 - proposta di regolamento e privacy v2
2017 07-10 - proposta di regolamento e privacy v2
 
L’applicazione del Disciplinare Tecnico della 196 alla luce degli standard IS...
L’applicazione del Disciplinare Tecnico della 196 alla luce degli standard IS...L’applicazione del Disciplinare Tecnico della 196 alla luce degli standard IS...
L’applicazione del Disciplinare Tecnico della 196 alla luce degli standard IS...
 
Impatto dell’utilizzo dei droni sulla sicurezza e sulla privacy
Impatto dell’utilizzo dei droni sulla sicurezza e sulla privacyImpatto dell’utilizzo dei droni sulla sicurezza e sulla privacy
Impatto dell’utilizzo dei droni sulla sicurezza e sulla privacy
 
Novità della norma ISO/IEC 27001:2013
Novità della norma ISO/IEC 27001:2013Novità della norma ISO/IEC 27001:2013
Novità della norma ISO/IEC 27001:2013
 
L’utilizzo crescente dei droni, che implicazioni sulla privacy
L’utilizzo crescente dei droni, che implicazioni sulla privacyL’utilizzo crescente dei droni, che implicazioni sulla privacy
L’utilizzo crescente dei droni, che implicazioni sulla privacy
 

Problem Management proattivo di sicurezza secondo ITIL: attività di Ethical Hacking

  • 1. Seminario associazioni: Seminario a cura di itSMF Italia Problem Management proattivo di sicurezza secondo ITIL: attività di Ethical Hacking Andrea Praitano 14/03/2011 Security Summit 2011 1
  • 2. Agenda • Struttura dei processi ITIL v3; • Il Problem Management proattivo; • Attività di Ethical Hacking: – cosa sono; – processo di gestione e trattamento; • Sovrapposizione con i processi ITIL v3; • Conclusioni. 14/03/2011 Security Summit 2011 2
  • 3. Introduzione Relatore - Andrea Praitano • Membro del Consiglio Direttivo di itSMF Italia; • Responsabile della Comunicazione per itSMF Italia; • Team Leader del GdL itSMF Italia “ITIL & Analisi dei Rischi”; • Socio fondatore di ISIPM (IStituto Italiano di Project Management); • Pubblicazioni: – Foundations of IT Service Management Basato su ITIL v3 (Van Haren Publishing); – Foundations of IT Service Management Basato su ITIL (Van Haren Publishing); – Introduzione a ITIL (OGC); – ISO/IEC 20000 Pocket Guide (Van Haren Publishing); – Roles in Security Management (Van haren Publishing); • Service & Security Consultant per Business-e S.p.A. (Gruppo IT Way) presso Banche, Telco, industrie, ecc. 20000 27002 14/03/2011 Security Summit 2011 3
  • 5. ITIL & il Service Lifecycle Il Service Strategy (SS) è il perno centrale attorno al quale ruota tutto il ciclo di vita del servizio; © Crown copyright 2008 Reproduced under license from OGC Il Continual Service Improvement (CSI) supporta l’attuazione dei programmi e dei progetti di miglioramento sulla base degli obiettivi strategici. Il Service Operation (SO) contiene le best practice per la gestione dell’esercizio dei servizi; Il Service Transition (ST) è la guida per migliorare l’introduzione in esercizio di cambiamenti; Il Service Design (SD) è la guida per progettare e sviluppare i processi e i servizi di gestione. Traduce gli obiettivi strategici; 14/03/2011 Security Summit 2011 5
  • 6. Processi del Service Strategy: • Service Portfolio Management; • Demand Management; • Financial Management; • Return on Investment; • Strategy Generation. Processi del Service Design: • Service Catalogue Management; • Service Level Management; • Supplier Management; • Capacity Management; • Availability Management; • IT Service Continuity Management; • Information Security Management. Processi del Service Transition: • Transition Planning and Support; • Service Asset and Configuration Management; • Change Management; • Release and Deployment Management; • Knowledge Management; • Service Validation and Testing; • Evaluation. Processi del Service Operation: • Event Management; • Incident Management; • Problem Management; • Request Fulfilment; • Access Management. Funzioni del Service Operation: • Service Desk; • IT Operation Management; • Technical Management; • Application Management. Processi del Continual Service Improvement: • 7 steps Improvement Process; • Service reporting; • Service measurement; • Return on Investment for CSI • Business questions for CSI • Service Level Management ©Crowncopyright2008 Reproducedunderlicensefrom OGC
  • 7. Release Management CMDB DML Relazioni fra processi (flusso “reattivo”) Il flusso reattivo parte da un evento che è avvenuto e, mano a mano, viene approfondito dalle diverse strutture fino ad arrivare alla sua completa e definitiva risoluzione. 14/03/2011 Security Summit 2011 7
  • 8. Incident • Nella terminologia ITIL, un “incident” è definito come: – una interruzione non pianificata a un servizio IT o la riduzione della qualità di un servizio IT. Il guasto di un configuration item che non ha ancora impattato sul servizio è anche un incidente, ad esempio, il malfunzionamento di un disco da un mirror set. 14/03/2011 Security Summit 2011 8
  • 9. Relazioni fra processi (flusso “reattivo”) Incident Incident Management IncidentesuCI Informazionisul/suiCI Event Management Service Asset & Configuration Management CMDB IDB Problem Management RfC Change Management Release & Deployment Management 14/03/2011 Security Summit 2011 9
  • 10. Security Summit 2011 Problem Management Proattivo 14/03/2011 10
  • 11. Release Management CMDB DML Relazioni fra processi (flusso proattivo) Il flusso proattivo parte da un evento che è ipotizzato (ma probabile) e, mano a mano, viene approfondito dalle diverse strutture fino ad arrivare a mettere in esercizio le opportune contromisure atte a far si che non accada. 14/03/2011 Security Summit 2011 11
  • 12. Relazioni fra processi (flusso proattivo) Si ipotizza cosa potrebbe succedere come “potenziali” eventi Proactive Problem Management Analizza: • gli eventi potenziali; • la probabilità di accadimento; • gli impatti; • ecc. Individua le contromisure da mettere in esercizio per evitare l’accadimento ovvero ridurre l’impatto dell’evento potenziale ipotizzato Release & Deployment Management Service Asset & Configuration Management CMDB Problem Management Change Management RfC 14/03/2011 Security Summit 2011 12
  • 13. Attività di Ethical Hacking 14/03/2011 Security Summit 2011 13
  • 14. Ethical Hacking – cos’è? Sono attività che simulano attacchi. Sono svolte con modalità similari a quelle usabili da hacker malevoli. Sono svolte al fine di andare ad individuare delle vulnerabilità “in essere”. Le vulnerabilità analizzate sono quelle sfruttabili. Gli obiettivi possono essere molteplici: furto di informazioni; frodi; furto di denaro; ecc. Sono svolte sia in modo proattivo (ad es. PT) che reattivo (ad es. indagini forensi). 14/03/2011 Security Summit 2011 14
  • 15. Ethical Hacking - processo Information Gathering Test Planning Svolgimento Test (PT, VA, ecc.) Reporting Si effettua una raccolta di informazioni relativamente al sistema da “attaccare” Si pianifica l’attività da svolgere Si svolgono le verifiche “in campo” relativamente alle vulnerabilità presenti sui sistemi e che sono effettivamente sfruttabili da un malintenzionato Si riportano le vulnerabilità rilevate e le modalità di sfruttamento delle stesse 14/03/2011 Security Summit 2011 15
  • 16. Ethical Hacking - processo Information Gathering Test Planning Svolgimento Test (PT, VA, ecc.) Reporting Risk Analysis (classificazione in funzione della criticità) Risk Treatment (individuazione possibili contromisure, valutazione fattibilità, messa in esercizio ) Si classificano le vulnerabilità rilevate, la probabilità di sfruttamento, ecc. Vengono individuate le possibili contromisure che possono essere messe in campo, se ne valuta la fattibilità, la messa in esercizio, ecc. 14/03/2011 Security Summit 2011 16
  • 17. Ethical Hacking - processo Information Gathering Test Planning Svolgimento Test (PT, VA, ecc.) Reporting Risk Analysis (classificazione in funzione della criticità) Risk Treatment (individuazione possibili contromisure, valutazione fattibilità, messa in esercizio ) Verifica della bontà delle contromisure messe in campo Information Gathering Test Planning Si verifica se le contromisure messe in campo sono realmente “efficaci” 14/03/2011 Security Summit 2011 17
  • 18. Security Summit 2011 Sovrapposizioni con i processi ITIL v3 14/03/2011 18
  • 19. Ethical Hacking – processi ITIL Information Gathering Test Planning Svolgimento Test (PT, VA, ecc.) Reporting Risk Analysis (classificazione in funzione della criticità) Risk Treatment (individuazione possibili contromisure, valutazione fattibilità, messa in esercizio ) Verifica della bontà delle contromisure messe in campo CMDB Proactive Problem Management Problem Management Change Management Release Management Change Management (Post Implementation Review) 14/03/2011 Security Summit 2011 19
  • 21. Conclusioni • Un’organizzazione strutturata secondo ITIL può: – essere di supporto allo svolgimento delle verifiche perché è in grado di fornire le informazioni per rendere la verifica più efficace; – gestire la messa in esercizio delle contromisure necessarie a sanare le vulnerabilità rilevate; • Le attività di Ethical Hacking (Penetration Test/Vulnerability Assessment) si inseriscono perfettamente nell’ottica di un Problem Management Proattivo di sicurezza secondo ITIL. • Ci sono poi altre connessioni relative a: – Governo delle verifiche di sicurezza (Information Security Management); – Gestione delle utenze (Access Management); – Gestione degli incidenti di sicurezza (Incident Management); – Centri di competenza per l’analisi di vulnerabilità specifiche (Availability Management, Capacity Management, ecc.). 14/03/2011 Security Summit 2011 21
  • 22. Conclusioni complessive IT Service Management e Information Security sono solo apparentemente due branche dell’ICT differenti. …..ma in realtà sono complementari e non in concorrenza. Anzi l’una può essere di aiuto a fare meglio il lavoro dell’altra. L’adozione di framework di IT Service Management (ISO 20k, ITIL, ecc.) permette di dare un approccio “strutturato” che può essere di aiuto all’Information Security, al Project Management, all’Application Management, ecc. La ISO 20k e la ISO 27k hanno delle impostazioni un po’ diverse e ci si auspica che, tramite la ISO 27013, si riescano a far convergere. 14/03/2011 Security Summit 2011 22
  • 24. Non hai mai commesso un errore, non hai mai tentato qualcosa di nuovo. A. Einstein Andrea Praitano +39 328 8122642 andrea.praitano@itsmf.it itSMF Italia Via Ventimiglia, 115 10126 Torino tel.011 6399.345 segreteria@itsmf.it Grazie. 14/03/2011 Security Summit 2011 24

Editor's Notes

  1. Dire come distinguere processi da fasi del ciclo di vita