Problem Management proattivo di sicurezza secondo ITIL: attività … · della qualità di un...
Transcript of Problem Management proattivo di sicurezza secondo ITIL: attività … · della qualità di un...
Seminario associazioni: Seminario a cura di itSMF Italia
Problem Management proattivo di
sicurezza secondo ITIL: attività di
Etichal Hacking
Andrea Praitano
Agenda
• Struttura dei processi ITIL v3;
• Il Problem Management proattivo;
• Attività di Ethical Hacking:
– cosa sono;
– processo di gestione e trattamento;
• Sovrapposizione con i processi ITIL v3;
• Conclusioni.
3
Introduzione Relatore - Andrea Praitano
• Membro del Consiglio Direttivo di itSMF Italia;
• Responsabile della Comunicazione per itSMF Italia;
• Team Leader del GdL itSMF Italia “ITIL & Analisi dei Rischi”;
• Socio fondatore di ISIPM (IStituto Italiano di ProjectManagement);
• Pubblicazioni:– Foundations of IT Service Management Basato su ITIL v3 (Van Haren
Publishing);
– Foundations of IT Service Management Basato su ITIL (Van Haren Publishing);
– Introduzione a ITIL (OGC);
– ISO/IEC 20000 Pocket Guide (Van Haren Publishing);
– Roles in Security Management (Van haren Publishing);
• Service & Security Consultant per Business-e S.p.A.(Gruppo IT Way) presso Banche, Telco, industrie, ecc.
20000
27002
ITIL & il Service LifecycleIl Service Strategy (SS) è il perno centrale attorno al
quale ruota tutto il ciclo di vita del servizio;
© Crown copyright 2008 Reproduced under license from OGC
Il Continual Service Improvement (CSI) supporta
l’attuazione dei programmi e dei progetti di miglioramento
sulla base degli obiettivi strategici.
Il Service Operation (SO) contiene le best practice per la
gestione dell’esercizio dei servizi;
Il Service Transition (ST) è la guida per migliorare
l’introduzione in esercizio di cambiamenti;
Il Service Design (SD) è la guida per progettare e
sviluppare i processi e i servizi di gestione. Traduce gli
obiettivi strategici;
Processi del Service Strategy:
• Service Portfolio Management;
• Demand Management;
• Financial Management;
• Return on Investment;
• Strategy Generation.
Processi del Service Design:
• Service Catalogue Management;
• Service Level Management;
• Supplier Management;
• Capacity Management;
• Availability Management;
• IT Service Continuity Management;
• Information Security Management.
Processi del Service Transition:
• Transition Planning and Support;
• Service Asset and Configuration Management;
• Change Management;
• Release and Deployment Management;
• Knowledge Management;
• Service Validation and Testing;
• Evaluation.Processi del Service Operation:
• Event Management;
• Incident Management;
• Problem Management;
• Request Fulfilment;
• Access Management.
Funzioni del Service Operation:
• Service Desk;
• IT Operation Management;
• Technical Management;
• Application Management.
Processi del Continual Service Improvement:
• 7 steps Improvement Process;
• Service reporting;
• Service measurement;
• Return on Investment for CSI
• Business questions for CSI
• Service Level Management
© Crown copyright 2008 Reproduced under license from OGC
Release Management
CMDB
DML
Relazioni fra processi (flusso “reattivo”)
Il flusso reattivo parte da un evento che è
avvenuto e, mano a mano, viene
approfondito dalle diverse strutture fino ad
arrivare alla sua completa e definitiva
risoluzione.
Incident
• Nella terminologia ITIL, un “incident” è definito come:
– una interruzione non pianificata a un servizio IT o la riduzione
della qualità di un servizio IT. Il guasto di un configuration item
che non ha ancora impattato sul servizio è anche un incidente,
ad esempio, il malfunzionamento di un disco da un mirror set.
Relazioni fra processi (flusso “reattivo”)
Incident
Incident Management
Inci
den
te s
u C
I
Info
rmaz
ion
i su
l/su
i CI
EventManagement
Service Asset & ConfigurationManagement
CMDB
IDB Problem Management
RfC
Change Management
Release & DeploymentManagement
Release Management
CMDB
DML
Relazioni fra processi (flusso proattivo)
Il flusso proattivo parte da un evento che è
ipotizzato (ma probabile) e, mano a
mano, viene approfondito dalle
diverse strutture fino ad arrivare a mettere in
esercizio le opportune contromisure atte a far si
che non accada.
Relazioni fra processi (flusso proattivo)
Si ipotizza cosa potrebbe succedere come “potenziali” eventi
Proactive ProblemManagement
Analizza:• gli eventi potenziali;
• la probabilità di accadimento;• gli impatti;
• ecc.
Individua le contromisure da mettere in esercizio per evitare
l’accadimento ovvero ridurre l’impatto dell’evento potenziale
ipotizzato
Release & DeploymentManagement
Service Asset & ConfigurationManagement
CMDB
Problem Management
Change Management
RfC
Ethical Hacking – cos’è?
Sono attività che simulano attacchi.
Sono svolte con modalità similari a quelle usabili da
hacker malevoli.
Sono svolte al fine di andare ad individuare delle
vulnerabilità “in essere”.
Le vulnerabilità analizzate sono quelle
sfruttabili.
Gli obiettivi possono essere molteplici: furto di
informazioni; frodi; furto di denaro; ecc.
Sono svolte sia in modo proattivo (ad es. PT) che reattivo (ad es. indagini
forensi).
Ethical Hacking - processo
Information Gathering
Test Planning
Svolgimento Test(PT, VA, ecc.)
Reporting
Si effettua una raccolta di informazioni relativamente al sistema da “attaccare”
Si pianifica l’attività da svolgere
Si svolgono le verifiche “in campo” relativamente alle vulnerabilità presenti sui sistemi e che sono effettivamente sfruttabili da un malintenzionato
Si riportano le vulnerabilità rilevate e le modalità di
sfruttamento delle stesse
Ethical Hacking - processo
Information Gathering
Test Planning
Svolgimento Test(PT, VA, ecc.)
Reporting
Risk Analysis(classificazione in
funzione della criticità)
Risk Treatment(individuazione possibili contromisure,
valutazione fattibilità, messa in esercizio )
Si classificano le vulnerabilità rilevate, la probabilità di sfruttamento, ecc.
Vengono individuate le possibili contromisure che possono essere messe in campo, se ne valuta la fattibilità, la messa in esercizio, ecc.
Ethical Hacking - processo
Information Gathering
Test Planning
Svolgimento Test(PT, VA, ecc.)
Reporting
Risk Analysis(classificazione in
funzione della criticità)
Risk Treatment(individuazione possibili contromisure,
valutazione fattibilità, messa in esercizio )
Verifica della bontà delle contromisure messe in campo
Information Gathering
Test Planning
Si verifica se le contromisure messe in campo sono realmente “efficaci”
Ethical Hacking – processi ITIL
Information Gathering
Test Planning
Svolgimento Test(PT, VA, ecc.)
Reporting
Risk Analysis(classificazione in
funzione della criticità)
Risk Treatment(individuazione possibili contromisure,
valutazione fattibilità, messa in esercizio )
Verifica della bontà delle contromisure messe in campo
CMDB
Proactive Problem Management
Problem Management Change Management
ReleaseManagement
Change Management(Post Implementation Review)
Conclusioni
• Un’organizzazione strutturata secondo ITIL può:– essere di supporto allo svolgimento delle verifiche perché è in grado
di fornire le informazioni per rendere la verifica più efficace;
– gestire la messa in esercizio delle contromisure necessarie asanare le vulnerabilità rilevate;
• Le attività di Ethical Hacking (Penetration Test/VulnerabilityAssessment) si inseriscono perfettamente nell’ottica di unProblem Management Proattivo di sicurezza secondo ITIL.
• Ci sono poi altre connessioni relative a:– Governo delle verifiche di sicurezza (Information Security
Management);
– Gestione delle utenze (Access Management);
– Gestione degli incidenti di sicurezza (Incident Management);
– Centri di competenza per l’analisi di vulnerabilità specifiche(Availability Management, Capacity Management, ecc.).
Conclusioni complessive
IT Service Management e Information Security sono solo apparentemente due branche
dell’ICT differenti.
…..ma in realtà sono complementari e non in
concorrenza. Anzi l’una può essere di aiuto a fare meglio il lavoro
dell’altra.
L’adozione di framework di IT Service Management (ISO 20k, ITIL, ecc.) permette di
dare un approccio “strutturato” che può essere di aiuto all’Information Security, al
Project Management, all’ApplicationManagement, ecc.
La ISO 20k e la ISO 27k hanno delle impostazioni un po’ diverse e ci si auspica che,
tramite la ISO 27013, si riescano a far convergere.
Non hai mai commesso un errore, non hai mai tentato qualcosa di nuovo.
A. Einstein
Andrea Praitano
+39 328 8122642
itSMF Italia
Via Ventimiglia, 11510126 Torinotel.011 [email protected]
Grazie.