Seminario associazioni: Seminario a cura di itSMF Italia

Problem Management proattivo di

sicurezza secondo ITIL: attività di

Etichal Hacking

Andrea Praitano

Agenda

• Struttura dei processi ITIL v3;

• Il Problem Management proattivo;

• Attività di Ethical Hacking:

– cosa sono;

– processo di gestione e trattamento;

• Sovrapposizione con i processi ITIL v3;

• Conclusioni.

3

Introduzione Relatore - Andrea Praitano

• Membro del Consiglio Direttivo di itSMF Italia;

• Responsabile della Comunicazione per itSMF Italia;

• Team Leader del GdL itSMF Italia “ITIL & Analisi dei Rischi”;

• Socio fondatore di ISIPM (IStituto Italiano di ProjectManagement);

• Pubblicazioni:– Foundations of IT Service Management Basato su ITIL v3 (Van Haren

Publishing);

– Foundations of IT Service Management Basato su ITIL (Van Haren Publishing);

– Introduzione a ITIL (OGC);

– ISO/IEC 20000 Pocket Guide (Van Haren Publishing);

– Roles in Security Management (Van haren Publishing);

• Service & Security Consultant per Business-e S.p.A.(Gruppo IT Way) presso Banche, Telco, industrie, ecc.

20000

27002

4

Struttura dei processi ITIL v3

ITIL & il Service LifecycleIl Service Strategy (SS) è il perno centrale attorno al

quale ruota tutto il ciclo di vita del servizio;

© Crown copyright 2008 Reproduced under license from OGC

Il Continual Service Improvement (CSI) supporta

l’attuazione dei programmi e dei progetti di miglioramento

sulla base degli obiettivi strategici.

Il Service Operation (SO) contiene le best practice per la

gestione dell’esercizio dei servizi;

Il Service Transition (ST) è la guida per migliorare

l’introduzione in esercizio di cambiamenti;

Il Service Design (SD) è la guida per progettare e

sviluppare i processi e i servizi di gestione. Traduce gli

obiettivi strategici;

Processi del Service Strategy:

• Service Portfolio Management;

• Demand Management;

• Financial Management;

• Return on Investment;

• Strategy Generation.

Processi del Service Design:

• Service Catalogue Management;

• Service Level Management;

• Supplier Management;

• Capacity Management;

• Availability Management;

• IT Service Continuity Management;

• Information Security Management.

Processi del Service Transition:

• Transition Planning and Support;

• Service Asset and Configuration Management;

• Change Management;

• Release and Deployment Management;

• Knowledge Management;

• Service Validation and Testing;

• Evaluation.Processi del Service Operation:

• Event Management;

• Incident Management;

• Problem Management;

• Request Fulfilment;

• Access Management.

Funzioni del Service Operation:

• Service Desk;

• IT Operation Management;

• Technical Management;

• Application Management.

Processi del Continual Service Improvement:

• 7 steps Improvement Process;

• Service reporting;

• Service measurement;

• Return on Investment for CSI

• Business questions for CSI

• Service Level Management

© Crown copyright 2008 Reproduced under license from OGC

Release Management

CMDB

DML

Relazioni fra processi (flusso “reattivo”)

Il flusso reattivo parte da un evento che è

avvenuto e, mano a mano, viene

approfondito dalle diverse strutture fino ad

arrivare alla sua completa e definitiva

risoluzione.

Incident

• Nella terminologia ITIL, un “incident” è definito come:

– una interruzione non pianificata a un servizio IT o la riduzione

della qualità di un servizio IT. Il guasto di un configuration item

che non ha ancora impattato sul servizio è anche un incidente,

ad esempio, il malfunzionamento di un disco da un mirror set.

Relazioni fra processi (flusso “reattivo”)

Incident

Incident Management

Inci

den

te s

u C

I

Info

rmaz

ion

i su

l/su

i CI

EventManagement

Service Asset & ConfigurationManagement

CMDB

IDB Problem Management

RfC

Change Management

Release & DeploymentManagement

10Andrea Praitano

Problem Management Proattivo

Release Management

CMDB

DML

Relazioni fra processi (flusso proattivo)

Il flusso proattivo parte da un evento che è

ipotizzato (ma probabile) e, mano a

mano, viene approfondito dalle

diverse strutture fino ad arrivare a mettere in

esercizio le opportune contromisure atte a far si

che non accada.

Relazioni fra processi (flusso proattivo)

Si ipotizza cosa potrebbe succedere come “potenziali” eventi

Proactive ProblemManagement

Analizza:• gli eventi potenziali;

• la probabilità di accadimento;• gli impatti;

• ecc.

Individua le contromisure da mettere in esercizio per evitare

l’accadimento ovvero ridurre l’impatto dell’evento potenziale

ipotizzato

Release & DeploymentManagement

Service Asset & ConfigurationManagement

CMDB

Problem Management

Change Management

RfC

Attività di Ethical Hacking

Ethical Hacking – cos’è?

Sono attività che simulano attacchi.

Sono svolte con modalità similari a quelle usabili da

hacker malevoli.

Sono svolte al fine di andare ad individuare delle

vulnerabilità “in essere”.

Le vulnerabilità analizzate sono quelle

sfruttabili.

Gli obiettivi possono essere molteplici: furto di

informazioni; frodi; furto di denaro; ecc.

Sono svolte sia in modo proattivo (ad es. PT) che reattivo (ad es. indagini

forensi).

Ethical Hacking - processo

Information Gathering

Test Planning

Svolgimento Test(PT, VA, ecc.)

Reporting

Si effettua una raccolta di informazioni relativamente al sistema da “attaccare”

Si pianifica l’attività da svolgere

Si svolgono le verifiche “in campo” relativamente alle vulnerabilità presenti sui sistemi e che sono effettivamente sfruttabili da un malintenzionato

Si riportano le vulnerabilità rilevate e le modalità di

sfruttamento delle stesse

Ethical Hacking - processo

Information Gathering

Test Planning

Svolgimento Test(PT, VA, ecc.)

Reporting

Risk Analysis(classificazione in

funzione della criticità)

Risk Treatment(individuazione possibili contromisure,

valutazione fattibilità, messa in esercizio )

Si classificano le vulnerabilità rilevate, la probabilità di sfruttamento, ecc.

Vengono individuate le possibili contromisure che possono essere messe in campo, se ne valuta la fattibilità, la messa in esercizio, ecc.

Ethical Hacking - processo

Information Gathering

Test Planning

Svolgimento Test(PT, VA, ecc.)

Reporting

Risk Analysis(classificazione in

funzione della criticità)

Risk Treatment(individuazione possibili contromisure,

valutazione fattibilità, messa in esercizio )

Verifica della bontà delle contromisure messe in campo

Information Gathering

Test Planning

Si verifica se le contromisure messe in campo sono realmente “efficaci”

18Andrea Praitano

Sovrapposizioni con i processi

ITIL v3

Ethical Hacking – processi ITIL

Information Gathering

Test Planning

Svolgimento Test(PT, VA, ecc.)

Reporting

Risk Analysis(classificazione in

funzione della criticità)

Risk Treatment(individuazione possibili contromisure,

valutazione fattibilità, messa in esercizio )

Verifica della bontà delle contromisure messe in campo

CMDB

Proactive Problem Management

Problem Management Change Management

ReleaseManagement

Change Management(Post Implementation Review)

20Andrea Praitano

Conclusioni

Conclusioni

• Un’organizzazione strutturata secondo ITIL può:– essere di supporto allo svolgimento delle verifiche perché è in grado

di fornire le informazioni per rendere la verifica più efficace;

– gestire la messa in esercizio delle contromisure necessarie asanare le vulnerabilità rilevate;

• Le attività di Ethical Hacking (Penetration Test/VulnerabilityAssessment) si inseriscono perfettamente nell’ottica di unProblem Management Proattivo di sicurezza secondo ITIL.

• Ci sono poi altre connessioni relative a:– Governo delle verifiche di sicurezza (Information Security

Management);

– Gestione delle utenze (Access Management);

– Gestione degli incidenti di sicurezza (Incident Management);

– Centri di competenza per l’analisi di vulnerabilità specifiche(Availability Management, Capacity Management, ecc.).

Conclusioni complessive

IT Service Management e Information Security sono solo apparentemente due branche

dell’ICT differenti.

…..ma in realtà sono complementari e non in

concorrenza. Anzi l’una può essere di aiuto a fare meglio il lavoro

dell’altra.

L’adozione di framework di IT Service Management (ISO 20k, ITIL, ecc.) permette di

dare un approccio “strutturato” che può essere di aiuto all’Information Security, al

Project Management, all’ApplicationManagement, ecc.

La ISO 20k e la ISO 27k hanno delle impostazioni un po’ diverse e ci si auspica che,

tramite la ISO 27013, si riescano a far convergere.

Conclusion

Question Time

…?

Non hai mai commesso un errore, non hai mai tentato qualcosa di nuovo.

A. Einstein

Andrea Praitano

+39 328 8122642

andrea.praitano@itsmf.it

itSMF Italia

Via Ventimiglia, 11510126 Torinotel.011 6399.345segreteria@itsmf.it

Grazie.