ITIL, Italia

L'Information Security Management in ITIL v3

L'obiettivo principale del processo di Gestione della sicurezza delle informazioni (Information Security Management o ISM), parte del Service Design in ITIL v3, è di allineare la sicurezza delle informazioni alla sicurezza attesa dal business ed assicurarsi che la sicurezza delle informazioni sia gestita in maniera efficace in tutte le attività di fornitura e gestione dei servizi. Più in generale, gli obiettivi della gestione della sicurezza delle informazioni sono i seguenti:

  • Rendere le informazioni accessibili ed utilizzabili quando necessario (disponibilità)
  • Rendere le informazioni accessibili solo a coloro che ne hanno diritto (confidenzialità)
  • Assicurare che le infomazioni siano complete, accurate e protette da modifiche non autorizzate (integrità)
  • Assicurare che le transazioni e gli scambi di informazioni con partner siano affidabili (autenticità)

Il processo di ISM dovrebbe essere il punto centrale per tutte le problematiche relative alla sicurezza dlle informazioni, ed è responsabile per la creazione, manutenzione ed attuazione delle politiche e piani di sicurezza. Il processo di ISM deve tenere ben presente le politiche aziendali sulla sicurezza ed allinearsi ad esse, tenendo presente che è inutile avere il migliore sistema antiintrusione informatica, se chiunque ha accesso fisico ai server.

Un sistema di gestione della sicurezza delle informazioni (Information Security Management System o ISMS) a supporto del processo di ISM deve includere i seguenti cinque elementi:

  • Controllo - obiettivo di questo elemento è stabilire la struttura organizzativa ed allocare le responsabilità, approvare le politiche di sicurezza, creare e controllare la documentazione relativa
  • Pianificazione - obiettivo di questo elemento è lo sviluppo di misure appropriate di sicurezza basate sui requisiti dell'organizzazione. Input possono includere SLA, OLA etc...
  • Implementazione - obiettivo di questo elemento è di assicurarsi l'effettiva messa in opera delle procedure, strumenti e controlli a supporto del processo di ISM
  • Valutazione - obiettivo di questo elemento è verificare l'aderenza agli standard di sicurezza definiti negli OLA e SLA, effettuare verifiche tecniche sui sistemi IT (tipo prove di intrusione o similari), fornire informazioni ad ispettori esterni od interni, se necessario
  • Manutenzione - obiettivo di questo elemento è di migliorare gli standard di sicurezza attraverso un ciclo PDCA (Plan - Do - Check - Act) in modo formale (come anche suggerito dallo standard ISO 27001 per la definizione di un ISMS.

Nella gestione degli incidenti relativi alla sicurezza (security incidents) si possono identificare i seguenti stadi:

  • Preventivo - Le misure di sicurezza sono definite con lo scopo di evitare (prevenire) incidenti (per esempio rimuovere accessi a chi non ne ha bisogno)
  • Riduttivo - Le misure di sicurezza sono orientate alla riduzione del danno.(per esempio effettuare copie di sicurezza dei file)
  • Investigativo - Le misure di sicurezza sono orientate all'identificazione immediata (o a breve termine) dell'incidente (per esempio revisione periodica dei log, o sistemi di monitoraggio)
  • Repressivo - Le misure di sicurezza sono orientate a contrastare la causa dell'incidente (per esempio spegnimento di nodi affetti da virus, etc...)
  • Correttivo - Le misure di sicurezza sono orientate alla correzione dei danni provocati nell'incidente (per esempio, ripristino del file originale da backup, etc...)