L’Information Security Management in ITIL v3
L’obiettivo principale del processo di Gestione della sicurezza delle informazioni (Information Security Management o ISM), parte del Service Design in ITIL v3, è di allineare la sicurezza delle informazioni alla sicurezza attesa dal business ed assicurarsi che la sicurezza delle informazioni sia gestita in maniera efficace in tutte le attività di fornitura e gestione dei servizi.
Il processo di ISM dovrebbe essere il punto centrale per tutte le problematiche relative alla sicurezza delle informazioni, ed è responsabile per la creazione, manutenzione ed attuazione delle politiche e piani di sicurezza. Il processo di ISM deve tenere ben presente le politiche aziendali sulla sicurezza ed allinearsi ad esse, tenendo presente che è inutile avere il migliore sistema antiintrusione informatica, se chiunque ha accesso fisico ai server.
Un sistema di gestione della sicurezza delle informazioni (Information Security Management System o ISMS) a supporto del processo di ISM deve includere elementi di Controllo, Pianificazione, Implementazione, Valutazione e Manutenzione
Nella gestione degli incidenti relativi alla sicurezza (security incidents) si possono identificare i seguenti stadi:
- Preventivo - Le misure di sicurezza sono definite con lo scopo di evitare (prevenire) incidenti (per esempio rimuovere accessi a chi non ne ha bisogno)
- Riduttivo - Le misure di sicurezza sono orientate alla riduzione del danno.(per esempio effettuare copie di sicurezza dei file)
- Investigativo - Le misure di sicurezza sono orientate all’identificazione immediata (o a breve termine) dell’incidente (per esempio revisione periodica dei log, o sistemi di monitoraggio)
- Repressivo - Le misure di sicurezza sono orientate a contrastare la causa dell’incidente (per esempio spegnimento di nodi affetti da virus, etc…)
- Correttivo - Le misure di sicurezza sono orientate alla correzione dei danni provocati nell’incidente (per esempio, ripristino del file originale da backup, etc…)
Maggiori informazioni disponibili nella pagina sull’Information Security Management in ITIL v3 del sito ITIL, Italia.
