Un aiuto a costruire e gestire le idonee misure di sicurezza digitale dai dati dell’Osservatorio OAD, dai framework ITIL, COBIT, NIST, e dagli standard ISO che trattano l’argomento

1. Un aiuto a costruire e gestire le idonee
misure di sicurezza digitale dai dati
dell’Osservatorio OAD, dai framework ITIL,
COBIT, NIST, e dagli standard ISO che
trattano l’argomento.
Marco R. A. Bozzetti, Presidente AIPSI
CEO Malabo Srl

2. • Ingegnere elettronico al Politecnico di Milano, è
Presidente AIPSI e CEO di Malabo Srl
• Ha operato con responsabilità crescenti presso
primarie imprese di produzione, quali Olivetti ed
Italtel, e di consulenza, quali Arthur Andersen
Management Consultant e Gea/Gealab, oltre ad
essere stato il primo responsabile dei sistemi
informativi (CIO) dell’intero Gruppo ENI a livello
mondiale (1995-2000).
• Nella seconda metà degli anni 70 è stato uno dei
primi ricercatori a livello mondiale ad occuparsi di
internetworking, partecipando alla
standardizzazione dei protocolli del modello OSI
dell’ISO
• È certificato ITIL v3 ed EUCIP Professional
Certificate “Security Adviser”
• Commissario d’Esame per le certificazioni eCF (EN
16234 - UNI 11506).
• Ha pubblicato articoli e libri sull’evoluzione
tecnologica, la sicurezza digitale, gli scenari e gli
impatti dell’ICT
• Malabo Srl è stata creata da M. Bozzetti nel 2001
• una società di consulenza direzionale per l’ICT,
che opera per Clienti lato domanda e lato offerta
basandosi su una consolidata rete di esperti e di
società ultra specializzate
• Obiettivo primario degli interventi di Malabo è di
creare valore misurabile per il Cliente, bilanciando
adeguatamente gli aspetti tecnici con quelli
organizzativi nello specifico contesto del Cliente
• Dispone di un proprio laboratorio ICT con server e
storage duali, virtualizzati, , collegati con switch a
10 G e connessi ad internet con fibra ottica a 100
Mbps, oltre ad uno spazio in cloud (IaaS)
• Per garantire un effettivo trasferimento di know-
how, fornisce come servizio ai Clienti le proprie
metodologie e gli strumenti informatici usati
nell’intervento consulenziale
Marco R. A. Bozzetti e Malabo Srl
2

3. AIPSI, Associazione Italiana Professionisti Sicurezza Informatica
• Associazione apolitica e senza fini di lucro
• Capitolo Italiano di ISSA, Information Systems Security Association, (www.issa.org)
che conta >>12.000 Soci, la più grande associazione non-profit di professionisti della
SicurezzaICT nel mondo
• Obiettivo principale: aiutare i propri Soci nella crescita professionale → competenze
→carriera e crescita business
• Offrendo ai propri Soci serviziqualificati per tale crescita, che includono
• Convegni, workshop, webinar sia a livello nazionale che internazionale via
ISSA
• ISSA Journal
• Rapporti annuali e specifici;esempi:
• Rapporto annuale OAD nel nuovo sito https://www.oadweb.it
• ESG ISSA Survey “The Life and Times of Cyber Security Professionals”
• Concreto supporto nell’intero ciclo di vita professionale, con formazione
specializzata e supporto alle certificazioni,in particolare eCF Plus (EN 16234-
1:2016)
• Collaborazione con varie Associazioni ed Enti per eventi ed iniziativecongiunte
• Gruppo Specialistico di Interesse CSWI, Cyber Security Women Italy, aperto a
tutte le donne che in Italia operano a qualsiasi livello nell’ambito della sicurezza
digitale(anche non socie AIPSI) 3

4. • Che cosa è
• Indagine via web sugli attacchi digitaliintenzionali ai sistemi informatici in Italia
• Obiettiviiniziativa
• Fornire informazioni sulla reale situazione degliattacchi digitaliin Italia
• Contribuire alla creazione di una cultura della sicurezza informatica in Italia, sensibilizzandoin
particolare i vertici delleaziende/entied i decisorisulla sicurezzainformatica
• Che cosa fa
• Indagini annuali e specifichesu argomenti caldi, condotte attraverso un questionario on-line
indirizzatoa CIO, CISO, CSO, ai proprietari/CEO per le piccole aziende
• Come
• Rigore,trasparenza, correttezza,assoluta indipendenza(anche dagli Sponsor)
• Rigoroso anonimato per i rispondenti ai questionari
• Collaborazione con numerose Associazioni (Patrocinatori) per ampliare il bacino dei rispondenti
e dei lettori
OAD, Osservatorio Attacchi Digitali in Italia (ex OAI)
4

5. 2008 - 2018
10 anni di indagini via web sugli attacchi digitali in Italia
https://www.oadweb.it
5

6. • 160 pagine A4
• 140 grafici
• 11 Capitoli → 131 pagine A4
• Cap. 11: Dati dalla Polizia Postale e delle
Telecomunicazioni, commentati
dall’autore
• 9 Allegati →29 pagine A4
• Prefazione dott. ssa Nunzia Ciardi, Direttore
Polizia Postale e delle Telecomunicazioni
• Executive Summary in italiano e in inglese
Per scaricare il Rapporto 2018 OAD (gratuito):
• Registrarsi a https://www.oadweb.it
• Consenso esplicito privacy
• Scaricare il file in pdf
6

7. Rispondete al prossimo Questionario 2019 OAD (check annunci sul sito OAD e
sul sito AIPSI)
La nuova edizione OAD 2019: l’iniziativa è partita (Gantt
2019)
Da https://www.oadweb.it/it/oad2018/oad-2019.html è scaricabile
la proposta di sponsorizzazione.
Maggio ‘19 7
7

8. Il ruolo per il business di
un Sistema Informatico
SICURO
8

9. • Ogni attività si basa ormai su applicazioni del Sistema Informatico
• Il Sistema Informatico non può che operare su Internet, ed è quindi esposto ad attacchi dall’esterno
• Il corretto, continuo e sicuro funzionamento del Sistema Informatico garantisce:
• La continuità operativa (business continuity)
• L’integrità dei dati
• Il mantenimento del vantaggio competitivo rispetto ai competitori
• La compliance alle varie normative: GDPR per la privacy, L. 231, Banca d’Italia, ABI-LAB, ecc.
• Le informazioni del Sistema Informatico sono un bene (asset) aziendale, e come tali vanno
protette e gestite
• L’appropriato uso del Sistema Informato da parete degli utenti è condizione necessaria e
determinante per:
• Il corretto, efficiente ed efficace svolgimento dell’attività lavorativa
• La sicurezza digitale globale
Il ruolo del Sistema Informatico (SI) per il business
9

10. • Diviene fondamentale la governance del sistema informativo e la efficace ed
efficiente sua gestione
• Il sistema informativo gioca un ruolo tale per il business che non può essere
considerato solo un problema tecnico, ma deve essere tratto dai vertici aziendali
• Il business deve prontamente sfruttare le opportunità fornite dalle nuove tecnologie
ICT
• La complessità delle nuove tecnologie ICT e la necessità di specifiche competenze
richiede nella maggior parte dei casi l’uso di servizi terziarizzati e di Terze Parti
(outsourcer) che devono essere governate, controllate e gestite.
Il ruolo dell’ICT per il business
10

11. ● Le informazioni costituiscono una risorsa fondamentale per tutte le organizzazioni e la
tecnologia svolge un ruolo significativo dal momento in cui l'informazione viene creata
fino al momento in cui viene distrutta.
● Il progresso dell'information technology è continuo e la tecnologia pervade le
organizzazioni e gli ambienti sociali, pubblici e aziendali.
● Nell’era digitale, l’informazione è quasi totalmente in formato elettronico, dai dati ai
filmati, e costituisce per l’azienda/ente un vero e proprio bene aziendale, che come
tale va gestito e protetto.
● E’ una risorsa chiave per l’azienda/ente, ed è trattata da sistemi ICT
● L’ICT è pervasiva a tutte le attività aziendali
11
Il bene (asset) informazione

12. Governance del business e dell’ICT
• Sono due cose diverse, ma che nella pratica devono essere
sincronizzate per non avere gap tra esigenze di business e il Sistema
Informatico che supporta le attività per il business
• L’ICT Architecture è uno degli elementi che guidano e facilitano tale
sincronizzazione
• La struttura organizzativa sia dell’intera struttura sia dell’Unità
Organizzativa Sistemi Informatici (UOSI) devono adeguarsi ed
effettuare un continuo (continual) cambiamento → change
management
• Il paradosso: mentre le tecnologie dell’informazione si evolvono a
velocità esponenziale, la capacità delle organizzazioni di evolvere per
coglierne appieno i benefici è al più lineare.
12

13. 50
Business
tempo
ICT
• sistemi ICT
• tecnologie ICT
• reti
• servizi ICT
• outsourcing
• cloudINFRASTRUTTURE
INFORMATIVO
STRATEGICO
Piano strategico business
ICT EA
• processi
• organizzazione
• competenze
• ruoli
• clienti
• fornitori
• visitatori
• FCS
• KPI
Devono essere
sistematicamente
allineati !
A h z ll’ EA
13

14. Per progettare ed
implementare
un Sistema Informatico
SICURO
14

15. Application
Server
Web
Server
Router
Proxy
Server
aziendale
Servizi ICT
in cloud e/o
terziarizzati
Internet
Proxy server
del Provider
AREA DMZ
LDAP server duale
Rete
GSM-UMTS
Router
Collegamento
Provider 2
CA Server
Server
Radius
FirewallLAN
Switch
Collegamento
Provider 1
Access Server
(LDAP)
AP, Access Point
Data Base
Server
LAN
Switch
La crescita della complessità nel sistema
informatico anche di una piccola realtà
15

16. LA
N
Firewall
router
PC
LA
N
Firewall
router
Sede X
Reti
Data Center
ISMS
Information Security
Management Sys
• Sicurezza
perimetrale e fisica
• Sicurezza
infrastrutture
• Sicurezza logica
• Protezione dei dati
• Disaster Recovery
Data Center
Repliche-
Disaster
Recovery
SLA
Cloud Computing
l zz
SMS
SMS
SMS
Consolle SMS
Reports
NMS,
Network Mgt Sys
16
SMS, System Management System
ISMS. Information Security Management System

17. • La sicurezza ICT viene definita come la "protezione dai requisiti di integrità, disponibilità e
confidenzialità" delle informazioni trattate, ossia acquisite, comunicate, archiviate, processate, dove:
• integrità è la proprietà dell'informazione di non essere alterabile; o poter verificare se è stata
alterata
• disponibilità è la proprietà dell'informazione di essere accessibile e utilizzabile quando richiesto
dai processi e dagli utenti autorizzati;
• confidenzialità è la proprietà dell'informazione di essere nota solo a chi ne ha il diritto di
accedervi
• Per le informazioni e i sistemi connessi in rete le esigenze di sicurezza includono anche:
• autenticità, ossia la certezza da parte del destinatario dell'identità del mittente
• non ripudio, ossia il mittente o il destinatario di un messaggio non ne possono negare
l'invio o la ricezione
La sicurezza ICT (o informatica o digitale)
17

18. La sicurezza globale ICT
Sicurezza
Globale
ICT
Sicurezza fisica
Sicurezza logica
Aspetti organizzativi:
• Procedure e normative
• Ruoli & responsabilità
Fonte: dal volume “Sicurezza Digitale” ed. 2007 di Marco Bozzetti
18

19. Il “processo continuo” per la sicurezza ICT
Audit
Policy
Costi
Rilevazionesituazione
(Assessment)
Analisidei rischi
Definizionepolicy
Applicazione contromisure
Classificazione
Dati
Minacce Vulnerabilità
Rischi
Obiettivi strategici
Attuazione Formazione
Feedback
Leggi
Processi Risorse ICT Organizzazione
Piano e progetto
interventi
Obiettivi di sicurezza
ont : vo um “ cu zz D g t ” M.R. . Bozz tt . Z mbon
19

20. • La sicurezza assoluta NON esiste: occorre essere in grado di gestire eventi e/o attacchi
con il minimo del danno per l’azienda/ente
• Attivazione di adeguate e ben bilanciate misure tecniche ed organizzative
• di prevenzione, di protezione, di ripristino
• a seguito di una contestuale analisi dei rischi, formale o non,
• e gestendo il tutto come un unico processo continuativo
• Le vulnerabilità dei sistemi ICT e del personale (utenti, sviluppatori software,
operatori) esistono sempre ..
• Gli attacchi volontari possono sempre accadere anche per aziende/enti di piccola-media
struttura
Sistema informatico sicuro …
20

21. • La sicurezza digitale è come una catena delle misure tecniche ed
organizzative: tanto forte nel complesso quanto l’anello più debole
• Gli attacchi si concentrano sui punti più deboli
La necessità di un buon bilanciamento
tra le varie misure di sicurezza
21

22. Analisi
vulnerabilità e rischi

23. Tutte si basano sulle vulnerabilità tecniche e/o umane-organizzative
•Vulnerabilità tecniche (software di base e applicativo, architetture e configurazioni)
•siti web e piattaforme collaborative
•Smartphone e tablette → mobilità → >>14.000 malware
•Posta elettronica → spamming e phishing
•Piattaforme e sistemi virtualizzati
•Terziarizzazione e Cloud (XaaS)
•Circa il 40% o più delle vulnerabilità non ha patch di correzione
•Vulnerabilità delle persone
•Social Engineering e phishing
•Utilizzo dei social network, anche a livello aziendale
•Vulnerabilità organizzative
•Mancanza o non utilizzo procedure organizzative
•Insufficiente o non utilizzo degli standard e delle best practices
•Mancanza di formazione e sensibilizzazione
•Mancanza di controlli e monitoraggi sistematici
•Analisi dei rischi mancante o difettosa
•Non efficace controllo dei fornitori
•Limitata o mancante SoD, Separation of Duties
La vulnerabilità più
grave e diffusa è
quella del
comportamento
umano (utenti ed
amministratori di
sistemi):
• Inconsapevolezza
• Imperizia
• Ignoranza
• Imprudenza
• Dolo
Aggravata dalla non
o inefficace
organizzazione
Mancanza di
formazione e
addestramento
Vulnerabilità causa delle minacce
23

24. Attacchi a specifici obiettivi (target),
con precisi obiettivi e larga
disponibilità di risorse e competenze
Attacchi di massa, anche non
sofisticati, con l’obiettivo di colpire
almeno qualcuno nella massa (es:
ransomware, phishing)
PMI
Studi
Esercizi commerciali
Singole persone
Grandi Aziende/Enti
Due grandi categorie di attacchi digitali
24

25. OAD 2018: attacchi rilevati 2016-17
58,43%
54,68%
41,57%
45,32%
0%
10%
20%
30%
40%
50%
60%
70%
2016 2017
Numero di attacchi rilevati nel 2016 e nel 2017 dai rispondentiOAD 2018
Mai rilevato attacchi Rilevato attacchi
© OAD 2018
Circa
+4%
25

26. 62,9%
52,6%
66,7%
60,2% 59,1% 61,3%
65,2%
57,5%
62,4%
58,43%
54,68%
37,1%
47,4%
33,3%
39,8% 40,9% 38,7%
34,8%
42,5%
37,6%
41,57%
45,32%
0%
10%
20%
30%
40%
50%
60%
70%
80%
2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017
Confrontodella rilevazionepercentualedi attacchi dai rispondenti alle indagini OAD-
OAI negli anni 2007-2017
(validosolo come indicatoredel trend, non statisticamente)
Mai subiti o non rilevati nell'anno Attacchi rilevati/subiti nell'anno
© OAD 2018

27. 37,50%
22,79%
8,82%
10,29%
6,62%
7,35%
6,62%
0% 5% 10% 15% 20% 25% 30% 35% 40%
< 10
10 - 50
51 - 100
101 - 250
251 - 1000
1001 - 5000
> 5001
Distribuzionedei rispondentiper dimensionedella
loroAzienda/Ente per numerodi dipendenti
© OAD 2018
PMI
quasi
80%
I più recenti dati ISTAT
per le aziende:
• Fino a 9 dipendenti:
4.180.870
• Da 10 a 49: 184.098
• Da 50 a 249: 22.156
• 250 e più: 3.787.
Pubbliche
Amministrazioni:
• Circa 55.000
27

28. 11,79%
9,23%
2,56%
12,31%
21,03%
1,54%
33,33%
21,03%
6,67%
44,62%
21,54%
7,69%
8,21%
4,62%
18,59%
29,22%
10,90%
19,35%
16,87%
22,62%
25,29%
28,57%
39,39%
27,22%
12,66%
2,56%
3,95%
2,60%
0% 5% 10% 15% 20% 25% 30% 35% 40% 45% 50%
Uso non autorizzato risorse ICT(dal PC ai server-storage e aiserviziICT terziarizzati)
Saturazione risorse digitali (DoS, DDoS)
Modifichenon autorizzate alleinformazionitrattate dai sistemi ICT
Modifichenon autorizzate aiprogrammi applicativi e di sistema, alleconfigurazioni, ecc.
Furto informazionidasistemi mobili (palmari, smartphone, tablet, ecc.)
Fu f m z d m f ( , v , y m,…)
Furto fisico didispositivi ICT o di loro parti
Distruzione fisica di dispositivi ICTo diloro parti
Attacchi all'identificazione,autenticazione e controllo accessi degliutentie degli operatori
Attacchi alle retilocalie geografiche, fissee wireless, e ai DNS
Attacchi aipropri sistemi terziarizzati (cloud,housing,hosting)
Attacchi aipropri sistemi di automazione industriale (DCS, PLC, ..) e/o dirobotica
Attacchi asistemie/o servizi usati e basati su blockchain
Attacchi adispositivi IoT (Internet of Things) in uso
Diffusione %tipologiaattacchi(checosaattacco)
rilevatidairispondentinel2016enel2017
(risposte multiple)
2017 2016
© OAD 2018
2016
Attacchi
alle reti
2017
Attacchi al
controllo
degli
accessi
28

29. 0% 100% 200% 300% 400% 500% 600%
Script e programmi maligni
Agenti autonomi
Toolkit
Botnet e simili
Mix tecniche/APT
Raccolta informazioni
Attacco fisico
Queste perecentuali sono solo un indicatare e non hanno alcun senso statistico pur se indicati come %
Diffusione tecnichedi attacco (come) nelle varie tipologie (che cosa) di
attacco rilevatedai rispondenti nel 2017
© OAD 2018
29

30. 30,23%
46,51%
23,26%
Il ruolo del Responsabiledella sicurezza digitale, CISO, nella
organizzazionedell'azienda/ente dei rispondenti
Ruolo CISO definito formalmente Ruolo CISO non definito ma di fatto espletato
Ruolo CISO non definito e non espletato
© OAD 2018
De facto non de jure
De facto
e de jure
30

31. OAD 2018: dati Polizia Postale - 1
Protezione strutture critiche 1 gen – 31 dic 2017 1 gen – 31 dic 2016 Differenza %
Attacchi rilevati 1032 844 22,27%
Alert diramati 31524 6721 369,04%
Indagini avviate 72 70 2,86%
Persone arrestate 3 3 0,00%
Persone denunciate 1316 1226 7,34%
Perquisizioni 73 58 25,86%
Richiesta di cooperazione
internazionale in ambito Rete 24/7
High Tech Crime G8 (Convenzione
Budapest)
83 85 -2,35%
C.N.A.I.P.I.C. Centro NazionaleAnticrimine Informatico per la Protezione delle Infrastrutture Critiche
Arresti/
denunce
0,23%
Arresti/
denunc
e
0,24%
Indagini
/attacchi
6,89%
Indagini
/attacchi
8,29%
31

32. OAD 2018: dati Polizia Postale - 2
Financial Cyber Crime
Cyber Terrorismo
Financial Cyber Crime 1 gen – 31 dic 2017 1 gen – 31 dic 2016 Differenza %
Transazioni Fraudolente Bloccate in
€
€ 20.839.576,00 € 16.050.812,50 29,84%
Somme Recuperate € 862.000,00 =
Arrestati 25 25 0,00%
Denunciati 2851 3772 -24,42%
Cyber Terrorismo 1 gen – 31 dic 2017 1 gen – 31 dic 2016 Differenza %
Arrestati 4 2 100,00%
Denunciati 18 9 100,00%
Arresti/
denunce
22%
Arresti/
denunce
22%
Arresti/
denunce
0,88%
Arresti/
denunce
0,66%
32

33. Per la realizzazione e la
gestione delle misure di
sicurezza digitali, fare e far
fare riferimento
ai framework più diffusi e
consolidati

34. ● La basilare importanza dell’ICT nel business, e la sua parallela continua innovazione, hanno
portato:
○ Da un lato all’emergere di framework specialisti su specifici aspetti del binomio ICT-business
○ Dall’altro alla evoluzione dei due framework più consolidati e diffusi, ITIL e COBIT, per poter
coprire aree attigue al loro ruolo di base e a considerare e ad interfacciarsi a taluni dei
framework specialistici
● La matrice 3x3 può aiutarci a capire le logiche di posizionamento, di estensione e di
interfacciamento
● NB1: i vari framework/standard sono stati creati da persone diverse per fin i diversi: non
costituiscono pezzi di un unico mosaico …
● NB2: sia ITIL che COBIT possono essere considerati framework specialistici 34
La crescita di framework e standard generali e specifici

35. Legislazione Europea ed Italiana sulla sicurezza ICT e sulla
privacy
Organizzazione e
gestione ICT
ITIL v 3/ 4( 2019)
ICT service mgmt
COBIT 5/2019Standard e metodiche sviluppo software sicuro
UMLOpenRUP
PMbok/Prince 2
project mgmt
Architetture ICT
TOGAF – ICT
architecture
OSA – security
architecture
Standard e buone pratiche
sulla Sicurezza ICT
ISO270xx
Sicurezza ICT
ISF SOGP
≈ Iso 27002
NIST
SP-800-xxx
Octave
ICT Risk mgmt SAS70
Audit
eCF
Competenze
ISO 9001
Qualità
Altri standard
rilevanti
SOA
W3C - OASIS
Common
Criteria
PCI DSS
OSWAP
SANS
CERT
Metodologie
Altre
Metodologie
DB Vulnerabilità
Maggio ‘19
35
Novità
Forte
Novità

36. 61
Enterprise
Architecture
&
ICT
Architecture
ICT outsourcer e
fornitori
ercato
ICT
Leggi e
regolamenti
Processi di Business
Innovazione
tecnologica
Business
architetture
Contratti
e SLA
Procedure
e SLA
Processi
ICT
Fonte: dal volume “Sicurezza Digitale” di M.R. A. Bozzetti e F. Zambon
UTENTI FINALI
UTENTI
PRIVILEGIATI
Il comportamento
degli utenti è
determinante per il
corretto
funzionamento del
tutto
36

37. Aspetti
Organizzativi
37

38. Sicurezza organizzativa
La struttura organizzativa di chi si occupa di sicurezza ICT
• Compiti e competenze
• La separazione dei ruoli (SoD, Separation of Duties) → matrici RACI
• Policy e procedure organizzative
• Sensibilizzazione, formazione, addestramento degli utenti e degli operatori ICT (in
particolare gli Amministratori di Sistema, AdS)
38
Messa in
discussione
da devops
ripreso da
ITIL v4 e da
COBIT 2019

39. Direzione
ICT
Utenti
Richieste di
servizi
Implementazione
Servizi
Erogazione
servizio
Service
desk
Test e passaggio
In produzione
Gestione
operativa
Livello
strategico
Livello
tattico
Livello
operativo
AttoriAttori Front end Back endAttori
Delivery
Demand
Il modello demand-delivery per l’orientamento ai servizi ICT
39

40. ITIL
Information
Technology
Infrastructure
Library
40

41. • ITIL è una best practice molto consolidate e diffusa per la gestione dei servizi IIT (ICT), ossia per il IT
service management (ITSM), e si focalizza sull’allineamento tra gli IT services e le necessità del
business.
• ITIL descrive processi (practices con la nuova v4), procedure, attività e liste di controllo (checklists )
indipendenti dal tipo di business, del tipo di organizzazione, del settore merceologico e dal tipo di
tecnologie ICT usate o a piano.
• ITIL, se efficacemente attuato e contestualizzato alla realtà dell’azienda/ente che vuole seguirlo,
consente:
• Di stabilire un quadro di riferimento ed una base per pianificare ed implementare gli interventi tecnici ed
organizzativi, analizzandone i costi e misurando i gli effettivi risultati ottenuti
• Di attuare l'integrazione tra ICT e strategia dell'organizzazione, fornire valore e mantenere l’idoneo
livello di qualità e competenza.
• Di dimostrare la compliance (effettiva conformità) alle normative sull’ICT o che coinvolgono l’ICT
• Di misurare I miglioramenti che l’adozione di ITIL ha portato
• and to measure improvement.
• Le certificazioni in ITIL sono disponibili solo per le singole persone (livello individuale).
Che cosa è ITIL
41

42. ● Il paradigma Cliente-Fornitore
● Il paradigma del management su tre livelli (matrice 3x3)
● SoD, Separation of Duties
● Servizio (Service)
● Processo (Process)
● Funzioni (Functions)
● Qualità
● Ciclo di vita dei servizi
42
Concetti base di ITIL 3

43. Continual Service Improvement
Service Strategy
Strategie, politiche
Service Design
Standard e piani
Service Transition
Cambiamento dei servizi
e loro messa in esercizio
Service Operation
esercizio
Il ciclo di vita in ITIL 3
feedback
Portafoglio
Servizi
Servizio
Rilasciato
Misure
prestazioni
Progetto
del Servizio
Fonte: dal volume “Sicurezza Digitale” di M.R. A. Bozzetti e F. Zambon

44. • Più che un aggiornamento della v3, è una reimpostazione concettuale delle precedenti
logiche, per rendere più veloce ed efficace la gestione ICT .
• Mantiene comunque una certa corrispondenza e compatibilità tra le «vecchie logiche
ed i vecchi concetti e quelli nuovi (ad esempio processi vs practices)
• Include un nuovo focus e delle linee guida pratiche sull’integrazione di ITIL con altre
practice come DevOps, Agile e Lean.
• ITIL 4 è stato rilasciato a fine febbraio 2019, e non ha pertanto ancora
implementazioni sul campo.
• Serve ancora tempo per ben approfondirlo e provarlo su effettive realtà,
verificandone i pro ed i contro
• ITIL 4 Foundation è disponibile dal 28 Febbraio 2019, gli altri moduli saranno
disponibili nel secondo semestre del 2019
ITIL v4
44

45. 45
ITIL 4: dai processi alle pratiche

46. COBIT
46

47. COBIT 5: "Control Objectives for IT"
● Sviluppato da ISACA: Information Systems Audit and Control Association
● Prima versione 1996; corrente implementata v.5 del 2013; ultima COBIT 2019
● Obiettivo: supporto alla gestione (management) e controllo (governance) del IT di
impresa
○ NB: Cobit parla sempre di IT, non di ICT
● Le imprese esistono per dare valore ai loro steackholder
● Ogni impresa, commerciale o no, ha come obiettivo della governance la creazione di
valore
● Creare valore = realizzare benefici ottimizzando sia il costo delle risorse che i
risultati per gli stakeholder
WWW.ADVANSYS.IT
47

48. ● COBIT 2019 offers greater flexibility and openness to enhances the currency and relevance of
COBIT.
● The introduction of new concepts such as focus areas and design factors allow for additional
gu nc fo t o ng gov n nc syst m to th nt p s ’s n s
● Updated alignment to global standards, frameworks and best practices enhances the relevancy of
COBIT
● n “op n-sou c ” mo o th g ob gov n nc commun ty th b ty to nfo m futu
updates by providing feedback, sharing applications and proposing enhancements to the
framework and derivative products in real-time, with further COBIT evolutions released on a rolling
basis.
● New guidance and tools support the development of a best-fit governance system, making COBIT
2019 more prescriptive.
48
Le principali novità COBIT 2019

49. 49
Process Reference Model in COBIT 5 = COBIT Core Model in COBIT® 2019

50. 50

51. Nuovi framework
e nuove logiche

52. ● Si parla di metodologia e di sviluppo agile del software (ASD, Agile Software Development)
già dal 2001 con la pubblicazione del Manifesto Agile (agilemanifesto.org.)
● I numerosi metodi agile si contrappongono al tradizionale (ora vecchio ed obsoleto)
metodo a cascata (top-down), basato tipicamente sulle fasi di:
○ analisi dei requisiti
○ progetto
○ sviluppo
○ collaudo
○ Manutenzione
● Le varie metodiche agile introdotte negli anni (si veda un elenco nella prossima slide)
hanno un approccio molto meno strutturato, ma che sfrutta al meglio le moderne
tecnologie (cloud, larga banda Internet, moderni linguaggi ed ambienti di sviluppo, SOA,
etc.) e che richiede una stretta collaborazione del personali dei (piccoli) team di sviluppo.
52
Agile

53. ● Deriva dai concetto di lean production industriale, ossia snella, realizzato per prima dalla
Toyota per la produzione di auto (metodologie Kanban per il just in time e Kaizen)
● Il Lean software development è un tipo di Agile
● I principi, molto simili a quelli della produzione, includono:
○ Eliminare gli sprechi
○ Amplificare l'apprendimento
○ Decidere il più tardi possibile
○ Consegnare il più velocemente possibile
○ Dare potere al team (riduzione gerarchia decisionale)
○ Integrità nella costruzione (totale trasparenza verso il cliente)
○ Vedere il tutto
53
Lean software development

54. ● DevOps è stata introdotta dopo il 2010
● Si basa sostanzialmente su concetti e logiche, parzialmente evolute e/o integrate,
che includono:
○ Agile programming
○ Necessità di incrementare la frequenza dei rilasci in produzione
○ Ampia disponibilità di un'infrastruttura virtualizzata e in cloud
○ Incremento nell'uso di data center automatizzati[16] e strumenti
di configuration management e Infrastructure as Code
● Relazione più collaborativa e produttiva tra i gruppi di sviluppo e quelli di
operation. Ciò incrementa l'efficienza e riduce i rischi di frequenti modifiche in
produzione.
54
La continua evoluzione degli ambienti di sviluppo software …

55. ● DevOps (dalla contrazione inglese di development, "sviluppo", e operations,
qui simile a "messa in produzione" o "deployment") è un metodo di sviluppo
del software che punta alla comunicazione, collaborazione e integrazione
tra sviluppatori e addetti alle operations dell’ICT.
● DevOps vuole rispondere all'interdipendenza tra sviluppo software e IT
operations, puntando ad aiutare un'organizzazione a sviluppare in modo più
rapido ed efficiente prodotti e servizi software
● Secondo il modello DevOps, i team dedicati a sviluppo e produzione non
agiscono più separatamente. In alcuni casi, al contrario, i due team vengono
fusi in un'unità in cui i tecnici sono attivi lungo tutto il ciclo di vita
dell'applicazione, da sviluppo e testing a distribuzione e produzione, e
acquisiscono una serie di competenze non limitate da una singola funzione.
● In alcuni modelli DevOps, anche i team dedicati a controllo della qualità e
sicurezza spesso sono coinvolti più direttamente nelle fasi di sviluppo e
gestione in tutto il ciclo di vita dell'applicazione.
● Quando in un team di DevOps la sicurezza è il punto focale di tutti, a volte
prende il nome di DevSecOps.
● I team si affidano all'automatizzazione per velocizzare processi manuali che
sono da sempre lenti. 55
DevOps: che cosa è
Fonte: AWS e Wikipedia

56. VANTAGGI
❑ Velocità
❑ Distribuzione rapida
❑ Affidabilità
❑ Scalabilità
❑ Collaborazione migliorata
❑ Sicurezza
56
Vantaggi dell’approccio DevOps .. da verificare
Fonte: elab su info AWS
STRUMENTI e PRASSI
❑ Microservizi
❑ Integrazione continua
❑ Distribuzione continua
❑ Monitoraggio
❑ Registrazione Log
❑ Infrastrutture come codice
❑ Policy come codice
???

57. Occorre terziarizzare
… ma come farlo
senza farsi imbrogliare
right sourcing

58. • La sicurezza digitale è multi-disciplinare e richiede una
vasta gamma di competenze e di esperienza sul campo
• Difficilmente un’Azienda/Ente può avere al proprio interno
specifiche e aggiornate competenze di sicurezza digitale
• Deve pertanto terziarizzare gran parte (o la totalità) delle
decisioni e dell’operatività, e l’unico criterio di scelta è
spesso il passa parola ed il costo
• Ma di chi si può fidare? Come può garantirsi sulle reali
competenze dei Fornitori e dei Consulenti?
Condizione
necessaria, ma non
sempre sufficiente, è
fare riferimento a:
• professionisti
certificati
• Iscritti ad
Associazioni
professionali
qualificate
Il problema delle effettive competenze sulla sicurezza digitale
58

59. • Sono le uniche ad avere valore giuridico in Italia e in Europa (se erogate da un Ente
accreditato Accredia)
• AIPSI collabora con AICA, Ente Certificatore accreditato
• possono valorizzare alcune altre certificazioni indipendenti
• si basano sulla provata esperienza maturata sul campo dal professionista
• qualificano il professionista considerando l’intera sua biografia professionale e le competenze
ed esperienze maturate nella sua vita professionale (e non solo per aver seguito un corso e
superato un esame)
• Per la sicurezza digitale eCF prevede due profili:
• Security Specialist
• Security Manager
Le certificazioni eCF (EN 16234 1:2016)
59

60. Per concludere ..

61. • La sicurezza digitale costa … ma quanto costa la non sicurezza?
• La sicurezza digitale, soprattutto nella parte organizzativa, deve essere
contestualizzata all’azienda/ente
• Le misure tecniche ed organizzative devono essere ben bilanciate
• Essenziale la consapevolezza dell’utente
• ICT e sua sicurezza implicano cambiamenti organizzativi
• Automatizzare/far automatizzare quanto più possibile monitoraggi, controlli,
correlazioni tra eventi, procedure (workflow), etc.
• Terziarizzare è necessario, anche per la sicurezza digitale, ma scegliere
accuratamente i fornitori (right sourcing) è controllare sistematicamente il loro
operato (SLA, KPI)
Prime considerazioni conclusive …

62. Grazie dell’attenzione
m.bozzetti@aipsi.org
www.aipsi.org
www.oadweb.it
www.malaboadvisoring.it