Per gentile concessione dell’Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione (ISCOM) riproduciamo il paragrafo 3.2.4  della linea guida dedicata a “Outsourcing e Sicurezza” (pdf,  1.92 M) recentemente  pubblicata.

3.2.4 Confronto tra ISO17799, ITIL e COBIT

L’utilizzo di politiche e procedure di gestione standard e di prassi comunemente accettate consente di rendere più efficienti ed efficaci le normali attività di erogazione dei servizi IT evitando ogni volta di dover riprogettare gli stessi servizi e rivedere le metodologia per la risoluzione dei problemi. D’altra parte le prassi individuate devono avere un loro riscontro con un quadro di lavoro di controllo e di gestione dei rischi che sia appropriato e calato nella particolare situazione concreta, che sia adatto per la specifica organizzazione e che sia armonizzato con gli altri metodi e prassi adottate nell’ambito della struttura. In altre parole, risulta opportuno che le ‘best practice’ individuate a supporto della gestione e del management ICT siano opportunamente personalizzate per aderire al meglio alla specifica realtà in cui devono essere applicate.
Nei paragrafi precedenti è stata riportata una breve panoramica delle principali ‘best practice’ indicate a supporto del management ICT per il governo e controllo dei processi di gestione in sicurezza dell’affidamento a terzi dei servizi ICT : ISO 270001/ISO17799, ITIL e COBIT.
Risulta opportuno a questo punto individuare, anche se in maniera estremamente sintetica, come queste tre metodologie possano integrarsi e completarsi per concorrere in maniera efficiente ed efficace ad assicurare gli obiettivi delineati nel presente documento.
Nel seguito sono suggeriti alcuni criteri di base di confronto indicati al fine di assicurare, utilizzando un linguaggio comune per le tre metodologie, l’ottenimento dei medesimi obiettivi.

Adattare

Ogni organizzazione ha bisogno di adattare l’utilizzo di standard e metodologie per il raggiungimento dei propri specifici requisiti. A questo riguardo le tre metodologie possono giocare un ruolo molto utile: COBIT ed ISO17799 possono aiutare nel definire cosa deve essere fatto, mentre ITIL aiuta nel definire il come nel definire gli aspetti di gestione dei servizi.

Dare la priorità

Per evitare implementazioni delle metodologie che risultino non focalizzate sugli obiettivi e eccessivamente costose, l’organizzazione ha bisogno di avere delle priorità per decidere in che ambiti e come utilizzare le diverse metodologie. A questo riguardo è importante che l’alta direzione prenda pienamente la ownership del governo ICT e stabilisca chiaramente la direzione che il management ICT deve seguire. Nel far questo si può tenere conto che COBIT è un quadro di lavoro per il management del governo IT, mentre ITIL è un framework per la gestione dei servizi IT.

Pianificare

Avendo chiaro il mandato e le priorità, il management può mettere in atto un piano di implementazione dei servizi ICT. Nello stabilire il piano il management dovrebbe tenere conto che:

• il framework COBIT, che aiuta a definire gli obiettivi IT, usato in congiunzione con ITIL aiuta a definire sia i servizi che gli SLA nell’ottica dell’utente finale;
• il processo di gestione del rischio ed il framework del COBIT aiuta ad assicurare che i rischi siano identificati e presi in carico.Dall’altra parte i rischi operativi sono resi più chiari nell’adozione di ITIL mentre ISO 17799 rende più chiari i rischi di sicurezza;
• il framework dei processi COBIT, con il supporto delle definizioni ITIL dei processi chiave per l’erogazione dei servizi e degli obiettivi di sicurezza ISO17799, può aiutare nella definizione degli obiettivi e dei processi IT e nella gestione dei relativi rischi associati;
• le linee guida COBIT , supportate con maggiori dettagli dalle guide specifiche ITIL ed ISO17799, danno la possibilità di analizzare le capacità attuali del sistema ed individuare eventuali falle da colmare, così come aiutano nel definire delle strategie e delle prassi di miglioramento continuo.

A titolo di esempio si riporta nella tabella seguente (Tabella 3) la corrispondenza, nel caso del dominio erogazione del servizio ed assistenza/obiettivo gestione del servizio affidato a terze parti, per ciascuno dei relativi obiettivi di controllo di dettaglio. Il riferimento a ITIL e ISO è riportato nella versione in lingua inglese.

IsacaRoma link

• ISCOM: ITIL
• ISCOM: Nuova Linee Guida su Outsourcing e Sicurezza
• ISCOM: Nuova Linee Guida sulla Certificazione della Sicurezza ICT
• ISCOM: Nuova Linee Guida sulla Risk Analysis - Approfondimenti
• Intervista a Luisa Franchina Direttore Generale dell’Istituto Superiore delle Comunicazioni e della Tecnologia dell’Informazione
• Centro di formazione dei dipendenti della PA nel campo della sicurezza ICT
• ISCOM - L'analisi e la gestione del rischio: principi e metodi
• "Futuro Semplice": una nuova iniziativa di ISCOM
• L’OCSI e la certificazione della sicurezza ICT
• Fattori critici per lo sviluppo delle certificazioni di sicurezza secondo i Common Criteria
• ISCOM: Anteprima sulle nuove linee guida sulla sicurezza e la qualità dei servizi - prima parte e seconda parte
• Anteprima della linea guida sulla "Certificazione della Sicurezza ICT": l’indice del volume
• Anteprima della linea guida sulla “Certificazione della Sicurezza ICT”: le certificazioni del personale
• ISCOM – Anteprima della linea guida sulla “Certificazione della Sicurezza ICT”: ISO 15408 Common Criteria – prima parte e seconda parte