Question: Πώς καλύπτεται το Information Security από το ITIL? (Μέρος Δεύτερο)
Answer:
Σε συνέχεια του πρώτου μέρους της απάντησής μου, η υιοθέτηση διαδικασιών Service Management (ITSM) από ένα οργανισμό επιδρά θετικά και ενισχύει σε μεγάλο βαθμό την απόδοση και την αποτελεσματικότητα της εφαρμογής των Πολιτικών Ασφαλείας (Information Security Policies).
Το Information Security Management (ISM) έχει μεγάλο βαθμό εξάρτησης από ITSM διαδικασίες όπως:
- Change Management, όπου εξασφαλίζεται ο έλεγχος των αλλαγών και η ανάλυση των επιχειρησιακών και επιχειρηματικών κινδύνων συμπεριλαμβανομένης της ασφάλειας. Αντίστοιχα το ISM πρέπει να αξιολογεί την επίδρασή τους πάνω στην ασφάλεια και στα security controls.
- Configuration Management, το οποίο εξασφαλίζει τον έλεγχο πάνω στον εξοπλισμό, κάτι που είναι απαραίτητη προϋπόθεση για το ΙΤ Security. Βοηθά επίσης στην εφαρμογή διαβαθμίσεων (classification).
- Incident Management, το οποίο παρέχει τον έλεγχο και την ευελιξία που απαιτείται ώστε η διαχείριση των security incidents να είναι άμεση και αποτελεσματική χωρίς να χρειάζονται επιπλέον οργανωτικές ομάδες. Απαιτείται φυσικά το να έχουμε συμπεριλάβει τα Security Incidents ως μέρος της διαδικασίας και να έχουμε εκπαιδεύσει κατάλληλα το προσωπικό για να τα αναγνωρίζει.
- Service Continuity (ITSCM), παρέχει την αξιολόγηση των κινδύνων (risks) και της επίδρασής τους (impact) στην επιχείρηση και εξασφαλίζει την ανθεκτικότητα (resilience), την ύπαρξη εναλλακτικών μέσων και παροχών (fail-over) και την επαναφορά σε κανονική λειτουργία (recovery). Η ύπαρξη Service Continuity Plan είναι προαπαιτούμενο για το ISO 27001.
- Availability Management, τόσο για την ανάλυση πιθανών απειλών και την επίδρασή τους όσο και για τη συμμετοχή στο Confidentiality, Integrity, Availability (CIA) που αποτελεί το κυρίαρχο μέλημα του Information Security.
Συμπερασματικά, ένας οργανισμός ακολουθώντας βέλτιστες πρακτικές σύμφωνα με το ITIL v3, δεν θέτει μόνο τις σωστές βάσεις για την εφαρμογή IT Service Management, αλλά παράλληλα αποκτά ένα σαφές πλεονέκτημα για τη συμμόρφωση με τα IT Security ISO/IEC 27001 και 27002.
