In momentul de fata este imposibil sa discutam in mod serios despre securitatea informatiei fara a discuta despre procese. Insa procesele nu se inventeaza de la o zi la alta.

In cursul ultimului deceniu s-au impus astfel doua abordari : standardul ISO 27001 pentru securitatea sistemului de informatii si ITIL (IT Infrastructure Library) pentru serviciile informatice (cu versiunea sa certificabila ISO 20000).

Si nu e vorba despre un capriciu: anumite solutii populare privind securitatea au fost probabil concepute si comercializate in mult mai putin timp decat le-a luat acestor standarde sa fie elaborate!

ITIL si ISO 27001 vor ramane in continuare pe piata, insa pot ele sa coexiste? Sunt ele complementare sau, mai degraba, redundante? “Amandoua sunt absolut indispensabile. O companie care vrea sa isi gestioneze bine aspectele informatice va alege ITIL, in timp ce o companie care vrea sa isi gestioneze securitatea va alege ISO 27001,” a explicat Hervé Schauer de la cabinetul de consultanta HSC, specializat in securitatea informatica Unix, Windows NT, TCP/IP si internet.

Deci ITIL ar trebui implementat inaintea standardului ISO? Teoretic, da: in primul rand deoarece abordarea ITIL, care consta in documentarea sistemelor, in intocmirea analizei incidentelor si in cautarea cauzelor acestora, nu poate conduce decat la o fiabilitate sporita a sistemului informatic si, prin urmare, la un nivel global crescut al securitatii. Aceasta va constitui o baza solida pe care se poate construi reputatul sistem de management al securitatii informatiei (SMSI) in conformitate cu ISO 27001.

Un alt argument este faptul ca ITIL identifica, prin baza sa de date CMDB, resursele informatice ale companiei. Chiar acelea pe care securitatea trebuie sa le protejeze. O baza ITIL va inlesni deci implementarea unui sistem de management al securitatii prin faptul ca a identificat deja resursele care trebuie protejate.

Practic, totusi, se poate intampla invers. “Depinde, intr-adevar, de specificul companiei. Pentru o companie de gazduire, de pilda, este important sa demonstreze ca isi gestioneaza partea informatica mai bine decat clientii sai. A implementa ITIL, respectiv a fi certificat ISO 20000, are sens in acest caz. Dar exceptand furnizorii de servicii informatice si firmele de gazduire web, acest lucru isi pierde din semnificatie. O banca, de exemplu, n-ar avea niciun interes sa inceapa sa-si elaboreze dupa toate formele sistemul informatic prin ITIL. Ea va incepe inainte de toate prin a implementa ISO 27001,” a mai explicat Hervé Schauer.

Dincolo de a sti prin ce trebuie inceput, cele doua abordari par sa fie deci puternic complementare. ITIL va furniza, dupa cum am vazut, o baza solida pe care se va putea sprijini securitatea si ii va mai oferi si anumite informatii necesare (prin intermediul serviciului de asistenta tehnica, de exemplu).

In schimb, “ITIL nu stie ce sa faca atunci cand un angajat semnaleaza o bresa de securitate,” a amintit Hervé Schauer. Aici intervine responsabilitatea proceselor ISO 27001 de a gestiona acest tip de interogare.

Insa daca ITIL si ISO 27001 sunt complementare, ele nu sunt pana la punctul de a deveni un singur standard. Este vorba despre doua proiecte foarte diferite, care au putine legaturi directe si care se desfasoara separat. “Foarte putini dintre clientii nostri aplica ITIL la securitate sau securitatea la ITIL. In cel mai bun caz, ei aplica ITIL la procesele de crestere si de management al incidentelor legate de securitate,” a remarcat Arnaud Cassagne, director tehnic la Nomios, o alta companie specializata in securitatea datelor.

Doua standarde, sau unul singur?

O apropiere este totusi imaginabila pe termen lung. Insa pentru aceasta ar trebui armonizate si cadrele in sine: ITIL nu este decat o culegere de bune practici, in timp ce ISO 27001 este un standard care permite inclusiv demersul certificarii.

Un prim pas a fost facut prin standardul ISO 20000, “care a strans la un loc bunele practici dupa modelul plan-do-check-act, in vederea certificarii,” a adaugat Hervé Schauer. Si daca nu se va mai lansa o versiune a standardului ISO 20000 pentru ITIL v3, putem sa ne imaginam ca standardele ar putea fi reunite intr-un viitor.

Atunci s-ar putea pune problema apropierii standardelor ISO 20000 si ISO 27001. Potrivit lui Hervé Schauer, deja exista documente in acest sens. Cat despre Arnaud Cassagne, el isi imagineaza cele doua perimetre apropiindu-se pana la stadiul in care se vor suprapune total. “Deocamdata as fi inclinat sa spun ca exista destule tendinte in ambele directii. In prezent auzim vorbindu-se mai mult despre ISO 27001 decat despre ITIL, care este putin mai vechi. Dar poate ca in viitor ISO 27001 se va extinde si va acoperi domeniul ITIL, in acelasi mod in care acesta din urma a trecut de la v2 la v3,” si-a exprimat opinia directorul tehnic.

Si cu toate acestea, cele doua standarde se adreseaza unor categorii diferite: “ITIL si ISO 27001 interactioneaza in mod cert in viata de zi cu zi, insa se adreseaza unor oameni diferiti, care au responsabilitati diferite,” a amintit Hervé Schauer. Arhitectura actuala, in care ITIL v3 se refera la ISO 27001 cand vine vorba de managementul securitatii, pare destul de echilibrata pentru moment.

Si atunci, daca trebuie intr-adevar sa alegem un proiect inaintea celuilalt, care va fi acela: ITIL sau ISO 27001? Hervé Schauer preconizeaza o abordare personalizata de la caz la caz, in functie de specificul companiei. Insa recunoaste totusi ca “ISO 27001 functioneaza mult mai bine daca s-a implementat deja ITIL.”

Acelasi punt de vedere il impartaseste si Arnaud Chassagne, care ne sfatuieste sa incepem prin ITIL. “ITIL va permite oricum accesul la numeroase proiecte legate de securitate (clasificarea datelor si altele). Fara a pune la socoteala, desigur, managementul evenimentelor si informatiilor prin intermediul unei solutii simple care sa permita arhivarea, cautarea si exportarea evenimentelor,” a mai remarcat el, recunoscand ca si daca ne ghidam numai dupa bunul-simt, nu putem sa ne inselam alegand un standard sau altul.

In orice caz, dvs. le veti implementa pe amandoua, nu-i asa? (Un articol de Jérôme Saiz pentru securityvibes.fr)

VN:F [1.9.21_1169]
Rating: 0.0/5 (0 votes cast)