fbpx
Vulnerabilità di Injection e Remote Code Execution: la principale causa di Data Breach e furto di dati
31 Maggio 2019
Vulnerabilità a 360° – Casi reali e l’importanza dell’analisi del rischio
1 Giugno 2019

ITIL 4 Foundation

Axelos (la società che mantiene ITIL) ha pubblicato il volume ITIL 4 Foundation e messo a disposizione l’esame.

Breve storia di ITIL

ITIL nacque negli anni Ottanta del secolo scorso per fornire indicazioni in merito alla gestione dell’infrastruttura informatica. Nel 2000 fu consolidato quanto pubblicato fino a quel momento in due volumi dedicati al Service support e al Service delivery, noti come ITILv2.

Nel 2007 fu pubblicata ITILv3, in 5 volumi. Esso rispondeva all’esigenza di spostare sempre più l’attenzione verso la gestione dei servizi informatici e non della sola infrastruttura. Nel 2011 fu pubblicato un ulteriore aggiornamento, visto soprattutto come correttivo del precedente.

Nel 2019 è stato pubblicato il volume ITIL 4 Foundation. Al momento, quindi, non è stato pubblicato ITIL 4 nella sua completezza, ma solo il manuale per sostenere l’esame ITIL4 Foundation (disponibile dal 28 febbraio 2019).

I contenuti

Il manuale mette a disposizione le informazioni di base del modello ITIL, senza doverle estrarre da volumi più ampi.

Ora, il modello ruota intorno a tre elementi chiave: le attività del SVS (Service value system), le pratiche e i principi.

I contenuti nuovi rispetto alla precedente edizione sono molti e per questo molti suggeriscono, anche a chi abbia già ottenuto la certificazione ITILv3 o ITIL 2011 Foundation, di seguire il corso completo.

Il Service value system (SVS)

Le attività del SVS sono sei:

  • pianificazione;
  • miglioramento;
  • coinvolgimento (engage);
  • progettazione (design) e transizione;
  • acquisizione e realizzazione;
  • consegna e supporto.

In precedenza, ITIL si basava sulle cinque fasi di strategia, progettazione, transizione, esercizio, miglioramento continuo (corrispondenti ai cinque libri che componevano ITILv3 e ITIL 2011). Il SVS può essere visto come un’evoluzione del precedente modello.

Per una corretta realizzazione di quanto necessario, vanno sempre considerate quattro dimensioni:

  • organizzazione e persone;
  • informazioni e tecnologia;
  • partner e fornitori;
  • flussi di valore e processi.

In precedenza, ITIL richiamava l’importanza delle 4 P: persone, prodotti, partner e processi. Ancora una volta, ITIL 4 rinnova concetti già espressi in precedenza e ne propone un’evoluzione.

Da aggiungere che, rispetto alle edizioni precedenti, è stata data importanza ai servizi cloud.

Le pratiche

Le “pratiche” di ITIL 4 corrispondono ai “processi” delle precedenti versioni. Sono 34, divise in generali, di servizio e tecniche. Non sono diminuite rispetto alla precedente edizione. L’idea è però quella di fornire indicazioni in merito agli aspetti della gestione dei servizi, non di presentare un modello unitario e coerente di queste pratiche.

Forse proprio il numero eccessivo di processi e l’impossibilità di presentarne un modello unitario (ossia di correlare i processi tra loro) ha condotto gli autori di ITIL 4 a rinunciare all’idea di “processi” e ad abbracciare quella di “pratiche”. È possibile dire che la riduzione delle “pratiche” è un’occasione mancata, visto che alcune sovrapposizioni (per esempio tra “service design” e “change control” e tra “release management” e “deployement management“) non sono spiegate o vengono affrontate superficialmente.

In merito alle pratiche, alcune considerazioni:

  • è usata l’espressione “forza lavoro e talenti” (workforce and talent) al posto di “risorse umane”;
  • nell’ambito del Configuration management, è sottolineato che il CMS (Configuration management system) è importante, ma non deve necessariamente raccogliere troppi dettagli né deve essere unico;
  • nell’ambito del Change control è specificato che i processi di controllo dei change possono essere distinti per ambienti distinti (in molti pensavano ad un unico Change manager per tutti i change);
  • sempre nell’ambito del Change control (per lo meno a livello di foundation) non si parla più di change manager e CAB (Change advisory board), ma solo della necessità di prevedere diversi livelli di autorizzazione per i change;
  • l’importanza della pratica di “change control” è ridotta rispetto alle precedenti versioni (per esempio, viene citata solo una volta nei quattro esempi forniti in Appendice A);
  • è usato il termine “continuity” per eventi di elevato impatto, contrariamente ad altri (per esempio il BCI) che lo usano, invece, anche per incidenti di impatto minore.

Per ogni pratica sono indicati gli impatti sulle sei attività del SVS. Alcune scelte sono discutibili. Si tratta di un tentativo di correlare il modello SVS con le 34 pratiche, ma, come spesso succede, i tentativi di correlare modelli diversi risultano difficili e il risultato non è ottimale.

I principi guida

I principi sono otto:

  • concentrarsi sul valore;
  • iniziare da dove si è (ossia essere consapevoli del proprio stato prima di iniziare attività di miglioramento: questo include, finalmente, una critica alle misurazioni e un richiamo all’importanza del monitoraggio);
  • progredire con iterazioni e riscontri (con questo principio, ITIL promuove l’approccio Agile, criticando, in qualche modo, chi ha cercato di adottare ITIL con un approccio di reingegnerizzazione dei processi; si ritorna, insomma, al Kaizen promosso nell’ambito della qualità);
  • collaborare e promuovere visibilità;
  • pensare e lavorare in modo olistico;
  • mantenere semplicità e praticità (principio spesso dimenticato da manager, consulenti e auditor: una frase interessante è “Simplicity is the ultimate sophistication”);
  • ottimizzare e automatizzare.

Articolo a cura di Cesare Gallotti

Lavora dal 1999 nel campo della sicurezza delle informazioni, della qualità e della gestione dei servizi IT.

Ha condotto progetti di consulenza per la pubblica amministrazione e per il settore privato. Opera, sia in Italia che all’estero, come Lead Auditor ISO/IEC 27001, ISO 9001, ISO/IEC 200000 e ISO 22301. Ha progettato ed erogato corsi di Quality Assurance e di certificazione Lead Auditor ISO/IEC 27001 e ITIL Foundation.

Tra gli attestati si segnalano: le certificazioni AICQ SICEV Lead Auditor ISO/IEC 27001, IRCA Lead Auditor 9001, CISA, ITIL Expert e CBCI, la qualifica come Lead Auditor ISO/IEC 20000 e il perfezionamento postlaurea in “Computer Forensics e investigazioni digitali”.

E’ capodelegazione del WG1 del comitato italiano ISO/IEC SC27 in UNINFO.

Ha pubblicato il libro, aggiornato nel 2017, “Sicurezza delle informazioni: valutazione del rischio; i sistemi di gestione; la norma ISO/IEC 27001:2013”.

Cura la pubblicazione, dal 2008, della newsletter “IT Service management news” (http://www.cesaregallotti.it/Newsletter.html).

Web: www.cesaregallotti.it; Blog: blog.cesaregallotti.it

Download PDF
Condividi sui Social Network:

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy