|
|
|
La struttura delle caratteristiche SMI dispone di una struttura a livelli multipli, con un massimo di tre livelli di dettagli relativi a ciascuna caratteristica principale.
Fa riferimento alla facilità con cui un servizio può essere ripristinato a un normale stato di funzionamento con mezzi comuni (ad esempio, conoscenza esistente, manuali e tecniche).
Fa riferimento alla possibilità del provider del servizio di apportare modifiche al servizio per mantenere il servizio in una buona condizione.
Fa riferimento al tempo impiegato dal provider del servizio per risolvere i problemi identificati e riportare il servizio a uno stato operativo.
Fa riferimento alla misura in cui il servizio rimane disponibile senza interruzioni grazie a una pianificazione efficace dei rischi e della loro riduzione.
Fa riferimento alla percentuale di tempo in cui il servizio è disponibile e in cui offre lo stato di funzionamento previsto.
Rappresenta una quantificazione del funzionamento di un servizio senza la comparsa di errori in presenza di condizioni specifiche in determinato periodo di tempo.
Fa riferimento alla misura in cui il servizio è resistente a modifiche, deterioramento o spostamento.
La misura in cui è possibile eseguire il ripristino di un servizio allo stato di configurazione autorizzato dopo evento pianificato o non pianificato.
La misura in cui un servizio è in grado di ritornare a uno stato operativo normale dopo un'interruzione non pianificata.
La possibilità di identificare la causa del comportamento specifico di un servizio con un grado dichiarato di certezza e tempo.
La funzionalità è una misura dell'appropriatezza, della completezza e dell'accuratezza del servizio; è un metodo per quantificare l'idoneità del servizio al proprio scopo.
Una misura dell'idoneità del servizio a soddisfare il proprio scopo dichiarato.
Fa riferimento alla possibilità di un servizio di fornire informazioni accurate.
Una misura della capacità di un servizio di essere sottoposto a una serie di test presentando risultati simili.
Fa riferimento alla possibilità dei servizi di funzionare insieme in maniera efficace, nonché di supportare sistemi esistenti nell'organizzazione o di altro tipo.
Fa riferimento a qualsiasi modifica effettuata in un servizio, come una nuova funzione o un nuovo componente, se la modifica è conforme alle interfacce esterne precedenti modificando solo il comportamento interno.
Fa riferimento alla possibilità del servizio di fare una chiara differenza nel raggiungere uno scopo o un risultato identificato.
Fa riferimento alla possibilità del servizio di supportare una strategia, un obiettivo o un risultato specifici.
Rappresenta la possibilità del servizio di eseguire operazioni specifiche senza alcuna perdita.
Il tempo necessario per l'esecuzione di una funzione fornita dal servizio.
Misura l'utilizzo delle fonti energetiche e dei materiali in relazione agli obiettivi ecologici (riduzione dell'impatto ambientale e protezione delle risorse).
Indica la facilità con cui il servizio può essere utilizzato per raggiungere un obiettivo specifico.
Fa riferimento alla misura in cui un servizio può essere preparato per il funzionamento, con un rischio minimo, mediante la configurazione automatica dei suoi componenti.
Fa riferimento alla natura di un servizio per il supporto di una serie di funzioni facili da adottare nell'impiego quotidiano di un set specifico di requisiti di processo.
Fa riferimento alla facilità con cui è possibile utilizzare la funzionalità fornita dal servizio.
Fa riferimento alla possibilità di un servizio di raggiungere il comportamento previsto in una determinata serie di circostanze
Indica la possibilità di creare correttamente e di sottoscrivere un contratto legale con un provider secondo i tempi previsti.
Rappresentano un insieme di funzioni e caratteristiche che costituiscono la funzionalità del servizio e lo descrivono. Queste caratteristiche variano in base alle funzionalità del servizio specifico o di una categoria di servizio.
La consapevolezza e la visibilità misurano l'impatto del servizio sulle organizzazioni nell'ambito delle relative operazioni IT.
Portabilità fa riferimento alla facilità relativa con cui i dati, le applicazioni, i processi o le procedure dell'organizzazione possono essere trasferite da un servizio a un altro servizio simile
Fa riferimento alla possibilità di un'organizzazione di passare con facilità da un provider di un servizio a un altro provider dello stesso servizio, senza alcun impatto o con un impatto minimo sulle operazioni aziendali.
L'utilizzo dei servizi astratti, da un provider di servizi interno o esterno, può compromettere la capacità dell'organizzazione di rispondere in maniera rapida agli eventi aziendali.
Una funzione molto utile per diversi servizi è la possibilità di espandere la capacità su richiesta, mediante una richiesta manuale o un processo automatico. Inoltre, la possibilità di ridimensionare l'utilizzo delle risorse e di ridurre le spese legate alle operazioni espanse, è un'altra funzione vantaggiosa.
Il rischio del provider è una raccolta di rischi esistenziali correlati al provider del servizio e alle modalità con cui gestiscono il business.
Fa riferimento alla coerenza e alla probabile continuità del provider del servizio ed è formata da capacità, mezzi finanziari, struttura e processi organizzativi. Altri problemi di stabilità, ad esempio la garanzia della qualità e le prestazioni, vengono trattati separatamente nell'ambito del processo del punteggio. Le organizzazioni che non lavorano in maniera proficua dal punto di vista finanziario sono più esposte a interruzioni del servizio a causa dell'incapacità di raggiungere accordi o di effettuare pagamenti ai fornitori, di attirare o legare a sé il personale e di aumentare le dimensioni delle operazioni per soddisfare le esigenze del cliente. Spesso le aziende di piccole e medie dimensioni operanti sui mercati emergenti diventano oggetto di fusioni e acquisizioni, che possono comportare una maggiore stabilità a costo della linea strategica o del rischio dei prezzi e un possibile periodo di instabilità del servizio durante la fase di integrazione.
Fa riferimento al rischio che il provider del servizio non disponga delle certificazioni standard appropriate del settore per la protezione IT e le operazioni. Le certificazioni tipiche sono ISO 27000, PCI DSS e SAS 70. I provider di servizi che dispongono di tali certificazioni presentano un'esposizione minore ai rischi in quanto soggetti a controlli documentati e ad audit di organizzazioni di terze parti.
Fa riferimento al rischio che il provider del servizio, a prescindere da fatto che si tratti di un provider interno o esterno, non rispetti gli obblighi concernenti il livello di servizio richiesto nell'accordo SLA corrispondente e/o non offra il facile accesso alle metriche correnti utilizzabili come indicatori delle prestazioni dei livelli di servizio richiesti. Tutti i requisiti importanti di un servizio devono essere identificati in un SLA con una descrizione della metrica che viene utilizzata per dimostrare che il livello di servizio viene soddisfatto. L'accesso (programmatico o mediante portali Web) a tali metriche deve essere conveniente per il cliente, per consentirgli di verificare il rispetto continuo dei livelli di servizio durante determinati intervalli di tempo.
Un provider server potrebbe esternalizzare a terze parti attività specifiche dalla catena di "produzione". In tale situazione, il livello di protezione e l'affidabilità del provider possono dipendere dal livello di protezione e dall'affidabilità di ciascun collegamento e dal livello di dipendenza del provider dalle terze parti. Qualsiasi interruzione o danno della catena o la mancanza di coordinamento delle responsabilità tra le parti interessate può causare diversi problemi, quali: mancata disponiblità dei servizi, perdita di dati riservati, problemi di integrità e disponibilità, perdita in termini economici e di reputazione a causa dell'incapacità di soddisfare la domanda del cliente, violazione SLA, errori in catena del servizio, ecc.
Fa riferimento al modo in cui il provider del servizio gestisce il business; include le pratiche aziendali e il comportamento etico all'esterno dell'ambito di conformità normativa. L'eticità include un comportamento onesto con i fornitori, i clienti e i dipendenti.
Include la conformità legale e legislativa e la capacità dell'organizzazione di ottenere e dimostrare il rispetto delle norme.
Fa riferimento al rischio che il provider di servizi [1] non sia in grado di fornire la documentazione per i controlli IT che sono stati forniti con il servizio e una descrizione delle modalità con cui vengono testati [2] non sia in grado di fornire dati facilmente accessibili e verificabili che rappresentano i risultati correnti e passati del test dei controlli [3] non supporti audit dei controlli interni ed esterni programmati a intervalli regolari.
Fa riferimento al rischio di furto o uso inappropriato o fraudolento dei servizi o dei dati a causa della definizione errata dei ruoli assegnati a dipendenti, collaboratori e utenti di terze parti. Le posizioni di protezione in un provider di servizi devono presentare descrizioni dei processi adeguate, processi di assunzione e di conclusione del contratto, termini e condizioni di impiego adatte alle posizioni chiave. In particolare, tutto il personale di sicurezza deve essere controllato in maniera adeguata prima dell'assunzione e successivamente in maniera regolare. Inoltre, la maggior parte del personale di sicurezza che copre le operazioni 24x7 deve aver acquisito una formazione specifica e presentare una certificazione come un esperto di sicurezza IT.
Fa riferimento al rischio di un accesso non autorizzato, al danneggiamento e all'interferenza nelle strutture e nelle informazioni del provider del servizio. Le strutture di elaborazione delle informazioni critiche o riservate devono essere ospitate in aree sicure, protette da perimetri di protezione definiti con chiarezza, barriere di protezione e controlli appropriati all'ingresso. Devono essere fisicamente protette dall'accesso non autorizzato, dal danneggiamento e dalle interferenze. La protezione fornita deve essere proporzionata ai rischi identificati.
Fa riferimento al rischio rappresentato da operazioni non corrette o non protette nelle strutture IT del servizio. Le responsabilità della gestione IT del provider del servizio e del cliente devono essere definite in maniera chiara in termini di funzioni e coordinazione (se necessario). Il provider del servizio deve fornire al cliente le interfacce di gestione, le funzionalità e i processi richiesti, in modo che il cliente sia in grado di gestire in maniera efficace le proprie responsabilità del servizio (questo comprende la creazione dei log, il monitoraggio e la protezione dei log). Le architetture cloud necessitano di determinati ruoli che sono esposti a rischi assai elevati, pertanto la separazione dei controlli dei compiti va implementata, dove appropriato, per ridurre il rischio di atti di negligenza o dell'abuso deliberato del sistema da parte di utenti interni malintenzionati.
Fa riferimento al rischio di un controllo inadeguato dell'accesso al servizio e ai dati all'interno del servizio rispetto al criterio di protezione del cliente e ai requisiti di legge. È necessario stabilire, documentare e rivedere regolarmente un criterio di controllo accesso, che comprende sia il provider del servizio sia il cliente, con i relativi controlli associati. Le regole e i diritti del controllo accesso per il provider del servizio e i gruppi di utenti cliente devono essere dichiarati in maniera precisa in un criterio di controllo accesso. I controlli accesso sono nomi logici e fisici e che vanno considerati insieme. Sono inclusi: la gestione dell'accesso utenti, il controllo accesso alla rete, il controllo accesso al sistema operativo, il controllo accesso all'applicazione, il controllo accesso ai dati, controllo accesso mobile, ecc.
Rappresentano le misure adottate per proteggere i dati del cliente. Ciò include la conformità del provider del servizio ai criteri specificati, la posizione geografico o politica dei dati, la proprietà dei dati, la privacy e la perdita dei dati e l'integrità dei dati.
Il provider del servizio deve essere adottare una serie completa di criteri con cui gestire tutti gli aspetti della sicurezza e della protezione dei dati e deve disporre di controlli per garantire la conformità ai criteri specificati. Il criterio deve essere disponibile per la revisione da parte del cliente, nonché deve essere dimostrato che i criteri vengono rispettati in maniera coerente.
Il provider del servizio deve disporre di un criterio esplicito per la memorizzazione e la distruzione dei dati. Tale criterio deve soddisfare i requisiti dei clienti relativi agli intervalli di tempo di memorizzazione richiesti ai fini della conformità alle normative, quali Sarbanes Oxley o Graham Leach Bliley Act. Inoltre il criterio deve essere in grado di supportare il prolungamento della memorizzazione dei dati in risposta a richieste legali e di distruggere in maniera sicura e completa i dati nel momento in cui non sono più necessari.
Il provider del servizio deve essere in grado di dimostrare la conformità ai criteri specificati. Ciò include la disponibilità di log, report, risultati di audit interni o esterni o qualsiasi altro meccanismo che rappresenta una prova del fatto che il provider del servizio rispetta i criteri pubblicati e conserva record corretti.
Fa riferimento al rischio che i dati del cliente possano essere memorizzati in diverse giurisdizioni, alcuni dei quali potrebbero rappresentare un rischio elevato. Ad esempio nel caso di datacenter con sede in paesi ad alto rischio come quelli privi di stato di diritto, caratterizzati da quadri normativi non stabili, regimi autocratici, o non soggetti agli accordi internazionali, ecc. In alcuni casi i regolamenti nazionali non consentono il trasferimento dei dati al di fuori dei confini geopolitici.
I dati archiviati creati o elaborati dal servizio possono venire limitati nell'uso o nella proprietà dai termini della relazione con il provider del servizio. Questo potrebbe compromettere la possibilità degli utenti di soddisfare i propri obiettivi, di trasportare o riutilizzare i dati.
Si tratta del rischio che il provider del servizio non sia in grado di [1] rilevare la perdita o la dispersione di un PI a causa di problemi nella protezione del servizio e/o dei processi per l'intero ciclo di vita dei dati all'interno del servizio e [2] avvisare il cliente (e quindi le vittime potenziali di tale perdita) comunicando i dettagli della perdita dei dati in un periodo di tempo appropriato secondo i requisiti normativi e consentendo al cliente di adottare le misure di correzione necessarie.
L'integrità dei dati fa riferimento alla validità e alla costanza dei dati archiviati, creati o elaborati dal servizio, la possibilità di utilizzare i dati e il grado di affidabilità dei dati.
Fa riferimento alle spese sostenute dal sottoscrittore del servizio al momento della consegna iniziale.
Fa riferimento alle spese (ad esempio i prezzi) sostenute dal sottoscrittore del servizio per il mantenimento dei diritti di sottoscrizione su base permanente.
L'indicatore di misurazione diretto per il costo del servizio.
| Copyright © 2012 CA. Tutti i diritti riservati. | Contatta CA Technologies |