Divulgao

Algumas recomendaes para um modelo de governana da segurana da informao

Mauro Csar Bernardes Doutor em Computao pela Universidade de So Paulo (ICMC/USP 2005). Atualmente, diretor de diviso tecnolgica no Centro de Computao Eletrnica da USP (CCE/USP) e professor no Centro Universitrio Radial (UniRadial), atuando na rea de Segurana da Informao e Governana de TIC.

RESUMO
Este artigo apresenta um conjunto de recomendaes para o desenvolvimento de um modelo que permitir, aos administradores de uma organizao, a incorporao da governana da segurana da informao, como parte do seu processo de governana organizacional. A partir da utilizao desse modelo, pretende-se que o conhecimento sobre os riscos relacionados com a infra-estrutura de Tecnologia da Informao e Comunicao (TIC) seja apresentado de forma objetiva ao conselho administrativo, ao longo do desenvolvimento de seu planejamento estratgico. Uma reviso de literatura, sobre governana de TIC, foi realizada para a identificao de modelos que pudessem oferecer contribuies.

1. Governana de Tecnologia da Informao e Comunicao

A informao reconhecida pelas organizaes nos ltimos anos como sendo um importante recurso estratgico, que necessita ser gerenciado (Weill & Ross, 2004). Os sistemas e os servios de Tecnologia da Informao e Comunicao (TIC) desempenham um papel vital na coleta, anlise, produo e distribuio da informao, indispensvel execuo do negcio das organizaes. Dessa forma, tornou-se essencial o reconhecimento de que a TIC crucial, estratgica e um importante recurso que precisa de investimento e gerenciamento apropriados. Esse cenrio motivou o surgimento do conceito de governana tecnolgica, do termo ingls IT Governance, por meio da qual procura-se o alinhamento de TIC com os objetivos da organizao. Governana tecnolgica define que TIC um fator essencial para a gesto financeira e estratgica de uma organizao e no apenas um suporte a esta. Governana de TIC pode ser definida da seguinte forma: Uma estrutura de relacionamentos entre processos para direcionar e controlar uma empresa para atingir seus objetivos corporativos, por meio da agregao de valor e controle dos riscos pelo uso da TIC e seus processos (ITGI, 2001); capacidade organizacional exercida pela mesa diretora, gerente executivo e gerente

52

F onte Fonte

Julho/Dezembro de 2007

de TIC, de controlar o planejamento e a implementao das estratgias de TIC e, dessa forma, permitir a fuso da TIC ao negcio (Van Grembergen, 2003); especificao das decises corretas em um modelo que encoraje o comportamento desejvel no uso de TIC, nas organizaes (Weill & Ross, 2004).

A governana envolve direcionamento de TIC e controle da gesto, verificao do retorno do investimento e do controle dos riscos, anlise do desempenho e das mudanas na TIC e alinhamento com as demandas futuras da atividade fim foco interno e com a atividade fim de seus clientes foco externo. Essa abrangncia ilustrada na Figura 1. A gesto preocupa-se com o planejamento, a organizao, a implementao, a

implantao e a manuteno da infra-estrutura de TIC e com o gerenciamento dos processos com foco no suporte e no fornecimento dos servios (Van Grembergen, 2003). Para alcanar a governana da tecnologia da informao e comunicao, as organizaes utilizam modelos que definem as melhores prticas para a gesto de TIC. Entre esses modelos, os de maior aceitao so o COBIT (ITGI, 2000) e ITIL (OGC, 2000).

Atvidade-fim

Externo Governana de TI

Interno Gesto de TI Tempo Presente Futuro

Figura 1 Abrangncia da governana e da gesto de TI (Van Grembergen, 2003).

2. Necessidade de Governana da Segurana da Informao

Seja de forma sistmica e prtica ou de forma cientfica, o gestor deve sempre buscar a melhor das alternativas para suas decises. De forma sistmica, o gestor usa a experincia acumulada e as observaes do ambiente para fazer seu cenrio decisrio ou modelo decisrio. possvel considerar que isso seja vlido no s para o processo decisrio no enfoque organizacional, mas tambm para o gerenciamento de segurana da informao. Entretanto, em funo do grande nmero de dados provenientes das mais diversas fontes da infra-estrutura de TIC no cenrio atual, boa parte das decises precisa ser tomada de forma estruturada e cientfica e no mais de forma sistmica. Isso vlido tanto para as questes de segurana computacional, quanto para o processo de tomada de decises estratgicas nas organizaes. No enfoque organizacional, de forma cientfica, o gestor pode utilizar modelos de governana organizacional apoiados por ferramentas disponveis na teoria da deciso, que, por sua vez, utiliza ferramental de outras cincias, tais como matemtica, estatstica, filosofia, administrao, etc.

Julho/Dezembro de 2007

F onte Fonte

53

Considerando a dependncia atual das organizaes do correto funcionamento de sua rea de TIC, para a realizao de sua misso, as aes relacionadas com a segurana computacional esto deixando cada vez mais de ser tratadas apenas como uma responsabilidade da rea de TIC e esto sendo vistas como um desafio para os gestores das organizaes. Os gestores atuais esto cada vez mais necessitados de incorporar as

responsabilidades relacionadas com a segurana computacional em seu processo de tomada de deciso. Alm disso, os administradores atuais necessitam que no s a TIC esteja alinhada com as estratgias da organizao, mas que estas estratgias estejam tirando o melhor proveito da infra-estrutura de TIC existente. Eles tero que assumir cada vez mais a responsabilidade de garantir que as organizaes estejam oferecendo aos

seus usurios e clientes um ambiente de TIC seguro e confivel. As organizaes necessitam de proteo contra os riscos inerentes ao uso da infra-estrutura de TIC e simultaneamente obter indicadores dos benefcios de ter essa infra-estrutura segura e confivel. Dessa forma, alm da governana de TIC, as organizaes precisam estruturar especificamente a governana da segurana da informao.

3. Algumas Iniciativas Relacionadas com a Governana da Segurana da Informao

possvel encontrar estudos que apontem a necessidade de um modelo, para que as organizaes possam alcanar a governana da segurana da informao (BSA, 2003) (ITGI, 2001) (IIA, 2001) (CGTFR,2004) (NCSP, 2004) (Caruso, 2003) (OGC, 2001B) (CERT, 2005b). Em um estudo recente, o Coordination Center (CERT/CC), um centro especializado em segurana na internet, localizado no Software Engineering InstituteCarnegie Mellon University, aponta a atual necessidade de as organizaes estabelecerem e manterem a cultura de uma conduta organizacional para a segurana da informao. Eles procuram motivar as organizaes a expandirem seus modelos de governana, incluindo questes de segurana computacional, e incorporar o pensamento sobre segurana por toda a organizao, em suas aes dirias de governana corporativa (CERT, 2005b ). Como resultado de uma fora tarefa formada nos Estados Unidos, em dezembro de 2003, para desenvolver e promover um framework de governana coerente, para direcionar a implementao de um programa efetivo de segurana da informao, foi apresentado ao pblico um documento descrevendo a necessidade de governana da segurana da informao (CGTFR, 2004). Esse trabalho apresenta tambm recomendaes do que necessrio ser implementado e uma proposta para avaliar a dependncia das organizaes em relao segurana computacional. O IT Governance Institute apresenta tambm a necessidade de ter um modelo para governana da segurana da informao (ITGI, 2001). Nesse trabalho apresentada a necessidade de as diretorias das organizaes envolverem-se com as questes de segurana computacional.

4. Modelos em Auxlio Governana da Segurana da Informao

Um modelo para governana da segurana da informao pode ser estruturado como um subconjunto da governana de TIC e, conseqentemente, da governana organizacional. Esse modelo ser responsvel pelo alinhamento das questes de segurana computacional com o plano estratgico da organizao. Ao descrever o cenrio atual para o gerenciamento de segurana computacional, muitas fontes na literatura apontam a necessidade e a importncia de alcanar um modelo de governana da segurana da informao, que possa ser utilizado pelas organizaes, de modo que a segurana computacional no seja tratada apenas no mbito tecnolgico, mas reconhecida como parte integrante do planejamento estratgico das organizaes no processo de tomada de deciso. O The Institute of Internal Auditors (IIA) publicou um trabalho onde destaca que, uma vez que os diretores so responsveis pelos bons resultados e pela continuidade da organizao que governam, eles precisam aprender a identificar, atualmente, as questes corretas sobre segurana computacional e, ainda, consider-las como parte de sua responsabilidade (IIA, 2001). Atualmente, as responsabilidades acerca da segurana computacional so, freqentemente, delegadas ao gerente de segurana (Chief Security Officer) das organizaes, gerando

54

F onte Fonte

Julho/Dezembro de 2007

conflitos em relao ao oramento destinado a essa rea e necessidade de impor medidas que vo alm de seu escopo de atuao. Dessa forma, muito comum observar um cenrio, em que as questes de segurana computacional no so tratadas em um nvel de gesto da organizao, tendo, como conseqncia, a falta de recursos para minimizar os riscos existentes no patamar exigido pela estratgia organizacional. A responsabilidade pelo nvel correto de segurana computacional dever ser uma deciso estratgica de negcios, tendo como base um modelo de governana da segurana da informao que contemple uma anlise de risco. Em um relatrio do Corporate Governance Task Force proposto que, para proteger melhor a infra-estrutura de TIC, as organizaes deveriam incorporar as questes de segu-

rana computacional em suas aes de governana corporativa (CGTFR, 2004). Em um trabalho publicado em 2003, o Business Software Alliance (BSA) chama a ateno para a necessidade de desenvolver um modelo de governana da segurana da informao, que possa ser adotado imediatamente pelas organizaes (BSA, 2003). Esse trabalho sugere que os objetivos de controle contidos na ISO 27000 devam ser considerados e ampliados para o desenvolvimento de um modelo, em que governana da segurana da informao no seja considerada apenas no plano tecnolgico, mas parte integrante das melhores prticas corporativas, no deixando de cobrir aspectos relacionados com as pessoas, processos e tecnologia. Para que as organizaes obtenham sucesso na segurana de sua

informao, os gestores precisam tornar a segurana computacional uma parte integrante da operao do negcio da organizao (ENTRUST, 2004). A forma proposta para se conseguir isso utilizar um modelo de governana da segurana da informao como parte do controle interno e polticas que faam parte da governana corporativa. Considerando-se esse modelo, segurana computacional deixaria de ser tratada apenas como uma questo tcnica, passando a ser um desafio administrativo e estratgico. Um modelo de governana da segurana da informao dever considerar as observaes apresentadas anteriormente e apresentar-se fortemente acoplado ao modelo de governana de TIC, detalhando e ampliando seu escopo de atuao na rea de interseo com a segurana computacional.

5. Requisitos para um Modelo de Governana da Segurana da Informao

Uma vez que as organizaes possuem necessidades distintas, elas iro apresentar abordagens diversas para tratar as questes relacionadas com a segurana da informao. Dessa forma, um conjunto principal de requisitos deve ser definido para guiar os mais diversos esforos. Identificados esses requisitos, deve-se correlacion-los em um modelo de governana da segurana da informao. Um modelo de governana da segurana da informao poder ser desenvolvido tendo em mente os seguintes requisitos: 1. Os Chief Executive Officers (CEOs) precisam ter um mecanismo para conduzir uma avaliao peridica sobre segurana da informao, revisar os resultados com sua equipe e comunicar o resultado para a mesa diretora. 2. Os CEOs precisam adotar e patrocinar boas prticas corporativas para segurana computacional, sendo municiados com indicadores objetivos que os faam considerar a rea de segurana computacional como um importante centro de investimentos na organizao e no apenas um centro de despesas. 3. As organizaes devem conduzir periodicamente uma avaliao de risco relacionada com a informao, como parte do programa de gerenciamento de riscos. 4. As organizaes precisam desenvolver e adotar polticas e procedimentos de segurana com base na anlise de risco para garantir a segurana da informao. 5. As organizaes precisam estabelecer uma estrutura de gerenciamento da segurana para definir explicitamente o que se espera de cada indivduo em termos de papis e responsabilidades. 6. As organizaes precisam desenvolver planejamento estratgico e iniciar aes para prover a segurana adequada para a rede de comunicao, para os sistemas e para a informao. 7. As organizaes precisam tratar segurana da informao como parte integral do ciclo de vida dos sistemas.

Julho/Dezembro de 2007

F onte Fonte

55

8. As organizaes precisam divulgar as informaes sobre segurana computacional, treinando, conscientizando e educando todos os envolvidos. 9. As organizaes precisam conduzir testes peridicos e avaliar a eficincia das polticas e procedimentos relacionados com a segurana da informao. 10. As organizaes precisam criar e executar um plano para remediar vulnerabilidades ou deficincias que comprometam a segurana da informao. 11. As organizaes precisam desenvolver e colocar em prtica procedimentos de resposta a incidentes. 12. As organizaes precisam estabelecer planos, procedimentos e testes para prover a continuidade das operaes. 13. As organizaes precisam usar as melhores prticas relacionadas com a segurana computacional, como a ISO 20000 (antiga ISO 17799), para medir a performance da segurana da informao. Tendo como base a estrutura de tomada de deciso em sistemas de informao gerenciais, os princpios citados podem ser organizados

em trs nveis: operacional, ttico e estratgico. A organizao nesses nveis ir permitir a evoluo de dados do nvel operacional em informao do nvel ttico e, posteriormente, em conhecimento do nvel estratgico, que possa ser til aos gestores no planejamento estratgico das organizaes. Estruturado dessa forma, o modelo poder ser utilizado para prover conhecimento necessrio para motivar os administradores a patrocinar a utilizao das melhores prticas de segurana computacional em todos os nveis da organizao. Dessa forma, o modelo dever ainda ser capaz de apontar as melhores prticas a serem seguidas em cada um dos nveis da organizao, contemplando trs pontos principais em cada um desses nveis: O que se espera de cada indivduo: o que deve e o que no deve ser feito. Como cada indivduo poder verificar se est cumprindo o que esperado: indicadores de produtividade. Quais mtricas devem ser utilizadas para medir a eficincia dos processos executados e para apontar ajustes que necessitem ser aplicados. Uma reviso de literatura sobre prticas de gerenciamento de segurana computacional aponta, pelo

menos, quatro pontos chaves a serem considerados na definio de um modelo para a governana da segurana da informao, a saber: Necessidade de uma avaliao de risco. Os riscos precisam ser conhecidos e as medidas de segurana correspondentes devem ser identificadas. Necessidade de uma estrutura organizacional de segurana computacional, tratada em todos os nveis da organizao. Necessidade de criar, endossar, implementar, comunicar e monitorar uma poltica de segurana por toda a organizao, com comprometimento e apoio visvel dos gestores. Necessidade de fazer com que cada indivduo da organizao conhea a importncia da segurana computacional e trein-los, para que possam utilizar as melhores prticas neste sentido. Embora esses quatro pontos chave sejam os mais comuns apontados pela literatura, os seguintes pontos so citados com freqncia: Necessidade de monitorar, auditar e revisar as atividades de forma rotineira. Necessidade de estabelecer um plano de continuidade de negcio que possa ser testado regularmente.

6. Processos e Controles para um Modelo de Governana da Segurana da Informao

Para atender a todos os requisitos necessrios a um modelo de governana da segurana da informao, proposto, neste artigo, a combinao das potencialidades dos modelos COBIT e ITIL e da norma ISO 20000. Esses modelos vm sendo utilizados isoladamente pelas organizaes nos ltimos anos e representam as melhores prticas desenvolvidas, testadas e aprovadas por especialistas ao redor do mundo. Uma viso geral da norma ISO 27000, dos modelos COBIT e ITIL sero apresentados a seguir.

56

F onte Fonte

Julho/Dezembro de 2007

6.1 Cdigo de Prtica para a Gesto da Segurana da Informao - ISO 27001

Para atender aos anseios de grandes empresas, de agncias governamentais e de instituies internacionais em relao ao estabelecimento de padres e normas que refletissem as melhores prticas de mercado relacionadas com a segurana dos sistemas e informaes, o British Standards Institute (BSI) criou uma das primeiras normas sobre o assunto. Denominada BS 7799 - Code of Practice for Information Security Management, ela foi oficialmente apresentada em primeiro de dezembro de 2000, aps um trabalho intenso de consulta pblica e internacionalizao. A BS 7799 foi aceita como padro internacional pelos pases membros da International Standards Organization (ISO), sendo ento denominada ISO/ IEC 17799:2000 (ISO, 2000). No ano 2001, a norma foi traduzida e adotada pela Associao Brasileira de Normas Tcnicas (ABNT), como NBR 17799 - Cdigo de Prtica para a Gesto da Segurana da Informao (ABNT, 2001). A norma ISO/IEC 17799, com base na parte 1 da BS 7799, fornece recomendaes para gesto da segurana da informao, a serem usadas pelos responsveis pela introduo, implementao ou manuteno da segurana em suas organizaes. Tem como propsito prover uma base comum para o desenvolvimento de normas de segurana organizacional e das prticas efetivas de gesto da segurana, e prover confiana nos relacionamentos entre organizaes Atualmente, essa norma evoluiu para um conjunto de normas organizadas pelo ISO, como ISO 27000 (ISO, 2000). O conjunto de normas ISO 27000, que substituiu a norma 17799:2005, define 127 objetivos de controle que podero ser utilizados para indicar o que deve ser abordado no modelo de governana da segurana da informao a ser adotado na organizao, enfocando o processo sob o ponto de vista do negcio da empresa. A norma trata, dentre outros, dos seguintes aspectos: Poltica de Segurana, Plano de Continuidade do Negcio, Organizao da Segurana, Segurana Fsica e Ambiental, Controle de Acesso e Legislao. Essa norma considera a informao como um patrimnio que, como qualquer importante patrimnio da organizao, tem um valor e, conseqentemente, precisa ser adequadamente protegido. A conformidade dos processos corporativos com a norma ISO 27001 pode ser utilizada pelas empresas, para demonstrar aos seus parceiros de negcio e clientes o seu comprometimento com as informaes por ela manipuladas em relao aos seguintes conceitos bsicos da segurana da informao: Confidencialidade: garantia de que o acesso informao seja obtido somente por pessoas autorizadas. Integridade: salvaguarda da exatido e completeza da informao e dos mtodos de processamento. Disponibilidade: garantia de que os usurios autorizados obtenham acesso informao e aos ativos correspondentes, sempre que necessrio. Nesse contexto, a segurana da informao est relacionada com a proteo da informao contra uma grande variedade de ameaas, para permitir a continuidade do negcio, minimizar perdas, maximizar o retorno de investimentos e capitalizar oportunidades. Para a seleo dos objetivos de controle apropriados para a organizao, a norma recomenda que seja realizada uma Anlise de Risco, que ir determinar a necessidade, a viabilidade e a melhor relao custo/benefcio para a implantao desses controles.

6.2 Modelo COBIT

A misso maior relacionada com desenvolvimento do modelo Control Objectives for Information and Related Technology (COBIT) pesquisar, desenvolver, publicar e promover um conjunto atualizado de padres internacionais e de melhores prticas referentes ao uso corporativo de TIC para os gerentes e auditores de tecnologia (ITGI, 2000). Desenvolvido e difundido pelo Information System Audit and Control (ISACA) e pelo IT Governance Institute (a partir da terceira edio do modelo), o COBIT um modelo considerado por muitos a base da governana tecnolgica. O COBIT funciona como uma entidade de padronizao e estabelece mtodos formalizados para guiar a rea de tecnologia das empresas, incluindo qualidade, nveis de maturidade e segurana da informao. O COBIT est estruturado em quatro domnios, para que possa refletir um modelo para os processos de TIC. Esses domnios podem ser caracterizados pelos seus processos e pelas atividades executadas em cada fase de implementao da

Julho/Dezembro de 2007

F onte Fonte

57

governana tecnolgica. Os domnios do COBIT so os seguintes: a) Planejamento e Organizao: esse domnio possui onze objetivos de controle que dizem respeito s questes estratgicas associadas a como a TIC pode contribuir, da melhor forma possvel, para alcanar os objetivos da organizao. b) Aquisio e Implementao: possui seis objetivos de controle que definem as questes de identificao, desenvolvimento e aquisio da infraestrutura de TIC, conforme as diretivas estratgicas e de

projeto predefinidos no Plano Estratgico de Informtica da empresa, tambm conhecido como Plano Diretor de Informtica (PDI). c) Entrega e Suporte: esse domnio, com treze objetivos de controle, define as questes ligadas ao uso da TIC, para atendimento dos servios oferecidos para os clientes, a manuteno e as garantias ligadas a estes servios. d) Monitorao: com quatro objetivos de controle, esse domnio define as questes de auditoria e acompanhamento
Objetivos do Negcio

dos servios de TIC, sob o ponto de vista de validao da eficincia dos processos e evoluo destes em termos de desempenho e automao. O modelo COBIT define objetivos de controle como sendo declaraes de resultado desejado ou propsito a ser atingido, pela implementao de procedimentos de controle numa atividade de TI em particular. A Figura 2 ilustra os quatro domnios do COBIT, os objetivos de controle para cada domnio e seus inter-relacionamentos.

Governana de TIC

COBIT

M1 - Monitorar os Processos M2 - Avaliar a Adequao do Controle Interno M3 - Obter Certificao Independente M4 - Providenciar Auditoria Independente

PO1 - Definir um Plano Estratgico de TI PO2 - Definir a Arquitetura da Informao PO3 - Determinar a Direo Tecnolgica PO4 - Definir a Organizao e Relacionamentos de TI PO5 - Gerenciar o Investimento em TI PO6 - Comunicar Metas e Diretivas Gerenciais PO7 - Gerenciar Recursos Humanos PO8 - Garantir Conformidade com Requisitos Externos PO9 - Avaliar Riscos PO10 - Gerenciar Projetos PO11 - Gerenciar Qualidade

Monitorizao

Objetivos do Negcio

Informao

Entrega e Suporte
DS1 - Definir e Gerenciar Nveis de Servio DS2 - Gerenciar Servios de Terceiros DS3 - Gerenciar Desempenho e Capacidade DS4 - Garantir Continuidade dos Servios DS5 - Garantir Segurana de Sistemas DS6 - Identificar e Alocar Custos DS7 - Educar e Treinaar Usurios DS8 - Auxiliar e Aconselhar Clientes DS9 - Gerenciar Configurao DS10 - Gerenciar Problemas e Incidentes DS11 - Gerenciar dados DS12 - Gerenciar Instalaes DS13 - Gerenciar a Operao

Eficincia Eficcia Confidencialidade Integridade Disponibilidade Conformidade Confiabilidade

Aquisio e Implementao
AI1 - Identificar Solues Automatizadas AI2 - Adquirir e Manter Software Aplicativo AI3 - Adquirir e Manter Infra-Estrutura Tecnolgica AI4 - Desenvolver e Manter Procedimentos AI5 - Instalar e Validar Sistemas AI6 - Gerenciar Mudanas

Figura 2 Os domnios de processo do COBIT (ITGI, 2000).

58

F onte Fonte

Julho/Dezembro de 2007

Alm dos quatro domnios principais, que guiam o bom uso da tecnologia da informao na organizao, existe tambm a questo de auditoria, que permite verificar, por meio de relatrios de avaliao, o nvel de maturidade dos processos da organizao. O mtodo de auditoria segue o modelo do Capability Maturity Model for Software (CMMS) (Paulk et al., 1993) e estabelece os seguintes nveis: 0) Inexistente: Significa que nenhum processo de gerenciamento foi implementado. 1) Inicial: O processo implementado realizado sem organizao, de modo no planejado. 2) Repetitvel: O processo implementado repetido de modo intuitivo, isto , depende

mais das pessoas do que de um mtodo estabelecido. 3) Definido: O processo implementado realizado, documentado e comunicado na organizao. 4) Gerenciado: Existem mtricas de desempenho das atividades, de modo que o processo implementado monitorado e constantemente avaliado. 5) Otimizado: As melhores prticas de mercado e automao so utilizadas para a melhoria contnua dos processos envolvidos. O resultado da auditoria da metodologia COBIT, para a avaliao do nvel de maturidade, ajuda a rea de TIC a identificar o nvel atual e como evoluir para melhorar os

processos da organizao, permitindo a evoluo gradativa desses. O resultado da auditoria permite identificar o nvel de evoluo dos processos na organizao, de modo concreto, com base em relatrios confiveis de auditoria e parmetros de mercado. O sumrio executivo do relatrio gerado pela auditoria traz as seguintes informaes: se existe um mtodo estabelecido para o processo; como o mtodo definido e estabelecido; quais os controles mnimos para a verificao do desempenho do mtodo; como pode ser feita a auditoria no mtodo; quais as ferramentas utilizadas no mtodo e o que avaliar no mtodo para sua melhoria. A partir desse ponto, a organizao define os objetivos de controle a serem atingidos.

6.3 Modelo ITIL

O modelo Information Technology Infraestructure Library (ITIL) foi desenvolvido pelo governo britnico no final da dcada de 80 e tem como foco principal a operao e a gesto da infra-estrutura de TIC na organizao, incluindo todos os pontos importantes no fornecimento e manuteno dos servios de TIC (OGC, 2000). O ITIL, composto por um conjunto das melhores prticas para auxiliar a governana de TIC, vem sendo um modelo amplamente utilizado atualmente (RUDD, 2004). O princpio bsico do ITIL o objeto de seu gerenciamento, ou seja, a infra-estrutura de TIC. O ITIL descreve os processos que so necessrios para dar suporte utilizao e ao gerenciamento da infra-estrutura de TIC. Outro princpio fundamental do ITIL o fornecimento de qualidade de servio aos clientes de TIC a custos justificveis, isto , relacionar os custos dos servios de tecnologia de forma que se possa perceber como estes trazem valor estratgico ao negcio. Por meio de processos padronizados de gerenciamento do ambiente de TIC possvel obter uma relao adequada entre custos e nveis de servios prestados pela rea de TIC. O ITIL consiste em um conjunto de melhores prticas, que so inter-relacionadas, para minimizar o custo, ao mesmo tempo em que aumenta a qualidade dos servios de TIC entregues aos usurios. Como destacado na Figura 3, o ITIL organizado em cinco mdulos principais, a saber: A Perspectiva de Negcios, Gerenciamento de Aplicaes, Entrega de Servios, Suporte a Servios e Gerenciamento de Infra-estrutura. Embora o modelo ITIL no tenha um mdulo dedicado ao gerenciamento de segurana computacional, ele faz referncia a esse tema descrevendo, em um documento, como este poderia ser incorporado, por meio dos processos descritos, nos mdulos de Suporte a Servios e Entrega de Servios. Dentre os cinco mdulos citados, os mais utilizados so o Suporte a Servios e Entrega de Servios. Apesar de o modelo ITIL possuir processos bem definidos para auxiliar na governana de TIC, neste trabalho identifica-se a necessidade de algumas adaptaes para que possa ser utilizado para implementar todos os requisitos de um modelo de governana da segurana da

Julho/Dezembro de 2007

F onte Fonte

59

informao. Essas adaptaes esto relacionadas, principalmente, com a forma de tratar incidentes de segurana computacional.

Considerando a estrutura de tomada de deciso em sistemas de informao, este trabalho prope ainda um mapeamento dos

mdulos Suporte a Servios e Entrega de Servios do modelo ITIL, no nvel operacional e no nvel ttico, conforme descrito a seguir.

O N e g c i o

Planejamento para Implementar o Gerenciamento de Servios

A Perspectiva do Negcio
Gerenciamento dos Servios

A T e c n o l o g i a

Suporte ao Servio Entrega do Servio

Gerenciamento da Infraestrutura da ICT

Gerenciamento da Segurana

Gerenciamento das Aplicaes

Figura 3 Modelo para Gerenciamento de Servios ITIL (OGC, 2000).

7. Consideraes Finais
Neste artigo apresentaram-se a necessidade de um modelo para governana da segurana da informao e os requisitos para isto. Para atender todos os requisitos necessrios a um modelo de governana da segurana da informao, prope-se a utilizao integrada dos modelos COBIT e ITIL e da norma ISO 27002. O modelo COBIT e a norma ISO 27002 iro fornecer os objetivos de controle necessrios para atender aos requisitos apresentados. Os processos descritos no modelo ITIL sero utilizados para guiar a implementao desses objetivos de controle. Por meio de uma correlao desses objetivos, presentes no modelo COBIT e na norma ISO 27002, com os processos descritos no modelo ITIL, neste trabalho identificou-se que os mdulos de Suporte a Servios e Entrega de Servios do modelo ITIL no esto estruturados para implementar todos os objetivos de controle apresentados para o nvel operacional e ttico. Para que o modelo ITIL seja capaz de implementar todos os objetivos de controle apresentados pela norma ISO 27002 e pelo modelo COBIT, para os nveis operacional e ttico, este trabalho props, no Captulo 6, uma expanso de seus processos. A combinao do modelo COBIT com a norma ISO 27002 e o modelo ITIL permitir a utilizao das potencialidades de cada uma dessas

60

F onte Fonte

Julho/Dezembro de 2007

propostas para o desenvolvimento de um modelo nico que facilite

identificar: o qu, quem, como e que recursos tecnolgicos utilizar, para o

alcance da governana da segurana da informao.

Referncias
(ABNT, 2001) ABNT. Tecnologia da informao Cdigo de prtica para a gesto da segurana da Informao. NBR ISO/IEC 17799. 30/09/2001. (Atualmente substituda pela ISO 27002) (BSA, 2003) BUSINESS SOFTWARE ALLIANCE. Information Security Governance: Toward a Framework for Action. Disponvel on-line em http://www.bsa.org.Visitado em 12/12/2004. (CARUSO, 2003) CARUSO, J.B. Information Technology Security: Governance, Strategy and Practice in Higher Education. EDUCASE Center for Applied Research, September, 2003. Disponvel on-line em http://www.educause.edu/ecar/. Visitado em 16/03/2005. (CERT, 2005b) CERT CORDINATION CENTER, Governing for Enterprise Security. (2005) Disponvel on-line em http://www.cert. org/governance/ges.html. Visitado em 01/03/2005 (CGTRF, 2004) CORPORATE GOVERNANCE TASK FORCE REPORT. Information Security Governance: A Call to Action. April, 2004. Disponvel on-line em: www.cyberpartnership.org/InfoSecGov4_04.pdf. Visitado em 15/11/2004. (ENTRUST, 2004) ENTRUST. Information Security Governance (ISG): An Essential Element of Corporate Governance. April, 2004. Disponvel on-line em: http://www.entrust.com/governance/. Visitado em 16/03/2005. (IIA, 2001) THE INSTITUTE OF INTERNAL AUDITORS. Information Security Governance: What Directors Need to Know. (2001). The Critical Infraestructure Assurance Project. ISBN 0-89413-457-4. Disponvel on-line em www.theiia.org/eSAC/pdf/ISG_1215. pdf. Visitado em 14/01/2005. (ISO, 2000) International Organization for Standardization / International Eletrotechnical Committee. Information technology- Code of practice for information security management. Reference number ISO/IEC 17799:2000(E). (Atualmente substituda pela ISO 27002) (ITGI, 2000) THE IT GOVERNANCE INSTITUTE.COBIT: Control Objectives for information and related Technology. Printed in the United States of America, 2000. ISBN: 1-893209-13-X. (ITGI, 2001) THE IT GOVERNANCE INSTITUTE. Information Security Governance: Guidance for Boards of Directors and Executive Management. Printed in the USA, 2001. ISBN 1-893209-28-8. Disponvel on-line em: http://www.itgi.org/template_ITGI. cfm?template=/ContentManagement/ContentDisplay.cfm&ContentID=6672. Visitado em 02/02/2005. (NCSP, 2004) NATIONAL CYBER SECURITY PARTNERSHIP. Information Security Governance Assessment Tool for Higher Education. 2004. Disponvel on-line em: http://www.cyberpartnership.org. Visitado em 15/03/2005. (OGC, 2000) Office of Government Comerce (OGC). ITIL: The Key to Managing IT Services Best Practice for Service Support. Printed in the United Kingdom for the Stationery Office, 2001. ISBN0 11 330015 8, (OGC, 2001a) Office of Government Comerce (OGC). ITIL: The Key to Managing IT Services Best Practice for Service Delivery. Printed in the United Kingdom for the Stationery Office, 2001. ISBN0 11 330017 4. (OGC, 2001b) Office of Government Comerce (OGC). ITIL: The Key to Managing IT Services Best Practice for Security Management. Printed in the United Kingdom for the Stationery Office, 2001. ISBN0 11 330014 X. (PAULK et al, 1993) PAULK, M.C.; CURTIS, B; CHRISSIS, M.B.;WEBER, C.V. Capability Maturity Model for Software, version 1.1. Technical Report, Carnegie Mellon Software Engeneering Institute, CMU/SEI-93-TR-024, February 1993. Disponvel on-line em: http://www.sei.cmu.edu/cmm/. Visitado em 12/01/2005. (RUDD, 2004) RUDD, Colin. An Introductory Overview of ITIL. Publicado por iTSMF ltd, Webbs Court, United Kingdom, 2004. Version 1.0a. Disponvel on-line em: http://www.itsmf.com/publications/ITIL/Overview.pdf. Visitado em 13/03/2005. (van GREMBERGEN, 2003) VAN GREMBERGEN, Wim. Strategies for Information Technology Governance. Idea Group Publishing, 2003. ISBN 1-591140-140-2. (WEILL&ROSS, 2004) WEILL, Peter; Ross, Jeanne W. IT Governance: how top performers manage IT decision rights for superior results. Harvard Business School Publishing, 2004. ISBN 1-59139-253-5.

Julho/Dezembro de 2007

F onte Fonte

61