Marcelo Fernandes de Luna

Gesto da Segurana da Informao com ITIL v3 e ISO/IEC 27002

Londrina 2010

Marcelo Fernandes de Luna

Gesto da Segurana da Informao com ITIL v3 e ISO/IEC 27002

Trabalho apresentado Universidade Estadual de Londrina, como parte do requisito para obteno do ttulo de Bacharel em Cincia da Computao.

Orientador: Prof. Dr. Rodolfo Miranda de Barros

U NIVERSIDADE E STADUAL DE L ONDRINA

Londrina 2010

Marcelo Fernandes de Luna

Gesto da Segurana da Informao com ITIL v3 e ISO/IEC 27002

Prof. Dr. Rodolfo Miranda de Barros Universidade Estadual de Londrina

Prof. Ms. Elieser Botelho Manhas Jr. Universidade Estadual de Londrina

Prof. Dr. Mario Lemes Proena Jr. Universidade Estadual de Londrina

Londrina 30 de Novembro de 2010

Aos meus pais...

Agradecimentos
Primeiramente gostaria de agradecer imensamente aos meus pais, Elisonete e Antnio, que com muito amor me ensinaram a ser quem eu sou. Mais do que isso, me mostraram como levar uma vida digna e honesta, me dando fora nos momentos bons e nos momentos ruins. Pessoas maravilhosas que tenho muito orgulho de ser lho. Aos meus familiares, que em todos os momentos me deram apoio e me incentivaram a continuar lutando. minha prima de corao Ana Paula, por ter me aguentado durante todo esse ano e por ter me doado um pouco do seu tempo para ajudar nas correes deste trabalho. Gostaria de agradecer ao Alexandre e a Angela, por terem me dado apoio nos meus primeiros anos em Londrina; em especial a Angela por ter cedido sua casa sem nem mesmo me conhecer. Agradeo ao meu orientador, professor Dr. Rodolfo Miranda de Barros pela oportunidade de trabalhar em seu projeto, pela pacincia e conana neste tempo de convivncia. professora Dra Maria Anglica de Oliveira Camargo Brunetto pela oportunidade de trabalhar em seus projetos e por ter me mostrado o mundo da pesquisa. Aos meus amigos com quem convivi nestes anos de faculdade, pelo companheirismos e pelos bons momentos. Em especial aos amigos do Banquinho da Alegria que me proporcionaram momentos de alegria e crescimento pessoal. Ao Huemer, pela ajuda no estgio, pelo interesse e por me ajudar na correo deste trabalho. No poderia deixar de agradecer a todos os professores que ao transmitirem seus conhecimentos contriburam para meu desenvolvimento acadmico. Sou grato por todas as pessoas que estiveram presentes em minha vida, so tantas pessoas que ao nomin-las poderia me esquecer de algum, portanto deixo o meu muito obrigado a elas por fazerem parte dela.

"A mente que se abre a uma nova idia jamais volta ao seu tamanho original" Albert Einstein

Resumo
A Tecnologia da Informao (TI) tem se tornado cada vez mais importante para que as organizaes obtenham maior proveito de suas informaes, maximizando os benefcios e proporcionando maior competitividade. Com a necessidade de se alinhar com os objetivos da organizao, a TI tem buscado em padres consolidados, como a ITIL, o CobiT e a srie ISO/IEC 27000 de normas relacionadas a Segurana da Informao, formas de atender aos interesses empresariais das organizaes. Neste contexto, o presente trabalho tem por nalidade desenvolver um estudo que relaciona as fases do ciclo de vida de servio da ITIL v3 com as sees da norma ISO/IEC 27002, objetivando mostrar como a norma pode contribuir para melhorar a qualidade e segurana dos servios prestados pelas organizaes que se utilizam da Tecnologia da Informao para agregar valor ao seu negcio e serem geis nas tomadas de deciso. Palavra-chave: ITIL , ISO/IEC 27002, segurana da informao

Abstract
Information Technology (IT) has become increasingly important to organizations to take greater advantage of their information, maximizing benets and providing increased competitiveness. With the need to align with the goals of the organization, IT has sought in pattern consolidated, such as ITIL , CobiT and the series ISO/IEC 27000 standards related to information security, forms of serve the interests of business organizations. In this context, this work aims to develop a study that relates the Service Lifecycle of ITIL v3 and the sections of ISO/IEC 27002, aiming to show how the standard can help improve the quality and safety of services provided by organizations that use Information Technology to add value to your business and be agile in decision-making. Key-word: ITIL , ISO/IEC 27002, Information Security

Sumrio

Lista de Figuras Lista de Tabelas Lista de Abreviaturas Introduo 1 NBR ISO/IEC 27002 1.1 Anlise/Avaliao e tratamento de riscos . . . . . . . . . . . . . . . . . . . . 1.1.1 1.1.2 1.2 1.3 Analisando/avaliando os riscos de segurana da informao . . . . . Tratando os riscos de segurana da informao . . . . . . . . . . . . p. 15 p. 17 p. 20 p. 20 p. 20 p. 21 p. 21 p. 22 p. 22 p. 24 p. 24 p. 24 p. 25 p. 25 p. 25 p. 25 p. 26

Poltica de segurana da informao . . . . . . . . . . . . . . . . . . . . . . Organizando a segurana da informao . . . . . . . . . . . . . . . . . . . . 1.3.1 1.3.2 Organizao interna . . . . . . . . . . . . . . . . . . . . . . . . . . Partes externas . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

1.4

Gesto de ativos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.4.1 1.4.2 Responsabilidade pelos ativos . . . . . . . . . . . . . . . . . . . . . Classicao da informao . . . . . . . . . . . . . . . . . . . . . .

1.5

Segurana em recursos humanos . . . . . . . . . . . . . . . . . . . . . . . . 1.5.1 1.5.2 1.5.3 Antes da contratao . . . . . . . . . . . . . . . . . . . . . . . . . . Durante a contratao . . . . . . . . . . . . . . . . . . . . . . . . . Encerramento ou mudana da contratao . . . . . . . . . . . . . . .

1.6

Segurana fsica e do ambiente . . . . . . . . . . . . . . . . . . . . . . . . . 1.6.1 1.6.2 reas seguras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Segurana de equipamentos . . . . . . . . . . . . . . . . . . . . . .

p. 26 p. 26 p. 27 p. 28 p. 28 p. 28 p. 29 p. 29 p. 29 p. 30 p. 30 p. 31 p. 32 p. 32 p. 33 p. 33 p. 33 p. 34 p. 34 p. 34 p. 35 p. 35 p. 35 p. 35 p. 36 p. 36

1.7

Gerenciamento das operaes e comunicaes . . . . . . . . . . . . . . . . . 1.7.1 1.7.2 1.7.3 1.7.4 1.7.5 1.7.6 1.7.7 1.7.8 1.7.9 Procedimentos e responsabilidades operacionais . . . . . . . . . . . Gerenciamento de servios terceirizados . . . . . . . . . . . . . . . . Planejamento e aceitao dos sistemas . . . . . . . . . . . . . . . . . Proteo contra cdigos maliciosos e cdigos mveis . . . . . . . . . Cpias de segurana . . . . . . . . . . . . . . . . . . . . . . . . . . Gerenciamento da segurana em redes . . . . . . . . . . . . . . . . . Manuseio de mdias . . . . . . . . . . . . . . . . . . . . . . . . . . Troca de informaes . . . . . . . . . . . . . . . . . . . . . . . . . . Servios de comrcio eletrnico . . . . . . . . . . . . . . . . . . . .

1.7.10 Monitoramento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.8 Controle de acesso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.8.1 1.8.2 1.8.3 1.8.4 1.8.5 1.8.6 1.8.7 1.9 Requisitos de negcio para controle de acesso . . . . . . . . . . . . . Gerenciamento de acesso do usurio . . . . . . . . . . . . . . . . . . Responsabilidades dos usurios . . . . . . . . . . . . . . . . . . . . Controle de acesso rede . . . . . . . . . . . . . . . . . . . . . . . . Controle de acesso ao sistema operacional . . . . . . . . . . . . . . . Controle de acesso aplicao e informao . . . . . . . . . . . . . Computao mvel e trabalho remoto . . . . . . . . . . . . . . . . .

Aquisio, desenvolvimento e manuteno de sistemas de informao . . . . 1.9.1 1.9.2 1.9.3 Requisitos de segurana de sistemas de informao . . . . . . . . . . Processamento correto nas aplicaes . . . . . . . . . . . . . . . . . Controles criptogrcos . . . . . . . . . . . . . . . . . . . . . . . .

1.9.4 1.9.5 1.9.6

Segurana dos arquivos do sistema . . . . . . . . . . . . . . . . . . . Segurana em processos de desenvolvimento e de suporte . . . . . . Gesto de vulnerabilidades tcnicas . . . . . . . . . . . . . . . . . .

p. 36 p. 36 p. 37 p. 37 p. 37 p. 38 p. 38

1.10 Gesto de incidentes de segurana da informao . . . . . . . . . . . . . . . 1.10.1 Noticao de fragilidades e eventos de segurana da informao . . 1.10.2 Gesto de incidentes de segurana da informao e melhorias . . . . 1.11 Gesto da continuidade do negcio . . . . . . . . . . . . . . . . . . . . . . . 1.11.1 Aspectos da gesto da continuidade do negcio, relativos segurana da informao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.12 Conformidade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.12.1 Conformidade com requisitos legais . . . . . . . . . . . . . . . . . . 1.12.2 Conformidade com normas e polticas de segurana da informao e conformidade tcnica . . . . . . . . . . . . . . . . . . . . . . . . . . 1.12.3 Consideraes quanto auditoria de sistemas de informao . . . . . 2 ITIL 2.1 v3 - IT Infrastructure Library

p. 38 p. 39 p. 39

p. 39 p. 40 p. 41 p. 42 p. 43 p. 43 p. 43 p. 44 p. 44 p. 45 p. 46 p. 47 p. 47 p. 48

Estratgia de Servio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.1.1 2.1.2 2.1.3 Gerenciamento nanceiro . . . . . . . . . . . . . . . . . . . . . . . Gerenciamento da demanda . . . . . . . . . . . . . . . . . . . . . . Gerenciamento de portflio de servio . . . . . . . . . . . . . . . . .

2.2

Desenho de Servio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2.1 2.2.2 2.2.3 2.2.4 2.2.5 2.2.6 Gerenciamento de catlogo de servio . . . . . . . . . . . . . . . . . Gerenciamento do nvel de servio . . . . . . . . . . . . . . . . . . . Gerenciamento da capacidade . . . . . . . . . . . . . . . . . . . . . Gerenciamento da disponibilidade . . . . . . . . . . . . . . . . . . . Gerenciamento da continuidade do servio de TI . . . . . . . . . . . Gerenciamento de segurana da informao . . . . . . . . . . . . . .

2.2.7 2.3

Gerenciamento de fornecedor . . . . . . . . . . . . . . . . . . . . .

p. 49 p. 50 p. 50 p. 51 p. 51 p. 51 p. 52 p. 53 p. 53 p. 54 p. 54 p. 55 p. 56 p. 56 p. 57 p. 58 p. 58 p. 59 p. 59

Transio de Servio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.3.1 2.3.2 2.3.3 2.3.4 2.3.5 2.3.6 2.3.7 Planejamento e suporte da transio . . . . . . . . . . . . . . . . . . Gerenciamento de mudanas . . . . . . . . . . . . . . . . . . . . . . Gerenciamento da congurao e de ativo de servio . . . . . . . . . Gerenciamento de liberao e implantao . . . . . . . . . . . . . . Validao e teste de servio . . . . . . . . . . . . . . . . . . . . . . Avaliao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Gerenciamento do conhecimento . . . . . . . . . . . . . . . . . . . .

2.4

Operao de Servio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.4.1 2.4.2 2.4.3 2.4.4 2.4.5 Gerenciamento de evento . . . . . . . . . . . . . . . . . . . . . . . . Gerenciamento de incidente . . . . . . . . . . . . . . . . . . . . . . Cumprimento de requisio . . . . . . . . . . . . . . . . . . . . . . Gerenciamento de problema . . . . . . . . . . . . . . . . . . . . . . Gerenciamento de acesso . . . . . . . . . . . . . . . . . . . . . . . .

2.5

Melhoria de Servio Continuada . . . . . . . . . . . . . . . . . . . . . . . . 2.5.1 2.5.2 2.5.3 Processo de melhoria em 7 etapas . . . . . . . . . . . . . . . . . . . Relatrio de servio . . . . . . . . . . . . . . . . . . . . . . . . . . Mensurao de servios . . . . . . . . . . . . . . . . . . . . . . . . v3 como ferramenta para alinhar segurana da

ISO/IEC 27002 e ITIL informao ao negcio 3.1 3.2 3.3 3.4 3.5

p. 60 p. 62 p. 63 p. 65 p. 65 p. 67

Estratgia de Servio e a norma ISO/IEC 27002 . . . . . . . . . . . . . . . . Desenho de Servio e a norma ISO/IEC 27002 . . . . . . . . . . . . . . . . . Transio de Servio e a norma ISO/IEC 27002 . . . . . . . . . . . . . . . . Operao de Servio e a norma ISO/IEC 27002 . . . . . . . . . . . . . . . . Melhoria Contnua e a norma ISO/IEC 27002 . . . . . . . . . . . . . . . . .

Concluso Referncias Bibliogrcas

p. 68 p. 70

Lista de Figuras
2.1 3.1 Ciclo de vida de servio da ITIL Relao entre a ITIL v3. . . . . . . . . . . . . . . . . . . . . . p. 42 p. 61

v3 e a ISO/IEC 27002. . . . . . . . . . . . . . . . . .

Lista de Tabelas
3.1 ITIL v3 ISO/IEC 27002. . . . . . . . . . . . . . . . . . . . . . . . . . . p. 62

15

Lista de Abreviaturas
TI ITIL CobiT ISO IEC SOX GSI SI NBR CD DVD CCTA BS PNS PAN Tecnologia da Informao Information Technology Infrastructure Library Control Objectives for Information and Related Technology International Organization for Standardization International Electrotechnical Commission Sarbanes-Oxley Gerenciamento da Segurana da Informao Segurana da Informao Norma Brasileira Compact Disc Digital Video Disc Central Computer and Telecommunications Agency British Standard Pacote de Nvel de Servio Padro de Atividade do Negcio

16

ANS RNS PDCA CPIAM ANO IC SGSI ITGI TSO

Acordo de Nvel de Servio Requisito de Nvel de Servio Plan-Do-Check-Act Controlar-Planejar-Implementar-Avaliar-Manter Acordo de Nvel Operacional Item de Congurao Sistema de Gerenciamento de Segurana da Informao IT Governance Institute The Stationery Ofce

17

Introduo
A Tecnologia da Informao (TI) uma rea essencial para as organizaes, sendo em muitos casos pouco compreendida. Organizaes que entendem o valor da TI e utilizam-na como ferramenta para alcanar seus objetivos de negcio so, em sua maioria, bem-sucedidas. Essas organizaes adequam-se facilmente s demandas regulatrias e tm uma capacidade maior de entender e gerenciar a dependncia crtica de muitos processos de negcio da TI [1]. H uma grande cobrana para que a rea de TI se alinhe s metas empresariais de suas organizaes, alm de ter que atender s regulamentaes como a lei SOX (Sarbanes-Oxley) e Basilia II. Para isso necessrio capacidade de governana e mecanismos que possibilitem a auditoria externa. As organizaes em geral compreendem que precisam manter estruturas de proteo e Segurana da Informao, mas tm diculdade de entender o escopo dessas. Assim, estruturas como a ITIL (Information Technology Infrastructure Library), o CobiT (Control Objectives for Information and Related Technology) e os padres da famlia ISO/IEC 27000 podem ajudar o prossional a entender o propsito de tais estruturas [2]. Segundo Clinch [3], devido crescente ocorrncia de incidentes relacionados falta de segurana nas organizaes necessrio que a TI adote uma abordagem integrada de Gerenciamento de Segurana da Informao (GSI), de forma a alinhar as necessidades e riscos do negcio s medidas tcnicas. Alm disso, tambm necessria a construo de polticas e procedimentos para criar uma cultura de Segurana da Informao (SI) dentro da organizao assegurando que a informao ser tratada de forma segura e apropriada durante todo o tempo. Os benefcios que a boa Segurana da Informao pode trazer no se restringem apenas reduo dos riscos e diminuio do impacto s falhas. A Segurana da Informao pode contribuir para melhorar a reputao da organizao, atravs da agilidade na recuperao de incidentes de segurana e denindo os devidos valores e permisses de acesso as informaes, fazendo com que as partes envolvidas conem na organizao [4]. A informao o bem mais precioso para uma organizao e essencial para a realizao dos seus negcios e, por consequncia, precisa ser protegida [5]. Em decorrncia disso, cresce o nmero de organizaes que buscam, na Tecnologia da Informao, formas para melhorar a ecincia de seus processos e tirar maior proveito de suas informaes. Dentre as tecnologias

18

disponveis, destacam-se as redes de computadores que permitem a conexo entre os diversos setores da mesma organizao, bem como a integrao dos sistemas de diferentes organizaes, as quais cooperam entre si para que os objetivos de seus negcios sejam atingidos [6]. Como consequncia dessa interconectividade, a informao est mais exposta a um crescente nmero e a uma grande variedade de ameaas e vulnerabilidades [5]. A Segurana da Informao protege as informaes dessas ameaas e vulnerabilidades assegurando a continuidade do negcio, mitigando os riscos, maximizando o retorno sobre os investimentos e as oportunidades de mercado. Pode-se obter a Segurana da Informao atravs da implementao de um conjunto de controles adequados que incluem polticas, processos, procedimentos, estruturas organizacionais e funes de software e hardware. Tais controles precisam ser estabelecidos, implementados, monitorados, analisados e melhorados, de acordo com as necessidades, para garantir que os objetivos do negcio e da segurana da organizao sejam atendidos [5]. Segundo a ISO/IEC 27002 [5], a segurana alcanada por meios tcnicos limitada e deve ser apoiada por procedimentos e por uma gesto apropriada. Como muitos sistemas de informao no foram projetados para serem seguros, a identicao dos controles a serem implementados requerem um planejamento cuidadoso e uma ateno aos detalhes. Alm dos fatores j descritos, para que a Segurana da Informao seja ecaz, faz-se necessria a colaborao de todos os interessados no futuro da organizao. A Segurana da Informao tem como principais componentes a condencialidade, a integridade e a disponibilidade, que so necessrios para a preservao e proteo da informao [2]. A condencialidade a propriedade que garante que a informao no esteja disponvel ou revelada a indivduos, entidades ou processos no autorizados [7]. A integridade a propriedade que garante a salvaguarda da exatido e completeza da informao [7]. A disponibilidade a propriedade que garante que a informao estar acessvel e utilizvel sob demanda por entidades autorizadas [7]. Neste contexto, o presente trabalho pretende realizar um estudo da ITIL v3 e da norma v3 com as

ISO/IEC 27002, buscando relacionar as fases do ciclo de vida de servio da ITIL

sees da norma. Tendo como objetivo mostrar como a norma pode contribuir para melhorar a qualidade e a segurana dos servios prestados pelas organizaes que utilizam a Tecnologia da Informao para agregar valor ao seu negcio. O restante deste trabalho encontra-se da seguinte forma: no captulo 1 apresentada um viso geral da NBR ISO/IEC 27002, bem como sua seo introdutria sobre anlise e avaliao de riscos e mais suas 11 sees, no captulo 2 apresentada uma viso geral sobre a ITIL v3 e

19

suas cinco fases do seu ciclo de vida de servio, no captulo 3 apresentado o estudo que mostra como a norma ISO/IEC 27002 pode contribuir para aumentar a segurana no gerenciamento de servios de TI e ao nal apresentada a concluso do trabalho realizado.

20

NBR ISO/IEC 27002

A NBR ISO/IEC 27002 um cdigo de boas prticas para a gesto da segurana da informao, mantido pelo comit internacional ISO/IEC. Tem como nalidade prover diretrizes e princpios gerais para iniciar, implementar, manter e melhorar a gesto da segurana da informao em uma organizao. A norma pode ser usada por uma organizao como um guia prtico para desenvolver procedimentos e estabelecer prticas de gesto da segurana da informao [5]. A NBR ISO/IEC 27002 formada por 11 sees de controles de segurana da informao, as quais so divididas em categorias principais de segurana, que totalizam 39 categorias [5]. Este captulo abordar a seo introdutria sobre anlise e avaliao de riscos e mais as 11 sees desta norma, assim como suas categorias principais de segurana.

1.1
1.1.1

Anlise/Avaliao e tratamento de riscos

Analisando/avaliando os riscos de segurana da informao

As anlises e avaliaes de riscos precisam identicar e priorizar os riscos com base nos critrios para aceitao dos riscos e dos objetivos relevantes para a organizao. Os resultados obtidos vo orientar e determinar as aes de gesto que sero apropriadas para o gerenciamento de riscos de segurana da informao [5]. A anlise e avaliao dos riscos precisa ter seu escopo bem denido para ser eciente e produzir o efeito desejado. Devendo estimar a magnitude do risco e comparar os riscos estimados com os critrios para determinar a signicncia dos riscos. Todo esse processo precisa ser realizado regularmente para cobrir as mudanas nos requisitos de segurana e situaes de riscos [5].

21

1.1.2

Tratando os riscos de segurana da informao

Aps denir os critrios para determinao de quais riscos sero aceitos ou no, preciso tomar decises para o tratamento de cada um dos riscos identicados. Os riscos podem ser tratados aplicando controles para reduzir os riscos a um nvel aceitvel, transferindo os riscos para outras partes ou evitando os riscos de forma a no permitir aes que poderiam causar tais riscos [5].

1.2

Poltica de segurana da informao

A poltica de segurana da informao denida por Silva [8] como um conjunto de regras genricas que determina o que considerado pela organizao como aceitvel ou inaceitvel. Esta desempenha um papel importante para o planejamento estratgico da segurana da informao, pois por meio dela que a direo fornece orientao e apoio segurana da informao de acordo com os requisitos do negcio, leis e regulamentaes pertinentes [5]. O documento da poltica de segurana da informao deve ser acessvel, compreensvel, declarar o comprometimento da direo e o enfoque da organizao no gerenciamento da segurana da informao. Este documento deve ser aprovado pela direo, publicado e comunicado a todos os funcionrios e partes externas relevantes [5]. A NBR ISO/IEC 27002[5] sugere que a poltica de segurana da informao passe por anlises peridicas, para assegurar sua adequao e eccia. Tambm aconselha a nomeao de um gestor que seja responsvel por desenvolv-la, analis-la e avali-la. O gestor deve avaliar as oportunidades de melhoria e car atento s mudanas no ambiente organizacional. Na anlise da poltica de segurana da informao deve-se considerar os seguintes aspectos: situaes de aes preventivas e corretivas, resultado de anlises anteriores, desempenho do processo e conformidade com a poltica de segurana da informao, mudanas no ambiente organizacional, tendncias de ameaas e vulnerabilidades, relato sobre incidentes de segurana e recomendaes de autoridades relevantes. Como resultado da anlise espera-se obter: melhora dos controles e seus objetivos, melhor alocao de recursos e responsabilidades, assim como do alinhamento da segurana da informao com os objetivos do negcio [5].

22

1.3
1.3.1

Organizando a segurana da informao

Organizao interna

No processo de organizao da segurana da informao deve-se elaborar uma estrutura de gerenciamento que seja capaz de iniciar e controlar a implementao da segurana dentro da empresa. Para isso necessrio o comprometimento da direo com a segurana da informao, aprovando a poltica de segurana e garantindo sua eccia, atribuindo responsabilidades, assegurando que as metas de segurana esto identicadas e atendem aos requisitos do negcio, fornecendo os recursos necessrios para segurana da informao, iniciando planos para conscientizao da segurana da informao e identicando a necessidade de consultorias de especialistas internos ou externos [5]. A NBR ISO/IEC 27002 [5] aconselha que a segurana da informao seja coordenada por representantes das diferentes partes da organizao e envolva a cooperao e colaborao de gerentes, administradores, auditores, recursos humanos, questes legais, etc. A coordenao da segurana da informao tem de garantir que as atividades de segurana sejam executadas de acordo com sua poltica, para isso deve conduzir os descumprimentos, identicar possveis ameaas, avaliar e implementar controles, assim como as informaes de monitoramento e de anlise dos incidentes de segurana, promover a educao, treinamento e conscientizao por toda a organizao [5]. Para organizar a segurana da informao necessrio que as responsabilidades de segurana estejam denidas claramente e em conformidade com a poltica de segurana. Para isso, primeiramente, necessria a identicao dos ativos e processos de segurana da informao de cada rea, para ento designar os seus responsveis. Aps a escolha dos gestores de cada rea, deve-se denir suas atribuies e os detalhes deste processo devem ser inteiramente documentados [5]. Para garantir que as polticas e requisitos de segurana sejam atendidos, a norma determina que a utilizao interna de novos recursos de processamento de informao tenha seu uso autorizado pela administrao de usurios e pelo gestor responsvel pelo sistema de segurana da informao. Tambm deve-se vericar a compatibilidade de hardware e software com os demais componentes do sistema, certicar que estes recursos no esto introduzindo novas ameaas e vulnerabilidades, identicar e implementar os controles [5]. Uma das maneiras da organizao proteger suas informaes estabelecer acordos de condencialidade e no divulgao, pois atravs destes acordos que a empresa informa aos

23

envolvidos quais so suas responsabilidades para proteo, uso e divulgao da informao. Estes documentos devem buscar embasamento na legislao e estar em conformidade com as leis e regulamentaes aplicveis na jurisdio a qual eles se aplicam. Para identicar os requisitos necessrios para os acordos de condencialidade e no divulgao recomendado que se leve em considerao elementos como: denio da informao a ser protegida, tempo esperado do acordo, aes requeridas ao m do acordo, responsabilidades e aes dos signatrios, direito de auditar e monitorar as atividades que envolvam as informaes condenciais e aes esperadas a serem tomadas no caso de uma violao do acordo. necessrio que os requisitos identicados sejam analisados periodicamente ou quando houver mudanas no ambiente organizacional que os afetem [5]. importante que a organizao mantenha contato com autoridades como, organismos regulatrios que permitem a organizao antecipar e preparar para as mudanas futuras nas leis e nos regulamentos, os quais ela deve seguir. Deve manter contato tambm com outras autoridades como utilidades, servios de emergncia, sade e segurana. Ademais, a organizao deve manter procedimentos que especiquem quando e quais autoridades devem ser contatadas na ocorrncia de incidentes de segurana. Alm disso, recomendado que a organizao mantenha contato com associaes de prossionais, grupos e fruns especializados em segurana da informao. Este tipo de relacionamento contribui para ampliao dos conhecimentos da organizao sobre as melhores prticas e para manter a empresa atualizada com informaes relevantes sobre SI. O contato com esses grupos possibilita a organizao ter acesso consultoria especializada em SI, compartilhar e trocar informaes a respeito de novas tecnologias e receber previamente advertncias de alertas, aconselhamentos e correes relativas a ataques e vulnerabilidades. Com isso, a organizao assegura que seu entendimento do ambiente de segurana est atual e completo [5]. A norma enfatiza a necessidade de realizar, periodicamente, uma anlise independente do enfoque da organizao e da sua implementao para segurana da informao. Tal anlise importante para assegurar a pertinncia, adequao e eccia das metas de gerenciamento da segurana estabelecidas pela organizao. A anlise deve ser iniciada pela direo e executada por pessoas sem vnculos com a rea avaliada, como um grupo de auditores internos, uma empresa terceirizada ou um gerente independente. Os resultados devem ser registrados, mantidos e relatados direo, caso no estejam de acordo com o que foi denido na poltica de segurana da informao, devem ser tomadas medidas corretivas [5].

24

1.3.2

Partes externas

A organizao deve se preocupar em manter a segurana das suas informaes e recursos de processamento que so utilizados no relacionamento com as partes externas. Alm disso, tem de estar atenta as possveis vulnerabilidades que podem ser introduzidas pela aquisio de produtos e servios. Assim, necessria a anlise e avaliao dos riscos que envolvem tal relacionamento antes de obter ou ceder o uso de qualquer recurso de processamento ou informao [5]. Na identicao dos riscos importante que a organizao leve em considerao aspectos como, quais os recursos de processamento e os tipos de acesso (fsico ou lgico) sero utilizados pelas partes externas, quem ter a autorizao para acessar e como esta ser vericada. Assim como, qual o valor e a sensibilidade da informao acessada, que prticas e procedimentos sero usados para tratar incidentes de segurana. Aps a identicao dos riscos de segurana, a organizao deve estabelecer, onde for vivel, acordos de condencialidade e no divulgao das informaes, tais como, contratos que denam os termos e condies de uso dos recursos de processamento [5].

1.4

Gesto de ativos

A gesto de ativos tem como objetivo alcanar e manter a proteo dos ativos da organizao, que so denidos pela norma como sendo qualquer coisa que tenha valor para a organizao. Por exemplo, informaes, softwares, hardwares, servios, pessoas e suas qualicaes, a reputao e a imagem da organizao [5].

1.4.1

Responsabilidade pelos ativos

Para assegurar a proteo dos ativos, a ISO/IEC 27002 prope que todos sejam identicados e que seja elaborado um inventrio. Este deve conter informaes, tais como o tipo do ativo, formato, localizao e sua importncia para o negcio. Alm disso, aconselhvel que todos os ativos associados com os recursos de processamento tenham um responsvel, que deve assegurar que estes esto adequadamente classicados, analisar periodicamente as classicaes e restries com base na poltica de controle de acesso. O responsvel tambm deve identicar, documentar e implementar regras para o uso permitido dos ativos, de forma que as pessoas que possuem o acesso tenham conscincia dos limites que envolvem seu uso [5].

25

1.4.2

Classicao da informao

A classicao da informao importante para indicar sua necessidade, prioridade e nvel de segurana, garantindo que a proteo adequada est sendo oferecida. A informao deve ser classicada de acordo com seu valor, requisitos legais, sensibilidade e criticidade para o negcio. necessrio que o responsvel pelo ativo dena as convenes para a classicao inicial e reclassicao, de acordo com a poltica de controle de acesso. Alm de assegurar, por meio de anlises, que o ativo est atualizado e no nvel de proteo apropriado [5]. Com base no esquema de classicao adotado pela organizao, convm que procedimentos apropriados sejam denidos e implementados para rotulao e tratamento das informaes. Esses procedimentos devem atender tanto os ativos de informaes no formato fsico quanto no formato eletrnico [5].

1.5
1.5.1

Segurana em recursos humanos

Antes da contratao

As responsabilidades de segurana devem ser denidas antes da contratao para garantir que os funcionrios, fornecedores e terceiros entendam seus deveres e estejam de acordo com os seus papis, assim possvel reduzir o risco de furto, fraude e mau uso da informao. Os papis e responsabilidade dos candidatos precisam ser documentados e estar em conformidade com a poltica de segurana da informao [5]. No processo de seleo, a norma aconselha que seja vericado de acordo com a tica, as leis e regulamentaes pertinentes, o histrico de todos os candidatos. Essa vericao deve ser mais detalhada para os candidatos que tero acesso a informaes e recursos de processamento mais sensveis. Aps a seleo, necessrio que os candidatos assinem os termos e condies de sua contratao, que declaram suas responsabilidades e a da organizao para a segurana da informao [5].

1.5.2

Durante a contratao

Durante a contratao, ca sob a responsabilidade da direo assegurar que os funcionrios, fornecedores e terceiros esto conscientes de suas obrigaes e responsabilidades. Alm de estarem a par de ameaas e preocupaes relativas a segurana da informao, devendo apoiar a poltica de segurana nas suas prticas de trabalho [5].

26

Todos os funcionrios, assim como fornecedores e terceiros tem de receber treinamentos apropriados para conscientizao e atualizaes regulares das polticas e procedimentos que sejam relevantes para suas funes. Esse treinamento visa permitir que as pessoas reconheam os incidentes de segurana da informao e respondam de acordo com as necessidades de seu trabalho [5]. importante que exista um processo disciplinar para as pessoas que tenham cometido uma violao da segurana da informao. A resposta deste processo tem que levar em considerao fatores como a natureza e a gravidade da violao, o seu impacto sobre negcio, se foi o primeiro delito, bem como as legislaes relevantes e contratos estabelecidos. Em casos graves, o processo deve permitir a imediata remoo das atribuies, direitos de acesso e privilgios do infrator [5].

1.5.3

Encerramento ou mudana da contratao

Para o encerramento de atividades, convm que seja denido quem sero os responsveis pelo encerramento ou mudanas de pessoal. O encerramento das atividades deve incluir os requisitos de segurana, de leis e acordos estabelecidos, devendo permanecer vlidos aps o encerramento das atividades [5]. Aps o encerramento dos acordos e contratos, os ativos que estiverem em posse dos funcionrios, fornecedores e terceiros devem ser devolvidos para organizao. Nos casos em que os conhecimentos pessoais sobre o desenvolvimento de atividades de trabalho sejam importantes para sua execuo, necessrio que esses conhecimentos sejam documentados e transferidos para a organizao [5]. Os direitos de acesso informao e aos recursos de processamento devem ser retirados dos funcionrios, fornecedores e terceiros aps o encerramento das suas atividades, contratos e acordos. Quando houver mudanas nas atividades, preciso reconsiderar os direitos de acesso para permitir apenas aqueles que forem necessrios para a execuo do novo trabalho [5].

1.6
1.6.1

Segurana fsica e do ambiente

reas seguras

A segurana fsica e de ambiente da organizao tem como objetivo prevenir o acesso no autorizado, danos e interferncias s instalaes da empresa. Para isso a ISO/IEC 27002

27

recomenda que se utilize de permetros de segurana para proteger as reas sensveis da organizao, esses podem ser barreiras como paredes, portes com acesso controlado e balces de recepo. O nvel de segurana de cada permetro deve estar de acordo com os requisitos de segurana identicados pela organizao [5]. A organizao tem de projetar e aplicar protees fsicas contra desastres naturais como terremoto e enchentes, assim como incndios, exploses ou outros causados pelo homem. Na fase de planejamento importe levar em considerao as ameaas das reas vizinhas, localizao dos equipamentos de deteco e combate a incndios e certicar-se que os equipamentos de contingncia e mdias de backup esto a uma distncia segura do local principal para que no sejam danicados em caso de desastre [5]. Os pontos de entrega, carregamento ou locais em que pessoas no autorizadas possam entrar nas instalaes da empresa devem ser controlados e se possvel devem ser isolados das reas de processamento da informao. Isso evita o acesso de pessoas no autorizadas as reas seguras da organizao [5].

1.6.2

Segurana de equipamentos

A segurana de equipamentos tem como propsito impedir perdas, danos, furtos ou comprometimento dos ativos que impeam as atividades da organizao. Assim, a norma aconselha que os equipamentos e instalaes de processamento de informaes devem ser posicionados em locais seguros para reduzir os riscos de acesso no autorizado, ameaas e perigos do meio ambiente. Alm de ser necessria a implementao da proteo dos equipamento contra falta de energia, falhas no funcionamento de utilitrios como ar-condicionado e equipamentos de ventilao. Tambm necessrio manter a manuteno dos equipamentos e registros de falhas para garantir sua disponibilidade e integridade [5]. Os cabeamentos de energia e telecomunicao precisam ser protegidos contra rupturas, interceptaes ou danos. Deste modo, onde for possvel, aconselhvel que os cabeamentos sejam subterrneos e que os cabos de energia sejam separados dos cabos de telecomunicao para evitar interferncias. Ademais, o acesso aos painis de conexes e salas de cabeamento devem ser controlados [5]. A utilizao de equipamentos fora das dependncias da organizao deve ser autorizado pela gerencia, que tem de avaliar os diferentes riscos envolvidos tais como danos, furtos ou espionagem [5]. Todos equipamentos que contenham informaes da organizao necessitam ser examina-

28

dos, antes de serem descartados, para garantir que os dados sensveis e softwares licenciados tenham sido removidos ou sobre gravados com segurana. importante usar tcnicas que tornem as informaes irrecuperveis, ao invs de tcnicas convencionais. Nos casos em que o equipamento est com defeito importante avaliar cuidadosamente as informaes contidas nele, dependendo do grau de condencialidade das informaes aconselha-se a destruio do dispositivo em vez de mand-lo para o conserto [5]. Os equipamentos, informaes e softwares da organizao no devem ser retirados de seus locais sem a autorizao prvia. As pessoas que receberem a autorizao para a remoo dos equipamento devem ser devidamente identicadas, se necessrio fazer registro da retirada e estabelecer limites de tempo para retirada e remoo [5].

1.7
1.7.1

Gerenciamento das operaes e comunicaes

Procedimentos e responsabilidades operacionais

Os procedimentos e responsabilidades operacionais tem de assegurar que os recursos de processamento da organizao esto sendo operados corretamente. Assim, necessrio que os procedimentos operacionais sejam documentados, atualizados e disponibilizados todos que precisarem. Todas as mudanas nos recursos de processamento da informao e sistemas devem ser controladas, portanto conveniente estabelecer uma gesto de mudanas para que sejam estabelecidos rgidos controles para identicar, planejar, testar e avaliar os impactos das mudanas [5]. A ISO/IEC 27002 recomenda que as funes e reas de responsabilidades sejam segregadas para reduzir as modicaes e o uso indevido dos ativos da organizao. E que os recursos de desenvolvimento, teste e produo tambm sejam separados para reduzir os riscos de acesso indevido e modicaes no autorizadas das informaes e sistemas da empresa [5].

1.7.2

Gerenciamento de servios terceirizados

O gerenciamento de servios terceirizados tem como objetivo implementar e manter um nvel apropriado de segurana e de entrega de servios. Para isso, importante garantir que os controles de segurana, as denies de servios e os nveis especicados nos acordos de entrega de servios sejam implementados, executados e mantidos pelo terceiro. Alm de ser necessrio auditar, monitorar e analisar os servios, relatrios e registros providos pelos terceiros para assegurar o ajuste dos termos de segurana da informao s condies dos

29

acordos [5]. As mudanas, sejam elas feitas pela organizao, como melhoria dos servios oferecidos, modicaes e atualizaes das polticas e procedimentos, ou feitas nos servios oferecidos por terceiros, como melhoria na rede e uso de novas tecnologias, devem ser gerenciadas de acordo com a criticidade de cada sistema ou processo de negcio envolvido [5].

1.7.3

Planejamento e aceitao dos sistemas

O objetivo do planejamento e aceitao dos sistemas minimizar os riscos de falhas. Qualidades imprescindveis como planejar e preparar com antecedncia, ajudam a garantir a disponibilidade apropriada de capacidade e recursos esperados de desempenho do sistema. Por tanto, importante que a utilizao dos recursos seja monitorada, ajustada e que projees das capacidades futuras sejam feitas para garantir o desempenho requirido do sistema [5]. A norma recomenda que os gestores garantam que os requisitos e critrios de aceitao de novos sistemas estejam bem denidos, acordados, documentados, testados e aprovados formalmente antes que os novos sistemas, atualizaes e novas verses sejam migradas para produo [5].

1.7.4

Proteo contra cdigos maliciosos e cdigos mveis

Proteger-se contra cdigos maliciosos e mveis importante para manter a integridade dos software e informaes da organizao. Assim, relevante que a organizao estabelea controles para deteco, preveno e recuperao de ataques deste tipo. A proteo contra esses ataques pode ser baseada em softwares de deteco e reparo, na conscientizao dos usurios, nos controles de acesso e no gerenciamento de mudanas [5].

1.7.5

Cpias de segurana

Para manter a integridade e disponibilidade das informaes e recursos de processamento da organizao, importante que sejam estabelecidos procedimentos para por em prtica as polticas e estratgias denidas para gerao e recuperao das cpias de segurana. Estas cpias precisam ser efetuadas e testadas regularmente conforme deno na poltica de cpias, necessitando possuir os recursos adequados para garantir que todas as informaes e softwares essenciais ao negcio possam ser recuperados em caso de desastres ou falhas. aconselhvel que as cpias de segurana sejam mantidas em localidades remotas ou afastadas da principal e

30

que os nveis apropriados de proteo fsica e ambientais sejam mantidos, alm de ser necessrio a denio de um perodo de reteno da informao armazenada [5].

1.7.6

Gerenciamento da segurana em redes

O gerenciamento da segurana em redes tem como propsito assegurar a proteo da infraestrutura de suporte e das informaes que transitam por ela. Para isso, os gestores devem implementar controles para manter as redes e os servios que operam nelas protegidos de ameaas e acessos no autorizados [5]. importe que a rede interna da organizao seja monitorada e os registro das atividades nela sejam mantidos. Mas a proteo das redes da organizao transcende os limites internos e assim necessrio estabelecer controles especiais para garantir a integridade e condencialidade dos dados que trafegam sobre as redes pblicas e as redes sem o [5]. Necessit-se que as caractersticas, os nveis de servio e os requisitos de gerenciamento dos servios de rede sejam identicados e includos em acordos tanto para servios providos internamente como para servios terceirizados. Tambm preciso determinar e monitorar regularmente a capacidade do provedor de gerenciar os servios acordados, assim como sejam acordados os direitos de auditar os servios. Os servios de rede podem incluir fornecimento de conexo, servios de rede privada e solues de segurana como rewall e sistemas deteco de intrusos [5].

1.7.7

Manuseio de mdias

Para previr contra a divulgao no autorizada, modicaes, remoo ou destruio dos ativos da organizao, importante que se estabeleam procedimentos operacionais para o manuseio de mdias dentro da organizao. Estes procedimentos devem proteger documentos, mdias magnticas de computadores e dados de entrada e sada [5]. Uma ateno especial tem de ser dada as mdias removveis tais como, tas, discos, pen drives, CD/DVD e mdias impressas. O uso de tais mdias somente deve ser permitido caso exista um necessidade real para o negcio. Mas quando uso ou remoo de mdias for necessrio, importante que exija-se uma autorizao e os registros desta sejam mantidos para futuras auditorias [5]. Muitas informaes sensveis podem ser divulgadas impropriamente, devido ao descarte negligenciado de mdias e equipamentos de informao, assim necessrio a denio de

31

procedimentos formais para o descarte seguro de mdias. Estes procedimentos precisam levar em considerao fatores como, a identicao dos itens que requerem descarte, nvel de sensibilidade da informao contida no equipamento e sempre que possvel manter registro dos dispositivos descartados [5]. No tratamento das informaes, relevante que se estabeleam procedimentos para tratamento, processamento, armazenamento e transmisso de informaes. Estes devem considerar itens como, tratamento e identicao de todos os meios magnticos indicando o nvel de classicao, restries de acesso e o registros dos destinatrios de dados autorizados. A documentao dos sistemas precisa ser protegida contra acessos no autorizados, devendo ser guardada de forma segura e a autorizao de acesso a ela seja concedida pelo proprietrio do sistema poucas pessoas [5].

1.7.8

Troca de informaes

Na troca de informaes e softwares, para manter a segurana, preciso denir procedimentos e polticas formais especcas, podendo ser acordos, com base na legislao, entre as partes. Nestes acordo deve-se considerar condies de segurana como, as responsabilidades do gestor pelo controle e noticao de transmisses, expedies e recepes. Alm disso, necessrio denir as responsabilidades e obrigaes na ocorrncia de incidentes de segurana [5]. Para as mdias que necessitarem ser transportadas entre localidades, importante que sejam protegidas contra acessos no autorizados, uso imprprio ou alterao indevida durante o transporte. Assim, recomendado que se utilizem meios de transporte e servios de mensageiros conveis certicando-se de que as embalagens esto lacradas e protegidas contra danos fsicos [5]. Os servios de mensagens eletrnicas cumprem um papel cada vez mais importante na comunicaes do negcio, por isso importante que sejam tomadas as devidas precaues para manter a segurana das informaes. Deste modo, precisa-se avaliar a conabilidade e disponibilidade geral dos servios, identicar requisitos de assinaturas eletrnicas e qualquer uso de servios pblicos tais como, sistemas de mensagens instantneas e compartilhamento de arquivos sejam previamente aprovados pela direo [5]. Hoje, cada vez maior, o uso de redes para interconectar as diferentes organizaes. Portanto, extremamente relevante que se estabeleam polticas e procedimentos para proteger as informaes compartilhadas entre elas. Estas polticas e procedimentos precisam elevar em

32

considerao os impactos da interconectividade com o negcio da organizao e os perigos trazidos por ela. A gerao de cpias de segurana, restries de acesso, procedimentos de recuperao e contingncia so algumas das medidas que precisam ser tomadas para assegurar a segurana na troca de informaes.

1.7.9

Servios de comrcio eletrnico

O uso de servios de comrcio eletrnico cada vez mais popular, seja, entre as organizaes ou entre as organizaes e clientes. De maneira que, importante garantir a segurana dos servios e de suas utilizaes. Para isso, preciso proteger as informaes disponibilizadas publicamente levando-se em considerao aspectos como, mecanismo de autenticao, processos de autorizao, condencialidade e integridade de transaes [5]. As informaes envolvidas em transaes on-line precisam ser protegidas, para tanto, necessrio que todo o traco de dados das transaes seja criptografado e que seja exigido, sempre que possvel, o uso de assinaturas eletrnicas por ambas as partes. Essas transaes precisam estar de acordo com as leis, regras e regulamentaes da jurisdio em que ela gerada, processada, completada e armazenada [5]. As informaes disponibilizadas em sistemas de acesso pblico precisam ter sua integridade protegida para que no ocorram modicaes no autorizadas. Por isso, importante que esses sistemas sejam devidamente testados antes de disponibilizar quaisquer tipos de informaes. necessrio que exista um processo formal para aprovao da informao antes que ela seja publicada, assim como os dados oriundos de partes externas necessitam de vericao e aprovao antes de sua disponibilizao [5].

1.7.10

Monitoramento

O monitoramento das redes da organizao tem como nalidade detectar atividades no autorizadas de processamento da informao. Este monitoramento precisa produzir registros (log) das atividades e eventos de segurana da informao para a realizao posterior de auditorias [5]. Os registros de auditoria precisam ser mantidos, durante um determinado tempo, para auxiliar em futuras investigaes e monitoramento de controle de acesso. importante que estes registros contenham informaes tais como, identicao dos usurios, data e hora, detalhes dos eventos, acessos aos sistemas aceitos e rejeitados [5].

33

Necessariamente, preciso elaborar procedimentos para o monitoramento dos recursos de processamento de informao da organizao e os resultados destes devem ser analisados periodicamente. Isso importante para assegurar que os usurios esto executando apenas as atividades que lhe foram designadas [5]. Os registros gerados pelo monitoramento precisam ser protegidos contra falsicaes e acessos no autorizados. Se possvel nem mesmo os administradores de sistema devem ter permisso para a excluso ou modicao dos registros. Alm de ser necessrio anlises peridicas dos registro de operadores e administradores de rede e sistemas para assegurar que suas atividades esto em conformidade [5]. Todas as ocorrncias de falhas precisam ser registradas e analisadas, cabendo aos responsveis, por medidas autorizadas, executar os procedimentos apropriados para assegurar que as falhas sero resolvidas. Por isso, importante a existncia de regras para tratar as falhas informadas por usurios ou por sistemas devendo incluir anlises e medidas corretivas [5]. Ademais, importante que os relgios dos sistemas de processamento da organizao estejam sincronizados e que existam procedimentos para identicar inconsistncias e corrigir. Isso garante a exatido dos registros de auditoria que podem ser requeridos em uma investigaes ou servir como evidncia legal [5].

1.8
1.8.1

Controle de acesso
Requisitos de negcio para controle de acesso

Os acessos lgicos e fsicos aos ativos da organizao precisam ser controlados para prevenir o uso no autorizado. Para isso a norma prope a criao de uma poltica de controle de acesso que tenha como base os requisitos de acesso do negcio e a segurana da informao. Essa poltica deve expressar claramente os direitos de acesso de usurios e grupos deixando ntidos os requisitos do negcio a serem atendidos pelos controles de acesso [5].

1.8.2

Gerenciamento de acesso do usurio

A alocao de direitos de acesso aos usurios tem de ser formalmente controlada atravs do registro do usurio e dos processos administrativos. Os procedimentos devem cobrir desde o registro de novos usurios at o seu cancelamento nal. Tambm importante que existam processos formais para a autorizao de concesses de privilgios de acesso, gerenciamento

34

de senhas e anlises peridicas dos privilgios para garantir que os direitos de acesso sero retirados quando no forem mais necessrios [5].

1.8.3

Responsabilidades dos usurios

Os usurios necessitam estar conscientes de suas responsabilidades para manter o controle de acesso ecaz. Assim, importante que os usurios usem das boas prticas de segurana da informao para escolher suas senhas e mant-las em condencialidade. Alm de, manter uma poltica de mesa limpa e tela limpa precisam assegurar que os equipamentos quando deixados sozinhos tenham uma proteo adequada como por exemplo, nalizar ou bloquear a sesso de seus computadores quando forem ao banheiro [5].

1.8.4

Controle de acesso rede

O acesso aos servios de rede internos e externos precisam ser controlados para garantir que os usurios no comprometam tais servios. Para tanto, recomendado que seja formulada uma poltica de uso dos servios de rede que especique os servios permitidos, os procedimentos e os controles para autorizao e gerenciamento de usurios e servios. Para as conexes de usurios remotos exigido que se use de mtodos e tcnicas de autenticao seguras tais como a criptograa e procolos seguros, e se for necessrio usar identicadores de equipamentos para permitir que apenas os equipamentos autorizados tenham acesso aos servios remotos [5]. Os servios de informao, usurios e sistemas de informao precisam ser separados em diferentes domnios de redes lgicas, isso permite controlar a segurana da informao em grandes redes aplicando conjuntos de controles regulveis aos diferentes domnios. importante que existam restries de acesso entre os diferentes domnios tais como, gateways ou rewalls para impedir que usurios no acessem os domnios de rede aos quais no possua autorizao [5].

1.8.5

Controle de acesso ao sistema operacional

O acesso aos sistemas operacionais precisa ser controlado para restringir o seu uso somente pessoas autorizadas. Para isso, importante que existam mecanismos de entrada segura no sistema tal como logon (ou login) diminuindo as chances de acessos no autorizados. E que mecanismos pessoais de identicao nica sejam implementados permitindo rastrear as atividades aos indivduos responsveis. Alm disso, usar sistemas para gerenciamento de senhas

35

que permita que os usurios escolham apenas senhas de qualidade, permitir que usurios tenham acessos ao mnimo de utilitrios do sistema, usar mecanismos para controlar o limite de tempo de sesso e limitar os horrios de conexo [5].

1.8.6

Controle de acesso aplicao e informao

O acesso aos sistemas de aplicao e informaes precisa ser controlado por mecanismos de segurana da informao para restringir o acesso somente pessoas autorizadas. As restries devem ser baseadas no que foi denido na poltica de controle de acesso e nos requisitos de aplicaes individuais do negcio, alm de ser necessrio o isolamento fsico ou lgico dos sistemas sensveis para diminuir os riscos de perdas [5].

1.8.7

Computao mvel e trabalho remoto

Para garantir a segurana da informao quando se utiliza a computao mvel e recursos de trabalho remotos preciso criar uma poltica formal e adotar medidas de segurana apropriadas para proteo da informao. Para a computao e comunicao mvel importante que se leve em considerao requisitos de proteo fsica, controles de acesso, tcnicas de criptograa e proteo contra vrus. J para o trabalho remoto, necessrio o desenvolvimento e implantao de planos operacionais e procedimentos para evitar o acesso remoto no autorizado s redes internas da organizao, assim como o roubo ou furto de equipamentos e informaes [5].

1.9

Aquisio, desenvolvimento e manuteno de sistemas de informao

Requisitos de segurana de sistemas de informao

1.9.1

A segurana precisa ser parte integrante dos sistemas de informao, tais como sistemas operacionais, aplicaes de negcio, infraestrutura, servios e aplicaes desenvolvidas pelo usurio. Para isso, necessrio que os requisitos de controle de segurana automticos e manuais sejam analisados e totalmente identicados durante a fase de requisitos dos sistemas em desenvolvimento ou processo de aquisio, e sejam incorporados aos casos de negcio [5]. Para os produtos comprados preciso elaborar um processo formal de aquisio e testes devendo avaliar todos os problemas e riscos envolvidos. Caso os requisitos de segurana especicados no forem atendidos pelo produto importante que os riscos e controles sejam

36

reconsiderados antes da compra [5].

1.9.2

Processamento correto nas aplicaes

Para prevenir a ocorrncia de erros, perdas, modicaes no autorizadas ou mau uso dos sistemas de informao importante que controles sejam incorporados ao projeto das aplicaes para garantir o processamento correto das informaes. Esses controles devem incluir a validao dos dados de entrada para assegurar que so corretos e apropriados, o controle do processamento interno para detectar qualquer corrupo dos dados, a anlise e avaliao dos riscos de segurana para determinar a integridade das mensagens e a validao dos dados de sada para garantir que o processamento das informaes esto corretos e apropriados [5].

1.9.3

Controles criptogrcos

Para garantir a condencialidade, autenticidade e a integridade das informao por meios criptogrcos importante que seja desenvolvida e implementada uma poltica para o uso dos controles criptogrcos. Essa poltica deve considerar as leis, regulamentaes e restries nacionais ao uso de tcnicas de criptograa, assim como a abordagem gerencial dos controles, identicao dos nveis de proteo e a abordagem de gerenciamento de chaves. No gerenciamento de chaves importante implementar processos para proteger as chaves contra modicaes, perdas e destruies. Os equipamentos utilizados para gerar e armazenar as chaves precisam ser sicamente protegidos para evitar divulgaes no autorizadas [5].

1.9.4

Segurana dos arquivos do sistema

O acesso aos arquivos de sistemas e aos programas de cdigo fonte precisa ser controlado, assim como as atividades de projetos de tecnologia e suporte necessitam ser conduzidas de forma segura. A norma prope a criao de procedimentos para controlar a instalao de software nos sistemas operacionais para diminuir os riscos de comprometimento do sistema [5].

1.9.5

Segurana em processos de desenvolvimento e de suporte

Os ambientes de projetos precisam ser controlados tendo como responsveis pela sua segurana os gerentes de aplicativos, que devem assegurar que as mudanas propostas sero analisadas para evitar o comprometimento dos sistemas ou dos ambientes operacionais. Assim,

37

os procedimentos de controle de mudanas devem ser implantados, documentados e reforados para manter a integridade dos sistemas de informao [5]. Na ocorrncia de mudana de sistema operacional, necessrio que as aplicaes crticas de negcio sejam analisadas e testadas para assegurar que no haver impactos desastrosos na operao ou na segurana da organizao. As mudanas em pacotes de softwares devem ser desencorajadas, e que s sejam realizadas se realmente forem necessrias e estritamente controladas. A organizao deve supervisionar e monitorar o desenvolvimento de softwares terceirizados levando-se em considerao itens como acordos de licenciamento, certicao de qualidade, requisitos contratuais e testes para deteco de cdigos maliciosos antes de sua instalao. Alm de manter mecanismos para prevenir o vazamento de informaes.

1.9.6

Gesto de vulnerabilidades tcnicas

A organizao precisa implementar, de forma eciente, uma gesto de vulnerabilidades tcnicas que permita, em tempo hbil, obter informaes sobre vulnerabilidades dos sistemas de informao que esto em funcionamento. Para assim, avaliar o grau de exposio da organizao s vulnerabilidades e tomar as metidas cabveis para lidar com os riscos associados [5].

1.10
1.10.1

Gesto de incidentes de segurana da informao

Noticao de fragilidades e eventos de segurana da informao

As fragilidades e eventos de segurana da informao relacionados com os sistemas de informao precisam ser comunicados direo para permitir a tomada de aes corretivas em um tempo satisfatrio. Para isso, importante estabelecer procedimentos para relatar os eventos de segurana da informao junto com os procedimentos de resposta a incidentes e escalonamento, permitindo identicar ao a ser tomada ao receber a noticao de um evento de segurana da informao. A norma aconselha a denio de um ponto de contato, que seja de conhecimento de toda a organizao, para receber as noticaes dos eventos de segurana. Alm de comunicar a todos os funcionrios, fornecedores e terceiros suas responsabilidades de noticar qualquer eventos de segurana da informao o mais breve possvel [5].

38

1.10.2

Gesto de incidentes de segurana da informao e melhorias

Para garantir que a gesto de incidentes de segurana da informao tenha um enfoque consistente e efetivos preciso estabelecer procedimento e responsabilidades para assegurar respostas rpidas e efetivas aos incidentes de segurana da informao. Alm disso preciso elaborar mecanismos para quanticar e monitorar os tipos, quantidades e custos dos incidentes de segurana e a informaes resultantes da anlise desses dados devem ser usadas para identicar incidentes recorrentes ou de alto impacto. Em casos de uma ao legal contra uma pessoa ou uma organizao necessrio coletar, armazenar e apresentar as evidncias em conformidade com as normas de armazenamento de evidncias da jurisdio em questo [5].

1.11
1.11.1

Gesto da continuidade do negcio

Aspectos da gesto da continuidade do negcio, relativos segurana da informao

Na gesto da continuidade do negcio importante implementar processos para minimizar os impactos de desastres e falhas nos sistemas de informao da organizao. Estes devem ter como propsito a proteo dos processos crticos de negcio no permitindo a interrupo das atividades da organizao e em casos de falhas garantir a sua retomada em um tempo satisfatrio. Para isso necessrio a identicao dos eventos que podem causar a interrupo dos processos de negcio, e depois realizar uma anlise e avaliao dos riscos para determinar a probabilidade e o impacto das interrupes considerando os danos e o tempo de recuperao [5]. A norma prope o desenvolvimento e implantao de planos de continuidade para a manuteno e a recuperao das operaes e para assegurar a disponibilidade das informaes. O planejamento precisa considerar aspectos como, identicao das responsabilidades e processos de continuidade do negcio, identicao de perdas aceitveis, bem como testes e atualizaes dos planos de continuidade. importante que os planos de continuidade do negcio mantenham uma estrutura bsica para garantir a consistncia de todos os planos devendo descrever o enfoque para continuidade, especicar o escalonamento e as condies de ativao, assim como as responsabilidades individuais para execuo de cada uma das atividades do plano [5]. Regularmente preciso testar e atualizar os planos de continuidade do negcio para

39

garantir sua efetividade. Devendo certicar que os membros da equipe de recuperao estejam conscientes de suas responsabilidades para quando o plano for acionado. Pode-se usar tcnicas como, testes de mesa simulando vrios cenrios, ensaio geral e testes de recuperao para assegurar que os planos iro operar consistentemente em casos reais. Os resultados dos testes realizados precisam ser registrados para que possam ser tomadas aes de melhoria dos planos [5].

1.12
1.12.1

Conformidade
Conformidade com requisitos legais

Muitas vezes, na gesto de sistemas de informao a organizao precisa se enquadrar com requisitos de segurana contratuais, regulamentares ou estatutrios para evitar violaes de quaisquer obrigaes legais. Assim, necessrio denir, documentar e manter atualizados os requisitos legais e contratuais que esto no enfoque da organizao. Bem como, estabelecer procedimentos para garantir que a empresa est em conformidade com os requisitos legais que tangem o uso de materiais intelectuais podendo ser o uso de softwares proprietrios, documentos e licenciamentos especcos [5]. Os registros da organizao precisam ser protegidos contra perdas, destruio e falsicaes como previstos nos requisitos legais e de negcio. Devendo ser categorizados por tipos, constando detalhes do perodo de reteno e mdias de armazenamento. Do mesmo modo, cabe a organizao desenvolver e implementar uma poltica de privacidade e proteo de dados que assegure a conformidade com a legislao e regulamentao vigente. A manipulao de dados criptografados tambm precisam obedecer a legislao. A organizao precisa informa a todos os usurios qual o escopo de suas permisses de acesso e que esto sendo monitorados para assegurar que no haver uso no autorizado da parte deles dos sistemas de informao da organizao [5].

1.12.2

Conformidade com normas e polticas de segurana da informao e conformidade tcnica

Os gerentes e proprietrios de sistemas devem garantir que todos os procedimentos de segurana da informao da sua rea de responsabilidade esto sendo executados corretamente, alm de realizar anlise peridicas para assegurar a conformidade com as polticas e normas de segurana [5].

40

importante que os sistemas de informao tenham suas conformidades tcnicas vericadas regularmente por pessoas autorizadas e competentes devendo gerar relatrios que precisam ser analisados por um tcnico especializado. A vericao de conformidade engloba teste de invaso e avaliao de vulnerabilidades que precisam ser realizados por pessoas especializadas, todo o este procedimento precisa ser planejado e documentado [5].

1.12.3

Consideraes quanto auditoria de sistemas de informao

As auditorias precisam ser cuidadosamente planejadas para maximizar a eccia e minimizar os inconvenientes no processo de auditorias dos sistemas de informao. importante que existam controles para a proteo de sistemas operacionais e ferramentas de auditoria durante o processo de vericao, tambm sendo necessrio prevenir o uso indevido das ferramentas de auditoria [5].

41

ITIL v3 - IT Infrastructure Library

No nal dos anos 1980, em resposta a crescente dependncia de TI dos negcios, a Agncia Central de Computao e Telecomunicaes (CCTA) do governo britnico desenvolveu uma srie de livros documentando uma abordagem de gerenciamento de servios de TI necessria para dar suporte aos usurios de negcio. Esta biblioteca de prticas, que na sua verso original era composta por mais de 40 livros, foi ento chamada de IT Infrastructure Library, mais conhecida como ITIL [9]. v2 (verso 2),

Posteriormente, a verso original foi revisada e substituda pela ITIL focada na entrega de servios. A ITIL

formada por 9 livros, que preenche as lacunas entre a tecnologia e o negcio sendo fortemente v2 foi a base para a norma British Standard 15000 que foi introduzida norma ISO 20000:2005, ganhando reconhecimento mundial [9]. Com o rpido avano da tecnologia da informao surgiu a necessidade de renovar a corrente abordagem para enfrentar os novos desaos do gerenciamento de servios de TI, em 2007, foi lanada a ITIL v3 que uma atualizao completa da verso 2. Esta verso composta por cinco livros ociais organizados em torno de uma estrutura de ciclo de vida de servio (ver Figura 2.1), sendo Service Strategy, Service Design, Service Transition, Service Operation e Continual Service Improvement [9].

42

Figura 2.1: Ciclo de vida de servio da ITIL

v3. v3 e

Neste captulo sero abordadas as cinco fases do ciclo de vida de servio da ITIL os seus respectivos processos.

2.1

Estratgia de Servio

A Estratgia de Servio o ponto de partida do ciclo de vida de um servio na ITIL v3 provendo orientaes de como desenhar, desenvolver e implementar o gerenciamento de servios no somente como uma habilidade organizacional, mas sim como um ativo estratgico. Nesta fase, so providas orientaes sobre os princpios que sustentam o gerenciamento de servios que so teis no desenvolvimento de polticas de gerenciamento de servios, recomendaes e processos em todo o ciclo de vida de servio da ITIL [10].

Estas orientaes, so usadas pelas organizaes para estabelecer seus objetivos e expectativas de desempenho para servir os clientes e os nichos de mercado, alm de servir para identicar, selecionar e priorizar as oportunidades de negcio. A Estratgia de Servio assegura que as organizaes esto em uma posio para lidar com os custos e riscos associados com os seus portflios de servios, identicando os requisitos e necessidades de negcio que precisam ser documentados em Pacotes de Nvel de Servio (PNS) [10].

43

2.1.1

Gerenciamento nanceiro

O gerenciamento nanceiro fornece uma viso geral dos valores envolvidos na prestao de servio, possibilitando o aumento da percepo dos resultados e dando condies a uma tomada de deciso mais ecaz. Tambm fornece decises administrativas no que se refere aos investimentos em TI e incentiva a conscincia dos custos no uso da infraestrutura de TI [10]. Os objetivos do gerenciamento nanceiro so: Agregar qualidade a tomada de decises Tornar as mudanas mais geis Facilitar o gerenciamento do portflio de servio Maior controle dos recursos nanceiros Agregar valor

2.1.2

Gerenciamento da demanda

O propsito do gerenciamento de demanda compreender e inuenciar as demandas de clientes pelos servios e a proviso de capacidade para atendimento s demandas. Este processo analisa, rastreia, monitora e documenta os padres de atividade do negcio (PAN), a m de prever as demandas atuais e futuras por servios. So esses padres de atividade que vo dizer como o cliente usa o servio e quais os perodos de maior uso do servio. Tambm recomenda atividades baseadas no gerenciamento da demanda e no relacionamento de padres de demanda para assegurar que os planos de negcio do cliente estejam sincronizados com os planos de negcio do provedor de servio [10]. No nvel estratgico, faz anlise de padres de negcio e pers de usurios. No nvel ttico, dene o uso de mecanismos de diferenciao para encorajar o uso adequado dos servios. Este processo fornece como resultado um Pacote de Nvel de Servio (PNS) que dene o valor dos servios em termos de utilidade e garantia [10].

2.1.3

Gerenciamento de portflio de servio

O gerenciamento de portflio de servio fornece informaes de todos os servios, que podem ser os servios atuais, em desenvolvimento ou desativados. A partir dele, possvel saber

44

quais servios esto em desenvolvimento, quais esto em operao e quais servios precisam ou j foram desativados. Neste processo, os servios so descritos em termos de valor para o negcio, so denidas as necessidades do negcio e as solues adotadas pelo provedor de servio. Com ele, tambm, possvel comparar os servios oferecidos por outros provedores de servio, com base no valor e descrio [10]. As atividades descritas no gerenciamento de portflio de servio so: Denir: fazer o inventrio de servios, garantir oportunidades de negcio e validar os dados do portflio Analisar: maximizar o valor do portflio, alinhar, priorizar e balancear a oferta e a demanda Aprovar: nalizar o portflio proposto, autorizar os servios e recursos Contratar: comunicar as decises, alocar os recursos e realizar as contrataes

2.2

Desenho de Servio
, fornece os princpios e

O Desenho de Servio segunda fase do ciclo de vida do ITIL

mtodos de desenho para converter os objetivos estratgicos em portflios e ativos de servios, garantindo que os servios de TI esto alinhados s necessidades de negcio. Tem como objetivo principal a concepo de servios de TI em conformidade com as prticas, processos e polticas de governana de TI para consolidar a estratgia e facilitar a introduo destes servios no ambiente de produo. E desta forma, assegurar a qualidade da entrega dos servios, a satisfao dos clientes e o custo-benefcio na prestao dos servios [11].

2.2.1

Gerenciamento de catlogo de servio

O objetivo do processo de gerenciamento de catlogo de servio produzir e manter um Catlogo de Servio, contendo informaes precisas sobre todos os servios em operao e tambm sobre aqueles que esto prontos para operao. Prover valor ao negcio como uma fonte central de informao sobre os servios entregues pelo provedor de servio, garantindo que todas as reas do negcio possam ter uma viso exata e consistente dos servios de TI em uso, assim como, assegurar que as informaes no Catlogo de Servios esto corretas e reetem os seus detalhes e a sua situao. Ele tem sua viso de servio voltada para os clientes,

45

mostrando como os servios sero utilizados, quais processos de negcio eles habilitam e quais nveis e que qualidade de servios os clientes podem esperar de cada servio [11]. As atividades do gerenciamento de catlogo de servio so: Denio de servio Produo e manuteno de um Catlogo de Servio Estabelecimento de interfaces, dependncias e consistncias entre o Catlogo de Servio e o Portflio de Servio Estabelecimento de interfaces e dependncias entre todos os servios e os servios de suporte do Catlogo de Servio Estabelecimento de interfaces e dependncias entre todos os servios e componentes de suporte e itens de congurao relacionados aos servios que esto no Catlogo de Servio.

2.2.2

Gerenciamento do nvel de servio

O gerenciamento do nvel de servio responsvel por negociar, acordar e documentar as metas dos servios de TI com os representantes do negcio, monitorando e produzindo relatrios sobre a capacidade que o provedor de servio tem em fornecer o nvel de servio acordo. Responsvel, tambm, por acordar e documentar as responsabilidades nos Acordos de Nvel de Servio (ANSs) e nos Requisitos de Nvel de Servio (RNSs), para todas as atividade dentro da TI. O seu sucesso totalmente dependente da qualidade do contedo do portflio de servio e do catalogo de servio, uma vez que fornecem as informaes necessrias sobre os servios a serem geridos [11]. O ANS um acordo entre o provedor de servio e um cliente, ele descreve o servio, documenta as metas de nvel de servio e especica as responsabilidades do provedor de servio e do cliente. No geral, representa um nvel de conana ou garantia da qualidade do servio prestado. O RNS um requisito do cliente em relao aos aspectos dos servios de TI, baseado nos objetivos do negcio e usado para negociar as metas de nveis de servio [11]. Os objetivos do gerenciamento do nvel de servio so: Denir, documentar, acordar, monitorar, medir, reportar e revisar os nveis dos servios de TI fornecidos

46

Propiciar e aprimorar o relacionamento e a comunicao com a empresa e clientes Garantir que as metas especicas e mensurveis so desenvolvidas para todos os servios Monitorar e melhorar a satisfao dos clientes com a qualidade dos servios prestados Assegurar que a TI e o cliente tem uma clara e inequvoca expectativa do nvel de servio que ser entregue Garantir que as medidas pr-ativas para melhoria dos servios prestados so executadas sempre que os seus custos forem justicveis.

2.2.3

Gerenciamento da capacidade

O gerenciamento da capacidade um processo que se estende ao longo de todo o ciclo de vida, garantindo que a relao custo-benefcio sempre exista em todas as reas de TI e seja correspondente as atuais e futuras necessidades do negcio. Tambm mantem os nveis de entrega de servios acordados a um custo acessvel, alm de assegurar que a capacidade da infraestrutura de TI esteja alinhada com as necessidades do negcio [11]. Os objetivos do gerenciamento da capacidade so: Produzir e manter um plano de capacidade apropriado e atualizado que reita as atuais e futuras necessidades do negcio Propiciar recomendaes e orientaes sobre as questes de capacidade para todas as outras reas de negcio e TI Certicar que os resultados de desempenho de servio atendem ou excedem todas as metas acordadas, gerenciando o desempenho e a capacidade dos servios e recursos. Auxiliar no diagnstico e resoluo de incidentes e problemas relacionados com o desempenho e a capacidade Avaliar as mudanas no plano de capacidade e o desempenho e capacidade de todos os servios e recursos Garantir que medidas pr-ativas sejam implantadas para melhorar o desempenho dos servios a um custo justicvel.

47

2.2.4

Gerenciamento da disponibilidade

O propsito do gerenciamento da disponibilidade garantir que o nvel de disponibilidade de servio prestado em todos os servios corresponde ou excede as necessidades atuais e futuras do negcio, de forma rentvel. Tambm fornece um ponto de foco e gerenciamento para todas as questes relacionadas a disponibilidade de servios e recursos, assegurando que as metas de disponibilidade em todas as reas so medidas e alcanadas [11]. Os objetivos do gerenciamento da disponibilidade so: Produzir e manter atualizado um plano de disponibilidade que reita as atuais e futuras necessidades do negcio Propiciar recomendaes e orientaes sobre as questes de disponibilidade para todas as outras reas de negcio e TI Certicar que os resultados da disponibilidade de servio atendem ou excedem todas as metas acordadas, atravs do gerenciamento dos servios e recursos relacionados com o desempenho disponvel Auxiliar no diagnstico e resoluo de incidentes e problemas relacionados com disponibilidade Avaliar o impacto das mudanas no plano de disponibilidade e o desempenho e capacidade de todos os servios e recursos Garantir que medidas pr-ativas para a melhora da disponibilidade de servios sejam implantadas sempre que seus custos forem justicveis.

2.2.5

Gerenciamento da continuidade do servio de TI

O gerenciamento da continuidade do servio de TI tem como propsito dar suporte aos processos do Gerenciamento da Continuidade do Negcio, garantindo que os requisitos tcnicos de servios e de TI possam ser retomados dentro de escalas de tempo requeridas e acordadas [11]. Os objetivos do gerenciamento da continuidade do servio de TI so: Manter um conjunto de planos de continuidade de servios de TI e planos de recuperao de servios de TI que possam suportar completamente o Plano de Continuidade do Negcio da organizao

48

Completar revises regulares da Anlise de Impacto do Negcio para garantir que todos os planos de continuidade so mantidos alinhados com os impactos e requisitos de mudanas do negcio Realizar revises regulares de avaliao e gerenciamento de risco, particularmente em conjunto com o negcio e os processos de Gerenciamento da Disponibilidade e de Gerenciamento da Segurana Propiciar recomendaes e orientaes sobre as questes de continuidade e recuperao para todas as outras reas de negcio e TI Certicar que os mecanismos adequados de continuidade e recuperao so colocados em prtica para atender ou exceder as metas de continuidade do negcio acordadas Avaliar o impacto de todas as mudanas nos planos de continuidade de servio de TI e planos de recuperao Garantir que medidas pr-ativas para a melhora da disponibilidade de servios sejam implantadas sempre que seus custos forem justicveis Negociar e acordar os contratos necessrios com os fornecedores para fornecimento da capacidade de recuperao necessria para manter todos os planos juntamente com os processos do Gerenciamento de Fornecedor.

2.2.6

Gerenciamento de segurana da informao

O propsito do gerenciamento de segurana da informao alinhar a segurana de TI com a segurana de negcio, garantindo que a segurana da informao gerenciada de forma ecaz em todos os servios e atividades de TI. A segurana da informao uma atividade de gerenciamento que est dentro da estrutura de governana corporativa, a qual fornece a direo estratgica para as atividades de segurana, assegurando que os objetivos sejam alcanados. Alm disso, garante que os risos de segurana so devidamente controlados e que os recursos da empresa so utilizados de maneira responsvel [11]. Este processo foi baseado na norma ISO/IEC 27001 e assume uma abordagem modicada da estrutura PDCA (Plan-Do-Check-Act) para o gerenciamento da segurana da informao que utiliza a seguinte terminologia CPIAM: Controlar: a primeira atividade do gerenciamento da segurana da informao,

49

tratando da organizao e do gerenciamento do processo, alocando responsabilidades e estabelecendo e controlando documentaes Planejar: aconselhar e recomendar medidas de segurana adequadas, com base no entendimento dos requisitos da organizao Implementar: garantir que os procedimentos adequados, ferramentas e controles esto em conformidade para apoiar a segurana da informao Avaliar: supervisionar e checar o cumprimento da poltica de segurana e os requisitos de segurana nos ANSs e ANOs e realizar auditorias regulares Manter: melhorar os acordos de segurana e aplicao das medidas e controles Os objetivos do gerenciamento de segurana da informao so: Assegurar que as informaes estejam disponveis quando forem necessrias, alm de que os sistemas estejam preparados para resistir a ataques ou falhas de segurana, garantindo sua disponibilidade Garantir que a informao somente seja acessada ou divulgada para pessoas autorizadas, assegurando sua condencialidade Garantir que as informaes esto completas, precisas e protegidas contra modicaes no autorizadas, assegurando sua integridade Garantir que as transaes de negcio e a troca de informaes entre as empresas e parceiros seja realizada de maneira convel, assegurando a autenticidade e o no repdio.

2.2.7

Gerenciamento de fornecedor

O propsito do processo de gerenciamento de fornecedor garantir que os fornecedores e os servios fornecidos por eles sejam gerenciados para suportar as metas dos servios de TI e as expectativas do negcio. Ajudando a melhora a percepo da qualidade dos servios prestados por parceiros e fornecedores de modo a beneciar o negcio e a organizao. Tambm contribui para que seja obtido o retorno adequado dos fornecedores garantindo que eles alcancem as metas estabelecidas em seus contratos [11]. Os objetivos do gerenciamento de fornecedor so:

50

Agregar valor o dinheiro investido em fornecedores e contratos Garantir que os contratos, acordos com fornecedores estejam alinhados as necessidades do negcio, RNS e ANS Gerenciar as relaes com os fornecedores Gerenciar o desempenho dos fornecedores Negociar e acordar contratos com fornecedores e gerencia-los atravs do ciclo de vida Manter uma poltica de fornecedores e um banco de dados de contratos e fornecedores.

2.3

Transio de Servio

A Transio de Servio fornece orientaes para o desenvolvimento e melhoria da capacidade de transio de servios novos e modicados. Mostra como os requisitos da Estratgia de Servio codicados no Desenho de Servio sero realizados na Operao de Servio, controlando os riscos de falhas e interrupes. Em linhas gerais, ela serve como um elo que liga a fase de Desenho de Servio fase de Operao de Servio [12].

2.3.1

Planejamento e suporte da transio

O planejamento e suporte da transio tem como propsito planejar e coordenar os recursos assegurando que os requisitos da Estratgia de Servio codicados no Desenho de Servio so efetivamente realizados na Operao de Servio. Alm de identicar, gerenciar e controlar os riscos de falhas e interrupes atravs das atividades de transio [12]. Os objetivos do planejamento e suporte da transio so: Planejar e coordenar os recursos para estabelecer com sucesso um servio novo ou modicado no ambiente de produo, dentro dos custos previstos e estimativas de qualidade e tempo Assegurar que todas as partes adotem as mesmas estruturas de padres reutilizveis de processo e sistemas de suporte, a m de melhorar a eccia e a ecincia do planejamento integrado e atividades de coordenao Oferecer planos claros e abrangentes que habilitem projetos de mudanas para alinhar as suas atividades s dos planos de Transio de Servio.

51

2.3.2

Gerenciamento de mudanas

O gerenciamento de mudanas tem como propsito assegurar que as mudanas so realizadas de forma controlada, alm de serem planejadas, avaliadas, implementadas, testadas e documentadas [12]. Os objetivos do gerenciamento de mudanas so: Responder s mudanas de requisitos de negcio dos clientes minimizando o valor e reduzindo os incidentes, interrupes e retrabalho Responder s solicitaes de negcio e TI para mudanas que alinharam os servios com as necessidades do negcio.

2.3.3

Gerenciamento da congurao e de ativo de servio

O propsito do gerenciamento da congurao e de ativo de servio denir e controlar os componentes de servio e infraestrutura e manter a exatido da informao de congurao no histrico, planejada e reetindo o estado atual dos servios e infraestrutura [12]. Os objetivos do gerenciamento da congurao e de ativo de servio so: Apoiar o negcio e os objetivos de controle e requisitos dos clientes Apoiar a ecincia e ecacia dos processos de gerenciamento de servio proporcionando a exatido da informao de congurao para habilitar as pessoas a tomarem decises no momento certo. Minimizar o nmero de questes de qualidade e conformidade causadas por conguraes incorretas de servios e ativos. Otimizar os ativos de servio, conguraes de TI, capacidade e recursos.

2.3.4

Gerenciamento de liberao e implantao

O gerenciamento de liberao e implantao tem como propsito implantar as liberaes no ambiente de produo e estabelecer o uso ecaz do servio, a m de entregar valor ao cliente e ser capaz de passar as liberaes para Operao de Servio [12]. Os objetivos do gerenciamento de liberao e implantao so:

52

Certicar que existem planos claros e abrangentes de liberao e implantao que permitam aos clientes e negcio a modicao de projetos para alinhar suas atividades Assegurar que um pacote de liberao possa ser construdo, instalado, testado e implantado de forma eciente e dentro do tempo programado Assegurar que servios novos ou modicados, assim como os seus sistemas, tecnologias e organizaes sejam capazes de satisfazer os requisitos de servios acordados Certicar que exista o mnimo de impactos imprevisveis na produo de servios, operaes e organizao de apoio Assegurar que clientes, usurios e equipe de gerenciamento de servio esto satisfeitos com as prticas e sadas da Transio de Servio.

2.3.5

Validao e teste de servio

A validao e teste de servio contribui para garantir a qualidade dos servios, certicando que o Desenho de Servio e liberao entregaram um servio adequado ao seu propsito e uso [12]. A rea de teste vital para o gerenciamento de servio e tem sido uma causa invisvel da inecincia dos processos de gerenciamento de servio. Se os servios no forem testados sucientemente, a sua introduo no ambiente operacional trar um aumento dos incidentes, das chamadas de suporte, dos problemas, dos erros e dos custos [12]. Os objetivos da validao e teste de servio so: Fornecer conana que uma liberao criara um servio novo ou modicado ou ofertas de servios que entregaram os resultados e valores esperados para os clientes dentro das limitaes, capacidade e custos previstos. Validar se um servio adequado ao seu propsito Garantir que um servio est apto para uso Vericar se os requisitos para servios novos ou modicados dos clientes e partes interessadas esto corretamente denidos e corrigir eventuais erros ou desvios no incio do ciclo de vida do servio j que isso consideravelmente mais barato do que corrigir erros na produo.

53

2.3.6

Avaliao

O propsito da avaliao fornecer uma forma consistente e padronizado de determinar o desempenho de uma mudana de servio no contexto da infraestrutura de TI e dos servios existentes e propostos. Alm de denir corretamente a expectativas das partes interessadas e fornecer informaes precisas e ecazes para que o gerenciamento de mudanas no faa alteraes que afetem negativamente a capacidade dos servios e introduza riscos que no foram checados na transio [12]. Os objetivos da avaliao so: Avaliar os efeitos desejados de uma mudana de servio assim como os efeitos no desejados que forem razoavelmente prticos dada a capacidade, recursos e limitaes organizacionais Fornecer sadas de boa qualidade de modo que o gerenciamento de mudanas possa acelerar as decises sobre se uma mudana de servio ser aprovada ou no.

2.3.7

Gerenciamento do conhecimento

O gerenciamento do conhecimento tem como propsito assegurar que a informao certa est entregue no lugar apropriado ou pessoa competente na hora certa para permitir decises informadas. Alm de permitir que a organizao melhore a qualidade da tomada de decises gerenciais, assegurando que os dados e informaes conveis e seguras esto disponveis atravs de todo o ciclo de vida do servio [12]. Os objetivos do gerenciamento do conhecimento so: Permitir que o provedor de servio seja mais ecientes e melhorar a qualidade dos servios, aumentando a satisfao e reduzindo os custos do servio Garantir que os funcionrios tenham uma compreenso clara e comum do valor que seus servios oferecem para o cliente e a maneira na qual os benefcios so percebidos a partir do uso desses servios Assegurar que em um dado momento e local, a equipe do provedor de servio ter as informaes adequadas em: Quem est usando atualmente os seus servios

54

O estado atual do consumo Restries de entrega de servio Diculdades enfrentadas pelos clientes em realizar plenamente os benefcios esperados do servio.

2.4

Operao de Servio

A Operao de Servio incorpora prticas para o gerenciamento dos servios em operao. Ela fornece diretrizes para adquirir eccia e ecincia na entrega e suporte dos servios, assegurando a entrega de valor ao cliente e ao provedor de servio. Alm de, proporcionar orientaes para manter a estabilidade dos servios em operao, permitindo realizao de mudanas no projeto, escopo e nveis de servios acordos [13]. Na Operao de Servio, possvel gerenciar as aplicaes, as tecnologias e a infraestrutura que suporta os servios, permitindo aos gestores tomarem decises melhores respeito do gerenciamento da disponibilidade dos servios, do controle de demanda, da otimizao da utilizao da capacidade, do escalonamento das operaes e at mesmo corrigir problemas [13].

2.4.1

Gerenciamento de evento

O propsito do gerenciamento de evento fornecer a capacidade para detectar eventos e dar-lhes sentido, determinando as medidas de controle apropriadas. Alm disso, proporciona uma maneira de comparar o desempenho e o comportamento atual com que foi estabelecido nos ANSs da fase desenho. Assim, o gerenciamento de evento a base para o monitoramento e controle operacional [13]. Um evento pode ser denido como qualquer ocorrncia que tenha importncia para o gerenciamento da infraestrutura ou prestao de servios de TI, avaliando dos impactos que um desvio pode causar aos servios. Geralmente, estes eventos so noticaes criadas por um servio de TI, um Item de Congurao (IC) ou uma ferramenta de monitoramento [13]. Existem alguns tipos de eventos, tais como: Eventos que signicam uma operao comum, como: a entrada de um usurio para o uso de um aplicativo e a chegada de um e-mail ao um destinatrio Eventos que signicam uma exceo, como: uma tentativa de um usurio de entrar em

55

um aplicativo com uma senha incorreta e aps uma varredura, revelao da instalao de um software no autorizado Eventos que signicam uma operao incomum, mas no excepcional, como: a memria de um servidor chega 5% do seu nvel mais alto de desempenho e o tempo de concluso de uma transio 10% maior do que o normal. As organizaes precisam ter sua prpria categorizao de importncia de um evento, o ITIL [13] sugere que as organizaes adotem pelo menos trs categorias, que so:

Informativos - entrada de um usurio no sistema Alertas - tempo de uma transio 10% acima do normal Excees - detectou-se a instalao de um software no licenciado.

2.4.2

Gerenciamento de incidente

O gerenciamento de incidente tem como propsito restaurar as operaes normais de servio to rpido quanto possvel e minimizar os impactos negativos sobre as operaes de negcio, deste modo, garantindo que os melhores nveis possveis de qualidade e disponibilidade de servio so mantidos [13]. O gerenciamento de incidentes inclui qualquer evento que interrompa ou possa interromper um servio. Isso inclui eventos que so diretamente comunicados por usurios ou atravs da Central de Servio. Os incidentes, tambm, podem ser comunicados ou registrados pela equipe tcnica quando, por exemplo, eles percebam o mau funcionamento de algum IC [13]. As atividades do gerenciamento de incidentes incluem: Identicao: o processo inicia quando o incidente identicado Registro: os incidentes precisam ser registrados Classicao: a classicao til para identicar os tipos de incidentes mais recorrentes Priorizao: priorizar por impacto e urgncia Diagnstico: descobre possveis sintomas e o que no est funcionando adequadamente Escalonamento: caso o incidente no possa ser resolvido pela Central de Servio, ele precisa ser escalonado para outro nvel de suporte

56

Investigao e diagnstico: determina a natureza da requisio Resoluo e recuperao: identica uma soluo Fechamento: a Central de Servio dever documentar o incidente e fazer um fechamento formal junto ao usurio.

2.4.3

Cumprimento de requisio

O cumprimento de requisio o processo que lida com as solicitaes de servios dos usurios. Permite aos usurios solicitar e receber servios padronizados, fornece informaes aos usurios e clientes sobre os servios e procedimentos para obteno do que desejam e prove suporte com reclamaes, comentrios e sugestes [13]. Os objetivos do cumprimento de requisio so: Fornecer um canal para que os usurios solicitem e recebam servios padronizados para os quais existe um processo de aprovao e qualicao pr-denidos Fornecer informaes aos usurios e clientes sobre a disponibilidade dos servios e procedimentos para obt-los Produzir e entregar os componentes de servios requisitados Ajudar com as informaes gerais, reclamaes e comentrios.

2.4.4

Gerenciamento de problema

O gerenciamento de problema responsvel por gerenciar o ciclo de vida de todos os problemas. Tendo como propsito evitar problemas resultantes de incidentes ocorridos, eliminar incidentes recorrentes e minimizar o impacto de incidentes que no podem ser evitados [13]. Este processo mantm informaes sobre os problemas e solues, bem como as solues de contorno para que a organizao seja capaz de reduzir o nmero de impactos de incidentes ao um tempo satisfatrio. Os problemas so a causa de um ou mais incidente, porm um incidente nunca vira um problema, os registros so mantidos em separado [13]. As atividades do gerenciamento de problema so: Identicao

57

Registro Categorizao Priorizao Investigao e diagnstico Deciso sobre a soluo de contorno Identicao de erros conhecidos Resoluo Concluso Reviso Correo de erros identicados.

2.4.5

Gerenciamento de acesso

O gerenciamento de acesso tem como propsito fornecer os direitos para que os usurios possam utilizar um servio ou grupo de servios, ao passo que tem de prevenir o acesso de usurios no autorizados. , portanto, a execuo das polticas e aes denidas no gerenciamento da segurana da informao e disponibilidade, capacitando a organizao a gerenciar a condencialidade, disponibilidade e integridade de seus dos dados e propriedade intelectual [13]. Algumas das atividades do gerenciamento de acesso so: Vericao da legitimidade das requisies Fornecer os direitos de acesso Monitorar o estado da identidade Registrar e monitorar o acesso Remove e limita os direitos de acesso.

58

2.5

Melhoria de Servio Continuada

A Melhoria de Servio Continuada fundamental na criao e manuteno de valor para os clientes. Combinando os princpios, prticas e mtodos de gesto de qualidade, gesto de mudanas e melhoria da capacidade ela permite as organizaes a realizarem melhorias incrementais e em grande escala na qualidade dos servios, ecincia operacional e continuidade do negcio [14]. As atividades de Melhoria de Servio Continuada so executadas durante todo o ciclo de vida, atuando na integrao e melhoria de todas as fases e possibilitando o alinhamento e o realinhamento dos servios de TI para atender s mudanas nas necessidades do negcio [14].

2.5.1

Processo de melhoria em 7 etapas

O conceito de medio fundamental para a Melhoria de Servio Continuada. Assim, este processo enfoca nas etapas necessrias para obter dados importantes, analisar os dados coletados e reconhecer as tendncias, identicando e implementando melhorias [14]. As sete etapas do processo de melhoria so: 1. Denir o que deve ser medido: compilar uma lista do que deve ser medido conforme os requisitos de negcio 2. Denir o que se pode medir: listar ferramentas em uso e compilar uma lista de quais ferramentas podem ser medidas comparando com o a etapa 1 3. Coletar dados: a coleta de dados exige ter alguma forma de monitoramento no local. O monitoramento pode ser executado usando tecnologias tais como aplicativos, ferramentas de monitoramento de sistemas e componentes 4. Processar dados: converter dados para o pblico e formato requerido. Tecnologias de gerao de relatrios so normalmente usadas nesta etapa 5. Analisar dados: a anlise de dados transforma a informao em conhecimento de eventos que esto afetando a organizao 6. Apresentar e usar a informao: esta etapa envolve a apresentao da informao em um formato que seja compreensvel e no nvel certo, permitindo que aqueles que receberem as informaes tomem decises estratgicas, tticas e operacionais

59

7. Implantar ao corretiva: usa o conhecimento adquirido para otimizar, melhorar e corrigir os servios.

2.5.2

Relatrio de servio

O propsito do relatrio de servio desenvolver e fornecer relatrios sobre os resultados alcanados e os crescimentos da qualidade nos nveis de servio. Estes relatrios devem demonstrar o desempenho passado e destacar as ameaas que possam prejudicar a organizao no futuro [14]. As atividades do relatrio de servio inclui: Coletar dados Processar os dados em informao Publicar a informao Ajustar o relatrio para o negcio.

2.5.3

Mensurao de servios

O propsito da mensurao de servio fornecer uma viso signicativa dos servios de TI da forma como os clientes vivenciam os servios. Alm de ser capaz de medir se um servio est diretamente ligado aos componentes, sistemas e aplicativos que esto sendo monitorados e reportados [14]. Os objetivos da mensurao de servio so: Validar decises que tenham sido tomadas Direcionar atividade para o alcance das metas Fornecer evidncias que justiquem aes Sinalizar a necessidade de aes corretivas.

60

ISO/IEC 27002 e ITIL v3 como ferramenta para alinhar segurana da informao ao negcio

Neste captulo, ser apresentado o estudo de como algumas das sees e categorias da ISO/IEC 27002 podem contribuir para aumentar a segurana da informao e, por consequncia, a qualidade do gerenciamento dos servios de TI segundo o ITIL v3. , ou

O estudo seguir a ordem estabelecida pelo ciclo de vida de servio do ITIL e Melhoria de Servio Continuada. A relao entre as fases do ciclo de vida de servio do ITIL desta relao.

seja: Estratgia de Servio, Desenho de Servio, Transio de Servio, Operao de Servio

v3 e as sees da norma

ISO/IEC 27002 est apresentada na Tabela 3.1 e, na Figura 3.1 apresentada uma viso geral

61

Figura 3.1: Relao entre a ITIL

v3 e a ISO/IEC 27002.

62

Tabela 3.1: ITIL

v3 ISO/IEC 27002.

Fase do Ciclo de Vida Seo da ISO/IEC 27002 Estratgia de Servio Anlise/avaliao e tratamento de riscos Anlise/avaliao e tratamento de riscos Poltica de segurana da informao Organizando a segurana da informao Gesto de ativos Segurana fsica e do ambiente Gerenciamento das operaes e comunicaes Aquisio, desenvolvimento e manuteno de sistemas de informao Gesto da continuidade do negcio Gesto de ativos Gerenciamento das operaes e comunicaes Aquisio, desenvolvimento e manuteno de sistemas de informao Anlise/avaliao e tratamento de riscos Segurana em recursos humanos Segurana fsica e do ambiente Gerenciamento das operaes e comunicaes Controle de acessos Aquisio, desenvolvimento e manuteno de sistemas de informao Gesto de incidentes de segurana da informao Gesto da continuidade do negcio Conformidade Organizando a segurana da informao

Desenho de Servio

Transio de Servio

Operao de Servio

Melhoria Contnua

3.1

Estratgia de Servio e a norma ISO/IEC 27002

A Estratgia de Servio a primeira fase do ciclo de vida e demonstra como desenhar, desenvolver e implementar o gerenciamento de servios de TI de maneira estratgica, identicando, selecionando e priorizando as oportunidades de negcio. Alm disso, garante que as organizaes esto aptas a lidar com os riscos e custos associados aos seus servios, identicando os requisitos e necessidades de negcio. E nesta fase que so estabelecidos os objetivos e expectativas de desempenho dos servios que sero fornecidos aos clientes.

63

A seo da ISO/IEC 27002 que contribui para esta fase do ciclo de vida a anlise/avaliao e tratamento de riscos, mais especicamente a categoria analisando/avaliando os riscos de segurana da informao. Isso se justica pelo fato de que nessa fase do ciclo de vida que so identicados os requisitos e necessidades de negcio, alm de identicar, selecionar e priorizar as oportunidades, com o objetivo de alinhar a TI aos negcios. Ento, para alinhar a segurana da informao aos negcios, precisa-se realizar um levantamento dos requisitos de segurana da informao e identicar, quanticar e priorizar os riscos com base nos objetivos da organizao. Os resultados dessa anlise e avaliao de riscos devem orientar e denir as aes de gesto durante todo o ciclo de vida do servio.

3.2

Desenho de Servio e a norma ISO/IEC 27002

. Nesta fase os

O Desenho de Servio segunda fase do ciclo de vida do ITIL

objetivos estratgicos denidos na Estratgia de Servio so convertidos em portflios e ativos de servios, isso garante que os servios de TI estaro alinhados s necessidades e objetivos de negcio. Desta forma, busca assegurar a qualidade da entrega de servios, a satisfao dos clientes e o custo-benefcio na prestao dos servios. As sees da ISO/IEC 27002 que podem contribuir para esta fase do ciclo de vida so: Anlise/avaliao e tratamento de riscos, Poltica de segurana da informao, Organizando a segurana da informao, Gesto de ativos, Segurana fsica e do ambiente, Gerenciamento das operaes e comunicaes, Aquisio, desenvolvimento e manuteno de sistemas de informao e Gesto da continuidade do negcio. A Anlise/avaliao e tratamento de riscos aplicada na fase anterior (Estratgia de Servio) vai fornecer os riscos e suas prioridades para que possam ento ser tratados nesta fase, seja aplicando controles ou evitando os riscos. Isso contribuir para o alinhamento da segurana da informao com os objetivos do negcio. A Poltica de segurana da informao determinar o que considerado pela organizao como aceitvel ou inaceitvel e atravs dela a direo ir orientar e dar apoio a segurana da informao de acordo com os requisitos de negcio, leis e regulamentaes. Isso ajudar a alinhar os servios a segurana da informao. Tambm, ir contribuir na elaborao do documento de poltica da segurana da informao. A seo Organizando a segurana da informao contribui para desenvolver e estruturar um Sistema de Gerenciamento de Segurana da Informao (SGSI) e garantir que as atividades de segurana sero executadas de acordo com o que foi denido no documento de poltica de

64

segurana da informao. Tambm, ajuda a identicar os ativos e processos de segurana de cada rea denindo as responsabilidades sobre eles. Isso possibilita assegurar que apenas as pessoas autorizadas tero acesso aos recursos de processamento e s informaes. Quanto s mudanas de equipamentos e softwares esta seo ir colaborar com os procedimentos para vericar a compatibilidade com os demais componentes do sistema e certicar que os mesmos no introduziram nenhum tipo de ameaa ou vulnerabilidade, alm de assegurar que suportaram os servios oferecidos. Alm disso, analisa e avalia os riscos que envolvem o relacionamento com fornecedores, antes de obter qualquer produto ou servio. A Gesto de ativos contribui para a proteo dos ativos organizacionais classicando as informaes de forma a identicar se as necessidades, as prioridades e os nveis de segurana esto sendo oferecidos adequadamente. Alm de, realizar anlises para certicar que os ativos esto atualizados e no nvel de proteo apropriado. A Segurana fsica e do ambiente ajudar a manter a segurana das instalaes e da infraestrutura de TI da organizao, evitando acessos no autorizados, danos e interferncias. Contribui para projetar permetros de segurana e proteger as reas sensveis da organizao contra desastres naturais e fsicos. Colabora com o descarte de equipamentos estabelecendo controles para o tratamento apropriado e medidas que iro prevenir perdas, danos e furtos de informaes sensveis. O Gerenciamento das operaes e comunicaes vai contribuir com esta fase provendo orientaes de como gerenciar os servios terceirizados, de forma a garantir que os controles de segurana, as denies e os nveis de servios acordados sejam implementados, executados e mantidos por terceiros. Alm disso, fornecer controles para garantir a disponibilidade da capacidade apropriada e o desempenho esperado do sistema, monitorando a utilizao dos recursos e fazendo projees das capacidades futuras, alm de oferecer medidas para avaliar, testar e documentar os novos sistemas antes que sejam aprovados para migrar ao ambiente de produo. Tambm contribui com procedimentos para a proteo contra cdigos maliciosos e para realizao de cpias de segurana. A Aquisio, desenvolvimento e manuteno de sistemas de informao ir colaborar para manter a segurana dos sistemas de informao, tais como sistemas operacionais, aplicaes de negcio, infraestrutura e servios, analisando e identicando os requisitos de controle de segurana durante a fase de desenvolvimento ou processo de aquisio. A Gesto da continuidade do negcio ir contribuir para fortalecer o processo de Gerenciamento da continuidade do servio de TI desta fase do ciclo de vida, implementando processos para minimizar os impactos de desastres e falhas nos sistemas de informao da organizao.

65

Ajudar a identicar eventos que possam causar a interrupo dos processos de negcio e a realizar anlises e avaliaes dos riscos para determinar a probabilidade e o impacto dessas interrupes, levando em considerao os danos e tempo de recuperao.

3.3

Transio de Servio e a norma ISO/IEC 27002

v3 e fornece orientaes para o

A Transio de Servio a terceira fase da ITIL

desenvolvimento e melhoria da capacidade de transio de servios novos ou modicados. Ela tem como propsito planejar e gerenciar mudanas nos servios e implantar a liberao de novos servios com sucesso no ambiente de produo. As sees da ISO/IEC 27002 que podem contribuir para esta fase do ciclo de vida so: Gesto de ativos, Gerenciamento das operaes e comunicaes e Aquisio, desenvolvimento e manuteno de sistemas de informao. A Gesto de ativos, nesta fase do ciclo de vida, fornecer suporte ao processo de Gerenciamento da congurao e de ativo de servio da ITIL v3, ajudando a controlar os componentes de servio e infraestrutura. Contribuir com a identicao dos ativos e com a elaborao do inventrio de ativos, alm de ajudar com a denio dos responsveis dos ativos e com o desenvolvimento da poltica de gerenciamento da congurao e de ativo de servio. O Gerenciamento das operaes e comunicaes colaborar com o processo de Gerenciamento de mudanas, ajudando a estabelecer mudanas atravs de controles para identicar, planejar, testar e avaliar os impactos ao negcio. A Aquisio, desenvolvimento e manuteno de sistemas de informao contribuir com o processo de Gerenciamento de liberao e implantao, certicando que os novos servios no iro introduzir qualquer tipo de ameaa ou vulnerabilidade. Alm disso, fornecer controles para garantir que as aplicaes esto realizando o processamento correto das informaes, prevenindo a ocorrncia de erros, perdas, modicaes no autorizadas ou mau uso.

3.4

Operao de Servio e a norma ISO/IEC 27002

v3 que incorpora prticas para o

A Operao de Servio fase do ciclo de vida da ITIL

gerenciamento dos servios em operao. Fornece orientaes para manter a estabilidade dos servios em operao e permite a realizao de mudanas no projeto, escopo e nvel de servios acordados. nesta fase que os servios efetivamente entregam valor ao cliente.

66

As sees da ISO/IEC 27002 que podem contribuir para esta fase do ciclo de vida so: Anlise/avaliao e tratamento de riscos, Segurana em recursos humanos, Segurana fsica e do ambiente, Gerenciamento das operaes e comunicaes, Controle de acessos, Aquisio, desenvolvimento e manuteno de sistemas de informao, Gesto de incidentes de segurana da informao, Gesto da continuidade do negcio e Conformidade. A Anlise/avaliao e tratamento de riscos ir colaborar para identicar os riscos de falhas ou potenciais falhas nos servios que esto em operao, alm de avaliar as potenciais mudanas e seus impactos. A Segurana em recursos humanos ir contribuir para educar e conscientizar os funcionrios sobre a segurana da informao nas suas atividades de trabalho. Tambm ajudar a denir, de acordo com a poltica de segurana, os papis e responsabilidades dos funcionrios, bem como as medidas cabveis em caso de seu descumprimento. A Segurana fsica e do ambiente ir cooperar prevenindo o acesso no autorizado, danos e interferncias s instalaes da empresa, estabelecendo permetros e controles de segurana para limitar a entra de funcionrios e visitantes somente as reas que lhes so permitidas. O Gerenciamento das operaes e comunicaes contribuir com esta fase ajudando a desenvolver, documentar e manter os procedimentos operacionais para garantir que os recursos de processamento da organizao sero operados corretamente. E colabora com o gerenciamento da segurana em redes denindo controles para manter as redes e os servios que operam nelas protegidos de ameaas e acessos no autorizados, alm de monitorar as atividades nas redes e manter os registros destas para futuras auditorias. O Controle de acessos ir contribuir com o processo de Gerenciamento de acesso desta fase do ciclo de vida, ajudando a desenvolver as polticas e princpios. Possibilitando aos usurios correto a utilizao dos servios e recursos autorizados. Tambm estabelece medidas para evitar acessos no autorizados aos ativos e recursos da organizao. A Aquisio, desenvolvimento e manuteno de sistemas de informao ir colaborar com esta fase denindo controles para assegurar que os servios em operao esto operando de maneira correta. Alm de vericar a integridade dos dados de entrada e sada das aplicaes utilizadas na operao deste servio. A Gesto de incidentes de segurana da informao ir fortalecer os processos de Gerenciamento de evento e Gerenciamento de incidentes da ITIL corretivas em um tempo satisfatrio. v3, possibilitando a identicao dos eventos e incidentes de segurana e permitindo uma tomada de aes

67

A Gesto da continuidade do negcio ir contribuir com esta fase no que diz respeito a execuo, teste e atualizao dos planos de continuidade do negcio para garantir que os mesmos so efetivos. A Conformidade ir ajudar a manter as atividades de monitoramento e armazenamento de informaes dos usurios em conformidade com os requisitos de segurana contratuais, regulamentares ou estatutrios para evitar violaes de quaisquer obrigaes legais.

3.5

Melhoria Contnua e a norma ISO/IEC 27002

A fase de Melhoria de Servio Continuada fundamental para a criao e manuteno de valor para os clientes. Ela permite as organizaes a realizarem melhorias incrementais e em grande escala na qualidade dos servios. Tambm possibilita o alinhamento e o realinhamento dos servios de TI para atender s mudanas nas necessidades do negcio. A seo da ISO/IEC 27002 que pode contribuir para esta fase do ciclo de vida : Organizando a segurana da informao. A seo Organizando a segurana da informao ajudar na realizao de anlises independentes do enfoque da organizao e implementao para a segurana da informao, com o propsito de assegurar a pertinncia, adequao e eccia das metas de gerenciamento da segurana estabelecidas pela organizao. O contato com grupos especializados em segurana da informao possibilitar a ampliao dos conhecimentos da organizao e manter a empresa atualizada, alm de permitir a identicao da necessidade da contratao de consultorias.

68

Concluso
Nos ltimos anos, a tecnologia assumiu um papel essencial para as organizaes, que muitas vezes, fazem parte de seus produtos e servios. Isso gera uma dependncia que faz com que as organizaes busquem por abordagens que alinhem a TI s necessidades do negcio. Essa dependncia pode causar srios prejuzos s organizaes quando, por alguma falha ou vulnerabilidade na infraestrutura de TI dos servios, impossibilita as atividades de negcio. Como foi possvel observar, a ITIL v3 focada no gerenciamento de servios de TI, v3 o maior

permitindo s organizaes gerenciar suas infraestruturas para possibilitar maior qualidade na entrega de servios de TI. A mais importante contribuio oferecida pela ITIL alinhamento da TI com as necessidades do negcio. A norma ISO/IEC 27002, tem seu enfoque no gerenciamento da segurana da informao com o objetivo de alinha a SI s necessidades do negcio. Neste contexto, o presente estudo mostrou como possvel relacionar algumas das sees da ISO/IEC 27002 com as fases do ciclo de vida da ITIL TI. Na fase de Estratgia de Servio, a seo Anlise/Avaliao e tratamento de riscos da contribui com o levantamento dos requisitos de segurana da informao e identicando, qualicando e priorizando os riscos com base nos objetivos da organizao. Na fase de Desenho de Servio, as sees Anlise/avaliao e tratamento de riscos, Poltica de segurana da informao, Organizando a segurana da informao, Gesto de ativos, Segurana fsica e do ambiente, Gerenciamento das operaes e comunicaes, Aquisio, desenvolvimento e manuteno de sistemas de informao e Gesto da continuidade do negcio iro contribuir para proporcionar um maior alinhamento da segurana da informao com os objetivo do negcio, para o desenvolvimento de um Sistema de Gerenciamento de Segurana da Informao e para estabelecer uma cultura em segurana dentro da organizao. Na fase de Transio de Servio, as sees Gesto de ativos, Gerenciamento das operaes e comunicaes e Aquisio, desenvolvimento e manuteno de sistemas de informao v3, para contribuir com o aumento da segurana da informao e, por consequncia, da qualidade do gerenciamento dos servios

69

contribuiro para identicar os ativos, estabelecer mudanas e garantir que novos servios no introduziro ameaas e vulnerabilidades. Na fase de Operao de Servio, as sees Anlise/avaliao e tratamento de riscos, Segurana em recursos humanos, Segurana fsica e do ambiente, Gerenciamento das operaes e comunicaes, Controle de acessos, Aquisio, desenvolvimento e manuteno de sistemas de informao, Gesto de incidentes de segurana da informao, Gesto da continuidade do negcio e Conformidade iro contribuir para identicar possveis falhas, denir responsabilidades, prevenir acessos no autorizados, manter os procedimentos operacionais, identicar incidentes de segurana e manter a conformidade com requisitos contratuais, regulamentares e legislativos. Na fase de Melhoria de Servio Continuada, a seo Organizando a segurana da informao contribui com anlise do enfoque da organizao para segurana da informao com o objetivo de assegurar a pertinncia, adequao e eccia das metas de gerenciamento da segurana estabelecidas pela organizao e mantendo a organizao atualizada sobre as questes de segurana da informao. Com os resultados deste trabalho, possvel conseguir tanto o alinhamento da TI com as necessidades do negcio, atravs da ITIL v3, quanto o alinhamento da segurana da . v3 informao, com a integrao das sees da ISO/IEC 27002 ao ciclo de vida da ITIL Assim, este estudo mostrou como a norma ISO/IEC 27002 pode contribuir com a ITIL

para melhorar a qualidade e segurana dos servios prestados pelas organizaes. Desta forma, possvel reduzir os riscos e agilizar a tomada de decises, diminuindo o impacto de incidentes e falhas de segurana. Para trabalhos futuros, sugere-se que seja incorporado a este estudo o CobiT 4.1 que voltado para gerentes executivos, gerentes de TI e auditores. No sentido de complementar este trabalho, o CobiT pode ser usado no alto nvel do gerenciamento de TI provendo uma estrutura de controle geral baseada em modelos de processos de TI.

70

Referncias Bibliogrcas
[1] ITGI. CobiT 4.1. USA: IT GOVERNANCE INSTITUTE, 2007.

[2] SCHREIBER, V.; PITKOWSKI, A. Melhores prticas. In: Planejamento Estratrgico da Segurana da Informao. So Paulo: INFOSEC COUNCIL, 2010. p. 29 34. Acesso em: 10 de fev. 2010. Disponvel em: <http://www.infoseccouncil.org.br>. [3] CLINCH, J. ITIL v3 and information security. Best Management Practice: For Portfolio, Programme, Project, Risk and Service Management, 2009. [4] ITGI. CobiT Security Base Line: An Information Security Survival Kit. [S.l.]: IT GOVERNANCE INSTITUTE, 2007. [5] ABNT. ISO/IEC 27002: Tecnologia da Informao - Tcnicas de Segurana - Cdigo de Prticas para a Gesto da Segurana da Informao. 2007. [6] GEUS, P. L. de; NAKAMURA, E. T. Segurana de Redes em Ambientes Cooperativos. 3. ed. So Paulo: Furura, 2003. [7] ABNT. ISO/IEC 27001: Tecnologia da Informao - Tcnicas de Segurana - Sistema de Gesto de Segurana da Informao - Requisitos. 2006. [8] SILVA, P. T.; CARVALHO, H.; TORRES, C. B. Segurana dos Sistemas de Informao: Gesto Estratgica da Segurana Empresarial. Portugal: Centro Atlntico, 2003. [9] TSO. The Ofcial Introduction to the ITIL [10] TSO. ITIL [11] TSO. ITIL [12] TSO. ITIL [13] TSO. ITIL [14] TSO. ITIL Service Lifecycle. [S.l.]: TSO, 2007.

- Service Strategy. [S.l.]: TSO, 2007. - Service Design. [S.l.]: TSO, 2007. - Service Transition. [S.l.]: TSO, 2007. - Service Operation. [S.l.]: TSO, 2007. - Continual Service Improvement. [S.l.]: TSO, 2007.