Você está na página 1de 16

SEGURANA DA INFORMAO JUNTO ITIL V3

Rodrigo Carvalho Losina1

RESUMO

O presente artigo aponta de forma clara os aspectos relacionados segurana da


informao presentes dentro do framework da ITIL, utilizado como referncia de boas
prticas de TI. Com base em publicaes tcnicas e artigos cientficos, o estudo busca
encontrar dentro da metodologia da ITIL itens que permitam a integrao dessa aos
critrios de segurana da informao. Ao ser constatada a relao entre o modelo e esses
critrios de segurana, inicia-se a descrio dos processos especficos do modelo que
atuam diretamente com critrios de segurana da informao e a forma como essa se
define. Ao final, tem-se como resultado o apontamento da total adequao do modelo a
estes critrios, como o atendimento das necessidades do negcio, possibilitando a
metodologia ser utilizada em acordo e em conjunto com padres e normas especficas de
segurana, alm da constatao da preocupao do modelo em relao aos objetivos do
negcio e da importncia da correta aplicao do mesmo.

Palvras-chave: ITIL. Segurana da Informao. Tecnologia da Informao

ABSTRACT

This article points out clearly the issues related to information security present 'within' the
framework of ITIL, used as a reference of good IT practices. Based on technical
publications and scientific articles, this study seeks to find within the ITIL methodology of
items that allow the integration of this criteria for information security. When it is found
the relationship between the model and these safety criteria, it begins the description of the
specific processes that act directly on the model with criteria for information security and
how this is defined. At the end, it has resulted in the appointment of the overall model fit
these criteria, such as meeting the needs of the business, allowing the methodology to be
used in the agreement and in conjunction with standards and security standards, in
addition to the finding of concern of the model in relation to business objectives and the
importance of correct application.

Keywords: Itil. Information Security. Information Technology

1. INTRODUO

A rea de Tecnologia da Informao (TI) assume cada vez mais responsabilidades


nos quesitos relacionados prosperidade das organizaes. Para atender a essa realidade, o
setor de TI conta com algumas metodologias que podem ser aplicadas com a finalidade de

1
Rodrigo Carvalho Losina Tcnico em eletrnica pelo SENAI Chapec (2008). Bacharel em Sistemas de
Informao pela Universidade Comunitria da Regio de Chapec UNOCHAPEC (2011). Ps-graduando
em Segurana da Informao pela Unidade Central de Educao FAEM Faculdades UCEFF Faculdades
(2011 -). Colaborado do SENAI Chapec como especialista em informtica. Colaborador do SENAC
Chapec com orientador de curso. Colaborador da Unidade Central de Educao FAEM Faculdades
UCEFF Faculdades como professor de ensino superior. rodrigo.losina@gmail.com
2

auxiliar a gesto interna da rea, bem como a integrao dessa com as demais reas de uma
organizao.
Nesse contexto, a Information Technology Infrastructure Library (ITIL - Biblioteca
de Infraestrutura de Tecnologia da Informao) surge como uma das metodologias de
gesto de TI mais aplicadas por organizaes em todo o mundo, trazendo exemplos de
boas prticas aplicadas nas mais diversas situaes e contextos.
Muito desta responsabilidade atribuda a TI se relaciona relevncia que as
informaes passaram a ter em relao aos negcios das organizaes, em que alm de
tratar, armazenar e disponibilizar estes dados, a TI passa a ter uma preocupao muito
grande com a segurana destas informaes. Sendo importante o alinhamento estratgico
da gesto de TI em conformidade com estes aspectos relacionados segurana da rea.
Como j mencionado, a segurana da informao se apresenta hoje como uma das
reas de maior preocupao dentro das organizaes, principalmente pelo elevado valor
que as informaes e conhecimento trazem para as mesmas. Esta realidade no diferente
dentro da TI, grande responsvel pelo armazenamento e tratamento dessas informaes.
Estas tarefas demandam grandes cuidados em todos os processos dentro da
organizao, com isso o setor de TI deve ser focado em atender e prover ferramentas para a
execuo destes processos e tambm assegurar, principalmente, a integridade,
confidencialidade e disponibilidade das informaes; essas representam os trs pilares
bsicos para garantia da segurana das informaes.
Alinhado a essas preocupaes, o setor de TI surge como grande prestador de
servio dentro da organizao, trazendo com isso preocupaes em relao qualidade de
suas atividades. Como j citado, para auxiliar as atividades, podem ser utilizados
frameworks que fornecem mtodos e prticas adequadas para realizao das mesmas.
Dentro deste contexto temos a ITIL, que, assim como o Control Objectives for Information
and Related Technology (COBIT Objetivo de Controle para Tecnologia da Informao e
reas Relacionadas) e a International Organization for Standardization (ISO -
Organizao Internacional para Padronizao), apresenta-se como referncia no mercado.
Esses padres servem de referncia para a rea de TI e trazem questes relevantes quanto
segurana da informao, que em alguns casos no so observadas devido falta de
conhecimento sobre as mesmas ou por causa da preocupao focada apenas no contexto
geral destes frameworks.
A utilizao desses framworks citados ou de outros que norteiem as atividades de
TI uma realidade em boa parte das organizaes. Esses servem como referncia para
atuao da rea de TI com qualidade e foco na prestao de servios a seus
clientes/usurios. Alinhando esse fato realidade das preocupaes com a segurana das
informaes que trafegam pelas estruturas fornecidas pela TI, torna-se necessrio a
adequao destes cuidados s boas prticas elencadas por essas ferramentas de gesto.
A ITIL, como grande referncia de boas prticas de gesto e atuao de TI adotada
pelo mundo, traz em sua coleo detalhes sobre aspectos da segurana da informao na
atuao da TI na organizao que podem ser aplicados em pleno acordo com normas
especficas como, por exemplo, a ISO 27000, como tambm fornecer um alicerce slido
para a TI em toda a sua atuao e com a devida preocupao em todos os aspectos
necessrios para tal.
Com base no contexto apresentado at o momento, so levantadas algumas
hipteses para a execuo de um estudo, referente aplicao de critrios relacionados
segurana da informao por parte da ITIL. Essas Hipteses buscam demonstrar ento que
este framework tem em sua estrutura preocupaes em relao segurana da informao,
alm de elencar algumas das boas apresentadas pelo modelo.
3

Como objetivo da execuo deste estudo, deseja-se ento descrever a atuao da


ITIL em relao segurana da informao. Para tanto, a pesquisa busca identificar o papel
da ITIL na gesto de TI, apontar a atuao da ITIL nos diversos processos de TI e descrever
como a ITIL aborda as boas prticas de segurana de informao.
Esse estudo consiste em uma pesquisa cientfica baseada em bibliografias tcnicas e
artigos cientficos que corroboram com o tema, mais especificamente em relao
segurana de informao dentro da metodologia da ITIL. Foram tambm consultados
alguns artigos com exemplos de aplicao para auxiliar na concluso da aplicabilidade do
modelo descrito.

2. FUNDAMENTAO TERICA

2.1. Segurana da Informao

O cotidiano atual do mundo dos negcios apresenta a informao como ativo


essencial para as organizaes, e tal fato cria a necessidade de proteger as informaes
como um todo. Essa realidade ainda apresenta um contexto onde conectividade entre
dispositivos e pessoas esta cada vez mais presente, fazendo com que tais informaes
estejam cada vez mais expostas a um grande nmero de ameaas (ABNT NBR ISO/IEC
27002, 2005).
O contexto de informao esta presente de vrias formas em uma organizao,
informaes impressas ou manuscritas, em documentos eletrnicos que podem ser
transmitidas por meios tradicionais ou digitais e esto disponveis em vrios outros tipos de
mdias. Independente da forma de transmisso ou armazenamento deve-se haver uma
preocupao redobrada quando a segurana em relao s mesmas (ABNT NBR ISO/IEC
27002, 2005).
Ainda segundo a ABNT NBR ISO/IEC 27002 (2005), segurana da informao
pode ser definida como a proteo em relao a vrios tipos de ameaa, com o objetivo de
garantir a continuidade dos negcios atravs da minimizao de riscos e maximizao do
retorno sobre os investimentos. Ainda descrito que a segurana pode ser obtida com a
utilizao de controles, polticas, processos, procedimentos, entre outros itens aplicados
aos contextos de hardware, software e tambm pessoas. Tais itens devem estar alinhados
aos objetivos do negcio e devem ser aplicados junto aos processos de gesto, alm disto,
deve haver monitorao e um processo continuado de melhoria sobre os mesmos.
Publicaes tcnicas e normas aplicadas a segurana da informao indicam que a
mesma deve dar suporte a trs elementos principais (Ramos, 2008):
Confidencialidade Garantia de que a informao seja disponibilizada apenas as
pessoas que tenham direito para tal;
Integridade Garantia de que a informao permanea original, sem alteraes
acidentais ou intencionais;
Disponibilidade Garantia de que a informao esteja disponvel quando
necessrios;

Segundo Ramos (2008) ainda deve-se observar que a segurana da informao traz
consigo alguns fatores crticos. A anlise destes pontos permite que a aplicao de praticas
de segurana atenda tambm a realidade de investimento financeiro para das
organizaes.
4

O primeiro item crtico elencado denominado de Ativo, definido pela ISO/IEC


13335-1:2004 como qualquer coisa que tenha valor para a organizao com por exemplo,
os servios de tecnologia de informao, o parque de mquinas, o conjunto de softwares
aplicados entre outros.
A ISO/IEC 13335-1:2004 define ainda que Ameaa, outro fator crtico levantado
por Ramos (2008) pode de definida como uma causa potencial de um incidente indesejado,
que pode ter como resultado, dano para um sistema ou para a organizao;
Vulnerabilidade tida como outro fator crtico, e definida como uma ausncia de
mecanismos de proteo ou at mesmo a presena de falhas em ferramentas existentes.
Tais situaes permitem a concretizao das ameaas acima citadas (Ramos 2008).
Outros dois fatores crticos que devm ser analisados so definidos como Risco,
que definido como a combinao da probabilidade de um evento e de suas consequncias
e Impacto, que visa mensurar o tamanho do prejuzo que a concretizao de uma ameaa
pode causar (RAMOS, 2008; ABNT ISO/IEC GUIA 73:2005)
Para se ter uma clara viso da relao entre estes itens, Ramos (2008) apresenta um
fluxograma, demonstrado na figura1, que aponta tal interao.

Fonte: Ramos, 2008. Figura 1 - Relao entre critrios de Segurana

2.2. ITIL

A ITIL foi desenvolvida pela Central Computer and Telecommunications Agency


(CCTA - Agncia Central de Computao e Telecomunicao) no final dos anos 80, com o
objetivo de melhorar o nvel da qualidade de servios de TI prestados ao governo britnico.
Para tanto, foram abordadas as melhores prticas para gerenciar a utilizao eficiente e
responsvel dos recursos de TI, independentemente da finalidade da organizao e dos
fornecedores do servio. Atualmente o Office of Government Commerce (OGC entende-
5

se por Escritrio de Negcios do Governo) responsvel pela ITIL (FERNANDEZ;


ABREU, 2008).
Na atualidade, a ITIL est em sua terceira verso, denominada de V3, lanada em
maio de 2007, e agrega a organizao de processos de gerenciamento de servios, alm de
abordar outros aspectos como o conceito de integrao da TI ao negcio, portflios
dinmicos de servio e mensurao do valor do negcio. Assim, o framwork fornece uma
base slida para a convergncia com outros padres e modelos de gesto e governana
(FERNANDEZ, ABREU, 2008).

2.2.1. Objetivos do Modelo

A ITIL busca, com base em observaes prticas, pesquisa e trabalho de


profissionais de TI e processamento de dados do mundo todo, o agrupamento das melhores
prticas utilizadas para o gerenciamento de servios de TI de melhor qualidade. Devido
rea de atuao das prticas abordadas no modelo, a ITIL tem-se firmado cada vez mais
como um padro mundial para o gerenciamento de servios de TI (FERNANDEZ;
ABREU, 2008).
A ITIL pode ser definida como uma biblioteca de infraestrutura de Tecnologia da
Informao que sugere como deve funcionar ou se organizar o suporte e manuteno, para
que sejam proporcionadas melhorias gesto de tecnologia. Para isso o modelo descreve
as melhores prticas ao setor de tecnologia com processos bem definidos (FERNNDEZ,
2005).

ITIL apresentado como uma boa prtica (literalmente: mtodo correto). Isto
uma abordagem ou mtodo que prov a si prprio na prtica. Estas boas prticas
pode ser uma bagagem slida para a organizao que quer melhorar seus
servios de TI. (SILVA, 2008).

A ITIL fornece um conjunto de prticas de gerenciamento de servios de TI j


aplicadas e testadas no mercado, que podem fazer o papel de base para o desenvolvimento
do gerenciamento de TI para organizaes que j o possuem, mas que observam a
necessidade de melhoria, quanto para organizaes novas, que esto em fase de
implantao de seus servios. A utilizao da ITIL auxilia a organizao a atingir um nvel
de maturidade e qualidade que permite a utilizao eficaz de seus ativos estratgicos de TI,
focando as necessidades de clientes e usurios (FERNANDEZ; ABREU, 2008).
A abordagem desenvolvida com base no ciclo de vida do servio permite a viso do
gerenciamento de servio de acordo com o prprio servio e no um processo ou prtica
por vez. Isso possibilita mensurar e gerenciar o valor que os servios de TI efetivamente
adicionam ao negcio (FERNANDEZ; ABREU, 2008).
A ITIL disponibiliza uma abordagem sistmica no que diz respeito execuo
dos servios de TI com qualidade, fornecendo uma descrio dos processos em uma
organizao de TI e um checklist para tarefas e procedimentos que podem ser usadas como
referncia bsica para organizaes. Aliada a esses fatores, a ITIL ainda pode ser utilizada
como um guia de referncia para muitas reas com foco na melhoria das organizaes de
TI como um todo (SILVA, 2008).
O atual patamar das organizaes mostra o grande crescimento do papel das
informaes, dos prprios sistemas de informaes e, consequentemente, da gerncia de
servios de TI. Isso afeta diretamente os requisitos dos servios de TI que cresceram
tambm. Toda essa esfera leva em considerao o comprometimento com polticas internas
6

e externas, leis e regulamentos, como tambm a proviso de valores para as partes


interessadas das organizaes (SILVA, 2008).
As questes relativas Gesto ou Governana de TI so relativamente novas e,
ainda, no possuem muitos padres de anlise e verificao ou mesmo frameworks que
auxiliem na resoluo desses questionamentos. Ainda assim possvel encontrar vrias
definies diferentes em relao Governana de TI.

Governana de TI consiste de um compreensvel framework de estruturas,


processos e mecanismos relacionais. Estruturas envolvem a existncia de
funes responsveis, tais como executivos de TI e uma diversidade de Comits
de TI. Processos referem-se a estratgias de tomada de deciso e monitoramento
de em TI. Mecanismos relacionais incluem a participao de TI no negcio e as
parcerias estratgicas, dilogos estratgicos e compartilhamento de aprendizado.
(SILVA apud VAN GREMBERGEN, 2008).

A relao entre estruturas, processos e mecanismos de TI apresenta-se de forma


direta entre todos os envolvidos como demonstrado na figura 1.

Fonte: Silva, 2008


Figura 2 - Relao entre Governana de TI e processos envolvidos

Existem hoje alguns frameworks caracterizados como IT Governance fremework


(IT Information technology; Ferramenta de Governana de Tecnologia da Informao), e
a ITIL se encaixa nesta definio mesmo sendo, de fato, um framework de gerenciamento.
Para se compreender de forma mais clara o papel e a atuao da ITIL, necessrio
se ter em mente alguns conceitos de base, que so aplicados na metodologia. Tais
conceitos so abordados no prximo item.

2.2.2. Conceitos Aplicados

Tendo em vista o contexto atual da TI, a ITIL busca incluir e prover novos
caminhos para auxiliar o desenvolvimento das atividades de TI como tambm o
gerenciamento de servios, no s com base nos processos, mas tambm no ciclo de vida
do servio (SILVA, 2008).
Em sua publicao, Silva (2008) traz alguns conceitos utilizados pela ITIL:
7

Boas prticas: a ITIL apresentada como uma boa prtica, ou seja, uma abordagem
que prov a si prpria na prtica. Pode ser uma bagagem slida para a organizao
que quer melhorar seus servios de TI;
Servio: de acordo com a ITIL Um servio um meio de entregar valor para o
cliente atravs da facilitao de resultados que os clientes desejam obter sem
incorrer em especficos custos ou riscos;
Valor: um ncleo no conceito de servio e consiste em dois componentes
principais: utilidade (o que o cliente recebe) e garantia (como ele provido);
Gerenciamento de Servio: segundo a ITIL Gerenciamento de Servios um
conjunto de capacidades de uma organizao especializada em prover valor para
clientes na forma de servios.;
Sistemas: segundo a ITIL Um sistema um grupo de interativo, inter-relacionados
ou interdependentes componentes que forma um todo, operando junto para uma
finalidade comum.;
Funo: uma subdiviso da organizao especializada em preencher um
especfico tipo de trabalho e responsvel por um resultado especfico.
Processo: um conjunto estruturado de atividades projetadas para obteno de um
objetivo especfico.
Para melhor entender o que a ITIL e o que ela prope, necessrio conhecer a
estrutura do modelo que ser apresentado na sequncia.

2.2.3. Estrutura do Modelo

Como antes mencionado, a ITIL o agrupamento das melhores prticas de gesto


de TI que pode ser utilizado para estabelecer e melhorar o gerenciamento desses servios
dentro de uma organizao. Vejamos alguns componentes:

Ncleo da ITIL: Orientaes de melhores prticas aplicveis a todos os tipos de


organizaes que fornecem servios para um negcio (FERNANDEZ; ABREU,
2008).
Orientaes Complementares ITIL: a biblioteca ITIL possui publicaes
complementares destinadas a especializar a implementao e a utilizao das
prticas em diferentes setores empresariais. uma biblioteca dinmica que pode
receber contribuies de toda a comunidade (FERNANDEZ; ABREU, 2008).

Cinco publicaes compem o ncleo da ITIL, como observado na figura 2 abaixo,


cada uma delas relacionada a um estgio do ciclo de vida do servio e possui orientaes
para uma abordagem integrada de gerenciamento de servios.
8

Fonte: Silva, 2008


Figura 3 - Ciclo de Vida do Servio

Estratgia de Servio (Service Strategy): possui orientaes sobre o desenho,


desenvolvimento e implementao da poltica e processos de gerenciamento de servio
para aplicao como ativo estratgico no ciclo de vida de servio. Aborda os ativos de
servio, o catlogo de servio, o gerenciamento financeiro e o gerenciamento de portfolio.
Desenho de servio (Service Design): fornece orientaes referentes ao desenho e
desenvolvimento dos servios e dos processos de gerenciamento de servios. Detalha os
aspectos do gerenciamento do catlogo de servios, do nvel de servios, da capacidade, da
disponibilidade, da continuidade, da segurana da informao e dos fornecedores.
Transio de Servio (Service Transition): orienta como efetivar a transio de
servios novos e modificados para operaes implementadas. Detalha os processos de
planejamento e suporte transio, gerenciamento de mudanas, gerenciamento de
configurao e dos ativos de servio, entre outros.
Operao de Servio (Service Operation): aborda a fase da vida do servio que
responde pelas atividades do dia a dia, com orientaes referentes entrega e ao suporte de
servios de forma eficaz. Detalha os processos de gerenciamento de eventos, incidentes,
problemas, acesso e de execuo de requisies.
Melhoria de Servio Continuada (Continual Service Improvement): orienta como
fazer sistematicamente melhorias incrementais e de larga escala na qualidade dos servios.
Todas estas etapas do ciclo de vida de do servio agrupam todos os processos
definidos pela ITIL. interessante notar que, assim como cada etapa do ciclo de um
servio tem integrao direta ou indireta com as demais, os processos internos de cada
etapa tambm possuem integrao entre si e entre processos de outras etapas. Esses
processos so descritos na tabela 1 abaixo.

Publicao Processos Funes


- Gerenciamento Financeiro de TI
Estratgia de Servio - Gerenciamento de Portflio de Servios
- Gerenciamento de Demanda
- Gerenciamento do Catlogo de Servio
- Gerenciamento do Nvel de Servio
- Gerenciamento da Capacidade
- Gerenciamento da Disponibilidade
Desenho de Servio
- Gerenciamento de Continuidade de
Servio
- Gerenciamento de Segurana da
Informao
9

- Gerenciamento de Fornecedor
- Gerenciamento de Mudanas
- Gerenciamento da Configurao e de
Ativos de Servios
- Gerenciamento da Liberao e
Transio de Servio
Implantao
- Validao e Testes de Servio
- Avaliao
- Gerenciamento do Conhecimento
- Gerenciamento de Evento
- Central de Servio
- Gerenciamento de Incidente
- Gerenciamento Tcnico
- Gerenciamento de Requisitos
Operao de Servio - Gerenciamento das Operaes
- Gerenciamento de Problema
de TI
- Gerenciamento de Acesso
- Gerenciamento de Aplicativo
Melhoria de Servio - Relatrio de Servio
Continuada - Medio de Servio
Tabela 1 - Processos e Funes da ITIL V3
Fonte: Fernandez, Abreu, 2008.
Como antes mencionado, as etapas ou fases do ciclo de vida do servio se
relacionam, o que ocorre da seguinte forma: a Estratgia de Servio o ponto central do
ciclo de vida e define polticas e os objetivos do servio. Desenho, Transio e Operao
de Servio implementam a estratgia, ajustam e mudam a continuidade do tema. A fase de
Melhorias Constantes de Servios define o aprendizado e melhoria e acompanha as demais
fases do processo. Inicia programas e projetos de melhoria e os prioriza com base nos
objetivos estratgicos da organizao (SILVA, 2008).

3. APRESENTAO E ANLISE DOS DADOS

A anlise de publicaes tcnicas e normas que referenciam a ITIL e a Segurana


da informao permite a criao de uma relao entre estes dois temas. Ainda dentro das
publicaes da ITIL possvel se encontrar em vrios momentos, tpicos e processos que
atendem a critrios de segurana estabelecidos por normas e critrios de boas prticas, na
sequncia deste trabalho, apresentada a relao entre estes dois itens afim de atingir os
objetivos propostos.

3.1. Segurana da informao dentro da ITIL

A ITIL como metodologia desenvolvida para auxlio na gesto de TI, que tem como
base a anlise, aplicao, avaliao e modificao de servios, de certa forma, engloba em
toda a sua estrutura aspectos que podem ser vinculados a estratgias e prticas voltadas
segurana da informao (LUNA, 2010).
A tabela 2 exemplifica tal afirmao, pois demonstra, de forma sucinta, uma
relao direta das fases do ciclo de vida do servio com sees presentes na norma
ISO/IEC 27002 - Cdigo de Prtica para a Gesto de Segurana da Informao, que
objetiva estabelecer diretrizes e princpios gerais para iniciar, implementar, manter e
melhorar a gesto de segurana da informao em uma organizao (ABNT, 2007).

Fase do Ciclo de Vida Seo da ABNT ISO/IEC 27002


Estratgia de Servio - Anlise/Avaliao e tratamento de riscos
- Anlise/Avaliao e tratamento de riscos
Desenho de Servio
- Poltica de Segurana da Informao
10

- Organizando a Segurana da Informao


- Gesto de Ativos
- Segurana fsica e do ambiente
- Gerenciamento das operaes e comunicaes
- Aquisio, desenvolvimento e manuteno de sistemas de informao
- Gesto de continuidade do negcio
- Gesto de Ativos
Transio de Servio - Gerenciamento das operaes de comunicaes
- Aquisio, desenvolvimento e manuteno de sistemas de informao
- Anlise/Avaliao e tratamento de riscos
- Segurana em recursos humanos
- Segurana fsica e do ambiente
- Gerenciamento das operaes e comunicaes
Operao de Servio
- Controle de Acesso
- Gesto de Incidentes de Segurana da Informao
- Gesto da Continuidade do Negcio
- Conformidade
Melhoria Contnua - Organizando a Segurana da Informao
Tabela 2 - Relao ITIL X ABNT ISO/IEC 27002
Fonte: Luna, 2010

Como observado ento aplicao de segurana de informao pode ocorrer em


todas as fases da ITIL, haja vista que todos os servios da organizao podem ser definidos
pela mesma. Porm dentro do framework so definidas algumas gerncias e processos que
tratam de forma bem especfica a aplicao de segurana de informao, que se
concentram na fase de Desenho de Servio (PAULINO, 2010).
J analisando essa fase, o prprio framework traz consigo a necessidade de se
manter o foco na confidencialidade, integridade e disponibilidade no contexto e processos
do negcio. Aponta ainda que o principal guia de definio do que deve ser protegido e o
nvel de proteo que deve ser aplicado o prprio negcio, cuja eficcia s pode ser
garantida se forem abordados processos de todo o negcio, desde aspectos fsicos at
aspectos tecnolgicos (PAULINO, 2010).
Como j mencionado, o desenho de servio o que est diretamente ligado
segurana da informao, principalmente aos processos de Gerenciamento de Segurana da
Informao, Gerenciamento da Continuidade dos Servios de TI e Gerenciamento da
Configurao e de Ativo de Servio, esse ltimo presente na fase de transio de servio
(OLIVEIRA, FIGUEIREDO, SILVA e SILVA, 2011). (OLIVEIRA et al., 2011)
Dentro da Gerencia de Segurana da Informao est inclusa a responsabilidade,
como j mencionada, de garantir a segurana de todos os servios, com o objetivo de
assegurar a disponibilidade, confidencialidade e integridade. Garante que a poltica de
segurana de informao satisfaa todos os requisitos do negcio (SILVA; GOMES;
MIRANDA, 2010; SILVA, 2008).
Define tambm que a segurana um processo contnuo e componente de todos os
servios, suportando a conscincia de toda a corporao em relao entrega de servio
(SILVA, 2008).
A Gerncia de Continuidade de Servio tem papel no suporte ao plano de
continuidade do negcio, sendo desenvolvida pela organizao para que se tenha um foco
nas necessidades de continuidade e recuperao nos casos de ocorrncia de um incidente.
Seu objetivo principal garantir a continuidade do negcio e garantir que as
funcionalidades da TI sejam reestabelecidas dentro do tempo acordado com os requisitos
do negcio. Foca na forma como TI suportar a necessidade dos negcios (SILVA, 2008).
Esse processo de gerenciamento necessita da realizao de uma anlise de riscos
com o objetivo de efetuar um levantamento de ameaas e vulnerabilidades do negcio e da
11

TI, resultando em um plano de mitigao para reduzir a possibilidade de um risco se tornar


efetivamente um problema (SILVA; GOMES; MIRANDA, 2010).
O processo de gerenciamento de configurao de ativos de servio, presente na
fase de transio do servio, oferece um modelo de servios, ativos e as infraestruturas que
gravam relaes entre itens, permitindo, assim, a avaliao de impacto, causas, problemas,
mudanas e outras situaes que podem ocorrer dentro da organizao, permitindo assim
estabelecer critrio para assegurar relaes crticas nos requisitos do negcio (SILVA;
GOMES; MIRANDA, 2010).
Esse processo visa, ento, gerenciar os ativos de servio para suportar os demais
processos de gerenciamento, definindo componentes de infraestrutura, servios e
configuraes exatas, permitindo assim a integridade dos ativos e a proteo dos itens de
configurao (SILVA, 2008).
A partir dessa descrio geral de cada um dos processos da ITIL, vinculados
segurana da informao, faz-se necessrio agora uma anlise um tanto quanto mais
criteriosa sobre esses processos.

3.1.1. Gerenciamento de Segurana da Informao

O processo de gerenciamento de segurana da Informao tem por finalidade


alinhar as necessidades de segurana de informao com o negcio, garantindo que essa
seja gerenciada em todos os servios e operaes (SILVA, 2008).
Ainda, segundo Silva (2008), os objetivos deste processo so atende aos critrios
de:
Disponibilidade A informao est disponvel e til quando necessria;
Confidencialidade A informao est disponvel exclusivamente para o pessoal
autorizado;
Integridade A informao completa, correta e protegida contra mudanas no
autorizadas.
Autenticidade Transaes e trocas de informaes entre companhias e parceiros
so objetos de no repdio.

Esse processo deve tambm atender a questionamentos de qualquer rea da TI e do


negcio em relao segurana, tendo, por exemplo, a poltica, planos atuais e futuros de
segurana para o negcio, os requisitos de segurana, os requisitos legais e os riscos em
relao ao negcio e prpria TI. Dessa forma, Silva (2008) indica que possibilitada a
gerncia atual e futura em relao segurana efetiva do negcio. Para tal, o processo
inclui elementos como:
Poltica de segurana para operao, manuteno, distribuio da informao e
manuteno da prpria poltica de segurana da informao;
Entendimento dos requisitos de segurana acordados com a organizao;
Implementar (e documentar) controles que possibilitaro suporte poltica de
segurana da informao e ao gerenciamento de riscos;
Gerenciar fornecedores e contratos relativos ao acesso a sistemas e servios;
Pr-ativamente melhorar os sistemas de controle;

A execuo desse processo ocorre por meio do desenvolvimento de um programa


de segurana de informao, com um custo efetivo que proporcione suporte a todos os
objetivos do negcio (SILVA, 2008).
12

Segundo Paulino (2010), como demonstrado na figura 3, cinco fases so


contempladas na execuo deste processo:
Planejamento;
Implementao;
Avaliao;
Manuteno;
Controle;

Fonte: Silva, 2008


Figura 4 - Framework de Gerenciamento de Segurana de TI

importante ainda salientar que, segundo Silva (2008) e Paulino (2010), o


processo de gerenciamento de segurana da informao inclui:
Poltica de segurana da Informao;
Sistema de Informao e Segurana da Informao;
Uma compreensvel estratgia de segurana;
Uma efetiva estrutura de segurana e controle da segurana;
Gerenciamento de Riscos;
Processos de Monitoramento;
Estratgias de Comunicao;
Estratgias de Capacitao e Treinamento.
A ITIL indica ainda em suas publicaes que papel do gestor de segurana da
informao entender que a segurana no meramente um passo no ciclo de vida, alm de
no ser garantida apenas pela tecnologia, mas sim um processo contnuo e que integra
todos os servios. Para tanto, o gestor deve estar ciente que para cada fase de um problema
(risco, ameaa, incidente) medidas especficas devem ser tomadas (SILVA, 2008).
Como Paulino (2010) descreve em sua publicao, a ITIL descreve medidas em
cinco nveis:
Medidas Preventivas medida para impedir que um problema de segurana ocorra;
Medidas Redutivas medidas que so tomadas com antecedncia para minimizar
os possveis danos que possam ocorrer no futuro;
Medidas Detectivas medidas para detectar problemas de segurana;
Medidas Repressivas medidas que so utilizadas para neutralizar qualquer
continuao ou repetio do incidente de segurana;
13

Medidas Corretivas medidas de reparao de dano;

O sucesso desse processo est ligado fortemente relao entre proteo do


negcio e s possveis violaes de segurana, a determinao de uma clara poltica
integrada s necessidades de negcio, a procedimentos de segurana justificados e
suportados pelos gestores, efetiva divulgao e treinamentos dos requisitos de segurana
e a um mecanismo de melhoria continuada no processo (SILVA, 2008).

3.1.2. Gerenciamento de Continuidade de Servios

A finalidade do processo de gerenciamento de continuidade de servio suportar a


continuidade do negcio, possibilitando a restaurao das atividades da TI em tempo
acordado aos requisitos do negcio. Pode ser considerada a disciplina que cobre a
expectativa em relao perda dos servios vinculados a TI. Desta forma, envolve-se no
planejamento de alternativas de um plano de recuperao de desastres (SILVA, 2008).
de responsabilidade deste processo a anlise de riscos, a reavaliao de opes, o
planejamento de alternativas, a documentao do plano, alm da manuteno dos testes do
plano de contingncia (SILVA, 2008).
O processo deve ser implementado respeitando quatro estgios ordenados e
especficos. O primeiro deles relaciona-se iniciao, que define que as atividades sero
consideradas de acordo com a extenso e em relao necessidade de contingncia
(SILVA, 2008).
A definio de requisitos e estratgias o segundo estgio do processo. Essa etapa
providencial para o gerenciamento de continuidade de servios, e um conjunto crtico
para a determinao de como a organizao sobreviver a um incidente, alm de elencar os
custos envolvidos. Este estgio pode ser dividido em duas sees, uma que define os
requisitos e outra que elenca as estratgias necessrias (SILVA, 2008).
O terceiro estgio contempla a implantao das estratgias que foram acordadas no
plano de continuidade do negcio. Tal etapa ocorre por meio da execuo dos seguintes
processos internos:
Planejamento da Organizao e da Implementao;
Implementar acordos de contingncia;
Implementar medidas de reduo de riscos;
Desenvolver planos de recuperao;
Desenvolver procedimentos;
Testes Iniciais

Um segundo guia de referncia na determinao de requisitos e que deve ser


executado na fase de implantao do processo, a determinao do impacto que um
incidente poder causar aos servios, sendo essa uma avaliao do grau de vulnerabilidade
da organizao em relao s ameaas (SILVA, 2008).
Gerenciamento Operacional compreende o quarto estgio do processo de
gerenciamento de Continuidade de Servios, e visa garantir esse seja mantido como parte
do negcio; isso inclui a educao e a conscientizao de toda a organizao, treinamento
completo da TI, reviso e auditorias constantes, testes, mudanas quando necessrias e
medidas de garantia de funcionalidade (SILVA, 2008).
O gerenciamento de continuidade de servio parte crtica do negcio e necessrio
em ambiente de risco, sendo que possveis falhas resultaram em impactos nos processos
seguintes, podendo gerar at mesmo outros riscos ao negcio. Esse processo deve
14

responder de forma rpida e eficiente quando necessrio, para tal deve ser testado
regularmente e alterado caso no atenda mais realidade da organizao. Acima de tudo
dever estar plenamente alinhado s necessidades de continuidade de negcio da
organizao (SILVA, 2008).

3.1.3. Gerenciamento de Configurao de Ativos de Servio

O gerenciamento de configurao de ativos tem por finalidade prover um modelo


lgico da infraestrutura de TI que atenda s necessidades do negcio. Tem por objetivo
definir os servios e componentes de infraestrutura, alm de manter um registro preciso da
configurao desses, garantindo, assim, a integridade dos ativos e servios em relao s
necessidade de atividade do negcio (SILVA, 2008).
Esse processo tem por atividades bsicas: gerenciamento e planejamento em
relao aos ativos, definindo finalidades, escopos, procedimentos; identificao de
estruturas e configuraes para toda a infraestrutura, includo usurios/clientes,
documentao (o controle para a garantia de itens autorizados e identificados pode estar
presentes na infraestrutura); verificao de status que tem como retorno um relatrio do
estado atual de cada ativo assim como seu histrico de registros; verificao e auditoria
para garantir a estabilidade do processo como um todo (SILVA, 2008).
importante salientar que o processo de gerenciamento de ativos de servio pode
estar integrado a vrios aspectos da segurana de informao. Neste processo possvel
visualizar a integrao dos ativos de TI em si e em relao ao negcio da organizao,
alm de servir como ferramenta para monitoramento, verificao e auditoria de
procedimentos e incidentes (SILVA; GOMES; MIRANDA, 2010).

4. CONSIDERAES FINAIS

Ao final deste estudo, aps coleta, leitura, comparao de grande material de


referncia, entre livros tcnicos, artigos cientficos e algumas exemplificaes de aplicao
possvel observa que a ITIL, como grande referncia de boas prticas em TI e de
aplicao em todo o mundo, tem sim em sua estrutura muitos aspectos relacionados
segurana da informao.
possvel notar que o framework cobre toda a atuao de TI dentro de uma
organizao, em todos os nveis e sempre com foco no negcio e nos objetivos estratgicos
do empreendimento. Esta atuao se da em relao prestao de servios a
usurios/clientes e tambm d suporte as atividades do cotidiano da organizao.
Tendo esta abrangncia em relao aos servios de TI em funo do negcio
possvel abordar aspectos de segurana em todas as fases do ciclo de vida do servio
adotadas pela ITIL. Sendo que a anlise da mesma permite uma comparao com diversos
modelos e normas especficas de segurana, alm da aplicao do modelo em conjunto
com estas normas.
Assim como os mtodos e procedimentos descritos ou sugeridos pela metodologia
dependem da fiel relao destes com os objetivos da organizao, o sucesso da
implementao do mesmo requer um empenho por parte de organizao e seus membro
durante todo o processo de anlise, implementao, melhoria, avaliao e principalmente
execuo.
Os pontos possveis de anlise so diversos e todos possibilitam estudos bem
aprofundados e fundamentados nos diversos critrios de seguranas e normas aplicadas.
Sendo que, como j mencionado, o modelo todo pode e deve ser implementado com base
15

na necessidade de proteger as informaes da organizao, junto com uma ateno


redobrada nos aspectos especficos do modelo que tratam do assunto.
Cabe ainda uma considerao em relao ao modelo no que se diz respeito que o
mesmo, por sempre buscar estar de acordo com o negcio da organizao, permeia uma
total implementao de mecanismos de segurana que atenda no os servios da prpria
TI, rea na qual a ITIL serve de referncia, mas tambm os servios e atividades da
organizao como um todo.

REFERNCIAS

ABNT ISO/IEC Guia 73:2005. Gesto de Riscos Vocabulrios Recomendaes para


uso em Normas. 2004.

ABNT NBR ISO/IEC 27002. Tecnologia da Informao Tcnicas de Segurana


Cdigo de Prtica para a Gesto da Segurana da Informao. 2005.

ABNT. ISO/IEC27002: Tecnologia da Informao Tcnicas de Segurana Cdigo


de Prticas para a Gesto da Segurana da Informao. 2007.

FERNANDES, Aguinaldo Aragon; ABREU, Vladimir Ferraz de. Implantando a


governana de TI: da estratgia gesto de processos e servios. 2. ed. rev. e ampl. Rio
de Janeiro: Brasport, 2008. 444 p.

FERNNDEZ, Miguel Angel. Como implantar ITIL em su empresa? Infonspan, 2005.


Disponvel em: <http://es.seun.com/infospain/eventos/javaexpo2005/ ponencias/11-
00miguel.a.f.soluziona.pdf>. Acesso em: 20 set. 2010.

ISO/IEC 13335-1:2004. Information Technology Security Techniques Management


of Information and Communications Technlogy Security. 2004

LUNA, Marcelo Fernandes de. Gesto da Segurana da Informao com ITIL


V3 e ISO/IEC 27002. 2010. 70 f. Trabalho de Concluso de Curso - Universidade
Estadual de Londrina, Londrina, 2010.

OLIVEIRA, Raphael Baptista de; FIGUEIREDO, Rodrigo Terra de; SILVA, Verandir
Araujo da; SILVA, Edilberto Magalhes. Proposta de plano de administrao de crise
para FACSENAC: Aplicao dos conceitos de segurana da informao do COMIT 4.1 e
do ITIL V3. Braslia: Senac, 2011.

PAULINO, Srgio Filipe da Costa. ITIL e a Segurana da Informao. Almada: Escola


Superior de Cincias Empresarias. Portugal.

RAMOS, Anderson (Org.). Security Office: Guia Oficial Para Formao de Gestores
em Segurana da Informao. 2 Edio. Porto Alegre: Zouk, 2008.

SILVA, Marcelo Gaspar Rodrigues; GOMES, Thierry Albert M. Pedros; MIRANDA,


Zailton Cardoso de. TI: mudar e inovar resolvendo conflitos com ITIL v3 aplicando a
um estudo de caso. Braslia: Senac, 2010.
16

SILVA, Roberto Ricardo da. Curso ITIL Foundation v3. s.l.: 2008. s.d., 177 p.