SEGURANÇA DA INFORMAÇÃO JUNTO À ITIL V3

Rodrigo Carvalho Losina1

RESUMO

O presente artigo aponta de forma clara os aspectos relacionados à segurança da

informação presentes „dentro‟ do framework da ITIL, utilizado como referência de boas
práticas de TI. Com base em publicações técnicas e artigos científicos, o estudo busca
encontrar dentro da metodologia da ITIL itens que permitam a integração dessa aos
critérios de segurança da informação. Ao ser constatada a relação entre o modelo e esses
critérios de segurança, inicia-se a descrição dos processos específicos do modelo que
atuam diretamente com critérios de segurança da informação e a forma como essa se
define. Ao final, tem-se como resultado o apontamento da total adequação do modelo a
estes critérios, como o atendimento das necessidades do negócio, possibilitando a
metodologia ser utilizada em acordo e em conjunto com padrões e normas específicas de
segurança, além da constatação da preocupação do modelo em relação aos objetivos do
negócio e da importância da correta aplicação do mesmo.

Palvras-chave: ITIL. Segurança da Informação. Tecnologia da Informação

ABSTRACT

This article points out clearly the issues related to information security present 'within' the
framework of ITIL, used as a reference of good IT practices. Based on technical
publications and scientific articles, this study seeks to find within the ITIL methodology of
items that allow the integration of this criteria for information security. When it is found
the relationship between the model and these safety criteria, it begins the description of the
specific processes that act directly on the model with criteria for information security and
how this is defined. At the end, it has resulted in the appointment of the overall model fit
these criteria, such as meeting the needs of the business, allowing the methodology to be
used in the agreement and in conjunction with standards and security standards, in
addition to the finding of concern of the model in relation to business objectives and the
importance of correct application.

Keywords: Itil. Information Security. Information Technology

1. INTRODUÇÃO

A área de Tecnologia da Informação (TI) assume cada vez mais responsabilidades

nos quesitos relacionados à prosperidade das organizações. Para atender a essa realidade, o
setor de TI conta com algumas metodologias que podem ser aplicadas com a finalidade de

1
Rodrigo Carvalho Losina – Técnico em eletrônica pelo SENAI Chapecó (2008). Bacharel em Sistemas de
Informação pela Universidade Comunitária da Região de Chapecó – UNOCHAPECÓ (2011). Pós-graduando
em Segurança da Informação pela Unidade Central de Educação FAEM Faculdades – UCEFF Faculdades
(2011 -). Colaborado do SENAI Chapecó como especialista em informática. Colaborador do SENAC
Chapecó com orientador de curso. Colaborador da Unidade Central de Educação FAEM Faculdades –
UCEFF Faculdades como professor de ensino superior. rodrigo.losina@gmail.com
 2

auxiliar a gestão interna da área, bem como a integração dessa com as demais áreas de uma
organização.
Nesse contexto, a Information Technology Infrastructure Library (ITIL - Biblioteca
de Infraestrutura de Tecnologia da Informação) surge como uma das metodologias de
gestão de TI mais aplicadas por organizações em todo o mundo, trazendo exemplos de
boas práticas aplicadas nas mais diversas situações e contextos.
Muito desta responsabilidade atribuída a TI se relaciona à relevância que as
informações passaram a ter em relação aos negócios das organizações, em que além de
tratar, armazenar e disponibilizar estes dados, a TI passa a ter uma preocupação muito
grande com a segurança destas informações. Sendo importante o alinhamento estratégico
da gestão de TI em conformidade com estes aspectos relacionados à segurança da área.
Como já mencionado, a segurança da informação se apresenta hoje como uma das
áreas de maior preocupação dentro das organizações, principalmente pelo elevado valor
que as informações e conhecimento trazem para as mesmas. Esta realidade não é diferente
dentro da TI, grande responsável pelo armazenamento e tratamento dessas informações.
Estas tarefas demandam grandes cuidados em todos os processos dentro da
organização, com isso o setor de TI deve ser focado em atender e prover ferramentas para a
execução destes processos e também assegurar, principalmente, a integridade,
confidencialidade e disponibilidade das informações; essas representam os três pilares
básicos para garantia da segurança das informações.
Alinhado a essas preocupações, o setor de TI surge como grande prestador de
serviço dentro da organização, trazendo com isso preocupações em relação à qualidade de
suas atividades. Como já citado, para auxiliar as atividades, podem ser utilizados
frameworks que fornecem métodos e práticas adequadas para realização das mesmas.
Dentro deste contexto temos a ITIL, que, assim como o Control Objectives for Information
and Related Technology (COBIT – Objetivo de Controle para Tecnologia da Informação e
Áreas Relacionadas) e a International Organization for Standardization (ISO -
Organização Internacional para Padronização), apresenta-se como referência no mercado.
Esses „padrões‟ servem de referência para a área de TI e trazem questões relevantes quanto
à segurança da informação, que em alguns casos não são observadas devido à falta de
conhecimento sobre as mesmas ou por causa da preocupação focada apenas no contexto
geral destes frameworks.
A utilização desses framworks citados ou de outros que norteiem as atividades de
TI é uma realidade em boa parte das organizações. Esses servem como referência para
atuação da área de TI com qualidade e foco na prestação de serviços a seus
clientes/usuários. Alinhando esse fato à realidade das preocupações com a segurança das
informações que trafegam pelas „estruturas‟ fornecidas pela TI, torna-se necessário a
adequação destes cuidados às boas práticas elencadas por essas ferramentas de gestão.
A ITIL, como grande referência de boas práticas de gestão e atuação de TI adotada
pelo mundo, traz em sua coleção detalhes sobre aspectos da segurança da informação na
atuação da TI na organização que podem ser aplicados em pleno acordo com normas
específicas como, por exemplo, a ISO 27000, como também fornecer um alicerce sólido
para a TI em toda a sua atuação e com a devida preocupação em todos os aspectos
necessários para tal.
Com base no contexto apresentado até o momento, são levantadas algumas
hipóteses para a execução de um estudo, referente à aplicação de critérios relacionados à
segurança da informação por parte da ITIL. Essas Hipóteses buscam demonstrar então que
este framework tem em sua estrutura preocupações em relação à segurança da informação,
além de elencar algumas das boas apresentadas pelo modelo.
 3

Como objetivo da execução deste estudo, deseja-se então descrever a atuação da

ITIL em relação à segurança da informação. Para tanto, a pesquisa busca identificar o papel
da ITIL na gestão de TI, apontar a atuação da ITIL nos diversos processos de TI e descrever
como a ITIL aborda as boas práticas de segurança de informação.
Esse estudo consiste em uma pesquisa científica baseada em bibliografias técnicas e
artigos científicos que corroboram com o tema, mais especificamente em relação à
segurança de informação dentro da metodologia da ITIL. Foram também consultados
alguns artigos com exemplos de aplicação para auxiliar na conclusão da aplicabilidade do
modelo descrito.

2. FUNDAMENTAÇÃO TEÓRICA

2.1. Segurança da Informação

O cotidiano atual do mundo dos negócios apresenta a informação como ativo

essencial para as organizações, e tal fato cria a necessidade de proteger as informações
como um todo. Essa realidade ainda apresenta um contexto onde à conectividade entre
dispositivos e pessoas esta cada vez mais presente, fazendo com que tais informações
estejam cada vez mais expostas a um grande número de ameaças (ABNT NBR ISO/IEC
27002, 2005).
O contexto de informação esta presente de várias formas em uma organização,
informações impressas ou manuscritas, em documentos eletrônicos que podem ser
transmitidas por meios tradicionais ou digitais e estão disponíveis em vários outros tipos de
mídias. Independente da forma de transmissão ou armazenamento deve-se haver uma
preocupação redobrada quando a segurança em relação às mesmas (ABNT NBR ISO/IEC
27002, 2005).
Ainda segundo a ABNT NBR ISO/IEC 27002 (2005), segurança da informação
pode ser definida como a proteção em relação a vários tipos de ameaça, com o objetivo de
garantir a continuidade dos negócios através da minimização de riscos e maximização do
retorno sobre os investimentos. Ainda é descrito que a segurança pode ser obtida com a
utilização de controles, políticas, processos, procedimentos, entre outros itens aplicados
aos contextos de hardware, software e também pessoas. Tais itens devem estar alinhados
aos objetivos do negócio e devem ser aplicados junto aos processos de gestão, além disto,
deve haver monitoração e um processo continuado de melhoria sobre os mesmos.
Publicações técnicas e normas aplicadas a segurança da informação indicam que a
mesma deve dar suporte a três elementos principais (Ramos, 2008):
 Confidencialidade – Garantia de que a informação seja disponibilizada apenas as
pessoas que tenham direito para tal;
 Integridade – Garantia de que a informação permaneça original, sem alterações
acidentais ou intencionais;
 Disponibilidade – Garantia de que a informação esteja disponível quando
necessários;

Segundo Ramos (2008) ainda deve-se observar que a segurança da informação traz
consigo alguns fatores críticos. A análise destes pontos permite que a aplicação de „praticas
de segurança‟ atenda também a realidade de investimento financeiro para das
organizações.
 4

O primeiro item crítico elencado é denominado de Ativo, definido pela ISO/IEC

13335-1:2004 como qualquer coisa que tenha valor para a organização com por exemplo,
os serviços de tecnologia de informação, o parque de máquinas, o conjunto de softwares
aplicados entre outros.
A ISO/IEC 13335-1:2004 define ainda que Ameaça, outro fator crítico levantado
por Ramos (2008) pode de definida como uma causa potencial de um incidente indesejado,
que pode ter como resultado, dano para um sistema ou para a organização;
Vulnerabilidade é tida como outro fator crítico, e é definida como uma ausência de
mecanismos de proteção ou até mesmo a presença de falhas em ferramentas existentes.
Tais situações permitem a concretização das ameaças acima citadas (Ramos 2008).
Outros dois fatores críticos que devém ser analisados são definidos como Risco,
que é definido como a combinação da probabilidade de um evento e de suas consequências
e Impacto, que visa mensurar o tamanho do prejuízo que a concretização de uma ameaça
pode causar (RAMOS, 2008; ABNT ISO/IEC GUIA 73:2005)
Para se ter uma clara visão da relação entre estes itens, Ramos (2008) apresenta um
fluxograma, demonstrado na figura1, que aponta tal interação.

Fonte: Ramos, 2008. Figura 1 - Relação entre critérios de Segurança

2.2. ITIL

A ITIL foi desenvolvida pela Central Computer and Telecommunications Agency

(CCTA - Agência Central de Computação e Telecomunicação) no final dos anos 80, com o
objetivo de melhorar o nível da qualidade de serviços de TI prestados ao governo britânico.
Para tanto, foram abordadas as melhores práticas para gerenciar a utilização eficiente e
responsável dos recursos de TI, independentemente da finalidade da organização e dos
fornecedores do serviço. Atualmente o Office of Government Commerce (OGC – entende-
 5

se por Escritório de Negócios do Governo) é responsável pela ITIL (FERNANDEZ;

ABREU, 2008).
Na atualidade, a ITIL está em sua terceira versão, denominada de V3, lançada em
maio de 2007, e agrega a organização de processos de gerenciamento de serviços, além de
abordar outros aspectos como o conceito de integração da TI ao negócio, portfólios
dinâmicos de serviço e mensuração do valor do negócio. Assim, o framwork fornece uma
base sólida para a convergência com outros padrões e modelos de gestão e governança
(FERNANDEZ, ABREU, 2008).

2.2.1. Objetivos do Modelo

A ITIL busca, com base em observações práticas, pesquisa e trabalho de

profissionais de TI e processamento de dados do mundo todo, o agrupamento das melhores
práticas utilizadas para o gerenciamento de serviços de TI de melhor qualidade. Devido à
área de atuação das práticas abordadas no modelo, a ITIL tem-se firmado cada vez mais
como um padrão mundial para o gerenciamento de serviços de TI (FERNANDEZ;
ABREU, 2008).
A ITIL pode ser definida como uma biblioteca de infraestrutura de Tecnologia da
Informação que sugere como deve funcionar ou se organizar o suporte e manutenção, para
que sejam proporcionadas melhorias à gestão de tecnologia. Para isso o modelo descreve
as melhores práticas ao setor de tecnologia com processos bem definidos (FERNÁNDEZ,
2005).

ITIL é apresentado como uma boa prática (literalmente: método correto). Isto é
uma abordagem ou método que provê a si próprio na prática. Estas boas práticas
pode ser uma bagagem sólida para a organização que quer melhorar seus
serviços de TI. (SILVA, 2008).

A ITIL fornece um conjunto de práticas de gerenciamento de serviços de TI já

aplicadas e testadas no mercado, que podem fazer o papel de base para o desenvolvimento
do gerenciamento de TI para organizações que já o possuem, mas que observam a
necessidade de melhoria, quanto para organizações novas, que estão em fase de
implantação de seus serviços. A utilização da ITIL auxilia a organização a atingir um nível
de maturidade e qualidade que permite a utilização eficaz de seus ativos estratégicos de TI,
focando as necessidades de clientes e usuários (FERNANDEZ; ABREU, 2008).
A abordagem desenvolvida com base no ciclo de vida do serviço permite a visão do
gerenciamento de serviço de acordo com o próprio serviço e não um processo ou prática
por vez. Isso possibilita mensurar e gerenciar o valor que os serviços de TI efetivamente
adicionam ao negócio (FERNANDEZ; ABREU, 2008).
A ITIL disponibiliza uma abordagem sistêmica no que diz respeito à ”execução”
dos serviços de TI com qualidade, fornecendo uma descrição dos processos em uma
organização de TI e um checklist para tarefas e procedimentos que podem ser usadas como
referência básica para organizações. Aliada a esses fatores, a ITIL ainda pode ser utilizada
como um guia de referência para muitas áreas com foco na melhoria das organizações de
TI como um todo (SILVA, 2008).
O atual patamar das organizações mostra o grande crescimento do papel das
informações, dos próprios sistemas de informações e, consequentemente, da gerência de
serviços de TI. Isso afeta diretamente os requisitos dos serviços de TI que cresceram
também. Toda essa esfera leva em consideração o comprometimento com políticas internas
 6

e externas, leis e regulamentos, como também a provisão de valores para as partes

interessadas das organizações (SILVA, 2008).
As questões relativas à Gestão ou Governança de TI são relativamente novas e,
ainda, não possuem muitos padrões de análise e verificação ou mesmo frameworks que
auxiliem na resolução desses questionamentos. Ainda assim é possível encontrar várias
definições diferentes em relação à Governança de TI.

Governança de TI consiste de um compreensível framework de estruturas,

processos e mecanismos relacionais. Estruturas envolvem a existência de
funções responsáveis, tais como executivos de TI e uma diversidade de Comitês
de TI. Processos referem-se a estratégias de tomada de decisão e monitoramento
de em TI. Mecanismos relacionais incluem a participação de TI no negócio e as
parcerias estratégicas, diálogos estratégicos e compartilhamento de aprendizado.
(SILVA apud VAN GREMBERGEN, 2008).

A relação entre estruturas, processos e mecanismos de TI apresenta-se de forma

direta entre todos os envolvidos como demonstrado na figura 1.

Fonte: Silva, 2008

Figura 2 - Relação entre Governança de TI e processos envolvidos

Existem hoje alguns frameworks caracterizados como “IT Governance fremework”

(IT – Information technology; Ferramenta de Governança de Tecnologia da Informação), e
a ITIL se encaixa nesta definição mesmo sendo, de fato, um framework de gerenciamento.
Para se compreender de forma mais clara o papel e a atuação da ITIL, é necessário
se ter em mente alguns conceitos de base, que são aplicados na metodologia. Tais
conceitos são abordados no próximo item.

2.2.2. Conceitos Aplicados

Tendo em vista o contexto atual da TI, a ITIL busca incluir e prover novos
caminhos para auxiliar o desenvolvimento das atividades de TI como também o
gerenciamento de serviços, não só com base nos processos, mas também no ciclo de vida
do serviço (SILVA, 2008).
Em sua publicação, Silva (2008) traz alguns conceitos utilizados pela ITIL:
 7

 Boas práticas: a ITIL é apresentada como uma boa prática, ou seja, uma abordagem
que provê a si própria na prática. Pode ser uma bagagem sólida para a organização
que quer melhorar seus serviços de TI;
 Serviço: de acordo com a ITIL “Um serviço é um meio de entregar valor para o
cliente através da facilitação de resultados que os clientes desejam obter sem
incorrer em específicos custos ou riscos”;
 Valor: é um núcleo no conceito de serviço e consiste em dois componentes
principais: utilidade (o que o cliente recebe) e garantia (como ele é provido);
 Gerenciamento de Serviço: segundo a ITIL “Gerenciamento de Serviços é um
conjunto de capacidades de uma organização especializada em prover valor para
clientes na forma de serviços.”;
 Sistemas: segundo a ITIL “Um sistema é um grupo de interativo, inter-relacionados
ou interdependentes componentes que forma um todo, operando junto para uma
finalidade comum.”;
 Função: é uma subdivisão da organização especializada em preencher um
específico tipo de trabalho e responsável por um resultado específico.
 Processo: é um conjunto estruturado de atividades projetadas para obtenção de um
objetivo específico.
Para melhor entender o que é a ITIL e o que ela propõe, é necessário conhecer a
estrutura do modelo que será apresentado na sequência.

2.2.3. Estrutura do Modelo

Como antes mencionado, a ITIL é o agrupamento das melhores práticas de gestão

de TI que pode ser utilizado para estabelecer e melhorar o gerenciamento desses serviços
dentro de uma organização. Vejamos alguns componentes:

 Núcleo da ITIL: “Orientações de melhores práticas aplicáveis a todos os tipos de

organizações que fornecem serviços para um negócio” (FERNANDEZ; ABREU,
2008).
 Orientações Complementares à ITIL: a biblioteca ITIL possui publicações
complementares destinadas a especializar a implementação e a utilização das
práticas em diferentes setores empresariais. É uma biblioteca dinâmica que pode
receber contribuições de toda a comunidade (FERNANDEZ; ABREU, 2008).

Cinco publicações compõem o núcleo da ITIL, como observado na figura 2 abaixo,

cada uma delas é relacionada a um estágio do ciclo de vida do serviço e possui orientações
para uma abordagem integrada de gerenciamento de serviços.
 8

Fonte: Silva, 2008

Figura 3 - Ciclo de Vida do Serviço

Estratégia de Serviço (Service Strategy): possui orientações sobre o desenho,

desenvolvimento e implementação da política e processos de gerenciamento de serviço
para aplicação como ativo estratégico no ciclo de vida de serviço. Aborda os ativos de
serviço, o catálogo de serviço, o gerenciamento financeiro e o gerenciamento de portfolio.
Desenho de serviço (Service Design): fornece orientações referentes ao desenho e
desenvolvimento dos serviços e dos processos de gerenciamento de serviços. Detalha os
aspectos do gerenciamento do catálogo de serviços, do nível de serviços, da capacidade, da
disponibilidade, da continuidade, da segurança da informação e dos fornecedores.
Transição de Serviço (Service Transition): orienta como efetivar a transição de
serviços novos e modificados para operações implementadas. Detalha os processos de
planejamento e suporte à transição, gerenciamento de mudanças, gerenciamento de
configuração e dos ativos de serviço, entre outros.
Operação de Serviço (Service Operation): aborda a fase da vida do serviço que
responde pelas atividades do dia a dia, com orientações referentes à entrega e ao suporte de
serviços de forma eficaz. Detalha os processos de gerenciamento de eventos, incidentes,
problemas, acesso e de execução de requisições.
Melhoria de Serviço Continuada (Continual Service Improvement): orienta como
fazer sistematicamente melhorias incrementais e de larga escala na qualidade dos serviços.
Todas estas etapas do ciclo de vida de do serviço agrupam todos os processos
definidos pela ITIL. É interessante notar que, assim como cada etapa do ciclo de um
serviço tem integração direta ou indireta com as demais, os processos internos de cada
etapa também possuem integração entre si e entre processos de outras etapas. Esses
processos são descritos na tabela 1 abaixo.

Publicação Processos Funções

- Gerenciamento Financeiro de TI
Estratégia de Serviço - Gerenciamento de Portfólio de Serviços
- Gerenciamento de Demanda
- Gerenciamento do Catálogo de Serviço
- Gerenciamento do Nível de Serviço
- Gerenciamento da Capacidade
- Gerenciamento da Disponibilidade
Desenho de Serviço
- Gerenciamento de Continuidade de
Serviço
- Gerenciamento de Segurança da
Informação
 9

- Gerenciamento de Fornecedor
- Gerenciamento de Mudanças
- Gerenciamento da Configuração e de
Ativos de Serviços
- Gerenciamento da Liberação e
Transição de Serviço
Implantação
- Validação e Testes de Serviço
- Avaliação
- Gerenciamento do Conhecimento
- Gerenciamento de Evento
- Central de Serviço
- Gerenciamento de Incidente
- Gerenciamento Técnico
- Gerenciamento de Requisitos
Operação de Serviço - Gerenciamento das Operações
- Gerenciamento de Problema
de TI
- Gerenciamento de Acesso
- Gerenciamento de Aplicativo
Melhoria de Serviço - Relatório de Serviço
Continuada - Medição de Serviço
Tabela 1 - Processos e Funções da ITIL V3
Fonte: Fernandez, Abreu, 2008.
Como antes mencionado, as etapas ou fases do ciclo de vida do serviço se
relacionam, o que ocorre da seguinte forma: a Estratégia de Serviço é o ponto central do
ciclo de vida e define políticas e os objetivos do serviço. Desenho, Transição e Operação
de Serviço implementam a estratégia, ajustam e mudam a continuidade do tema. A fase de
Melhorias Constantes de Serviços define o aprendizado e melhoria e acompanha as demais
fases do processo. Inicia programas e projetos de melhoria e os prioriza com base nos
objetivos estratégicos da organização (SILVA, 2008).

3. APRESENTAÇÃO E ANÁLISE DOS DADOS

A análise de publicações técnicas e normas que referenciam a ITIL e a Segurança

da informação permite a criação de uma relação entre estes dois temas. Ainda dentro das
publicações da ITIL é possível se encontrar em vários momentos, tópicos e processos que
atendem a critérios de segurança estabelecidos por normas e critérios de boas práticas, na
sequência deste trabalho, é apresentada a relação entre estes dois itens afim de atingir os
objetivos propostos.

3.1. Segurança da informação dentro da ITIL

A ITIL como metodologia desenvolvida para auxílio na gestão de TI, que tem como
base a análise, aplicação, avaliação e modificação de serviços, de certa forma, engloba em
toda a sua estrutura aspectos que podem ser vinculados a estratégias e práticas voltadas à
segurança da informação (LUNA, 2010).
A tabela 2 exemplifica tal afirmação, pois demonstra, de forma sucinta, uma
relação direta das fases do ciclo de vida do serviço com seções presentes na norma
ISO/IEC 27002 - Código de Prática para a Gestão de Segurança da Informação, que
objetiva “estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e
melhorar a gestão de segurança da informação em uma organização” (ABNT, 2007).

Fase do Ciclo de Vida Seção da ABNT ISO/IEC 27002

Estratégia de Serviço - Análise/Avaliação e tratamento de riscos
- Análise/Avaliação e tratamento de riscos
Desenho de Serviço
- Política de Segurança da Informação
 10

- Organizando a Segurança da Informação

- Gestão de Ativos
- Segurança física e do ambiente
- Gerenciamento das operações e comunicações
- Aquisição, desenvolvimento e manutenção de sistemas de informação
- Gestão de continuidade do negócio
- Gestão de Ativos
Transição de Serviço - Gerenciamento das operações de comunicações
- Aquisição, desenvolvimento e manutenção de sistemas de informação
- Análise/Avaliação e tratamento de riscos
- Segurança em recursos humanos
- Segurança física e do ambiente
- Gerenciamento das operações e comunicações
Operação de Serviço
- Controle de Acesso
- Gestão de Incidentes de Segurança da Informação
- Gestão da Continuidade do Negócio
- Conformidade
Melhoria Contínua - Organizando a Segurança da Informação
Tabela 2 - Relação ITIL X ABNT ISO/IEC 27002
Fonte: Luna, 2010

Como observado então à aplicação de segurança de informação pode ocorrer em

todas as fases da ITIL, haja vista que todos os serviços da organização podem ser definidos
pela mesma. Porém dentro do framework são definidas algumas gerências e processos que
tratam de forma bem específica a aplicação de segurança de informação, que se
concentram na fase de Desenho de Serviço (PAULINO, 2010).
Já analisando essa fase, o próprio framework traz consigo a necessidade de se
manter o foco na confidencialidade, integridade e disponibilidade no contexto e processos
do negócio. Aponta ainda que o principal guia de definição do que deve ser protegido e o
nível de proteção que deve ser aplicado é o próprio negócio, cuja eficácia só pode ser
garantida se forem abordados processos de todo o negócio, desde aspectos físicos até
aspectos tecnológicos (PAULINO, 2010).
Como já mencionado, o desenho de serviço é o que está diretamente ligado à
segurança da informação, principalmente aos processos de Gerenciamento de Segurança da
Informação, Gerenciamento da Continuidade dos Serviços de TI e Gerenciamento da
Configuração e de Ativo de Serviço, esse último presente na fase de transição de serviço
(OLIVEIRA, FIGUEIREDO, SILVA e SILVA, 2011). (OLIVEIRA et al., 2011)
Dentro da Gerencia de Segurança da Informação está inclusa a responsabilidade,
como já mencionada, de garantir a segurança de todos os serviços, com o objetivo de
assegurar a disponibilidade, confidencialidade e integridade. Garante que a política de
segurança de informação satisfaça todos os requisitos do negócio (SILVA; GOMES;
MIRANDA, 2010; SILVA, 2008).
Define também que a segurança é um processo contínuo e componente de todos os
serviços, suportando a consciência de toda a corporação em relação à entrega de serviço
(SILVA, 2008).
A Gerência de Continuidade de Serviço tem papel no suporte ao plano de
continuidade do negócio, sendo desenvolvida pela organização para que se tenha um foco
nas necessidades de continuidade e recuperação nos casos de ocorrência de um incidente.
Seu objetivo principal é garantir a continuidade do negócio e garantir que as
funcionalidades da TI sejam reestabelecidas dentro do tempo acordado com os requisitos
do negócio. Foca na forma como TI suportará a necessidade dos negócios (SILVA, 2008).
Esse processo de gerenciamento necessita da realização de uma análise de riscos
com o objetivo de efetuar um levantamento de ameaças e vulnerabilidades do negócio e da
 11

TI, resultando em um plano de mitigação para reduzir a possibilidade de um risco se tornar

efetivamente um problema (SILVA; GOMES; MIRANDA, 2010).
O processo de gerenciamento de configuração de ativos de serviço, presente na
fase de transição do serviço, oferece um modelo de serviços, ativos e as infraestruturas que
gravam relações entre itens, permitindo, assim, a avaliação de impacto, causas, problemas,
mudanças e outras situações que podem ocorrer dentro da organização, permitindo assim
estabelecer critério para assegurar relações críticas nos requisitos do negócio (SILVA;
GOMES; MIRANDA, 2010).
Esse processo visa, então, gerenciar os ativos de serviço para suportar os demais
processos de gerenciamento, definindo componentes de infraestrutura, serviços e
configurações exatas, permitindo assim a integridade dos ativos e a proteção dos itens de
configuração (SILVA, 2008).
A partir dessa descrição geral de cada um dos processos da ITIL, vinculados à
segurança da informação, faz-se necessário agora uma análise um tanto quanto mais
criteriosa sobre esses processos.

3.1.1. Gerenciamento de Segurança da Informação

O processo de gerenciamento de segurança da Informação tem por finalidade

alinhar as necessidades de segurança de informação com o negócio, garantindo que essa
seja gerenciada em todos os serviços e operações (SILVA, 2008).
Ainda, segundo Silva (2008), os objetivos deste processo são atende aos critérios
de:
 Disponibilidade – A informação está disponível e útil quando necessária;
 Confidencialidade – A informação está disponível exclusivamente para o pessoal
autorizado;
 Integridade – A informação é completa, correta e protegida contra mudanças não
autorizadas.
 Autenticidade – Transações e trocas de informações entre companhias e parceiros
são objetos de não repúdio.

Esse processo deve também atender a questionamentos de qualquer área da TI e do

negócio em relação à segurança, tendo, por exemplo, a política, planos atuais e futuros de
segurança para o negócio, os requisitos de segurança, os requisitos legais e os riscos em
relação ao negócio e à própria TI. Dessa forma, Silva (2008) indica que é possibilitada a
gerência atual e futura em relação à segurança efetiva do negócio. Para tal, o processo
inclui elementos como:
 Política de segurança para operação, manutenção, distribuição da informação e
manutenção da própria política de segurança da informação;
 Entendimento dos requisitos de segurança acordados com a organização;
 Implementar (e documentar) controles que possibilitarão suporte à política de
segurança da informação e ao gerenciamento de riscos;
 Gerenciar fornecedores e contratos relativos ao acesso a sistemas e serviços;
 Pró-ativamente melhorar os sistemas de controle;

A „execução‟ desse processo ocorre por meio do desenvolvimento de um programa

de segurança de informação, com um custo efetivo que proporcione suporte a todos os
objetivos do negócio (SILVA, 2008).
 12

Segundo Paulino (2010), como demonstrado na figura 3, cinco fases são

contempladas na execução deste processo:
 Planejamento;
 Implementação;
 Avaliação;
 Manutenção;
 Controle;

Fonte: Silva, 2008

Figura 4 - Framework de Gerenciamento de Segurança de TI

É importante ainda salientar que, segundo Silva (2008) e Paulino (2010), o

processo de gerenciamento de segurança da informação inclui:
 Política de segurança da Informação;
 Sistema de Informação e Segurança da Informação;
 Uma compreensível estratégia de segurança;
 Uma efetiva estrutura de segurança e controle da segurança;
 Gerenciamento de Riscos;
 Processos de Monitoramento;
 Estratégias de Comunicação;
 Estratégias de Capacitação e Treinamento.
A ITIL indica ainda em suas publicações que é papel do gestor de segurança da
informação entender que a segurança não é meramente um passo no ciclo de vida, além de
não ser garantida apenas pela tecnologia, mas sim um processo contínuo e que integra
todos os serviços. Para tanto, o gestor deve estar ciente que para cada fase de um problema
(risco, ameaça, incidente) medidas específicas devem ser tomadas (SILVA, 2008).
Como Paulino (2010) descreve em sua publicação, a ITIL descreve medidas em
cinco níveis:
 Medidas Preventivas – medida para impedir que um problema de segurança ocorra;
 Medidas Redutivas – medidas que são tomadas com antecedência para minimizar
os possíveis danos que possam ocorrer no futuro;
 Medidas Detectivas – medidas para detectar problemas de segurança;
 Medidas Repressivas – medidas que são utilizadas para neutralizar qualquer
continuação ou repetição do incidente de segurança;
 13

 Medidas Corretivas – medidas de reparação de dano;

O sucesso desse processo está ligado fortemente à relação entre proteção do

negócio e às possíveis violações de segurança, a determinação de uma clara política
integrada às necessidades de negócio, a procedimentos de segurança justificados e
suportados pelos gestores, à efetiva divulgação e treinamentos dos requisitos de segurança
e a um mecanismo de melhoria continuada no processo (SILVA, 2008).

3.1.2. Gerenciamento de Continuidade de Serviços

A finalidade do processo de gerenciamento de continuidade de serviço é suportar a

continuidade do negócio, possibilitando a restauração das atividades da TI em tempo
acordado aos requisitos do negócio. Pode ser considerada a „disciplina‟ que cobre a
expectativa em relação à perda dos serviços vinculados a TI. Desta forma, envolve-se no
planejamento de alternativas de um plano de recuperação de desastres (SILVA, 2008).
É de responsabilidade deste processo a análise de riscos, a reavaliação de opções, o
planejamento de alternativas, a documentação do plano, além da manutenção dos testes do
plano de contingência (SILVA, 2008).
O processo deve ser implementado respeitando quatro estágios ordenados e
específicos. O primeiro deles relaciona-se à iniciação, que define que as atividades serão
consideradas de acordo com a extensão e em relação à necessidade de contingência
(SILVA, 2008).
A definição de requisitos e estratégias é o segundo estágio do processo. Essa etapa
providencial para o gerenciamento de continuidade de serviços, e é um conjunto crítico
para a determinação de como a organização sobreviverá a um incidente, além de elencar os
custos envolvidos. Este estágio pode ser dividido em duas seções, uma que define os
requisitos e outra que elenca as estratégias necessárias (SILVA, 2008).
O terceiro estágio contempla a implantação das estratégias que foram acordadas no
plano de continuidade do negócio. Tal etapa ocorre por meio da execução dos seguintes
processos internos:
 Planejamento da Organização e da Implementação;
 Implementar acordos de contingência;
 Implementar medidas de redução de riscos;
 Desenvolver planos de recuperação;
 Desenvolver procedimentos;
 Testes Iniciais

Um segundo guia de referência na determinação de requisitos e que deve ser

executado na fase de implantação do processo, é a determinação do impacto que um
incidente poderá causar aos serviços, sendo essa uma avaliação do grau de vulnerabilidade
da organização em relação às ameaças (SILVA, 2008).
Gerenciamento Operacional compreende o quarto estágio do processo de
gerenciamento de Continuidade de Serviços, e visa garantir esse seja mantido como parte
do negócio; isso inclui a educação e a conscientização de toda a organização, treinamento
completo da TI, revisão e auditorias constantes, testes, mudanças quando necessárias e
medidas de garantia de funcionalidade (SILVA, 2008).
O gerenciamento de continuidade de serviço é parte crítica do negócio e necessário
em ambiente de risco, sendo que possíveis falhas resultaram em impactos nos processos
seguintes, podendo gerar até mesmo outros riscos ao negócio. Esse processo deve
 14

responder de forma rápida e eficiente quando necessário, para tal deve ser testado
regularmente e alterado caso não atenda mais à realidade da organização. Acima de tudo
deverá estar plenamente alinhado às necessidades de continuidade de negócio da
organização (SILVA, 2008).

3.1.3. Gerenciamento de Configuração de Ativos de Serviço

O gerenciamento de configuração de ativos tem por finalidade prover um modelo

lógico da infraestrutura de TI que atenda às necessidades do negócio. Tem por objetivo
definir os serviços e componentes de infraestrutura, além de manter um registro preciso da
configuração desses, garantindo, assim, a integridade dos ativos e serviços em relação às
necessidade de atividade do negócio (SILVA, 2008).
Esse processo tem por atividades básicas: gerenciamento e planejamento em
relação aos ativos, definindo finalidades, escopos, procedimentos; identificação de
estruturas e configurações para toda a infraestrutura, incluído usuários/clientes,
documentação (o controle para a garantia de itens autorizados e identificados pode estar
presentes na infraestrutura); verificação de status que tem como retorno um relatório do
estado atual de cada ativo assim como seu histórico de registros; verificação e auditoria
para garantir a estabilidade do processo como um todo (SILVA, 2008).
É importante salientar que o processo de gerenciamento de ativos de serviço pode
estar integrado a vários aspectos da segurança de informação. Neste processo é possível
visualizar a integração dos ativos de TI em si e em relação ao negócio da organização,
além de servir como „ferramenta‟ para monitoramento, verificação e auditoria de
procedimentos e incidentes (SILVA; GOMES; MIRANDA, 2010).

4. CONSIDERAÇÕES FINAIS

Ao final deste estudo, após coleta, leitura, comparação de grande material de

referência, entre livros técnicos, artigos científicos e algumas exemplificações de aplicação
é possível observa que a ITIL, como grande referência de boas práticas em TI e de
aplicação em todo o mundo, tem sim em sua estrutura muitos aspectos relacionados à
segurança da informação.
É possível notar que o framework cobre toda a atuação de TI dentro de uma
organização, em todos os níveis e sempre com foco no negócio e nos objetivos estratégicos
do empreendimento. Esta atuação se da em relação à prestação de serviços a
usuários/clientes e também dá suporte as atividades do cotidiano da organização.
Tendo esta abrangência em relação aos serviços de TI em função do negócio é
possível abordar aspectos de segurança em todas as fases do ciclo de vida do serviço
adotadas pela ITIL. Sendo que a análise da mesma permite uma comparação com diversos
modelos e normas específicas de segurança, além da aplicação do modelo em conjunto
com estas normas.
Assim como os métodos e procedimentos descritos ou sugeridos pela metodologia
dependem da fiel relação destes com os objetivos da organização, o sucesso da
implementação do mesmo requer um empenho por parte de organização e seus membro
durante todo o processo de análise, implementação, melhoria, avaliação e principalmente
execução.
Os pontos possíveis de análise são diversos e todos possibilitam estudos bem
aprofundados e fundamentados nos diversos critérios de seguranças e normas aplicadas.
Sendo que, como já mencionado, o modelo todo pode e deve ser implementado com base
 15

na necessidade de proteger as informações da organização, junto com uma atenção

redobrada nos aspectos específicos do modelo que tratam do assunto.
Cabe ainda uma consideração em relação ao modelo no que se diz respeito que o
mesmo, por sempre buscar estar de acordo com o negócio da organização, permeia uma
total implementação de mecanismos de segurança que atenda não os serviços da própria
TI, área na qual a ITIL serve de referência, mas também os serviços e atividades da
organização como um todo.

REFERÊNCIAS

ABNT ISO/IEC Guia 73:2005. Gestão de Riscos – Vocabulários – Recomendações para

uso em Normas. 2004.

ABNT NBR ISO/IEC 27002. Tecnologia da Informação – Técnicas de Segurança –

Código de Prática para a Gestão da Segurança da Informação. 2005.

ABNT. ISO/IEC27002: Tecnologia da Informação – Técnicas de Segurança – Código

de Práticas para a Gestão da Segurança da Informação. 2007.

FERNANDES, Aguinaldo Aragon; ABREU, Vladimir Ferraz de. Implantando a

governança de TI: da estratégia à gestão de processos e serviços. 2. ed. rev. e ampl. Rio
de Janeiro: Brasport, 2008. 444 p.

FERNÁNDEZ, Miguel Angel. Como implantar ITIL em su empresa? Infonspan, 2005.

Disponível em: <http://es.seun.com/infospain/eventos/javaexpo2005/ ponencias/11-
00miguel.a.f.soluziona.pdf>. Acesso em: 20 set. 2010.

ISO/IEC 13335-1:2004. Information Technology – Security Techniques – Management

of Information and Communications Technlogy Security. 2004

LUNA, Marcelo Fernandes de. Gestão da Segurança da Informação com ITIL

V3 e ISO/IEC 27002. 2010. 70 f. Trabalho de Conclusão de Curso - Universidade
Estadual de Londrina, Londrina, 2010.

OLIVEIRA, Raphael Baptista de; FIGUEIREDO, Rodrigo Terra de; SILVA, Verandir
Araujo da; SILVA, Edilberto Magalhães. Proposta de plano de administração de crise
para FACSENAC: Aplicação dos conceitos de segurança da informação do COMIT 4.1 e
do ITIL V3. Brasília: Senac, 2011.

PAULINO, Sérgio Filipe da Costa. ITIL e a Segurança da Informação. Almada: Escola

Superior de Ciências Empresarias. Portugal.

RAMOS, Anderson (Org.). Security Office: Guia Oficial Para Formação de Gestores
em Segurança da Informação. 2° Edição. Porto Alegre: Zouk, 2008.

SILVA, Marcelo Gaspar Rodrigues; GOMES, Thierry Albert M. Pedros; MIRANDA,

Zailton Cardoso de. TI: mudar e inovar resolvendo conflitos com ITIL v3 aplicando a
um estudo de caso. Brasília: Senac, 2010.
 16

SILVA, Roberto Ricardo da. Curso ITIL Foundation v3. s.l.: 2008. s.d., 177 p.