Escolar Documentos
Profissional Documentos
Cultura Documentos
11 Uceff Rodrigo Carvalho Losina Artigo Pos Graduaao em Segurana Da Informaaopdf
11 Uceff Rodrigo Carvalho Losina Artigo Pos Graduaao em Segurana Da Informaaopdf
RESUMO
ABSTRACT
This article points out clearly the issues related to information security present 'within' the
framework of ITIL, used as a reference of good IT practices. Based on technical
publications and scientific articles, this study seeks to find within the ITIL methodology of
items that allow the integration of this criteria for information security. When it is found
the relationship between the model and these safety criteria, it begins the description of the
specific processes that act directly on the model with criteria for information security and
how this is defined. At the end, it has resulted in the appointment of the overall model fit
these criteria, such as meeting the needs of the business, allowing the methodology to be
used in the agreement and in conjunction with standards and security standards, in
addition to the finding of concern of the model in relation to business objectives and the
importance of correct application.
1. INTRODUÇÃO
1
Rodrigo Carvalho Losina – Técnico em eletrônica pelo SENAI Chapecó (2008). Bacharel em Sistemas de
Informação pela Universidade Comunitária da Região de Chapecó – UNOCHAPECÓ (2011). Pós-graduando
em Segurança da Informação pela Unidade Central de Educação FAEM Faculdades – UCEFF Faculdades
(2011 -). Colaborado do SENAI Chapecó como especialista em informática. Colaborador do SENAC
Chapecó com orientador de curso. Colaborador da Unidade Central de Educação FAEM Faculdades –
UCEFF Faculdades como professor de ensino superior. rodrigo.losina@gmail.com
2
auxiliar a gestão interna da área, bem como a integração dessa com as demais áreas de uma
organização.
Nesse contexto, a Information Technology Infrastructure Library (ITIL - Biblioteca
de Infraestrutura de Tecnologia da Informação) surge como uma das metodologias de
gestão de TI mais aplicadas por organizações em todo o mundo, trazendo exemplos de
boas práticas aplicadas nas mais diversas situações e contextos.
Muito desta responsabilidade atribuída a TI se relaciona à relevância que as
informações passaram a ter em relação aos negócios das organizações, em que além de
tratar, armazenar e disponibilizar estes dados, a TI passa a ter uma preocupação muito
grande com a segurança destas informações. Sendo importante o alinhamento estratégico
da gestão de TI em conformidade com estes aspectos relacionados à segurança da área.
Como já mencionado, a segurança da informação se apresenta hoje como uma das
áreas de maior preocupação dentro das organizações, principalmente pelo elevado valor
que as informações e conhecimento trazem para as mesmas. Esta realidade não é diferente
dentro da TI, grande responsável pelo armazenamento e tratamento dessas informações.
Estas tarefas demandam grandes cuidados em todos os processos dentro da
organização, com isso o setor de TI deve ser focado em atender e prover ferramentas para a
execução destes processos e também assegurar, principalmente, a integridade,
confidencialidade e disponibilidade das informações; essas representam os três pilares
básicos para garantia da segurança das informações.
Alinhado a essas preocupações, o setor de TI surge como grande prestador de
serviço dentro da organização, trazendo com isso preocupações em relação à qualidade de
suas atividades. Como já citado, para auxiliar as atividades, podem ser utilizados
frameworks que fornecem métodos e práticas adequadas para realização das mesmas.
Dentro deste contexto temos a ITIL, que, assim como o Control Objectives for Information
and Related Technology (COBIT – Objetivo de Controle para Tecnologia da Informação e
Áreas Relacionadas) e a International Organization for Standardization (ISO -
Organização Internacional para Padronização), apresenta-se como referência no mercado.
Esses „padrões‟ servem de referência para a área de TI e trazem questões relevantes quanto
à segurança da informação, que em alguns casos não são observadas devido à falta de
conhecimento sobre as mesmas ou por causa da preocupação focada apenas no contexto
geral destes frameworks.
A utilização desses framworks citados ou de outros que norteiem as atividades de
TI é uma realidade em boa parte das organizações. Esses servem como referência para
atuação da área de TI com qualidade e foco na prestação de serviços a seus
clientes/usuários. Alinhando esse fato à realidade das preocupações com a segurança das
informações que trafegam pelas „estruturas‟ fornecidas pela TI, torna-se necessário a
adequação destes cuidados às boas práticas elencadas por essas ferramentas de gestão.
A ITIL, como grande referência de boas práticas de gestão e atuação de TI adotada
pelo mundo, traz em sua coleção detalhes sobre aspectos da segurança da informação na
atuação da TI na organização que podem ser aplicados em pleno acordo com normas
específicas como, por exemplo, a ISO 27000, como também fornecer um alicerce sólido
para a TI em toda a sua atuação e com a devida preocupação em todos os aspectos
necessários para tal.
Com base no contexto apresentado até o momento, são levantadas algumas
hipóteses para a execução de um estudo, referente à aplicação de critérios relacionados à
segurança da informação por parte da ITIL. Essas Hipóteses buscam demonstrar então que
este framework tem em sua estrutura preocupações em relação à segurança da informação,
além de elencar algumas das boas apresentadas pelo modelo.
3
2. FUNDAMENTAÇÃO TEÓRICA
Segundo Ramos (2008) ainda deve-se observar que a segurança da informação traz
consigo alguns fatores críticos. A análise destes pontos permite que a aplicação de „praticas
de segurança‟ atenda também a realidade de investimento financeiro para das
organizações.
4
2.2. ITIL
ITIL é apresentado como uma boa prática (literalmente: método correto). Isto é
uma abordagem ou método que provê a si próprio na prática. Estas boas práticas
pode ser uma bagagem sólida para a organização que quer melhorar seus
serviços de TI. (SILVA, 2008).
Tendo em vista o contexto atual da TI, a ITIL busca incluir e prover novos
caminhos para auxiliar o desenvolvimento das atividades de TI como também o
gerenciamento de serviços, não só com base nos processos, mas também no ciclo de vida
do serviço (SILVA, 2008).
Em sua publicação, Silva (2008) traz alguns conceitos utilizados pela ITIL:
7
Boas práticas: a ITIL é apresentada como uma boa prática, ou seja, uma abordagem
que provê a si própria na prática. Pode ser uma bagagem sólida para a organização
que quer melhorar seus serviços de TI;
Serviço: de acordo com a ITIL “Um serviço é um meio de entregar valor para o
cliente através da facilitação de resultados que os clientes desejam obter sem
incorrer em específicos custos ou riscos”;
Valor: é um núcleo no conceito de serviço e consiste em dois componentes
principais: utilidade (o que o cliente recebe) e garantia (como ele é provido);
Gerenciamento de Serviço: segundo a ITIL “Gerenciamento de Serviços é um
conjunto de capacidades de uma organização especializada em prover valor para
clientes na forma de serviços.”;
Sistemas: segundo a ITIL “Um sistema é um grupo de interativo, inter-relacionados
ou interdependentes componentes que forma um todo, operando junto para uma
finalidade comum.”;
Função: é uma subdivisão da organização especializada em preencher um
específico tipo de trabalho e responsável por um resultado específico.
Processo: é um conjunto estruturado de atividades projetadas para obtenção de um
objetivo específico.
Para melhor entender o que é a ITIL e o que ela propõe, é necessário conhecer a
estrutura do modelo que será apresentado na sequência.
- Gerenciamento de Fornecedor
- Gerenciamento de Mudanças
- Gerenciamento da Configuração e de
Ativos de Serviços
- Gerenciamento da Liberação e
Transição de Serviço
Implantação
- Validação e Testes de Serviço
- Avaliação
- Gerenciamento do Conhecimento
- Gerenciamento de Evento
- Central de Serviço
- Gerenciamento de Incidente
- Gerenciamento Técnico
- Gerenciamento de Requisitos
Operação de Serviço - Gerenciamento das Operações
- Gerenciamento de Problema
de TI
- Gerenciamento de Acesso
- Gerenciamento de Aplicativo
Melhoria de Serviço - Relatório de Serviço
Continuada - Medição de Serviço
Tabela 1 - Processos e Funções da ITIL V3
Fonte: Fernandez, Abreu, 2008.
Como antes mencionado, as etapas ou fases do ciclo de vida do serviço se
relacionam, o que ocorre da seguinte forma: a Estratégia de Serviço é o ponto central do
ciclo de vida e define políticas e os objetivos do serviço. Desenho, Transição e Operação
de Serviço implementam a estratégia, ajustam e mudam a continuidade do tema. A fase de
Melhorias Constantes de Serviços define o aprendizado e melhoria e acompanha as demais
fases do processo. Inicia programas e projetos de melhoria e os prioriza com base nos
objetivos estratégicos da organização (SILVA, 2008).
A ITIL como metodologia desenvolvida para auxílio na gestão de TI, que tem como
base a análise, aplicação, avaliação e modificação de serviços, de certa forma, engloba em
toda a sua estrutura aspectos que podem ser vinculados a estratégias e práticas voltadas à
segurança da informação (LUNA, 2010).
A tabela 2 exemplifica tal afirmação, pois demonstra, de forma sucinta, uma
relação direta das fases do ciclo de vida do serviço com seções presentes na norma
ISO/IEC 27002 - Código de Prática para a Gestão de Segurança da Informação, que
objetiva “estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e
melhorar a gestão de segurança da informação em uma organização” (ABNT, 2007).
responder de forma rápida e eficiente quando necessário, para tal deve ser testado
regularmente e alterado caso não atenda mais à realidade da organização. Acima de tudo
deverá estar plenamente alinhado às necessidades de continuidade de negócio da
organização (SILVA, 2008).
4. CONSIDERAÇÕES FINAIS
REFERÊNCIAS
OLIVEIRA, Raphael Baptista de; FIGUEIREDO, Rodrigo Terra de; SILVA, Verandir
Araujo da; SILVA, Edilberto Magalhães. Proposta de plano de administração de crise
para FACSENAC: Aplicação dos conceitos de segurança da informação do COMIT 4.1 e
do ITIL V3. Brasília: Senac, 2011.
RAMOS, Anderson (Org.). Security Office: Guia Oficial Para Formação de Gestores
em Segurança da Informação. 2° Edição. Porto Alegre: Zouk, 2008.
SILVA, Roberto Ricardo da. Curso ITIL Foundation v3. s.l.: 2008. s.d., 177 p.