A ITIL E A SEGURANA DAS TI A ITIL Information Technology Infrastructure Library tem vindo a assumir nos ltimos anos um grande

e protagonismo na medida em que a utilizao dos sistemas e tecnologias de informao e comunicao cada vez mais um suporte crtico das organizaes. Essa situao ainda mais importante na medida em que as organizaes esto hoje em dia presentes na Internet, realizando transaces, necessitando de um back-office que lhes permita suportar os relacionamentos automticos que so a base do negcio electrnico. A ITIL assenta essencialmente na gesto de servios de TI, cujos objectivos so: Alinhar os servios de TI com as necessidades actuais e futuras das organizaes e dos seus clientes e fornecedores; Melhorar a qualidade dos servios de TI fornecidos; Reduzir, a longo prazo, o custo inerente Disponibilizao de Servios de TI.

A ITIL tem uma abordagem orientada a processos intimamente ligados, e integrados entre si. Esses processos esto divididos em dois grandes grupos, a saber:
Suporte aos Servios Service Desk (considerado uma funo e no um processo) Gesto de Incidentes Gesto de Problemas Gesto das Configuraes Gesto das Alteraes Gesto das Releases Disponibilizao de Servios Gesto dos Nveis de Servio Gesto Financeira dos Servios de TI Gesto da Capacidade Gesto da Continuidade dos Servios de TI Gesto da Disponibilidade

Ora, para que se possa garantir a Disponibilizao de Servios de TI fundamental que se tenha implementado um processo de Gesto da Segurana. A Gesto da Segurana pois uma actividade importante que tem como objectivo, por um lado controlar a disponibilizao de informao e por outro evitar a utilizao no autorizada dessa informao. Podemos mesmo dizer que a Gesto da Segurana um dos principais desafios dos gestores no mdio e longo prazo. Mais uma vez aqui a Internet (bem como as suas tecnologias associadas como sejam as Intranets e as Extranets), e o negcio electrnico com os novos modelos de relacionamentos de empresas em rede (ligando clientes e fornecedores), tm um papel decisivo na medida em que as organizaes de certa maneira se abriram para o exterior, aumentando drasticamente os riscos de intruso colocando novos desafios para os seus responsveis. Por outro lado, tambm se deve ter em ateno que a infra-estrutura de dos sistemas e tecnologias de informao e comunicao muito mais complexa o que implica que as organizaes esto mais vulnerveis a problemas tcnicos, erros humanos e aces intencionais que se traduzem na prtica, por exemplo, por ataques de hackers e de vrus de computador. Esta crescente complexidade vai requerer uma abordagem integrada que , na ITIL, dada pelo processo da Gesto da Segurana.

_________________________________________________________________________________ Texto escrito para o semanrio Expresso caderno Inovao & Tecnologia por Francisco Ferro

Que riscos se pretendem cobrir, e que medidas devem ser tomadas, so as questes para as quais necessrio encontrar respostas estruturadas, e fundamentadas numa anlise rigorosa dos riscos e custos envolvidos. Essa anlise dever fornecer os elementos para a Gesto da Segurana, na qual os requisitos do negcio para a segurana afectaro os prestadores de servios de TI, sejam eles internos, ou externos, s organizaes constando dos designados SLA Service Level Agreements (acordos de nveis de servio) nos quais se baseia essa prestao de servios. Dada a importncia dos SLAs vamos detalhar alguns dos pontos a ter em considerao quando se negoceiam. Os SLAs Os SLAs so umas das componentes mais importantes do processo de Gesto da Segurana da ITIL (embora a sua aplicao no se limite apenas ITIL). Um SLA pois um acordo formal, contrato escrito, onde constam os nveis de servio (por exemplo, garantir que um stio da Internet est disponvel 24 horas por dia, 365 dias por ano ou que a reparao de um sistema que deixou de funcionar demorar menos de x horas), incluindo a segurana da informao, que o prestador de servios de TI se compromete a cumprir. O SLA deve incluir indicadores de desempenho assim como critrios de avaliao. Indicam-se em seguida alguns dos pontos que constam de um SLA de segurana de informao: Mtodos permitidos de acesso; Mtricas de avaliao da segurana fsica; Formao em segurana de informao; Procedimentos de autorizao de acesso para os utilizadores / clientes; Acordos sobre a forma de reportar, e investigar, incidentes de segurana: Detalhe dos relatrios e auditorias.

Alm dos SLAs devemos ainda considerar os OLA Operational Level Agreements (nveis de servio operacionais) que fornecem uma descrio detalhada de como os servios de segurana da informao devem ser prestados. A ITIL define ainda outros documentos sobre a segurana da informao: Polticas de segurana de informao a ITIL recomenda que as polticas de segurana devem partir dos responsveis da organizao e devem conter: 1. Objectivos e mbito de segurana de informao para a organizao 2. Metas e princpios de gesto sobre a forma como a segurana de informao deve ser gerida 3. Definio das funes, e responsabilidades, para a segurana de informao Planos de segurana de informao descrevem como que as polticas devem ser implementadas para um determinado sistema de informao e/ou unidade de negcio; Manuais de segurana de informao documentos operacionais para utilizao diria com instrues operacionais detalhadas sobre a segurana de informao.

_________________________________________________________________________________ Texto escrito para o semanrio Expresso caderno Inovao & Tecnologia por Francisco Ferro

Conceitos bsicos de Segurana O standard internacional ISO 17799 fornece as orientaes para o desenvolvimento, implementao e avaliao das medidas de segurana como veremos mais frente. A Gesto da Segurana est na ITIL como parte integrante do processo de Gesto de Disponibilidade aparecendo aqui dentro de um contexto mais global da Segurana da Informao, que hoje em dia, e no mbito mais alargado da Sociedade da Informao e Conhecimento, cada vez mais um dos activos importantes das organizaes, interagindo directamente com outros processos da ITIL. Vamos agora analisar alguns princpios bsicos que dizem respeito Segurana que aqui entendida como a garantia que a informao no vulnervel a riscos conhecidos, e evitando riscos desconhecidos sempre que possvel. Pretende-se pois proteger o valor da informao garantindo-se trs factores principais, a saber: Confidencialidade protegendo a informao de acesso, e utilizao, no autorizado; Integridade preciso, integralidade e oportunidade da informao; Disponibilidade a informao deve estar disponvel em qualquer momento acordado, o que tambm vai depender da continuidade que fornecida pelos sistemas de processamento da informao. Existem ainda outros factores importantes, e que dizem respeito privacidade (entendida aqui como integrando a confidencialidade e integridade), o anonimato e a verificao (ou seja, ser capaz de verificar que a informao est a ser usada correctamente de acordo com as regras acordadas e que as medidas de segurana so utilizadas). A ITIL e a Gesto da Segurana Como j referimos anteriormente as organizaes dependem da prestao de servios de TI que podem ter como fornecedores infra-estruturas de TI internas, ou externas, no caso particular das empresas que prestam esse tipo de servios. Na prtica o que se pode esperar desses prestadores de servios que: Definam, e acordem, esses servios com os seus utilizadores / clientes nos quais devero estar includos todos os aspectos a ter em conta para a segurana da informao; Definir quais so os controlos que se devero implementar para se verificar se a segurana da informao est garantida.

Os prestadores de servios tero ento que enquadrar todos estes requisitos no contexto da ITIL na qual a Gesto da Segurana tem dois objectivos principais: Satisfazer os requisitos de segurana dos SLAs, bem como outros requisitos, que dizem respeito a contratos, legislao e outras polticas impostas por factores externos. Fornecer um nvel bsico de segurana, independente de outros requisitos externos.

_________________________________________________________________________________ Texto escrito para o semanrio Expresso caderno Inovao & Tecnologia por Francisco Ferro

O esquema bsico do processo de Gesto de Segurana na ITIL ser ento:

SLAs e objectivos da segurana Relatrios e Indicadores

Actividades

Outros processos ITIL

Outros processos ITIL

A ITIL procura assim assegurar que as medidas de segurana da informao so tomadas as trs nveis, estratgico, tctico e operacional consoante os processos que a constituem, isto , Servios de Suporte a nvel operacional e Disponibilizao de Servios a nvel tctico. A segurana da informao considerada pois como um processo iterativo que deve ser controlado, planeado, implementado, avaliado e mantido estando estruturada na ITIL (assim como todos os seus outros processos) em: Polticas objectivos mais globais que uma organizao pretende atingir; Processos o que que tem que acontecer para se atingirem esses objectivos; Procedimentos descrio de um conjunto de actividades, isto , quem faz o qu, e quando, para se atingirem esses objectivos; Instrues definem como que as actividades de um procedimento devem ser executadas (incluindo-se aqui todas as regras que so necessrias). O processo de Gesto de Segurana da ITIL pode ser descrito em sete passos, a saber: 1. Utilizando a anlise de risco inicial os utilizadores / clientes de ITIL identificam os seus requisitos de segurana; 2. Os prestadores de servios de TI determinam a viabilidade desses requisitos e comparam-nos com os servios bsicos de segurana a garantir; 3. Os clientes da organizao de TI negoceiam, e definem, os SLAs que devem incluir a definio dos requisitos de segurana de informao em termos mensurveis e especificam como que devem ser verificados / auditados; 4. Do mesmo modo so negociados, e acordados, os OLAs; 5. Os SLAs e OLAs so implementados e controlados; 6. Os clientes recebem relatrios peridicos, ou sempre que necessrio conforme for acordado, acerca da forma como os servios de segurana da informao esto a cumprir, ou no, os compromissos assumidos bem como um ponto de situao desses servios; 7. Os SLAs e OLAs so modificados se for necessrio. Entre os vrios impactos que ITIL tem na forma como as organizaes podem implementar, e gerir, a segurana de informao teremos os seguintes:

_________________________________________________________________________________ Texto escrito para o semanrio Expresso caderno Inovao & Tecnologia por Francisco Ferro

A ITIL mantm a segurana de informao com o seu enfoque no negcio e nos servios de TI. Muitas vezes a segurana de informao entendida como um centro de custo um obstculo s funes de negcio. Com a ITIL os donos dos processos que a constituem, e as TIs negoceiam os servios necessrios de segurana de informao, garantindo assim que os servios esto alinhados com as necessidades de negcio. A ITIL permite que as organizaes desenvolvam, e implementem, a segurana de informao de uma forma estruturada baseada nas boas prticas da prestao de servios de TI. A segurana de informao pode assim deixar de intervir apenas para resolver situaes pontuais, sempre urgentes e crticas, para passar a ter uma abordagem mais proactiva e planeada. Dado que a ITIL obriga a uma reviso contnua dos requisitos de segurana a organizao garantir assim que as modificaes que ocorrem em termos de novos riscos e ameaas estaro sempre controlados. A ITIL baseia-se em standards e processos documentados. Consequentemente a organizao ter uma viso clara sobre a eficincia dos seus procedimentos de segurana de informao e obedecer a requisitos reguladores (por exemplo Sarbanes Oxley). Todos os processos da ITIL contribuem de uma forma ou outra para a segurana de informao, como sejam a Gesto de Alteraes, a Gesto de Configuraes (baseada na CMDB base de dados das configuraes de todos os itens, hardware e software, instalados) e a Gesto de Incidentes. Por exemplo, um nmero considervel de incidentes de segurana de informao resultam de alteraes que no foram bem processadas o que implica que possam existir problemas em servidores mal configurados. A ITIL permite tambm que os conceitos de segurana de informao possam ser entendidos pelos utilizadores / clientes aos mais variados nveis desde os gestores at os nveis mais operacionais. Muitos utilizadores / clientes sabem pouco sobre tcnicas de encriptao, ou funcionamento de firewalls, mas so sensveis aos conceitos de ITIL que dizem respeito incluso de procedimentos de segurana de informao em processos para resolver problemas, melhorar servios e cumprir com os SLAs. Uma estrutura de ITIL bem organizada evita a implementao desorganizada de medidas de segurana de informao. De facto, a ITIL exige a concepo, e construo, de medidas de segurana de informao que daro origem a servios de TI em vez de resoluo de incidentes de uma forma casustica, economizando assim tempo, dinheiro e a utilizao de recursos. Finalmente o sistema de relatrios associado ITIL mantm os gestores da organizao informados, de uma forma clara para todos, sobre a eficincia das medidas de segurana de informao implementadas. Como consequncia os gestores podero assim tomar decises mais sustentadas compreendendo que a segurana de informao necessria e no apenas mais um encargo que a organizao tem que suportar sem benefcios evidentes. A norma ISO 17799

_________________________________________________________________________________ Texto escrito para o semanrio Expresso caderno Inovao & Tecnologia por Francisco Ferro

A norma ISO 17799 fornece recomendaes para a gesto da segurana de informao e destina-se a todos os que so responsveis por iniciar, implementar e manter a segurana nas organizaes. Na prtica a ISO 17799 um conjunto exaustivo de controlos que incluem as melhores prticas de segurana, isto , um standard reconhecido internacionalmente com informao genrica sobre segurana. A segurana de informao obtida a partir da implementao de um conjunto de controlos tais como: polticas, processos, procedimentos, estruturas organizacionais e funes de hardware e software. Esses controlos necessitam de ser definidos, implementados, controlados, revistos, melhorados e reportados para assegurar que os objectivos de segurana e de negcio so atingidos. A ISO 17799 contm as melhores prticas nas seguintes reas da gesto da segurana de informao: Polticas de segurana; Organizao da segurana de informao; Gesto de activos; Segurana dos recursos humanos; Segurana fsica; Gesto das comunicaes e operao em geral; Controlo de acessos; Aquisio, desenvolvimento e manuteno de sistemas de informao, Gesto da continuidade do negcio; Regulao.

A ISO 17799 pretende pois satisfazer os requisitos evidenciados pela avaliao do risco. A ISO 17799 ser assim uma base comum, e guia prtico, para desenvolver standards de segurana para uma organizao. Notas Finais Pelo que ficou exposto podemos concluir que as medidas de segurana de informao esto a aumentar a um ritmo muito rpido em termos de mbito de aplicao, complexidade e importncia. Nestas condies fundamental uma abordagem baseada em processos, sistematizados, integrados e estandardizados que utilizem as boas praticas que a ITIL pode trazer, a qual tem uma relao muito estreita com a ISO 17799. Francisco Ferro
Para escrever este texto retirmos muita informao das seguintes fontes: Livro Foundations of IT Service Management based on ITIL publicao da ITSMF Stios - www.itil.co.uk www.itil.org www.itsmf.com www.itilcommunity.com

_________________________________________________________________________________ Texto escrito para o semanrio Expresso caderno Inovao & Tecnologia por Francisco Ferro