ITIL e Segurança da Informação

ITIL busca assegurar que uma segurança da informação efetiva está implantada nos 3 níveis, estratégico, tático e operacional. Segurança da Informação é um processo iterativo que precisa ser planejado, controlado, avaliado e revisado regularmente.

ITIL quebra Segurança da Informação em:

  • Políticas: indica os objetivos gerais que a organização pretende atingir;
  • Procedimentos: descreve quem faz o que e quando para que os objetivos sejam atingidos
  • Processos: o que precisa ser feito para os objetivos serem atingidos;
  • Instruções de Trabalho: passo-a-passo para executar ações específicas.

Uma dica interessante que li uma vez sobre como diferenciar procedimentos de instruções de trabalho é a seguinte: Quando te perguntam o que você está fazendo, você responde naturalmente com o procedimento. Exemplo: você está na frente de uma máquina copiadora, com um papel na mão e alguém te pergunta o que você vai fazer, você vai naturalmente responder: “vou fazer uma cópia”. Isso é um procedimento.

Mas, para executar esse procedimento, você precisa colocar o papel original na copiadora, indicar quantas cópias quer, garantir que tenha papel branco na máquina, ligar a cópia. Todos esses passos são instruções de trabalho.

ITIL define Segurança da Informação como um processo cíclico com revisão contínua e melhorias incrementais, como ilustrado na figura abaixo:


ITIL e Segurança da Informação

Service level agreements

SLA é uma das partes principais do processo de Segurança da Informação de ITIL, assim como de todo o gerenciamento de serviços de TI como definido por ITIL. O SLA é um acordo formal e escrito, que define o nível de serviço, incluindo a segurança da informação, que a área de TI deve prover ao seu cliente. Um mesmo serviço pode ter vários SLA, um para cada cliente.

O SLA deve incluir todas as definições e declarações necessárias, sem deixar nada implícito, a fim de serem esclarecidos todos os pontos a serem executados e monitorados. Deve definir também indicadores de desempenho bem como as metas a serem atingidas por esses indicadores.

O SLA também define o valor do serviço, o modo de cobrança e a forma de pagamento por parte do cliente.

Um SLA de segurança da informação típico inclui:

  • Declaração do serviço a ser prestado
  • Horários de funcionamento
  • Métodos de acesso ao serviço
  • Formas de auditar e registrar o uso (logging)
  • Medidas de segurança lógicas e físicas
  • Conscientização e treinamentos de segurança aos usuários
  • Indicadores a serem relatados, modelos de relatórios e audiência dos mesmos
  • Procedimento de autorização para acesso dos usuários

Nove modos pelos quais ITIL pode melhorar a Segurança da Informação

De vários modos distintos as recomendações de ITIL podem ajudar a melhorar a implantação e gerenciamento da segurança da informação:

  • Foco em gerenciamento e atendimento dos requisitos de segurança para o serviço de TI, ditados pelos clientes. Isso é conseguido através do alinhamento entre as necessidades dos negócios (necessidades dos clientes) e com o que a área de TI oferece de serviços.
  • Modelo estruturado de implantação, gerenciamento e análise de melhoria em relação aos serviços de segurança da informação, baseado em melhores práticas aceitas pelo mercado.
  • A necessidade de revisão contínua para melhoria ajuda a revisar os requerimentos e a efetividade das implantações de segurança da informação.
  • Com documentos formais, como SLAs e OLAs, ITIL ajuda a medição e demonstração de efetividade da segurança da informação, com relatórios baseados em metas e indicadores. Isso também ajuda às organizações a cumprirem com requerimentos regulatórios, como Basiléia II, SOX, etc…
  • Processos auxiliares, como Gerenciamento de Muidanças, Gerenciamento de Incidentes e outros, podem ajudar a organizar melhor as intervenções e manter a segurança da informação efetiva e eficaz.
  • Por exemplo, vários eventos de segurança são causados por configurações inadequadas dos servidores e equipamentos de TI. Com um processo bem ajustado de Gerencimento de Mudanças, isso pode ser evitado, aumentando a eficiência e atuação da Segurança da Informação.
  • ITIL ajuda a padronizar as comunicações, principalmente com usuários e clientes (que estão fora da área de TI e de seus termos específicos), tornando a comunicação mais clara, direta e efetiva. Toda a comunicação é baseada em requerimentos de segurança e nos itens que o serviço de TI devem respeitar (itens dos SLAs).
  • O planejamento de uma política de segurança, bem como a implantação baseada em indicadores e metas ajuda a evitar implantações divergentes em serviços distintos. Em última análise, isso aumenta a eficiência, diminui as contradições, economiza tempo e dinheiro.
  • O planejamento dos relatórios gerenciais e executivos ajuda a comunicar uniformemente e no nível necessário as metas e resultados alcançados.
  • ITIL define papéis e responsabilidades para a Segurança da Informação. Durante as várias atividades, como por exemplo, a resposta a um incidente de segurança, fica claro quem deve fazer o quê.

Conclusão

Segurança da Informação é um tema cada vez mais importante e têm crescido em escopo e complexidade. É uma área que trata constantemente com tratamento de riscos, ou seja, como evitá-los. Normalmente é custosa em dinheiro, recursos humanos e tempo e, não raramente, é criticada por falhas e eventos de segurança que são registrados.

Embora um ciclo completo de implantação de ITIL possa demandar tempo e investimento, pode com certeza ajudar a definir, estabelecer, organizar, medir e comunicar claramente as políticas e os processos envolvidos com a Segurança da Informação. Dessa forma pode-se conseguir maior eficiência e menor custo total envolvido nessa área.

Autor: Evandro Ribeiro - TI Especialistas

Fonte: http://www.tiespecialistas.com.br/2012/08/itil-e-seguranca-da-informacao

JoomShaper