Seguranca Itil

8/6/2019 Seguranca Itil

1/17

Revista hospedada em: http://revistas.facecla.com.br/index.php/reinfoForma de avaliao: double blind review


2/17

Esta revista (e sempre foi) eletrnica para ajudar a proteger o meio ambiente. Agoraela volta a ser diagramada em uma nica coluna, para facilitar a leitura na tela docomputador. Mas, caso deseje imprimir esse artigo, saiba que ele foi editorado comuma fonte mais ecolgica, a Eco Sans , que gasta menos tinta.


3/17

Revista Eletrnica de Sistemas de Informao, v. 8, n. 2, artigo 4 1

GERENCIAMENTO DE SEGGERENCIAMENTO DE SEGGERENCIAMENTO DE SEGGERENCIAMENTO DE SEGURANA SEGUNDO ITIL:URANA SEGUNDO ITIL:URANA SEGUNDO ITIL:URANA SEGUNDO ITIL: UMUMUMUMESTUDO DE CASO EM UMESTUDO DE CASO EM UMESTUDO DE CASO EM UMESTUDO DE CASO EM UMA ORGANIZAO INDUSTA ORGANIZAO INDUSTA ORGANIZAO INDUSTA ORGANIZAO INDUSTRIALRIALRIALRIAL

DE GRANDE PORTEDE GRANDE PORTEDE GRANDE PORTEDE GRANDE PORTESECURITYSECURITYSECURITYSECURITY MANAGEMENT WITH ITILMANAGEMENT WITH ITILMANAGEMENT WITH ITILMANAGEMENT WITH ITIL: A CASE STUDY IN A: A CASE STUDY IN A: A CASE STUDY IN A: A CASE STUDY IN A LARGELARGELARGELARGE

INDUSTRIAL ORGANIZATINDUSTRIAL ORGANIZATINDUSTRIAL ORGANIZATINDUSTRIAL ORGANIZATIONIONIONION

(artigo submetido em novembro de 2009)

Vivaldo Jos BreternitzVivaldo Jos BreternitzVivaldo Jos BreternitzVivaldo Jos BreternitzFaculdade de Computao e Informtica - Universidade Presbiteriana

Mackenzie (UPM)[email protected]

Francisco Navarro NetoFrancisco Navarro NetoFrancisco Navarro NetoFrancisco Navarro Neto Faculdade de Computao e Informtica - Universidade Presbiteriana


Alexandre Franco NavarroAlexandre Franco NavarroAlexandre Franco NavarroAlexandre Franco NavarroFaculdade de Computao e Informtica - Universidade Presbiteriana


ABSTRACT ABSTRACT ABSTRACT ABSTRACT In an environment in which organizations increasingly depend on the quality of their information systems to provide services and produce goods in an appropriate manner, it is vital to adopt tools to ensure this quality. One of the most used tools for this purpose is the Information Technology Infrastructure Library (ITIL), in which the module that deals with security management is one of the most important. The objective of this study was to understand how ITIL is used in the process of security management in a large industrial organization, as this understanding may bring useful knowledge to people who are faced with similar situations. This case study was done through semi-structured interviews that allowed the comparison between the ITIL principles to the subject and the practices adopted by the organization object of study.Key-words: ITIL; information security; IT governance; security management; service level agreement.

RESUMORESUMORESUMORESUMOEm um ambiente no qual as organizaes dependem cada vez mais da qualidade de seusservios de Tecnologia da Informao para poderem prestar servios e produzirem bens deforma adequada, torna-se vital adotar ferramentas que garantam essa qualidade. Uma dasferramentas mais utilizadas para esse fim a biblioteca ITIL ( Information Technology Infrastructure Library ), que possui um mdulo que trata de gerenciamento da segurana. Oobjetivo da pesquisa apresentada neste trabalho foi compreender a forma pela qual a ITIL utilizada no processo de gerenciamento de segurana na rea de TI de uma organizaoindustrial de grande porte, o que pode gerar conhecimentos teis aos que venham a atuar emsituaes similares. Essa compreenso foi obtida por meio de um estudo de caso, realizadocom aplicao de entrevistas semiestruturadas que permitiram a comparao entre aspropostas de ITIL para o tema e as prticas adotadas pela organizao objeto do estudo.Palavras-chave: ITIL; segurana da informao; governana de TI; gerenciamento de seguran-a; acordo de nvel de servio.


4/17

2 Revista Eletrnica de Sistemas de Informao, v. 8, n. 2, artigo 4

1111 INTRODUOINTRODUOINTRODUOINTRODUO

Atualmente a qualidade de produtos e servios um grandediferencial para as organizaes, em um ambiente em que a concorrnciaentre elas cada vez mais acirrada. A qualidade deve estar presente emtodas as fases dos processos produtivos, uma vez que um produto ouservio integralmente desenvolvido com qualidade, alm de agregar valorao cliente, evita perdas para o fornecedor.

Outra constante no cotidiano das organizaes o valor que asinformaes agregam ao negcio. Essas informaes vo desde procedi-mentos internos da organizao e dados de seus sistemas transacionaisat segredos de negcio e informaes sigilosas de clientes. Nesseambiente, vital a adoo de medidas que possam garantir a seguranadas informaes ou, ao menos, reduzir a possibilidade de sinistros.

Dentre essas medidas, est a implementao de uma governana de TI eficaz, entendida como um conjunto de mecanismos que estimulamcomportamentos consistentes com a misso, a estratgia, os valores, asnormas e a cultura da organizao (WEILL; ROSS, 2006).

Uma das ferramentas que pode ser utilizada para a prtica dagovernana de TI a ITIL ( Information Technology Infrastructure Library ),uma biblioteca de melhores prticas de governana de TI, frequentementecitada como um dos mais populares frameworks para governana de TI(RUDD, 2004). A utilizao da ITIL vem crescendo nos ltimos anos, emdecorrncia no apenas do aumento da demanda por governana de TI,como tambm da evoluo da prpria ITIL, que j est em sua terceiraverso.

Nesses termos, o objetivo da pesquisa aqui relatada foi compreendera forma pela qual a ITIL utilizada no processo de gerenciamento desegurana na rea de TI de uma organizao industrial de grande porte,que no mbito deste trabalho ser chamada organizao . Essa compreen-so pode gerar conhecimentos teis aos que venham a atuar em situaessimilares.

2222 ASPECTOS METODOLGICASPECTOS METODOLGICASPECTOS METODOLGICASPECTOS METODOLGICOSOSOSOS

Este trabalho apresenta os resultados de uma pesquisa exploratriaqualitativa, desenvolvida com base em um estudo de caso.

Selltiz et al. (1987) dizem que a pesquisa exploratria proporcionamaior familiaridade com o problema, com vista a torn-lo mais explcito ouconstruir hipteses para posterior investigao mais profunda, tendo comoobjetivo tambm aprimorar ideias e despertar intuies. Na maioria doscasos, isso envolve levantamentos bibliogrficos, entrevistas com pessoasque tiveram experincias prticas com o problema e anlise de exemplosque estimulem a compreenso do assunto.


5/17


Na pesquisa relativa ao objeto desse trabalho a opo foi por umaabordagem qualitativa. Assim, as perguntas elaboradas no possibilitamrespostas mensurveis, na maioria das vezes, e, quando so mensurveis,no o so de forma precisa. Mattar (2001) e Malhotra (2008) afirmam que,em situaes como essa, considerar apenas a pesquisa quantitativa podelevar a resultados muito superficiais e talvez incorretos.

Miles (1979) afirma que o enfoque qualitativo tem obtido crescentepopularidade na pesquisa organizacional, pelo seu carter rico, holstico ereal. Segundo Malhotra (2008), a abordagem qualitativa proporcionamelhor viso e compreenso do contexto do problema, de modo que, aose abordar um novo problema, a pesquisa quantitativa deve ser precedidade pesquisa qualitativa apropriada. Miles e Huberman (1994) consideramque a pesquisa qualitativa leva a um contato intenso com o objeto sobestudo, o que acaba produzindo um conhecimento mais profundo dele.

Cabe ressaltar que as estratgias de pesquisa quantitativa e as depesquisa qualitativa no so mutuamente excludentes. Estudos futuros doobjeto de pesquisa desse trabalho podem vir a exigir a adoo de procedi-mentos quantitativos.

Mattar (2001) afirma que o estudo de casos um mtodo muitoprodutivo para estimular a compreenso e ampliar os conhecimentossobre o problema em estudo. Diz tambm no existirem regras para aescolha dos casos a serem trabalhados e que a experincia mostra quecasos que refletem situaes extremas podem ser de melhor aproveita-mento, talvez ajudando a estabelecer padres ou esteretipos que podemno ser totalmente indesejveis. Na viso desse autor, no estudo de casosmdios, pode-se conseguir enxergar apenas pequenas diferenas,tornando a pesquisa menos til.

Yin (2005), ao comparar o estudo de caso com outros mtodos comoexperimento, survey etc., diz que essa estratgia de pesquisa a maisindicada para responder a questes do tipo "como" e "por que", espe-cialmente quando o pesquisador no tem controle sobre o comportamentodos eventos.

Nesses termos, justifica-se a escolha, como objeto da pesquisa, deuma organizao industrial de grande porte, com uma rea de TIatendendo a problemas complexos. Foram realizadas no primeiro semes-tre de 2009 entrevistas semi-estruturadas com seis profissionais da reade TI dessa empresa, em nvel de gerncia, tendo o resultado da anlisedos dados coletados passado por um processo de validao junto a eles.

O roteiro das entrevistas abordou alm dos processos relativos segurana de informao temas como o alinhamento estratgico entre TIe negcios, gerenciamento de risco, governana de TI etc. O roteiro bsicodas entrevistas compreendeu os pontos que se seguem:

- Razes da adoo de ITIL- Importncia atribuda pela organizao aos ativos de TI- Situao anterior implementao de ITIL- Durao do processo de implementao


6/17


- Ordem de implementao das diversas disciplinas- Profissionais responsveis pela implementao- Problemas encontrados- Situao atual em termos de estrutura e procedimentos formais,

mtricas- Utilizao de ferramentas de software nas atividades rotineirasligadas a ITIL

- Forma de utilizao do gerenciamento de segurana- Aspectos ligados a auditoria- Percepo dos envolvidos quanto efetiva utilidade de ITIL para a

organizao e sobre o nvel de aderncia s prticas ITIL

No houve autorizao para gravao das entrevistas. Imediatamenteaps a realizao, de cada uma, as notas tomadas pelos pesquisadoreseram complementadas, com o objetivo de reter o maior volume de dadospossvel. Concludas as entrevistas, foram os dados organizados, servindode base para discusso e anlise entre os pesquisadores, onde seprocurou identificar os aspectos relevantes, que poderiam atender aosobjetivos da pesquisa. Em alguns casos, quando se julgou necessrioesclarecer pontos especficos, os entrevistados foram contatados nova-mente, por telefone ou correio eletrnico; concludo o processo de anlise,foram as concluses submetidas aos entrevistados para validao.

3333 FUNDAMENTAO TERICFUNDAMENTAO TERICFUNDAMENTAO TERICFUNDAMENTAO TERICAAAA

Esta seo tem como objetivo apresentar os principais conceitosacerca dos temas centrais deste trabalho: segurana da informao eriscos, governana de TI e ITIL.

3.1 SEGURANA DA INFORMAO E RISCOSNo passado, as preocupaes com segurana da informao restrin-

giam-se praticamente integridade das instalaes de processamento dedados e possibilidade de prejuzos financeiros em funo de fraudes,estas ltimas basicamente no mbito das instituies financeiras. Maisrecentemente, este contexto se expandiu. Aps a lei Sarbanes-Oxley, o

paradigma de segurana alterou-se, de forma que manter o controle dosprocessos de segurana tornou-se uma tarefa crucial, porque taisprocessos afetam diretamente o negcio (BLOEM; VAN DOORN; MITTAL,2006).

A segurana de informao implementada por meio de planos desegurana, que devem contemplar os processos de toda a organizao.Segundo Bishop (2003), a implantao destes planos envolve:

- requisitos de segurana : as necessidades de segurana variam deuma organizao para outra. Uma pequena oficina mecnica certa-mente no possui os mesmos requisitos de segurana de um banco.Estes requisitos devem ser determinados pela organizao com aajuda de uma equipe de segurana da informao e devem ser


7/17


claros e especficos, pois sero a base de toda a poltica de segu-rana. Eles devem ser analisados em profundidade, porque diferen-tes sistemas podem ter requisitos de segurana distintos dentro deuma mesma organizao;

- poltica de segurana , que estabelece as regras de segurana daorganizao. Basicamente, expressa em um documento que defineos comportamentos desejveis dos sistemas e usurios de TI de umaorganizao. Quando o sistema opera de acordo com a poltica,pode-se dizer que o sistema seguro (caso contrrio, no, emedidas devem ser tomadas para se corrigir a situao);

- mecanismos de segurana : garantem que a poltica de seguranaser seguida dentro da organizao. Estes mecanismos podem sertcnicos, como a utilizao de firewalls , ou burocrticos, comopenalidades queles que desobedecerem a uma determinada regra.O importante que esses mecanismos, unidos, sejam vistos comouma poltica de segurana a ser aplicada em toda a organizao; e

- avaliaes de segurana : consistem em certificar-se de que osrequisitos, polticas e mecanismos de segurana existentes estosendo seguidos e ainda se encontram de acordo com as necessi-dades do negcio, gerando informaes para alteraes, quando foro caso.

Alm dos problemas de natureza humana, com as pessoasfrequentemente negligenciando aspectos relativos segurana, por

consider-los pouco importantes e geradores de custos e de trabalhosadicionais, h que se lembrar que, no caso de sistemas de informaesbaseados em computadores, h aspectos peculiares a serem conside-rados, dentre os quais o fato desses sistemas serem, como diz Schneier(2001):

- complexos: pois possuem diversos componentes internos, cujarelao poucas vezes inteiramente conhecida, ou seja, uma falhaem um destes componentes pode gerar resultados inesperados emoutro;

- interativos: os sistemas se relacionam entre si, o que aumenta ainda

mais sua complexidade e torna pouco eficaz a verificao isolada deum nico sistema;- emergentes: devido interatividade, os sistemas assumem carac-

tersticas no projetadas originalmente, adquirindo novas funciona-lidades, como por exemplo, as capacidades de multimdia integradas Internet; e, principalmente,

- falveis: os sistemas usualmente possuem falhas de concepo,projeto e construo, e muitas destas acabam por causar ameaasde segurana. A correo destas falhas deve levar em consideraoos fatores anteriormente descritos, o que torna esse processo aindamais complexo.


8/17


Esses aspectos mostram o quanto difcil administrar o assuntosegurana da informao , e que garantir 100% de segurana em qualquersistema uma tarefa rdua, quase impossvel, pois a segurana envolvetantos aspectos que por mais que se adotem meios de defesa, aindaexistiro vulnerabilidades impedindo que o sistema seja totalmenteseguro.

Assim sendo, pode-se dizer que a busca pela segurana de TI , naprtica, o gerenciamento do risco representado pela perda, indisponibi-lidade temporria ou mau uso da informao (WINKLER, 2007). Gerencia- mento de risco , segundo Kerzner (2003), pode ser entendido como o atode lidar com o risco. Inclui atividades como avaliar a probabilidade daocorrncia de sinistros, desenvolver estratgias para lidar com o risco emonitorar os riscos para determinar como eles evoluem.

Observa-se ento que para o processo de segurana ser eficiente,deve ser acompanhado de perto pela alta administrao da organizao.Afinal, so os interesses maiores do negcio que devem ditar as reaisnecessidades e prioridades da segurana. A fim de obter a devida atenodos altos nveis da organizao, deve-se criar um modelo de gesto quedeixe clara a necessidade do acompanhamento desse processo em todosos nveis, e uma boa maneira para se chegar a tal modelo por meio dagovernana de TI.

3.2 GOVERNANA DE TIDe acordo com Weill e Ross (2006, p. 2), a governana de TI pode ser

considerada a especificao dos direitos decisrios e do framework deresponsabilidades para estimular comportamentos desejveis na utilizaoda TI. Dentre esses direitos decisrios esto os relativos ao papelestratgico que a TI exerce no ambiente de negcios, a arquiteturaadequada, a infraestrutura, os processos operacionais, os investimentosetc.

Esses mesmos autores lembram que os ativos de TI esto entre osprincipais ativos de uma organizao, devendo por essa razo ser objetode especial ateno no contexto da governana corporativa, para quepossam criar valor para a organizao.

Para que se crie valor, deve-se procurar minimizar as possibilidadesde ocorrncia de falhas que gerem riscos no ambiente de TI. Uma dasformas de se fazer isso pela utilizao da disciplina gerenciamento de segurana , que est contida na ITIL, que um dos mais utilizadosframeworks para implementao da governana de TI, como j se disse(RUDD, 2004).

3.3 ITILA biblioteca ITIL foi desenvolvida por rgos do governo britnico no

final da dcada de 1980 e tem como foco principal a operao e a gestoda infraestrutura de TI na organizao, incluindo todos os pontos impor-tantes no fornecimento dos servios prestados pela rea (OGC, 2004).


9/17


A ITIL descreve os processos que so necessrios para dar suporteadequado utilizao e ao gerenciamento da infraestrutura de TI, levandoem conta tambm os custos envolvidos, de forma que se possa percebercomo estes trazem valor estratgico ao negcio. Em meados de 2007, foilanada sua verso 3.0, composta por cinco livros, cujo contedo basicamente o que se segue:

- Estratgia de servios: esse livro aborda principalmente as estrat-gias, polticas e restries sobre os servios. Inclui tambm temascomo implementao, redes de valor, portflio de servios, geren-ciamento, gesto financeira e ROI ( return on investment - retornodo investimento);

- Design de servios: nesse livro so tratadas polticas, planejamentoe implementao. baseado nos cinco aspectos principais dedesign de servios: disponibilidade, capacidade, continuidade,gerenciamento de nvel de servio e outsourcing . Tambm estopresentes informaes sobre gerenciamento de fornecedores e desegurana da informao;

- Transio de servios: apresenta conceitos sobre o sistema degerenciamento do conhecimento dos servios. Tambm abordamudanas, riscos e garantia de qualidade. Os processos tratados,entre outros, so planejamento e suporte, gerenciamento demudanas, gerenciamento de ativos e configuraes;

- Operaes de servios: operaes cotidianas de suporte o foco

desse livro, que trata do gerenciamento deservice desk

, requisi-es de servios, gerenciamento de incidentes e de problemas,etc.;

- Melhoria contnua de servios: a nfase do livro est no cicloplanejar, fazer, verificar e agir, de forma a buscar a melhoriacontnua dos processos detalhados nos quatro livros anteriores,visando a aprimorar os servios prestados aos clientes e usurios.

Com o lanamento da verso 3.0, procurou-se eliminar redundnciasencontradas nos diversos livros, tornando mais clara e forte a ligaoentre as melhores prticas e os benefcios para o negcio. Essa verso

tem uma abordagem baseada no ciclo de vida, ao contrrio da abordagembaseada em setores de entrega da verso anterior.Apesar de j haver sido lanada a verso 3.0, a organizao que foi

objeto desta pesquisa ainda utiliza a verso 2, que composta por setelivros, a saber:

- Suporte a servios: abrange os processos voltados ao suporte dodia-a-dia e s atividades para a sua manuteno;

- Entrega de servios: voltado aos processos de planejamento eentrega dos servios de TI, preocupando-se em garantir um altonvel de qualidade a esses servios;


10/17


- Planejamento para implementar o gerenciamento de servios de TI: especifica os passos necessrios para identificar como umaorganizao pode alcanar e usufruir os benefcios da ITIL;

- Gerenciamento da infraestrutura de TI e telecomunicaes: abordaos processos, organizao e ferramentas necessrios ao forneci-mento de uma infraestrutura estvel de TI e comunicaes;

- Gerenciamento de aplicaes: um guia para o gerenciamento dasaplicaes partindo das necessidades do negcio, passando portodos os estgios do ciclo de vida de uma aplicao. Este processod nfase a assegurar que os projetos de TI e as estratgiasestejam corretamente alinhados com o ciclo de vida da aplicao,garantindo que o negcio consiga obter o retorno do valor inves-tido;

- Perspectiva de negcios: auxilia os responsveis por TI a entende-rem como podem contribuir da melhor forma para os objetivos donegcio da organizao, alm de demonstrar como as suas funese servios podem ser alinhados e aproveitados na organizao; e

- Gerenciamento de segurana: este livro, foco deste trabalho, deta-lha o processo de planejamento e gerenciamento da segurana dainformao e servios em TI.

Em virtude do advento da verso 3.0, que tende a substituir a verso2, ser considerado aqui apenas o livro que discute o gerenciamento dasegurana, por ainda estar em uso na organizao.

Segundo o OGC (2004), o gerenciamento de segurana umadisciplina que gerencia o nvel de segurana da informao definido sobreos servios de TI. Ele o responsvel por manter o controle sobre ospossveis incidentes de segurana que possam vir a causar danos emtermos de confidencialidade, integridade e disponibilidade da informao,medindo o seu risco e impacto sobre o negcio. Essa disciplina tem origemem uma norma britnica para gesto de segurana de informao, aBS7799, criada em 1995 e que evoluiu at 1999, quando se transformouna norma ISO/IEC 17799:2000.

O gerenciamento de segurana interage continuamente com asdiversas disciplinas da ITIL, em todos os nveis organizacionais (estrat-gico, ttico e operacional), como ilustrado na Figura 1 (OGC, 2004). Emtermos de ambiente de TI, diz-se geralmente que o gerenciamento de segurana usualmente est posicionado no nvel ttico, nos termosusualmente utilizados em que se considera terem as organizaes trsnveis: estratgico, ttico e operacional.


11/17


Figura 1 Gerenciamento de Segurana e a dependncia entre as disciplinasFonte: OGC (2004)

No nvel estratgico, o gerenciamento de segurana se compromete afornecer as informaes necessrias para o entendimento da alta adminis-trao a respeito das atividades relacionadas segurana de informaonecessria aos negcios: novas polticas de segurana, seu grau deimportncia e definio das medidas sero tomadas para conter o risco deuma eventual perda de informao, relacionada a incidentes de seguran-a, caso o risco esteja definido dentro de uma poltica (OGC, 2004).

No nvel ttico, o gerenciamento de segurana se baseia em Acordosdo Nvel de Servio (SLA Service Level Agreements ) celebrados entre area de TI e as reas clientes. Em funo dos nveis acordados, socriados planos de segurana e definidas as polticas necessrias parasuportar a demanda de informao gerada pelo negcio.

No nvel operacional so aplicadas as polticas definidas no nvelttico. Isto assegura o gerenciamento operacional sobre os recursos de TI(OGC, 2004).

O OGC (2004) divide os requisitos de segurana em dois grandesgrupos: requisitos externos (aqueles derivados de contratos, legislao eoutros fatores externos organizao) e requisitos internos (relacionadosaos acordos de nvel de servio celebrados com os gestores dos sistemas).

Esses requisitos levam gerao de planos de segurana, que, deacordo com ITIL, so documentos gerados pelo gerente de segurana.Esses documentos devem conter a situao atual da organizao, metasespecficas a serem cumpridas e a situao almejada no futuro. Definemainda as prioridades para o bom andamento dos negcios, seus respon-sveis e demais envolvidos, alm dos desafios e de como contorn-los, afim de manter o nvel de servio em um padro aceitvel.

A Figura 2, adaptada de OGC (2004) mostra de forma esquemticacomo a ITIL v o processo de gerenciamento de segurana :


12/17


Figura 2 - Processo de Gerenciamento de SeguranaFonte: adaptado de OGC (2004)

De maneira resumida, as atividades que compem esse processopodem ser descritas como se segue:

- Planejar : busca garantir que o nvel de segurana foi estabelecido e

definido em conjunto com o cliente, de forma a atender as suasexpectativas. Aqui tambm so definidos polticas, regras, medidase manuais de segurana para orientar os envolvidos;

- Implementar : esta atividade tem como objetivo por em prtica asaes planejadas anteriormente;

- Avaliar : compreende a realizao de auditorias internas e externasno ambiente, revisando polticas e medidas de segurana, com oobjetivo de descobrir se esto sendo aplicadas corretamente. Estaatividade garante que o ambiente no foi modificado, permitindocontinuar a cumprir os acordos de SLA pr-estabelecidos. Asameaas identificadas sero reportadas e analisadas, visando aevit-las ou minimiz-las;

- Manter : esta atividade atualiza os acordos de SLA e as medidas eplanos de segurana existentes, melhorando-os para que possamgarantir a manuteno e melhoria de qualidade;

- Controlar : a atividade integradora, que garante que o que foiplanejado ser executado;

- Relatar : esta atividade de grande importncia para os usurios,pois os mantm informados sobre a situao do ambiente de

segurana de TI. Baseia-se principalmente nos resultados dasauditorias e nos indicadores de desempenho do ambiente.


13/17


O processo de gerenciamento de segurana comea pelo contato como cliente, quando se elabora o SLA e se definem suas necessidades. Oprocesso se repete em um ciclo de retroalimentao e tem como objetivorevisar as polticas e planos de segurana a fim de encontrar seus pontosfracos e detectar mudanas no ambiente que possam trazer ameaas segurana.

De acordo com Tipton e Krause (2008), este processo pode sercomparado com o Crculo da Qualidade de Deming, que tem comoatividades planejar, fazer, verificar e agir, sempre com a finalidade deaperfeioar o processo, garantindo uma melhora na qualidade do serviofornecido.

4444 APRESENTAO DO CASOAPRESENTAO DO CASOAPRESENTAO DO CASOAPRESENTAO DO CASO

A organizao objeto desta pesquisa a operao brasileira de umaindstria automobilstica, uma montadora de grande porte de origemestrangeira, com mais de 250 mil empregados no mundo. Sua primeirafbrica no Brasil foi aberta em 1930.

Sua rea de TI no Brasil conta com cerca de 50 empregados diretos ecerca de 2.500 terceirizados. Os empregados diretos ocupam cargos degerncia e auditoria. Os gerentes usualmente so considerados pontosfocais - ou clientes - dos prestadores de servios terceirizados e estodistribudos de acordo com as linhas de servio da rea de TI, comomanufatura, sistemas de negcio, redes lgica e fsica, correio eletrnico

etc. Os auditores esto organizados de forma similar, sendo o foco de seutrabalho a verificao do trabalho executado pelos prestadores de serviode TI.

A organizao adotou ITIL por considerar este um padro interna-cional de boas prticas consagrado e por ter conseguido trazer os retornosesperados em diversas outras organizaes. O processo de implantaoiniciou-se h cerca de dez anos. Primeiramente foi implementada adisciplina central de servios e incidentes, e a seguir gerenciamento deproblemas, mudanas, configurao, liberao etc. O processo foi condu-zido por uma prestadora de servios na rea de TI, uma empresa de

grande porte com forte presena no cenrio internacional.No incio da implantao de ITIL, houve alguns problemas relaciona-dos adaptao dos usurios e equipes de TI aos novos processos. Hojeesses problemas esto resolvidos e a maioria dos usurios tem acompreenso de como funcionam os processos da rea de TI.

Atualmente, a organizao se utiliza de ferramentas de software adquiridas no mercado ou desenvolvidas internamente para a operacio-nalizao das disciplinas da ITIL. Dentre estas, pode-se citar ferramentaspara controle de incidentes, itens de configurao, problemas, mudanasetc. O uso dessas ferramentas permite a obteno de relatrios concisos erelevantes, que informam de forma concreta a situao da rea de TI,apoiando assim o processo de tomada de deciso por parte da alta


14/17


administrao, alm de decises no nvel ttico. O contedo dessesrelatrios foi definido pela organizao, com o apoio da prestadora deservios que atua no processo de implementao. Cabe registrar que seapurou que a alta administrao considera os ativos de TI comoestratgicos para o seu sucesso, tomando decises de investimentosbaseadas principalmente no retorno que ser proporcionado por estes.

Antes da implementao de ITIL, os procedimentos de seguranautilizados eram dispersos e no padronizados, distribudos entre asdiversas linhas de servios e regies geogrficas em que esto situadas asdependncias da organizao. A necessidade de padronizao e aimportncia de se gerenciar estes procedimentos levaram adoo deITIL. A organizao ainda no concluiu a instalao do gerenciamento de segurana centralizado, sendo este distribudo de acordo com as linhas deservio de TI da empresa, embora seus processos j apresentem certo

grau de integrao.O gerenciamento de segurana atua de forma a balizar os processos

das demais disciplinas, mais especificamente gerenciamento de mudanas, de incidentes, de problemas e liberao. Sempre que um novorequisito de negcio determinado, analisado sob a tica do gerenciamento de segurana . Um exemplo disso: sempre que h necessidadede mudana de software ou hardware , o gerenciamento de liberao repassa essa necessidade ao gerenciamento de segurana , ondeespecialistas verificam a melhor forma de liberar essas novas verses aosusurios. As mudanas ento so documentadas, de forma a se

estabelecer um processo para a sua implantao em toda a organizao e,a partir de ento, so criados os registros de mudanas delas derivados.Os incidentes de segurana so relatados a uma central de servios,

que resolve os casos mais simples. Os demais so encaminhados sequipes de especialistas que discutem a melhor forma para solucionar oproblema, buscando minimizar o impacto sobre os usurios.

A organizao possui mtricas especficas para se determinar rapida-mente o impacto de incidentes de segurana, que levam em consideraoo tempo de parada, a criticidade do sistema, o nmero de usuriosafetados etc. O clculo deste impacto varia de acordo com a linha deservios de TI (no jargo da organizao, a expresso linha de serviossignifica o conjunto de servios prestados a uma de suas reas).

Desde o momento em que um incidente comunicado, este registrado em um sistema prprio, o que tambm ocorre com todas asprovidncias tomadas at que a ocorrncia esteja solucionada e validadapelo usurio para seu encerramento (anlise end-to-end ). Depois deencerrado seu tratamento, o incidente continua registrado no sistema,pois com essa informao so definidos possveis pontos de melhoria nosprocessos e geradas mtricas de desempenho da rea de TI para aorganizao.

A organizao procura evitar incidentes de segurana tomando medi-das pr-ativas de verificao de segurana nos procedimentos adotados


15/17


no ambiente, o que envolve verificar se esses procedimentos podem, dealguma forma, constituir ameaa organizao. Os incidentes tambmso evitados por meio da constante atualizao dos sistemas operacionais,antivrus e demais ferramentas de software, de acordo com o estabelecidopelos seus fornecedores. Reativamente, a organizao se utiliza de liesaprendidas com incidentes passados, tomando as devidas medidas paraque no voltem a ocorrer.

Na organizao, os requisitos de segurana so aplicados por meio deplanos de segurana, que variam de acordo com a linha de servios de TI.Esses planos agregam valor aos servios prestados pela rea de TI daorganizao, pois por meio deles se assegura que os usurios de umadeterminada linha recebam um servio padronizado e que tenham acompreenso de como utilizar seus recursos da melhor forma.

Os planos so vistos na prtica como regulamentaes de uso deativos de TI, normas internas para gerenciamento do ambiente, programasde conscientizao de funcionrios para as polticas da organizao e atmesmo como regras para a aplicao de sanes para os infratores.

Para criar os planos de segurana, os gerentes de TI de uma determi-nada linha de servios partem de uma necessidade pontual para asegurana dos ativos de TI, verificando junto s equipes responsveis osmeios, tecnolgicos ou no, que possam ser empregados para esse fim.Essas mesmas equipes ajudam a avaliar o impacto dessas medidas noambiente e, concluda a anlise, colocam as medidas em prtica. Depoisde o plano ser colocado em prtica, ele revisado periodicamente paraque se possa avaliar sua eficcia e, caso necessrio, so propostas mu-danas com a finalidade de melhor atender s necessidades do negcio.

Dentre essas equipes de apoio, pode-se ressaltar as equipes dasprestadoras de servios como conselheiras em tecnologia e as equipes derecursos humanos e da gerncia das reas interessadas como conselhei-ros no tecnolgicos.

Os planos contm as medidas a serem adotadas, o que se espera comsua adoo, a forma de medio da sua eficcia e quem responsvel porprover essas mtricas. O ambiente auditado externa e internamente aomenos uma vez por ano, sendo que alguns sistemas mais crticos soauditados mais frequentemente.

A organizao no possui uma rea especfica para o gerenciamentode risco, deixando aos gerentes de TI a responsabilidade pelos riscos desuas respectivas linhas de servio, o que torna a organizao de algumamaneira ciente dos riscos a que est sujeita. A postura da organizaoperante os riscos , de certa forma, conservadora, preferindo evitar riscossempre que possvel, embora essa postura mude de acordo com a linha deservios de TI.

Como no existe o gerenciamento de risco formal, no existe um

registro dos riscos de TI, este sendo substitudo pela base de dados deincidentes em uso pela organizao, de onde so retiradas informaespara a preveno de incidentes futuros.


16/17


Com a inexistncia do registro de riscos, a anlise de riscos tambmocorre de forma relativamente informal, baseando-se quase que totalmen-te na vivncia dos prestadores de servio mais experientes, que conhe-cem o ambiente de forma a antecipar as possveis ameaas facilmente.

5555 CONSIDERAESCONSIDERAESCONSIDERAESCONSIDERAES FINAISFINAISFINAISFINAIS

Apresentados os procedimentos adotados pela organizao, conclui-se agora com uma comparao entre estes e os processos de seguranarecomendados por ITIL.

Verifica-se que a rea de TI da organizao realmente leva emconsiderao os objetivos do negcio para definir como melhor utilizarseus recursos. Esse alinhamento entre TI e o negcio confirmado pelapercepo dos entrevistados no sentido de que a alta administrao temconfiana nas informaes geradas pela rea atravs dos processos ITIL.

Percebe-se que a ITIL serve de sustentao para os processos desegurana utilizados pela organizao, embora diferenas entre o prescri-to e o adotado no mbito do gerenciamento de segurana sejam notadas.Dentre essas diferenas, destacam-se a falta de papis mais claros para agerncia de segurana e a descentralizao dos processos de gerencia-mento de segurana, que resultam em polticas no totalmente padroniza-das.

No que se refere ao processo de elaborao de planos de segurana,conclui-se que a organizao adota algumas das prticas ITIL, pois nota-seo envolvimento consciente de seus membros durante o desenvolvimentodestes planos, bem como a retroalimentao do processo com o intuito deincrementar sua qualidade.

Com relao ao gerenciamento de riscos, fica claro que h aindamuito a se fazer para que os riscos sejam enfrentados de forma eficiente,embora essa necessidade seja aplacada em parte pelos processos dogerenciamento de segurana.

Pode-se concluir tambm que o ambiente estudado no est total-mente de acordo com o proposto por ITIL, que em teoria foi a base de suaestruturao. Os envolvidos tm a percepo de que as necessidades donegcio so atendidas, embora a situao ainda possa ser melhorada.

Para melhoria, sugere-se que o processo de gerenciamento de segu-rana na organizao seja centralizado e formalizado, assumindo os pode-res e responsabilidades necessrios a um gerenciamento de seguranaeficiente.

Ainda necessrio um gerenciamento de risco formal, estabelecendoresponsabilidades e delegando autoridade suficiente para que se possalidar com os riscos de forma mais eficaz, pois somente com esta formali-zao a organizao poder compreender e lidar adequadamente com os

riscos a que est sujeita.


17/17


Para trabalhos futuros a respeito do gerenciamento de segurana emITIL, sugere-se um estudo comparativo entre as verses 2 (antiga) e 3(atual), com foco nas vantagens da nova verso sobre a antiga, bem comoem eventuais dificuldades para a migrao para a verso 3. Acredita-seque esse estudo possa gerar conhecimentos teis aos que venham a atuarem processo de migrao da verso 2 para a verso 3.

REFERREFERREFERREFERNCIASNCIASNCIASNCIAS

BISHOP, Matt. What is computer security? IEEE Security & Privacy, LosAlamitos, v. 1, n. 1, p. 67-69, Jan./Feb. 2003.BLOEM, Jaap; VAN DOORN, Menno; MITTAL, Piyush.Making IT Governance work in a Sarbanes-Oxley world .... Hoboken: John Wiley & Sons, 2006.KERZNER, Harold.Project Management: a systems approach to planning,scheduling, and controlling . Hoboken: John Wiley & Sons, 2003.MALHOTRA, Naresh K.Pesquisa de marketing: uma orientao aplicada . Porto Alegre: Bookman, 2008.MATTAR, Fauze N. Pesquisa de marketing. So Paulo: Atlas, 2001.MILES, Matthew B. Qualitative data as an attractive nuisance: the problemof analysis. Administrative Science Quarterly, Ithaca, v. 24, n. 4, p. 590-601, Dec. 1979.MILES, Matthew B; HUBERMAN,,,, A. Michael. Qualitative data analysis: an

expanded sourcebook.

Thousand Oaks: Sage, 1994.OGC.... ITIL Security Management. Londres: The Stationary Office, v. 1.0, 2004.RUDD, Colin. An introductory overview of ITIL. Webbs Court (UK): iTSMF,2004. Disponvel em http://www.paradigm-itsm.com/documents/ITIL

_Overview_Book-itSMF.pdf. Acesso em: 27/06/2008.SCHNEIER, Bruce.Segurana.com: segredos e mentiras sobre a proteona vida digital . Rio de Janeiro: Campus, 2001.SELLTIZ, Claire; WRINGHTSMAN, Lawrence S.; COOK, Stuart.Mtodos de pesquisa nas relaes sociais: delineamento de pesquisa . So Paulo: EPU,

1987. TIPTON, Harold F.; KRAUSE, Micki.Information Security Management Handbook. 6. ed., vol. 2. Boca Raton: Auerbach, 2008.WEILL, Peter; ROSS, Jeanne W. Governana de TI: tecnologia da informao. So Paulo: Makron Books, 2006.WINKLER, Ira.Zen and the art of information security. Rockland: Syngress,2007.

YIN, Robert.K.Estudo de caso planejamento e mtodos. Porto Alegre:Bookman, 2005.

Seguranca Itil

Documents

Transcript of Seguranca Itil