Professional Documents
Culture Documents
RESUMO
ABSTRACT
This article points out clearly the issues related to information security present 'within' the
framework of ITIL, used as a reference of good IT practices. Based on technical
publications and scientific articles, this study seeks to find within the ITIL methodology of
items that allow the integration of this criteria for information security. When it is found
the relationship between the model and these safety criteria, it begins the description of the
specific processes that act directly on the model with criteria for information security and
how this is defined. At the end, it has resulted in the appointment of the overall model fit
these criteria, such as meeting the needs of the business, allowing the methodology to be
used in the agreement and in conjunction with standards and security standards, in
addition to the finding of concern of the model in relation to business objectives and the
importance of correct application.
1. INTRODUO
1
Rodrigo Carvalho Losina Tcnico em eletrnica pelo SENAI Chapec (2008). Bacharel em Sistemas de
Informao pela Universidade Comunitria da Regio de Chapec UNOCHAPEC (2011). Ps-graduando
em Segurana da Informao pela Unidade Central de Educao FAEM Faculdades UCEFF Faculdades
(2011 -). Colaborado do SENAI Chapec como especialista em informtica. Colaborador do SENAC
Chapec com orientador de curso. Colaborador da Unidade Central de Educao FAEM Faculdades
UCEFF Faculdades como professor de ensino superior. rodrigo.losina@gmail.com
2
auxiliar a gesto interna da rea, bem como a integrao dessa com as demais reas de uma
organizao.
Nesse contexto, a Information Technology Infrastructure Library (ITIL - Biblioteca
de Infraestrutura de Tecnologia da Informao) surge como uma das metodologias de
gesto de TI mais aplicadas por organizaes em todo o mundo, trazendo exemplos de
boas prticas aplicadas nas mais diversas situaes e contextos.
Muito desta responsabilidade atribuda a TI se relaciona relevncia que as
informaes passaram a ter em relao aos negcios das organizaes, em que alm de
tratar, armazenar e disponibilizar estes dados, a TI passa a ter uma preocupao muito
grande com a segurana destas informaes. Sendo importante o alinhamento estratgico
da gesto de TI em conformidade com estes aspectos relacionados segurana da rea.
Como j mencionado, a segurana da informao se apresenta hoje como uma das
reas de maior preocupao dentro das organizaes, principalmente pelo elevado valor
que as informaes e conhecimento trazem para as mesmas. Esta realidade no diferente
dentro da TI, grande responsvel pelo armazenamento e tratamento dessas informaes.
Estas tarefas demandam grandes cuidados em todos os processos dentro da
organizao, com isso o setor de TI deve ser focado em atender e prover ferramentas para a
execuo destes processos e tambm assegurar, principalmente, a integridade,
confidencialidade e disponibilidade das informaes; essas representam os trs pilares
bsicos para garantia da segurana das informaes.
Alinhado a essas preocupaes, o setor de TI surge como grande prestador de
servio dentro da organizao, trazendo com isso preocupaes em relao qualidade de
suas atividades. Como j citado, para auxiliar as atividades, podem ser utilizados
frameworks que fornecem mtodos e prticas adequadas para realizao das mesmas.
Dentro deste contexto temos a ITIL, que, assim como o Control Objectives for Information
and Related Technology (COBIT Objetivo de Controle para Tecnologia da Informao e
reas Relacionadas) e a International Organization for Standardization (ISO -
Organizao Internacional para Padronizao), apresenta-se como referncia no mercado.
Esses padres servem de referncia para a rea de TI e trazem questes relevantes quanto
segurana da informao, que em alguns casos no so observadas devido falta de
conhecimento sobre as mesmas ou por causa da preocupao focada apenas no contexto
geral destes frameworks.
A utilizao desses framworks citados ou de outros que norteiem as atividades de
TI uma realidade em boa parte das organizaes. Esses servem como referncia para
atuao da rea de TI com qualidade e foco na prestao de servios a seus
clientes/usurios. Alinhando esse fato realidade das preocupaes com a segurana das
informaes que trafegam pelas estruturas fornecidas pela TI, torna-se necessrio a
adequao destes cuidados s boas prticas elencadas por essas ferramentas de gesto.
A ITIL, como grande referncia de boas prticas de gesto e atuao de TI adotada
pelo mundo, traz em sua coleo detalhes sobre aspectos da segurana da informao na
atuao da TI na organizao que podem ser aplicados em pleno acordo com normas
especficas como, por exemplo, a ISO 27000, como tambm fornecer um alicerce slido
para a TI em toda a sua atuao e com a devida preocupao em todos os aspectos
necessrios para tal.
Com base no contexto apresentado at o momento, so levantadas algumas
hipteses para a execuo de um estudo, referente aplicao de critrios relacionados
segurana da informao por parte da ITIL. Essas Hipteses buscam demonstrar ento que
este framework tem em sua estrutura preocupaes em relao segurana da informao,
alm de elencar algumas das boas apresentadas pelo modelo.
3
2. FUNDAMENTAO TERICA
Segundo Ramos (2008) ainda deve-se observar que a segurana da informao traz
consigo alguns fatores crticos. A anlise destes pontos permite que a aplicao de praticas
de segurana atenda tambm a realidade de investimento financeiro para das
organizaes.
4
2.2. ITIL
ITIL apresentado como uma boa prtica (literalmente: mtodo correto). Isto
uma abordagem ou mtodo que prov a si prprio na prtica. Estas boas prticas
pode ser uma bagagem slida para a organizao que quer melhorar seus
servios de TI. (SILVA, 2008).
Tendo em vista o contexto atual da TI, a ITIL busca incluir e prover novos
caminhos para auxiliar o desenvolvimento das atividades de TI como tambm o
gerenciamento de servios, no s com base nos processos, mas tambm no ciclo de vida
do servio (SILVA, 2008).
Em sua publicao, Silva (2008) traz alguns conceitos utilizados pela ITIL:
7
Boas prticas: a ITIL apresentada como uma boa prtica, ou seja, uma abordagem
que prov a si prpria na prtica. Pode ser uma bagagem slida para a organizao
que quer melhorar seus servios de TI;
Servio: de acordo com a ITIL Um servio um meio de entregar valor para o
cliente atravs da facilitao de resultados que os clientes desejam obter sem
incorrer em especficos custos ou riscos;
Valor: um ncleo no conceito de servio e consiste em dois componentes
principais: utilidade (o que o cliente recebe) e garantia (como ele provido);
Gerenciamento de Servio: segundo a ITIL Gerenciamento de Servios um
conjunto de capacidades de uma organizao especializada em prover valor para
clientes na forma de servios.;
Sistemas: segundo a ITIL Um sistema um grupo de interativo, inter-relacionados
ou interdependentes componentes que forma um todo, operando junto para uma
finalidade comum.;
Funo: uma subdiviso da organizao especializada em preencher um
especfico tipo de trabalho e responsvel por um resultado especfico.
Processo: um conjunto estruturado de atividades projetadas para obteno de um
objetivo especfico.
Para melhor entender o que a ITIL e o que ela prope, necessrio conhecer a
estrutura do modelo que ser apresentado na sequncia.
- Gerenciamento de Fornecedor
- Gerenciamento de Mudanas
- Gerenciamento da Configurao e de
Ativos de Servios
- Gerenciamento da Liberao e
Transio de Servio
Implantao
- Validao e Testes de Servio
- Avaliao
- Gerenciamento do Conhecimento
- Gerenciamento de Evento
- Central de Servio
- Gerenciamento de Incidente
- Gerenciamento Tcnico
- Gerenciamento de Requisitos
Operao de Servio - Gerenciamento das Operaes
- Gerenciamento de Problema
de TI
- Gerenciamento de Acesso
- Gerenciamento de Aplicativo
Melhoria de Servio - Relatrio de Servio
Continuada - Medio de Servio
Tabela 1 - Processos e Funes da ITIL V3
Fonte: Fernandez, Abreu, 2008.
Como antes mencionado, as etapas ou fases do ciclo de vida do servio se
relacionam, o que ocorre da seguinte forma: a Estratgia de Servio o ponto central do
ciclo de vida e define polticas e os objetivos do servio. Desenho, Transio e Operao
de Servio implementam a estratgia, ajustam e mudam a continuidade do tema. A fase de
Melhorias Constantes de Servios define o aprendizado e melhoria e acompanha as demais
fases do processo. Inicia programas e projetos de melhoria e os prioriza com base nos
objetivos estratgicos da organizao (SILVA, 2008).
A ITIL como metodologia desenvolvida para auxlio na gesto de TI, que tem como
base a anlise, aplicao, avaliao e modificao de servios, de certa forma, engloba em
toda a sua estrutura aspectos que podem ser vinculados a estratgias e prticas voltadas
segurana da informao (LUNA, 2010).
A tabela 2 exemplifica tal afirmao, pois demonstra, de forma sucinta, uma
relao direta das fases do ciclo de vida do servio com sees presentes na norma
ISO/IEC 27002 - Cdigo de Prtica para a Gesto de Segurana da Informao, que
objetiva estabelecer diretrizes e princpios gerais para iniciar, implementar, manter e
melhorar a gesto de segurana da informao em uma organizao (ABNT, 2007).
responder de forma rpida e eficiente quando necessrio, para tal deve ser testado
regularmente e alterado caso no atenda mais realidade da organizao. Acima de tudo
dever estar plenamente alinhado s necessidades de continuidade de negcio da
organizao (SILVA, 2008).
4. CONSIDERAES FINAIS
REFERNCIAS
OLIVEIRA, Raphael Baptista de; FIGUEIREDO, Rodrigo Terra de; SILVA, Verandir
Araujo da; SILVA, Edilberto Magalhes. Proposta de plano de administrao de crise
para FACSENAC: Aplicao dos conceitos de segurana da informao do COMIT 4.1 e
do ITIL V3. Braslia: Senac, 2011.
RAMOS, Anderson (Org.). Security Office: Guia Oficial Para Formao de Gestores
em Segurana da Informao. 2 Edio. Porto Alegre: Zouk, 2008.
SILVA, Roberto Ricardo da. Curso ITIL Foundation v3. s.l.: 2008. s.d., 177 p.