ITIL busca assegurar que uma segurança da informação efetiva está implantada nos 3 níveis, estratégico, tático e operacional. Segurança da Informação é um processo iterativo que precisa ser planejado, controlado, avaliado e revisado regularmente.
ITIL quebra Segurança da Informação em:
Políticas: indica os objetivos gerais que a organização pretende atingir;
Processos: o que precisa ser feito para os objetivos serem atingidos;
Procedimentos: descreve quem faz o que e quando para que os objetivos sejam atingidos
Instruções de Trabalho: passo-a-passo para executar ações específicas.
Uma dica interessante que li uma vez sobre como diferenciar procedimentos de instruções de trabalho é a seguinte: Quando te perguntam o que você está fazendo, você responde naturalmente com o procedimento. Exemplo: você está na frente de uma máquina copiadora, com um papel na mão e alguém te pergunta o que você vai fazer, você vai naturalmente responder: “vou fazer uma cópia”. Isso é um procedimento.
Mas, para executar esse procedimento, você precisa colocar o papel original na copiadora, indicar quantas cópias quer, garantir que tenha papel branco na máquina, ligar a cópia. Todos esses passos são instruções de trabalho.
ITIL define Segurança da Informação como um processo cíclico com revisão contínua e melhorias incrementais, como ilustrado na figura abaixo:
Service level agreements
SLA é uma das partes principais do processo de Segurança da Informação de ITIL, assim como de todo o gerenciamento de serviços de TI como definido por ITIL. O SLA é um acordo formal e escrito, que define o nível de serviço, incluindo a segurança da informação, que a área de TI deve prover ao seu cliente. Um mesmo serviço pode ter vários SLA, um para cada cliente.
O SLA deve incluir todas as definições e declarações necessárias, sem deixar nada implícito, a fim de serem esclarecidos todos os pontos a serem executados e monitorados. Deve definir também indicadores de desempenho bem como as metas a serem atingidas por esses indicadores.
O SLA também define o valor do serviço, o modo de cobrança e a forma de pagamento por parte do cliente.
Um SLA de segurança da informação típico inclui:
Declaração do serviço a ser prestado
Horários de funcionamento
Métodos de acesso ao serviço
Formas de auditar e registrar o uso (logging)
Medidas de segurança lógicas e físicas
Conscientização e treinamentos de segurança aos usuários
Indicadores a serem relatados, modelos de relatórios e audiência dos mesmos
Procedimento de autorização para acesso dos usuários
Nove modos pelos quais ITIL pode melhorar a Segurança da Informação
De vários modos distintos as recomendações de ITIL podem ajudar a melhorar a implantação e gerenciamento da segurança da informação:
Foco em gerenciamento e atendimento dos requisitos de segurança para o serviço de TI, ditados pelos clientes. Isso é conseguido através do alinhamento entre as necessidades dos negócios (necessidades dos clientes) e com o que a área de TI oferece de serviços.
Modelo estruturado de implantação, gerenciamento e análise de melhoria em relação aos serviços de segurança da informação, baseado em melhores práticas aceitas pelo mercado.
A necessidade de revisão contínua para melhoria ajuda a revisar os requerimentos e a efetividade das implantações de segurança da informação.
Com documentos formais, como SLAs e OLAs, ITIL ajuda a medição e demonstração de efetividade da segurança da informação, com relatórios baseados em metas e indicadores. Isso também ajuda às organizações a cumprirem com requerimentos regulatórios, como Basiléia II, SOX, etc…
Processos auxiliares, como Gerenciamento de Muidanças, Gerenciamento de Incidentes e outros, podem ajudar a organizar melhor as intervenções e manter a segurança da informação efetiva e eficaz. Por exemplo, vários eventos de segurança são causados por configurações inadequadas dos servidores e equipamentos de TI. Com um processo bem ajustado de Gerencimento de Mudanças, isso pode ser evitado, aumentando a eficiência e atuação da Segurança da Informação.
ITIL ajuda a padronizar as comunicações, principalmente com usuários e clientes (que estão fora da área de TI e de seus termos específicos), tornando a comunicação mais clara, direta e efetiva. Toda a comunicação é baseada em requerimentos de segurança e nos itens que o serviço de TI devem respeitar (itens dos SLAs).
O planejamento de uma política de segurança, bem como a implantação baseada em indicadores e metas ajuda a evitar implantações divergentes em serviços distintos. Em última análise, isso aumenta a eficiência, diminui as contradições, economiza tempo e dinheiro.
O planejamento dos relatórios gerenciais e executivos ajuda a comunicar uniformemente e no nível necessário as metas e resultados alcançados.
ITIL define papéis e responsabilidades para a Segurança da Informação. Durante as várias atividades, como por exemplo, a resposta a um incidente de segurança, fica claro quem deve fazer o quê.
Conclusão
Segurança da Informação é um tema cada vez mais importante e têm crescido em escopo e complexidade. É uma área que trata constantemente com tratamento de riscos, ou seja, como evitá-los. Normalmente é custosa em dinheiro, recursos humanos e tempo e, não raramente, é criticada por falhas e eventos de segurança que são registrados.
Embora um ciclo completo de implantação de ITIL possa demandar tempo e investimento, pode com certeza ajudar a definir, estabelecer, organizar, medir e comunicar claramente as políticas e os processos envolvidos com a Segurança da Informação. Dessa forma pode-se conseguir maior eficiência e menor custo total envolvido nessa área.
Até a Proxima !
Itil e Segurança da Informação was last modified: agosto 27th, 2012 by Evandro Ribeiro
Analista de Segurança da Informação, 7 anos de experiencia.
Graduado em redes de computadores, Pós Graduado em Segurança da Informação. MCP, ISO27002, COBIT 4.1 RISK MANAGER
1:02:36 pm
Bom site, acho que achei o que procurava.