Itil e Segurança da Informação

ITIL busca assegurar que uma segurança da informação efetiva está implantada nos 3 níveis, estratégico, tático e operacional.  Segurança da Informação é um processo iterativo que precisa ser planejado, controlado, avaliado e revisado regularmente.

ITIL quebra Segurança da Informação em:

• Políticas: indica os objetivos gerais que a organização pretende atingir;
• Processos: o que precisa ser feito para os objetivos serem atingidos;
• Procedimentos: descreve quem faz o que e quando para que os objetivos sejam atingidos
• Instruções de Trabalho: passo-a-passo para executar ações específicas.

Uma dica interessante que li uma vez sobre como diferenciar procedimentos de instruções de trabalho é a seguinte: Quando te perguntam o que você está fazendo, você responde naturalmente com o procedimento.  Exemplo: você está na frente de uma máquina copiadora, com um papel na mão e alguém te pergunta o que você vai fazer, você vai naturalmente responder: “vou fazer uma cópia”.  Isso é um procedimento.

Mas, para executar esse procedimento, você precisa colocar o papel original na copiadora, indicar quantas cópias quer, garantir que tenha papel branco na máquina, ligar a cópia.  Todos esses passos são instruções de trabalho.

ITIL define Segurança da Informação como um processo cíclico com revisão contínua e melhorias incrementais, como ilustrado na figura abaixo:

Service level agreements

SLA é uma das partes principais do processo de Segurança da Informação de ITIL, assim como de todo o gerenciamento de serviços de TI como definido por ITIL.  O SLA é um acordo formal e escrito, que define o nível de serviço, incluindo a segurança da informação, que a área de TI deve prover ao seu cliente.  Um mesmo serviço pode ter vários SLA, um para cada cliente.

O SLA deve incluir todas as definições e declarações necessárias, sem deixar nada implícito, a fim de serem esclarecidos todos os pontos a serem executados e monitorados.  Deve definir também indicadores de desempenho bem como as metas a serem atingidas por esses indicadores.

O SLA também define o valor do serviço, o modo de cobrança e a forma de pagamento por parte do cliente.

Um SLA de segurança da informação típico inclui:

• Declaração do serviço a ser prestado
• Horários de funcionamento
• Métodos de acesso ao serviço
• Formas de auditar e registrar o uso (logging)
• Medidas de segurança lógicas e físicas
• Conscientização e treinamentos de segurança aos usuários
• Indicadores a serem relatados, modelos de relatórios e audiência dos mesmos
• Procedimento de autorização para acesso dos usuários

Nove modos pelos quais ITIL pode melhorar a Segurança da Informação

De vários modos distintos as recomendações de ITIL podem ajudar a melhorar a implantação e gerenciamento da segurança da informação:

• Foco em gerenciamento e atendimento dos requisitos de segurança para o serviço de TI, ditados pelos clientes.  Isso é conseguido através do alinhamento entre as necessidades dos negócios (necessidades dos clientes) e com o que a área de TI oferece de serviços.
• Modelo estruturado de implantação, gerenciamento e análise de melhoria em relação aos serviços de segurança da informação, baseado em melhores práticas aceitas pelo mercado.
• A necessidade de revisão contínua para melhoria ajuda a revisar os requerimentos e a efetividade das implantações de segurança da informação.
• Com documentos formais, como SLAs e OLAs, ITIL ajuda a medição e demonstração de efetividade da segurança da informação, com relatórios baseados em metas e indicadores.  Isso também ajuda às organizações a cumprirem com requerimentos regulatórios, como Basiléia II, SOX, etc…
• Processos auxiliares, como Gerenciamento de Muidanças, Gerenciamento de Incidentes e outros, podem ajudar a organizar melhor as intervenções e manter a segurança da informação efetiva e eficaz.
  Por exemplo, vários eventos de segurança são causados por configurações inadequadas dos servidores e equipamentos de TI. Com um processo bem ajustado de Gerencimento de Mudanças, isso pode ser evitado, aumentando a eficiência e atuação da Segurança da Informação.
• ITIL ajuda a padronizar as comunicações, principalmente com usuários e clientes (que estão fora da área de TI e de seus termos específicos), tornando a comunicação mais clara, direta e efetiva.  Toda a comunicação é baseada em requerimentos de segurança e nos itens que o serviço de TI devem respeitar (itens dos SLAs).
• O planejamento de uma política de segurança, bem como a implantação baseada em indicadores e metas ajuda a evitar implantações divergentes em serviços distintos.  Em última análise, isso aumenta a eficiência, diminui as contradições, economiza tempo e dinheiro.
• O planejamento dos relatórios gerenciais e executivos ajuda a comunicar uniformemente e no nível necessário as metas e resultados alcançados.
• ITIL define papéis e responsabilidades para a Segurança da Informação.  Durante as várias atividades, como por exemplo, a resposta a um incidente de segurança, fica claro quem deve fazer o quê.

Conclusão

Segurança da Informação é um tema cada vez mais importante e têm crescido em escopo e complexidade.  É uma área que trata constantemente com tratamento de riscos, ou seja, como evitá-los.  Normalmente é custosa em dinheiro, recursos humanos e tempo e, não raramente, é criticada por falhas e eventos de segurança que são registrados.

Embora um ciclo completo de implantação de ITIL possa demandar tempo e investimento, pode com certeza ajudar a definir, estabelecer, organizar, medir e comunicar claramente as políticas e os processos envolvidos com a Segurança da Informação.  Dessa forma pode-se conseguir maior eficiência e menor custo total envolvido nessa área.

Até a Proxima !