다음을 통해 공유


ITIL - Benefícios Associados à Segurança da Informação

Introdução

ITIL (Information Technology Infrastructure Library) é um conjunto de diretrizes e boas práticas recomendadas que definem uma abordagem integrada, baseada no processo de gerenciamento de Serviços de TI.  ITIL pode ser aplicada em quase todo tipo de ambiente de TI.  Na minha opinião, ITIL pode ser aplicada em qualquer necessidade de gerenciamento de serviços, sejam de TI ou não.  Mas isso pode ser assunto de outro post…

O interesse e a adoção de ITIL tem aumentada constantemente em todo o mundo; a enorme quantidade de organizações públicas e privadas que adotaram incluem Proctor & Gamble, Microsoft, HP, Southwest Airlines, Hershey Foods e outras. Além dos benefícios frequentemente publicados de ITIL - alinhamento de TI com as necessidades dos negócios, melhoria na qualidade dos serviços de TI, diminuição dos custos de implantação e suporte de serviços de TI – um benefício aos profissionais de segurança da informação também pode ser obtido direta (por que existe um processo de Security Management) ou indiretamente.

Esse post pretende continuar uma discussão geral sobre ITIL e mostrar como isso pode ajudar às organizações na implantação e gerenciamento da segurança da informação.

Resumo de ITIL

ITIL começou na década de 1980 como uma tentativa do Governo Britânico para desenvolver uma abordagem para a utilização eficiente e econômica de seus muitos recursos de TI. Utilizando as experiências e expertise de profissionais de TI bem-sucedidos, uma agência do Governo Britânico, chamada CCTA – Central Computing and Telecommunication Agency, desenvolveu e lançou uma série de livros de práticas recomendadas, cada uma focando um processo diferente TI. Desde então, ITIL tornou-se uma indústria com organizações, ferramentas, treinamentos, serviços de consultoria, estruturas relacionadas e publicações. Atualmente em domínio público, está na sua versão 3 e continua evoluindo, baseado principalmente no itSMF (IT Service Management Forum).

Quando a maioria das pessoas discutem ITIL, referem ainda à versão 2 (que ganhou grande notoriedade no início dos anos 2000) e aos livros Service Support e Service Delivery. Estes contêm um conjunto estruturado de melhores práticas e metodologias padrão para processos operacionais, como alterar, implantar, gerenciamento de configuração, bem como incidentes, problemas, capacidade e gerenciamento de disponibilidade dos serviços de TI.

ITIL dá muita importância à qualidade do serviço e principalmente em como os serviços de TI podem ser eficientes, efetivos em custo e capazes de serem bem suportados.

Uma das principais diferenciações que ITIL faz está descrita abaixo:

  • CLIENTE: Quem paga pelo serviço e, normalmente, define o nível de serviço necessário, que se adequa ao custo do mesmo.  Logicamente, quanto maior o nível de serviço, maior o custo. Esses dois fatores estão diretamente relacionados.
  • USUÁRIO: Quem usa (consome) os serviços.  Não necessariamente é também o cliente.

Vários benefícios podem ser conseguidos através de uma implantação de gerenciamento de serviços de TI baseada em ITIL ou mesmo em MOF, que é o conjunto de melhores práticas de gerenciamento de serviços de TI para a plataforma Microsoft.  Entre eles podemos citar:

  • Os serviços de TI são melhor definidos e, consequentemente, muito mais relevantes aos clientes e usuários;
  • A qualidade e o custo dos serviços de TI são melhor gerenciados;
  • A área de TI ganha mais respeito e visibilidade devido ao melhor nível de serviço prestado aos clientes e usuários;
  • Mudanças de TI são mais facilmente gerenciadas;
  • Consegue-se criar um padrão de comunicação e escalação claramente reconhecido e respeitado por todos;
  • Procedimentos de TI são padronizados, divulgados e integrados;
  • Medições de desempenho auditáveis e demonstráveis são definidas e acompanhadas.

ITIL divide as atividades de TI em processos que possuem 3 níveis de categorias, a saber:

  1. Estratégica: Determinar os objetivos da área de TI, relacionados e suportando os  obejtivos mais amplos da organização, bem como criar um método de direcionar e acompanhar o atingimento dos objetivos.
  2. Tática: A estratégia é transposta para a estrutura organizacional apropriada e planos específicos são criados que descrevem como os processos devem ser executados, quais ativos devem ser utilizados e implantados, e quais as saídas esperadas de cada processo.
  3. Operacional: A execução dos planos táticos, com seus procedimentos claramente descritos a fim de serem repetíveis e confiáveis.

ITIL e Segurança da Informação

ITIL busca assegurar que uma segurança da informação efetiva está implantada nos 3 níveis citados acima, estratégico, tático e operacional.  Segurança da Informação é um processo iterativo que precisa ser planejado, controlado, avaliado e revisado regularmente.

ITIL quebra Segurança da Informação em:

  • Políticas: indica os objetivos gerais que a organização pretende atingir;
  • Processos: o que precisa ser feito para os objetivos serem atingidos;
  • Procedimentos: descreve quem faz o que e quando para que os objetivos sejam atingidos; e
  • Instruções de Trabalho: passo-a-passo para executar ações específicas.
Uma dica interessante que li uma vez sobre como diferenciar procedimentos de instruções de trabalho é a seguinte: Quando te perguntam o que você está fazendo, você responde naturalmente com o procedimento.  Exemplo: você está na frente de uma máquina copiadora, com um papel na mão e alguém te pergunta o que você vai fazer, você vai naturalmente responder: “vou fazer uma cópia”.  Isso é um procedimento. Mas, para executar esse procedimento, você precisa colocar o papel original na copiadora, indicar quantas cópias quer, garantir que tenha papel branco na máquina, ligar a cópia.  Todos esses passos são instruções de trabalho.

ITIL define Segurança da Informação como um processo cíclico com revisão contínua e melhorias incrementais, como ilustrado na figura abaixo:

image 

Service level agreements

SLA é uma das partes principais do processo de Segurança da Informação de ITIL, assim como de todo o gerenciamento de serviços de TI como definido por ITIL.  O SLA é um acordo formal e escrito, que define o nível de serviço, incluindo a segurança da informação, que a área de TI deve prover ao seu cliente.  Um mesmo serviço pode ter vários SLA, um para cada cliente.

O SLA deve incluir todas as definições e declarações necessárias, sem deixar nada implícito, a fim de serem esclarecidos todos os pontos a serem executados e monitorados.  Deve definir também indicadores de desempenho bem como as metas a serem atingidas por esses indicadores.

O SLA também define o valor do serviço, o modo de cobrança e a forma de pagamento por parte do cliente.

Um SLA de segurança da informação típico inclui:

  • Declaração do serviço a ser prestado
  • Horários de funcionamento
  • Métodos de acesso ao serviço
  • Formas de auditar e registrar o uso (logging)
  • Medidas de segurança lógicas e físicas
  • Conscientização e treinamentos de segurança aos usuários
  • Indicadores a serem relatados, modelos de relatórios e audiência dos mesmos
  • Procedimento de autorização para acesso dos usuários

Nove modos pelos quais ITIL pode melhorar a Segurança da Informação

De vários modos distintos as recomendações de ITIL podem ajudar a melhorar a implantação e gerenciamento da segurança da informação:

  1. Foco em gerenciamento e atendimento dos requisitos de segurança para o serviço de TI, ditados pelos clientes.  Isso é conseguido através do alinhamento entre as necessidades dos negócios (necessidades dos clientes) e com o que a área de TI oferece de serviços.
  2. Modelo estruturado de implantação, gerenciamento e análise de melhoria em relação aos serviços de segurança da informação, baseado em melhores práticas aceitas pelo mercado.
  3. A necessidade de revisão contínua para melhoria ajuda a revisar os requerimentos e a efetividade das implantações de segurança da informação.
  4. Com documentos formais, como SLAs e OLAs, ITIL ajuda a medição e demonstração de efetividade da segurança da informação, com relatórios baseados em metas e indicadores.  Isso também ajuda às organizações a cumprirem com requerimentos regulatórios, como Basiléia II, SOX, etc…
  5. Processos auxiliares, como Gerenciamento de Muidanças, Gerenciamento de Incidentes e outros, podem ajudar a organizar melhor as intervenções e manter a segurança da informação efetiva e eficaz.
    Por exemplo, vários eventos de segurança são causados por configurações inadequadas dos servidores e equipamentos de TI. Com um processo bem ajustado de Gerencimento de Mudanças, isso pode ser evitado, aumentando a eficiência e atuação da Segurança da Informação.
  6. ITIL ajuda a padronizar as comunicações, principalmente com usuários e clientes (que estão fora da área de TI e de seus termos específicos), tornando a comunicação mais clara, direta e efetiva.  Toda a comunicação é baseada em requerimentos de segurança e nos itens que o serviço de TI devem respeitar (itens dos SLAs).
  7. O planejamento de uma política de segurança, bem como a implantação baseada em indicadores e metas ajuda a evitar implantações divergentes em serviços distintos.  Em última análise, isso aumenta a eficiência, diminui as contradições, economiza tempo e dinheiro.
  8. O planejamento dos relatórios gerenciais e executivos ajuda a comunicar uniformemente e no nível necessário as metas e resultados alcançados.
  9. ITIL define papéis e responsabilidades para a Segurança da Informação.  Durante as várias atividades, como por exemplo, a resposta a um incidente de segurança, fica claro quem deve fazer o quê.

Conclusão

Segurança da Informação é um tema cada vez mais importante e têm crescido em escopo e complexidade.  É uma área que trata constantemente com tratamento de riscos, ou seja, como evitá-los.  Normalmente é custosa em dinheiro, recursos humanos e tempo e, não raramente, é criticada por falhas e eventos de segurança que são registrados.

Embora um ciclo completo de implantação de ITIL possa demandar tempo e investimento, pode com certeza ajudar a definir, estabelecer, organizar, medir e comunicar claramente as políticas e os processos envolvidos com a Segurança da Informação.  Dessa forma pode-se conseguir maior eficiência e menor custo total envolvido nessa área.

Abraços e até o próximo post,

Ronaldo Smith Jr.