Publicação

ITIL e a Gestão da Segurança da Informação

foto de
Fernando Palma CONTEÚDO EM DESTAQUE

Gestão da Segurança da Informação nas Etapas de Estratégia, Desenho, Transição, Operação, Melhoria Contínua dos Serviços de TI

 

Etapa de Estratégia de Serviços de TI


Esta etapa do ciclo de vida do serviço de TI apenas menciona a gestão da #Segurança da Informação, mas não realiza uma abordagem com foco no tema.

Vale destacar o papel da definição do valor do serviço pela gestão do portfólio de serviços e gerenciamento da expectativa com o apoio da gestão de relacionamento com o negócio, através de definições de requisitos gerais para os serviços que impactam os critérios de segurança.

Etapa de Desenho de Serviços 


Gerenciamento da disponibilidade

Atividades proativas do gerenciamento da disponibilidade contribuem para o cumprimento deste que é um dos requisitos de segurança da informação: a disponibilidade.  

O plano da disponibilidade traz proteção à informação, garantindo que níveis de disponibilidade adequados serão entregues para serviços de TI. Técnicas e atividades como Análise de Impacto de Falhas em Componentes (AIFC) , identificação de Funções Vitais do Negócio, Pontos Únicos de Falha, definição do conceito de downtime com o cliente, Análise de Impacto no Negócio, entre outras, contribuirão com níveis de disponibilidade e consequentemente com a segurança da informação.

Vale ressaltar que o processo de gestão da disponibilidade cita explicitamente requisitos de segurança como atributos a serem definidos durante a fase de planejamento.

Gerenciamento da Continuidade para Serviços de TI

Basta um pouco de intimidade com a gestão da segurança da informação para entender que o gerenciamento da continuidade é fator crítico de sucesso para proteção da informação, sendo mencionado inclusive como uma sessão da norma ISO 27002 (e consequentemente, no anexo da ISO 27001) . Em outras palavras, continuidade e segurança são temas relacionados entre si.

Gerenciamento da Segurança da Informação para TI

Naturalmente, esta é a principal referência da #ITIL para o tema. Contempla o processo como um todo, resumindo a aplicação de boas práticas para gestão da #Segurança da Informação.

Vale a pena conferir os capítulos do livro Service Design transcritos a seguir: 

  • 4.6.1 Purpose/goal/objective 
  • 4.6.2 Scope 
  • 4.6.3 Value to the business 
  • 4.6.4 Policies/principles/basic concepts 
  • 4.6.4.1 Security framework 
  • 4.6.4.2 The Information Security Policy 
  • 4.6.4.3 The Information Security Management  
  • 4.6.5 Process activities, methods and techniques 
  • 4.6.5.1 Security controls 
  • 4.6.5.2 Management of security breaches and incidents 
  • 4.6.6 Triggers, inputs, outputs and interfaces 
  • 4.6.6.1 Inputs 
  • 4.6.6.2 Outputs 
  • 4.6.7 Key Performance Indicators 
  • 4.6.8 Information Management 
  • 4.6.9 Challenges, Critical Success Factors and risks

Gerenciamento de Fornecedores

Processo de gestão de fornecedores deve ser utilizado para aplicar as cláusulas para terceiros que abrangem requisitos de segurança da informação definidos para os serviços entregues internamente. Políticas de gestão de fornecedores devem oferecer tais orientações.

Gerenciamento de Nível de Serviços

Boas práticas de gerenciamento de nível de serviços são essenciais para definir, acordar, entregar, monitorar, reportar e melhorar continuamente os níveis de serviço, abrangendo metas, regras e acordos para disponibilidade, confidencialidade e integridade da informação.

Etapa de Transição de Serviços


Gerenciamento de Libração e Gerenciamento de Mudanças

Requisitos de segurança devem ser contemplados em especificações de sistemas assim como em projetos de #Infraestrutura.

Riscos da segurança da informação serão entradas em " riscos da liberação e implantação ", no processo de liberação, assim como serão considerados na gestão de mudanças.

Etapa da Operação de Serviços


Gerenciamento de Incidentes

Modelos de incidentes devem contemplar incidentes da segurança da informação dentro do processo de gestão de incidentes, para que exista uma gestão adequada dos incidentes de segurança.

Gerenciamento de Acesso

Aplica regras de acesso definidas a partir das atividades de planejamento dos processos de gerenciamento da segurança da informação e gerenciamento da disponibilidade.

Melhorias para o processo de gestão da segurança da informação, para interseções entre processos que abrangem segurança, #Gestão de Riscos e para os requisitos de segurança contemplados em serviços de TI.

Considerações Finais


Como citado na introdução do artigo, minha intenção não foi apontar todos itens dos livros da ITIL que criam consequências ou obtêm saídas de/para segurança e sim destacar os mais relevantes.

Convido aos amigos que frequentam o Portal a acrescentar, comentar ou mesmo questionar os pontos aqui elencados!

Comentários