Marcelo Fernandes de Luna

Gesto da Segurana da Informao com ITIL r v3e ISO/IEC 27002

Londrina

2010

Marcelo Fernandes de Luna

Gesto da Segurana da Informao com ITIL r v3e ISO/IEC 27002

Trabalho apresentado Universidade Estadualde Londrina, como parte do requisito paraobteno do ttulo de Bacharel em Cincia daComputao.

Orientador: Prof. Dr. Rodolfo Miranda de Barros

UNIVERSIDADE ESTADUAL DE LONDRINA

Londrina

2010

Marcelo Fernandes de Luna

Gesto da Segurana da Informao com ITIL r v3e ISO/IEC 27002

Prof. Dr. Rodolfo Miranda de BarrosUniversidade Estadual de Londrina

Prof. Ms. Elieser Botelho Manhas Jr.Universidade Estadual de Londrina

Prof. Dr. Mario Lemes Proena Jr.Universidade Estadual de Londrina

Londrina 30 de Novembro de 2010

Aos meus pais...

Agradecimentos

Primeiramente gostaria de agradecer imensamente aos meus pais, Elisonete e Antnio, que

com muito amor me ensinaram a ser quem eu sou. Mais do que isso, me mostraram como levar

uma vida digna e honesta, me dando fora nos momentos bons e nos momentos ruins. Pessoas

maravilhosas que tenho muito orgulho de ser filho.

Aos meus familiares, que em todos os momentos me deram apoio e me incentivaram a

continuar lutando.

minha prima de corao Ana Paula, por ter me aguentado durante todo esse ano e por ter

me doado um pouco do seu tempo para ajudar nas correes deste trabalho.

Gostaria de agradecer ao Alexandre e a Angela, por terem me dado apoio nos meus

primeiros anos em Londrina; em especial a Angela por ter cedido sua casa sem nem mesmo

me conhecer.

Agradeo ao meu orientador, professor Dr. Rodolfo Miranda de Barros pela oportunidade

de trabalhar em seu projeto, pela pacincia e confiana neste tempo de convivncia.

professora DraMaria Anglica de Oliveira Camargo Brunetto pela oportunidade de

trabalhar em seus projetos e por ter me mostrado o mundo da pesquisa.

Aos meus amigos com quem convivi nestes anos de faculdade, pelo companheirismos e pe-

los bons momentos. Em especial aos amigos do Banquinho da Alegria que me proporcionaram

momentos de alegria e crescimento pessoal.

Ao Huemer, pela ajuda no estgio, pelo interesse e por me ajudar na correo deste trabalho.

No poderia deixar de agradecer a todos os professores que ao transmitirem seus conheci-

mentos contriburam para meu desenvolvimento acadmico.

Sou grato por todas as pessoas que estiveram presentes em minha vida, so tantas pessoas

que ao nomin-las poderia me esquecer de algum, portanto deixo o meu muito obrigado a elas

por fazerem parte dela.

"A mente que se abre a uma nova idia jamais volta ao seu tamanho original"

Albert Einstein

Resumo

A Tecnologia da Informao (TI) tem se tornado cada vez mais importante para que asorganizaes obtenham maior proveito de suas informaes, maximizando os benefcios eproporcionando maior competitividade. Com a necessidade de se alinhar com os objetivosda organizao, a TI tem buscado em padres consolidados, como a ITIL, o CobiT e a srieISO/IEC 27000 de normas relacionadas a Segurana da Informao, formas de atender aosinteresses empresariais das organizaes. Neste contexto, o presente trabalho tem por finalidadedesenvolver um estudo que relaciona as fases do ciclo de vida de servio da ITIL r v3 comas sees da norma ISO/IEC 27002, objetivando mostrar como a norma pode contribuir paramelhorar a qualidade e segurana dos servios prestados pelas organizaes que se utilizamda Tecnologia da Informao para agregar valor ao seu negcio e serem geis nas tomadas dedeciso.Palavra-chave: ITIL r , ISO/IEC 27002, segurana da informao

Abstract

Information Technology (IT) has become increasingly important to organizations totake greater advantage of their information, maximizing benefits and providing increasedcompetitiveness. With the need to align with the goals of the organization, IT has soughtin pattern consolidated, such as ITIL r , CobiT r and the series ISO/IEC 27000 standardsrelated to information security, forms of serve the interests of business organizations. In thiscontext, this work aims to develop a study that relates the Service Lifecycle of ITIL r v3 andthe sections of ISO/IEC 27002, aiming to show how the standard can help improve the qualityand safety of services provided by organizations that use Information Technology to add valueto your business and be agile in decision-making.Key-word: ITIL r , ISO/IEC 27002, Information Security

Sumrio

Lista de Figuras

Lista de Tabelas

Lista de Abreviaturas p. 15

Introduo p. 17

1 NBR ISO/IEC 27002 p. 20

1.1 Anlise/Avaliao e tratamento de riscos . . . . . . . . . . . . . . . . . . . . p. 20

1.1.1 Analisando/avaliando os riscos de segurana da informao . . . . . p. 20

1.1.2 Tratando os riscos de segurana da informao . . . . . . . . . . . . p. 21

1.2 Poltica de segurana da informao . . . . . . . . . . . . . . . . . . . . . . p. 21

1.3 Organizando a segurana da informao . . . . . . . . . . . . . . . . . . . . p. 22

1.3.1 Organizao interna . . . . . . . . . . . . . . . . . . . . . . . . . . p. 22

1.3.2 Partes externas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 24

1.4 Gesto de ativos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 24

1.4.1 Responsabilidade pelos ativos . . . . . . . . . . . . . . . . . . . . . p. 24

1.4.2 Classificao da informao . . . . . . . . . . . . . . . . . . . . . . p. 25

1.5 Segurana em recursos humanos . . . . . . . . . . . . . . . . . . . . . . . . p. 25

1.5.1 Antes da contratao . . . . . . . . . . . . . . . . . . . . . . . . . . p. 25

1.5.2 Durante a contratao . . . . . . . . . . . . . . . . . . . . . . . . . p. 25

1.5.3 Encerramento ou mudana da contratao . . . . . . . . . . . . . . . p. 26

1.6 Segurana fsica e do ambiente . . . . . . . . . . . . . . . . . . . . . . . . . p. 26

1.6.1 reas seguras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 26

1.6.2 Segurana de equipamentos . . . . . . . . . . . . . . . . . . . . . . p. 27

1.7 Gerenciamento das operaes e comunicaes . . . . . . . . . . . . . . . . . p. 28

1.7.1 Procedimentos e responsabilidades operacionais . . . . . . . . . . . p. 28

1.7.2 Gerenciamento de servios terceirizados . . . . . . . . . . . . . . . . p. 28

1.7.3 Planejamento e aceitao dos sistemas . . . . . . . . . . . . . . . . . p. 29

1.7.4 Proteo contra cdigos maliciosos e cdigos mveis . . . . . . . . . p. 29

1.7.5 Cpias de segurana . . . . . . . . . . . . . . . . . . . . . . . . . . p. 29

1.7.6 Gerenciamento da segurana em redes . . . . . . . . . . . . . . . . . p. 30

1.7.7 Manuseio de mdias . . . . . . . . . . . . . . . . . . . . . . . . . . p. 30

1.7.8 Troca de informaes . . . . . . . . . . . . . . . . . . . . . . . . . . p. 31

1.7.9 Servios de comrcio eletrnico . . . . . . . . . . . . . . . . . . . . p. 32

1.7.10 Monitoramento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 32

1.8 Controle de acesso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 33

1.8.1 Requisitos de negcio para controle de acesso . . . . . . . . . . . . . p. 33

1.8.2 Gerenciamento de acesso do usurio . . . . . . . . . . . . . . . . . . p. 33

1.8.3 Responsabilidades dos usurios . . . . . . . . . . . . . . . . . . . . p. 34

1.8.4 Controle de acesso rede . . . . . . . . . . . . . . . . . . . . . . . . p. 34

1.8.5 Controle de acesso ao sistema operacional . . . . . . . . . . . . . . . p. 34

1.8.6 Controle de acesso aplicao e informao . . . . . . . . . . . . . p. 35

1.8.7 Computao mvel e trabalho remoto . . . . . . . . . . . . . . . . . p. 35

1.9 Aquisio, desenvolvimento e manuteno de sistemas de informao . . . . p. 35

1.9.1 Requisitos de segurana de sistemas de informao . . . . . . . . . . p. 35

1.9.2 Processamento correto nas aplicaes . . . . . . . . . . . . . . . . . p. 36

1.9.3 Controles criptogrficos . . . . . . . . . . . . . . . . . . . . . . . . p. 36

1.9.4 Segurana dos arquivos do sistema . . . . . . . . . . . . . . . . . . . p. 36

1.9.5 Segurana em processos de desenvolvimento e de suporte . . . . . . p. 36

1.9.6 Gesto de vulnerabilidades tcnicas . . . . . . . . . . . . . . . . . . p. 37

1.10 Gesto de incidentes de segurana da informao . . . . . . . . . . . . . . . p. 37

1.10.1 Notificao de fragilidades e eventos de segurana da informao . . p. 37

1.10.2 Gesto de incidentes de segurana da informao e melhorias . . . . p. 38

1.11 Gesto da continuidade do negcio . . . . . . . . . . . . . . . . . . . . . . . p. 38

1.11.1 Aspectos da gesto da continuidade do negcio, relativos segurana

da informao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 38

1.12 Conformidade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 39

1.12.1 Conformidade com requisitos legais . . . . . . . . . . . . . . . . . . p. 39

1.12.2 Conformidade com normas e polticas de segurana da informao e

conformidade tcnica . . . . . . . . . . . . . . . . . . . . . . . . . . p. 39

1.12.3 Consideraes quanto auditoria de sistemas de informao . . . . . p. 40

2 ITIL r v3 - IT Infrastructure Library p. 41

2.1 Estratgia de Servio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 42

2.1.1 Gerenciamento financeiro . . . . . . . . . . . . . . . . . . . . . . . p. 43

2.1.2 Gerenciamento da demanda . . . . . . . . . . . . . . . . . . . . . . p. 43

2.1.3 Gerenciamento de portflio de servio . . . . . . . . . . . . . . . . . p. 43

2.2 Desenho de Servio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 44

2.2.1 Gerenciamento de catlogo de servio . . . . . . . . . . . . . . . . . p. 44

2.2.2 Gerenciamento do nvel de servio . . . . . . . . . . . . . . . . . . . p. 45

2.2.3 Gerenciamento da capacidade . . . . . . . . . . . . . . . . . . . . . p. 46

2.2.4 Gerenciamento da disponibilidade . . . . . . . . . . . . . . . . . . . p. 47

2.2.5 Gerenciamento da continuidade do servio de TI . . . . . . . . . . . p. 47

2.2.6 Gerenciamento de segurana da informao . . . . . . . . . . . . . . p. 48

2.2.7 Gerenciamento de fornecedor . . . . . . . . . . . . . . . . . . . . . p. 49

2.3 Transio de Servio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 50

2.3.1 Planejamento e suporte da transio . . . . . . . . . . . . . . . . . . p. 50

2.3.2 Gerenciamento de mudanas . . . . . . . . . . . . . . . . . . . . . . p. 51

2.3.3 Gerenciamento da configurao e de ativo de servio . . . . . . . . . p. 51

2.3.4 Gerenciamento de liberao e implantao . . . . . . . . . . . . . . p. 51

2.3.5 Validao e teste de servio . . . . . . . . . . . . . . . . . . . . . . p. 52

2.3.6 Avaliao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 53

2.3.7 Gerenciamento do conhecimento . . . . . . . . . . . . . . . . . . . . p. 53

2.4 Operao de Servio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 54

2.4.1 Gerenciamento de evento . . . . . . . . . . . . . . . . . . . . . . . . p. 54

2.4.2 Gerenciamento de incidente . . . . . . . . . . . . . . . . . . . . . . p. 55

2.4.3 Cumprimento de requisio . . . . . . . . . . . . . . . . . . . . . . p. 56

2.4.4 Gerenciamento de problema . . . . . . . . . . . . . . . . . . . . . . p. 56

2.4.5 Gerenciamento de acesso . . . . . . . . . . . . . . . . . . . . . . . . p. 57

2.5 Melhoria de Servio Continuada . . . . . . . . . . . . . . . . . . . . . . . . p. 58

2.5.1 Processo de melhoria em 7 etapas . . . . . . . . . . . . . . . . . . . p. 58

2.5.2 Relatrio de servio . . . . . . . . . . . . . . . . . . . . . . . . . . p. 59

2.5.3 Mensurao de servios . . . . . . . . . . . . . . . . . . . . . . . . p. 59

3 ISO/IEC 27002 e ITIL r v3 como ferramenta para alinhar segurana da

informao ao negcio p. 60

3.1 Estratgia de Servio e a norma ISO/IEC 27002 . . . . . . . . . . . . . . . . p. 62

3.2 Desenho de Servio e a norma ISO/IEC 27002 . . . . . . . . . . . . . . . . . p. 63

3.3 Transio de Servio e a norma ISO/IEC 27002 . . . . . . . . . . . . . . . . p. 65

3.4 Operao de Servio e a norma ISO/IEC 27002 . . . . . . . . . . . . . . . . p. 65

3.5 Melhoria Contnua e a norma ISO/IEC 27002 . . . . . . . . . . . . . . . . . p. 67

Concluso p. 68

Referncias Bibliogrficas p. 70

Lista de Figuras

2.1 Ciclo de vida de servio da ITIL r v3. . . . . . . . . . . . . . . . . . . . . . p. 42

3.1 Relao entre a ITIL r v3 e a ISO/IEC 27002. . . . . . . . . . . . . . . . . . p. 61

Lista de Tabelas

3.1 ITIL r v3 ISO/IEC 27002. . . . . . . . . . . . . . . . . . . . . . . . . . . p. 62

15

Lista de Abreviaturas

TI Tecnologia da Informao

ITIL r Information Technology Infrastructure Library

CobiT r Control Objectives for Information and Related Technology

ISO International Organization for Standardization

IEC International Electrotechnical Commission

SOX Sarbanes-Oxley

GSI Gerenciamento da Segurana da Informao

SI Segurana da Informao

NBR Norma Brasileira

CD Compact Disc

DVD Digital Video Disc

CCTA Central Computer and Telecommunications Agency

BS British Standard

PNS Pacote de Nvel de Servio

PAN Padro de Atividade do Negcio

16

ANS Acordo de Nvel de Servio

RNS Requisito de Nvel de Servio

PDCA Plan-Do-Check-Act

CPIAM Controlar-Planejar-Implementar-Avaliar-Manter

ANO Acordo de Nvel Operacional

IC Item de Configurao

SGSI Sistema de Gerenciamento de Segurana da Informao

ITGI IT Governance Institute

TSO The Stationery Office

17

Introduo

A Tecnologia da Informao (TI) uma rea essencial para as organizaes, sendo em

muitos casos pouco compreendida. Organizaes que entendem o valor da TI e utilizam-na

como ferramenta para alcanar seus objetivos de negcio so, em sua maioria, bem-sucedidas.

Essas organizaes adequam-se facilmente s demandas regulatrias e tm uma capacidade

maior de entender e gerenciar a dependncia crtica de muitos processos de negcio da TI [1].

H uma grande cobrana para que a rea de TI se alinhe s metas empresariais de suas

organizaes, alm de ter que atender s regulamentaes como a lei SOX (Sarbanes-Oxley) e

Basilia II. Para isso necessrio capacidade de governana e mecanismos que possibilitem a

auditoria externa. As organizaes em geral compreendem que precisam manter estruturas de

proteo e Segurana da Informao, mas tm dificuldade de entender o escopo dessas. Assim,

estruturas como a ITIL r (Information Technology Infrastructure Library), o CobiT (Control

Objectives for Information and Related Technology) e os padres da famlia ISO/IEC 27000

podem ajudar o profissional a entender o propsito de tais estruturas [2].

Segundo Clinch [3], devido crescente ocorrncia de incidentes relacionados falta

de segurana nas organizaes necessrio que a TI adote uma abordagem integrada de

Gerenciamento de Segurana da Informao (GSI), de forma a alinhar as necessidades e riscos

do negcio s medidas tcnicas. Alm disso, tambm necessria a construo de polticas e

procedimentos para criar uma cultura de Segurana da Informao (SI) dentro da organizao

assegurando que a informao ser tratada de forma segura e apropriada durante todo o tempo.

Os benefcios que a boa Segurana da Informao pode trazer no se restringem apenas

reduo dos riscos e diminuio do impacto s falhas. A Segurana da Informao pode

contribuir para melhorar a reputao da organizao, atravs da agilidade na recuperao de

incidentes de segurana e definindo os devidos valores e permisses de acesso as informaes,

fazendo com que as partes envolvidas confiem na organizao [4].

A informao o bem mais precioso para uma organizao e essencial para a realizao

dos seus negcios e, por consequncia, precisa ser protegida [5]. Em decorrncia disso, cresce

o nmero de organizaes que buscam, na Tecnologia da Informao, formas para melhorar a

eficincia de seus processos e tirar maior proveito de suas informaes. Dentre as tecnologias

18

disponveis, destacam-se as redes de computadores que permitem a conexo entre os diversos

setores da mesma organizao, bem como a integrao dos sistemas de diferentes organizaes,

as quais cooperam entre si para que os objetivos de seus negcios sejam atingidos [6]. Como

consequncia dessa interconectividade, a informao est mais exposta a um crescente nmero

e a uma grande variedade de ameaas e vulnerabilidades [5].

A Segurana da Informao protege as informaes dessas ameaas e vulnerabilidades

assegurando a continuidade do negcio, mitigando os riscos, maximizando o retorno sobre os

investimentos e as oportunidades de mercado. Pode-se obter a Segurana da Informao atravs

da implementao de um conjunto de controles adequados que incluem polticas, processos,

procedimentos, estruturas organizacionais e funes de software e hardware. Tais controles

precisam ser estabelecidos, implementados, monitorados, analisados e melhorados, de acordo

com as necessidades, para garantir que os objetivos do negcio e da segurana da organizao

sejam atendidos [5].

Segundo a ISO/IEC 27002 [5], a segurana alcanada por meios tcnicos limitada e

deve ser apoiada por procedimentos e por uma gesto apropriada. Como muitos sistemas de

informao no foram projetados para serem seguros, a identificao dos controles a serem

implementados requerem um planejamento cuidadoso e uma ateno aos detalhes. Alm

dos fatores j descritos, para que a Segurana da Informao seja eficaz, faz-se necessria a

colaborao de todos os interessados no futuro da organizao.

A Segurana da Informao tem como principais componentes a confidencialidade, a

integridade e a disponibilidade, que so necessrios para a preservao e proteo da informao

[2]. A confidencialidade a propriedade que garante que a informao no esteja disponvel ou

revelada a indivduos, entidades ou processos no autorizados [7]. A integridade a propriedade

que garante a salvaguarda da exatido e completeza da informao [7]. A disponibilidade

a propriedade que garante que a informao estar acessvel e utilizvel sob demanda por

entidades autorizadas [7].

Neste contexto, o presente trabalho pretende realizar um estudo da ITIL r v3 e da norma

ISO/IEC 27002, buscando relacionar as fases do ciclo de vida de servio da ITIL r v3 com as

sees da norma. Tendo como objetivo mostrar como a norma pode contribuir para melhorar

a qualidade e a segurana dos servios prestados pelas organizaes que utilizam a Tecnologia

da Informao para agregar valor ao seu negcio.

O restante deste trabalho encontra-se da seguinte forma: no captulo 1 apresentada um

viso geral da NBR ISO/IEC 27002, bem como sua seo introdutria sobre anlise e avaliao

de riscos e mais suas 11 sees, no captulo 2 apresentada uma viso geral sobre a ITIL r v3 e

19

suas cinco fases do seu ciclo de vida de servio, no captulo 3 apresentado o estudo que mostra

como a norma ISO/IEC 27002 pode contribuir para aumentar a segurana no gerenciamento de

servios de TI e ao final apresentada a concluso do trabalho realizado.

20

1 NBR ISO/IEC 27002

A NBR ISO/IEC 27002 um cdigo de boas prticas para a gesto da segurana da

informao, mantido pelo comit internacional ISO/IEC. Tem como finalidade prover diretrizes

e princpios gerais para iniciar, implementar, manter e melhorar a gesto da segurana da

informao em uma organizao. A norma pode ser usada por uma organizao como um

guia prtico para desenvolver procedimentos e estabelecer prticas de gesto da segurana da

informao [5].

A NBR ISO/IEC 27002 formada por 11 sees de controles de segurana da informao,

as quais so divididas em categorias principais de segurana, que totalizam 39 categorias [5].

Este captulo abordar a seo introdutria sobre anlise e avaliao de riscos e mais as 11

sees desta norma, assim como suas categorias principais de segurana.

1.1 Anlise/Avaliao e tratamento de riscos

1.1.1 Analisando/avaliando os riscos de segurana da informao

As anlises e avaliaes de riscos precisam identificar e priorizar os riscos com base nos

critrios para aceitao dos riscos e dos objetivos relevantes para a organizao. Os resultados

obtidos vo orientar e determinar as aes de gesto que sero apropriadas para o gerenciamento

de riscos de segurana da informao [5].

A anlise e avaliao dos riscos precisa ter seu escopo bem definido para ser eficiente

e produzir o efeito desejado. Devendo estimar a magnitude do risco e comparar os riscos

estimados com os critrios para determinar a significncia dos riscos. Todo esse processo

precisa ser realizado regularmente para cobrir as mudanas nos requisitos de segurana e

situaes de riscos [5].

21

1.1.2 Tratando os riscos de segurana da informao

Aps definir os critrios para determinao de quais riscos sero aceitos ou no, preciso

tomar decises para o tratamento de cada um dos riscos identificados. Os riscos podem ser

tratados aplicando controles para reduzir os riscos a um nvel aceitvel, transferindo os riscos

para outras partes ou evitando os riscos de forma a no permitir aes que poderiam causar tais

riscos [5].

1.2 Poltica de segurana da informao

A poltica de segurana da informao definida por Silva [8] como um conjunto de regras

genricas que determina o que considerado pela organizao como aceitvel ou inaceitvel.

Esta desempenha um papel importante para o planejamento estratgico da segurana da

informao, pois por meio dela que a direo fornece orientao e apoio segurana da

informao de acordo com os requisitos do negcio, leis e regulamentaes pertinentes [5].

O documento da poltica de segurana da informao deve ser acessvel, compreensvel,

declarar o comprometimento da direo e o enfoque da organizao no gerenciamento da

segurana da informao. Este documento deve ser aprovado pela direo, publicado e

comunicado a todos os funcionrios e partes externas relevantes [5].

A NBR ISO/IEC 27002[5] sugere que a poltica de segurana da informao passe por

anlises peridicas, para assegurar sua adequao e eficcia. Tambm aconselha a nomeao de

um gestor que seja responsvel por desenvolv-la, analis-la e avali-la. O gestor deve avaliar

as oportunidades de melhoria e ficar atento s mudanas no ambiente organizacional.

Na anlise da poltica de segurana da informao deve-se considerar os seguintes aspectos:

situaes de aes preventivas e corretivas, resultado de anlises anteriores, desempenho do

processo e conformidade com a poltica de segurana da informao, mudanas no ambiente

organizacional, tendncias de ameaas e vulnerabilidades, relato sobre incidentes de segurana

e recomendaes de autoridades relevantes. Como resultado da anlise espera-se obter: melhora

dos controles e seus objetivos, melhor alocao de recursos e responsabilidades, assim como do

alinhamento da segurana da informao com os objetivos do negcio [5].

22

1.3 Organizando a segurana da informao

1.3.1 Organizao interna

No processo de organizao da segurana da informao deve-se elaborar uma estrutura

de gerenciamento que seja capaz de iniciar e controlar a implementao da segurana dentro da

empresa. Para isso necessrio o comprometimento da direo com a segurana da informao,

aprovando a poltica de segurana e garantindo sua eficcia, atribuindo responsabilidades,

assegurando que as metas de segurana esto identificadas e atendem aos requisitos do negcio,

fornecendo os recursos necessrios para segurana da informao, iniciando planos para

conscientizao da segurana da informao e identificando a necessidade de consultorias de

especialistas internos ou externos [5].

A NBR ISO/IEC 27002 [5] aconselha que a segurana da informao seja coordenada por

representantes das diferentes partes da organizao e envolva a cooperao e colaborao de

gerentes, administradores, auditores, recursos humanos, questes legais, etc. A coordenao

da segurana da informao tem de garantir que as atividades de segurana sejam executadas

de acordo com sua poltica, para isso deve conduzir os descumprimentos, identificar possveis

ameaas, avaliar e implementar controles, assim como as informaes de monitoramento e de

anlise dos incidentes de segurana, promover a educao, treinamento e conscientizao por

toda a organizao [5].

Para organizar a segurana da informao necessrio que as responsabilidades de

segurana estejam definidas claramente e em conformidade com a poltica de segurana.

Para isso, primeiramente, necessria a identificao dos ativos e processos de segurana

da informao de cada rea, para ento designar os seus responsveis. Aps a escolha dos

gestores de cada rea, deve-se definir suas atribuies e os detalhes deste processo devem ser

inteiramente documentados [5].

Para garantir que as polticas e requisitos de segurana sejam atendidos, a norma determina

que a utilizao interna de novos recursos de processamento de informao tenha seu uso

autorizado pela administrao de usurios e pelo gestor responsvel pelo sistema de segurana

da informao. Tambm deve-se verificar a compatibilidade de hardware e software com os

demais componentes do sistema, certificar que estes recursos no esto introduzindo novas

ameaas e vulnerabilidades, identificar e implementar os controles [5].

Uma das maneiras da organizao proteger suas informaes estabelecer acordos de

confidencialidade e no divulgao, pois atravs destes acordos que a empresa informa aos

23

envolvidos quais so suas responsabilidades para proteo, uso e divulgao da informao.

Estes documentos devem buscar embasamento na legislao e estar em conformidade com

as leis e regulamentaes aplicveis na jurisdio a qual eles se aplicam. Para identificar os

requisitos necessrios para os acordos de confidencialidade e no divulgao recomendado

que se leve em considerao elementos como: definio da informao a ser protegida,

tempo esperado do acordo, aes requeridas ao fim do acordo, responsabilidades e aes

dos signatrios, direito de auditar e monitorar as atividades que envolvam as informaes

confidenciais e aes esperadas a serem tomadas no caso de uma violao do acordo.

necessrio que os requisitos identificados sejam analisados periodicamente ou quando houver

mudanas no ambiente organizacional que os afetem [5].

importante que a organizao mantenha contato com autoridades como, organismos

regulatrios que permitem a organizao antecipar e preparar para as mudanas futuras

nas leis e nos regulamentos, os quais ela deve seguir. Deve manter contato tambm com

outras autoridades como utilidades, servios de emergncia, sade e segurana. Ademais, a

organizao deve manter procedimentos que especifiquem quando e quais autoridades devem

ser contatadas na ocorrncia de incidentes de segurana. Alm disso, recomendado que a

organizao mantenha contato com associaes de profissionais, grupos e fruns especializados

em segurana da informao. Este tipo de relacionamento contribui para ampliao dos

conhecimentos da organizao sobre as melhores prticas e para manter a empresa atualizada

com informaes relevantes sobre SI. O contato com esses grupos possibilita a organizao

ter acesso consultoria especializada em SI, compartilhar e trocar informaes a respeito de

novas tecnologias e receber previamente advertncias de alertas, aconselhamentos e correes

relativas a ataques e vulnerabilidades. Com isso, a organizao assegura que seu entendimento

do ambiente de segurana est atual e completo [5].

A norma enfatiza a necessidade de realizar, periodicamente, uma anlise independente do

enfoque da organizao e da sua implementao para segurana da informao. Tal anlise

importante para assegurar a pertinncia, adequao e eficcia das metas de gerenciamento

da segurana estabelecidas pela organizao. A anlise deve ser iniciada pela direo e

executada por pessoas sem vnculos com a rea avaliada, como um grupo de auditores internos,

uma empresa terceirizada ou um gerente independente. Os resultados devem ser registrados,

mantidos e relatados direo, caso no estejam de acordo com o que foi definido na poltica

de segurana da informao, devem ser tomadas medidas corretivas [5].

24

1.3.2 Partes externas

A organizao deve se preocupar em manter a segurana das suas informaes e recursos de

processamento que so utilizados no relacionamento com as partes externas. Alm disso, tem de

estar atenta as possveis vulnerabilidades que podem ser introduzidas pela aquisio de produtos

e servios. Assim, necessria a anlise e avaliao dos riscos que envolvem tal relacionamento

antes de obter ou ceder o uso de qualquer recurso de processamento ou informao [5].

Na identificao dos riscos importante que a organizao leve em considerao aspectos

como, quais os recursos de processamento e os tipos de acesso (fsico ou lgico) sero utilizados

pelas partes externas, quem ter a autorizao para acessar e como esta ser verificada. Assim

como, qual o valor e a sensibilidade da informao acessada, que prticas e procedimentos

sero usados para tratar incidentes de segurana. Aps a identificao dos riscos de segurana,

a organizao deve estabelecer, onde for vivel, acordos de confidencialidade e no divulgao

das informaes, tais como, contratos que definam os termos e condies de uso dos recursos

de processamento [5].

1.4 Gesto de ativos

A gesto de ativos tem como objetivo alcanar e manter a proteo dos ativos da

organizao, que so definidos pela norma como sendo qualquer coisa que tenha valor para

a organizao. Por exemplo, informaes, softwares, hardwares, servios, pessoas e suas

qualificaes, a reputao e a imagem da organizao [5].

1.4.1 Responsabilidade pelos ativos

Para assegurar a proteo dos ativos, a ISO/IEC 27002 prope que todos sejam identificados

e que seja elaborado um inventrio. Este deve conter informaes, tais como o tipo do

ativo, formato, localizao e sua importncia para o negcio. Alm disso, aconselhvel

que todos os ativos associados com os recursos de processamento tenham um responsvel,

que deve assegurar que estes esto adequadamente classificados, analisar periodicamente as

classificaes e restries com base na poltica de controle de acesso. O responsvel tambm

deve identificar, documentar e implementar regras para o uso permitido dos ativos, de forma

que as pessoas que possuem o acesso tenham conscincia dos limites que envolvem seu uso [5].

25

1.4.2 Classificao da informao

A classificao da informao importante para indicar sua necessidade, prioridade e nvel

de segurana, garantindo que a proteo adequada est sendo oferecida. A informao deve

ser classificada de acordo com seu valor, requisitos legais, sensibilidade e criticidade para o

negcio. necessrio que o responsvel pelo ativo defina as convenes para a classificao

inicial e reclassificao, de acordo com a poltica de controle de acesso. Alm de assegurar, por

meio de anlises, que o ativo est atualizado e no nvel de proteo apropriado [5].

Com base no esquema de classificao adotado pela organizao, convm que procedimen-

tos apropriados sejam definidos e implementados para rotulao e tratamento das informaes.

Esses procedimentos devem atender tanto os ativos de informaes no formato fsico quanto no

formato eletrnico [5].

1.5 Segurana em recursos humanos

1.5.1 Antes da contratao

As responsabilidades de segurana devem ser definidas antes da contratao para garantir

que os funcionrios, fornecedores e terceiros entendam seus deveres e estejam de acordo com

os seus papis, assim possvel reduzir o risco de furto, fraude e mau uso da informao. Os

papis e responsabilidade dos candidatos precisam ser documentados e estar em conformidade

com a poltica de segurana da informao [5].

No processo de seleo, a norma aconselha que seja verificado de acordo com a tica, as

leis e regulamentaes pertinentes, o histrico de todos os candidatos. Essa verificao deve ser

mais detalhada para os candidatos que tero acesso a informaes e recursos de processamento

mais sensveis. Aps a seleo, necessrio que os candidatos assinem os termos e condies

de sua contratao, que declaram suas responsabilidades e a da organizao para a segurana

da informao [5].

1.5.2 Durante a contratao

Durante a contratao, fica sob a responsabilidade da direo assegurar que os funcionrios,

fornecedores e terceiros esto conscientes de suas obrigaes e responsabilidades. Alm de

estarem a par de ameaas e preocupaes relativas a segurana da informao, devendo apoiar

a poltica de segurana nas suas prticas de trabalho [5].

26

Todos os funcionrios, assim como fornecedores e terceiros tem de receber treinamentos

apropriados para conscientizao e atualizaes regulares das polticas e procedimentos que

sejam relevantes para suas funes. Esse treinamento visa permitir que as pessoas reconheam

os incidentes de segurana da informao e respondam de acordo com as necessidades de seu

trabalho [5].

importante que exista um processo disciplinar para as pessoas que tenham cometido uma

violao da segurana da informao. A resposta deste processo tem que levar em considerao

fatores como a natureza e a gravidade da violao, o seu impacto sobre negcio, se foi o

primeiro delito, bem como as legislaes relevantes e contratos estabelecidos. Em casos graves,

o processo deve permitir a imediata remoo das atribuies, direitos de acesso e privilgios do

infrator [5].

1.5.3 Encerramento ou mudana da contratao

Para o encerramento de atividades, convm que seja definido quem sero os responsveis

pelo encerramento ou mudanas de pessoal. O encerramento das atividades deve incluir os

requisitos de segurana, de leis e acordos estabelecidos, devendo permanecer vlidos aps o

encerramento das atividades [5].

Aps o encerramento dos acordos e contratos, os ativos que estiverem em posse dos

funcionrios, fornecedores e terceiros devem ser devolvidos para organizao. Nos casos

em que os conhecimentos pessoais sobre o desenvolvimento de atividades de trabalho sejam

importantes para sua execuo, necessrio que esses conhecimentos sejam documentados e

transferidos para a organizao [5].

Os direitos de acesso informao e aos recursos de processamento devem ser retirados

dos funcionrios, fornecedores e terceiros aps o encerramento das suas atividades, contratos e

acordos. Quando houver mudanas nas atividades, preciso reconsiderar os direitos de acesso

para permitir apenas aqueles que forem necessrios para a execuo do novo trabalho [5].

1.6 Segurana fsica e do ambiente

1.6.1 reas seguras

A segurana fsica e de ambiente da organizao tem como objetivo prevenir o acesso

no autorizado, danos e interferncias s instalaes da empresa. Para isso a ISO/IEC 27002

27

recomenda que se utilize de permetros de segurana para proteger as reas sensveis da

organizao, esses podem ser barreiras como paredes, portes com acesso controlado e balces

de recepo. O nvel de segurana de cada permetro deve estar de acordo com os requisitos de

segurana identificados pela organizao [5].

A organizao tem de projetar e aplicar protees fsicas contra desastres naturais como

terremoto e enchentes, assim como incndios, exploses ou outros causados pelo homem.

Na fase de planejamento importe levar em considerao as ameaas das reas vizinhas,

localizao dos equipamentos de deteco e combate a incndios e certificar-se que os

equipamentos de contingncia e mdias de backup esto a uma distncia segura do local

principal para que no sejam danificados em caso de desastre [5].

Os pontos de entrega, carregamento ou locais em que pessoas no autorizadas possam entrar

nas instalaes da empresa devem ser controlados e se possvel devem ser isolados das reas de

processamento da informao. Isso evita o acesso de pessoas no autorizadas as reas seguras

da organizao [5].

1.6.2 Segurana de equipamentos

A segurana de equipamentos tem como propsito impedir perdas, danos, furtos ou com-

prometimento dos ativos que impeam as atividades da organizao. Assim, a norma aconselha

que os equipamentos e instalaes de processamento de informaes devem ser posicionados

em locais seguros para reduzir os riscos de acesso no autorizado, ameaas e perigos do meio

ambiente. Alm de ser necessria a implementao da proteo dos equipamento contra falta

de energia, falhas no funcionamento de utilitrios como ar-condicionado e equipamentos de

ventilao. Tambm necessrio manter a manuteno dos equipamentos e registros de falhas

para garantir sua disponibilidade e integridade [5].

Os cabeamentos de energia e telecomunicao precisam ser protegidos contra rupturas,

interceptaes ou danos. Deste modo, onde for possvel, aconselhvel que os cabeamentos

sejam subterrneos e que os cabos de energia sejam separados dos cabos de telecomunicao

para evitar interferncias. Ademais, o acesso aos painis de conexes e salas de cabeamento

devem ser controlados [5].

A utilizao de equipamentos fora das dependncias da organizao deve ser autorizado

pela gerencia, que tem de avaliar os diferentes riscos envolvidos tais como danos, furtos ou

espionagem [5].

Todos equipamentos que contenham informaes da organizao necessitam ser examina-

28

dos, antes de serem descartados, para garantir que os dados sensveis e softwares licenciados

tenham sido removidos ou sobre gravados com segurana. importante usar tcnicas que

tornem as informaes irrecuperveis, ao invs de tcnicas convencionais. Nos casos em que

o equipamento est com defeito importante avaliar cuidadosamente as informaes contidas

nele, dependendo do grau de confidencialidade das informaes aconselha-se a destruio do

dispositivo em vez de mand-lo para o conserto [5].

Os equipamentos, informaes e softwares da organizao no devem ser retirados de seus

locais sem a autorizao prvia. As pessoas que receberem a autorizao para a remoo dos

equipamento devem ser devidamente identificadas, se necessrio fazer registro da retirada e

estabelecer limites de tempo para retirada e remoo [5].

1.7 Gerenciamento das operaes e comunicaes

1.7.1 Procedimentos e responsabilidades operacionais

Os procedimentos e responsabilidades operacionais tem de assegurar que os recursos de

processamento da organizao esto sendo operados corretamente. Assim, necessrio que

os procedimentos operacionais sejam documentados, atualizados e disponibilizados todos

que precisarem. Todas as mudanas nos recursos de processamento da informao e sistemas

devem ser controladas, portanto conveniente estabelecer uma gesto de mudanas para que

sejam estabelecidos rgidos controles para identificar, planejar, testar e avaliar os impactos das

mudanas [5].

A ISO/IEC 27002 recomenda que as funes e reas de responsabilidades sejam segregadas

para reduzir as modificaes e o uso indevido dos ativos da organizao. E que os recursos de

desenvolvimento, teste e produo tambm sejam separados para reduzir os riscos de acesso

indevido e modificaes no autorizadas das informaes e sistemas da empresa [5].

1.7.2 Gerenciamento de servios terceirizados

O gerenciamento de servios terceirizados tem como objetivo implementar e manter um

nvel apropriado de segurana e de entrega de servios. Para isso, importante garantir que

os controles de segurana, as definies de servios e os nveis especificados nos acordos

de entrega de servios sejam implementados, executados e mantidos pelo terceiro. Alm de

ser necessrio auditar, monitorar e analisar os servios, relatrios e registros providos pelos

terceiros para assegurar o ajuste dos termos de segurana da informao s condies dos

29

acordos [5].

As mudanas, sejam elas feitas pela organizao, como melhoria dos servios oferecidos,

modificaes e atualizaes das polticas e procedimentos, ou feitas nos servios oferecidos por

terceiros, como melhoria na rede e uso de novas tecnologias, devem ser gerenciadas de acordo

com a criticidade de cada sistema ou processo de negcio envolvido [5].

1.7.3 Planejamento e aceitao dos sistemas

O objetivo do planejamento e aceitao dos sistemas minimizar os riscos de falhas.

Qualidades imprescindveis como planejar e preparar com antecedncia, ajudam a garantir a

disponibilidade apropriada de capacidade e recursos esperados de desempenho do sistema. Por

tanto, importante que a utilizao dos recursos seja monitorada, ajustada e que projees das

capacidades futuras sejam feitas para garantir o desempenho requirido do sistema [5].

A norma recomenda que os gestores garantam que os requisitos e critrios de aceitao

de novos sistemas estejam bem definidos, acordados, documentados, testados e aprovados

formalmente antes que os novos sistemas, atualizaes e novas verses sejam migradas para

produo [5].

1.7.4 Proteo contra cdigos maliciosos e cdigos mveis

Proteger-se contra cdigos maliciosos e mveis importante para manter a integridade

dos software e informaes da organizao. Assim, relevante que a organizao estabelea

controles para deteco, preveno e recuperao de ataques deste tipo. A proteo contra esses

ataques pode ser baseada em softwares de deteco e reparo, na conscientizao dos usurios,

nos controles de acesso e no gerenciamento de mudanas [5].

1.7.5 Cpias de segurana

Para manter a integridade e disponibilidade das informaes e recursos de processamento

da organizao, importante que sejam estabelecidos procedimentos para por em prtica as

polticas e estratgias definidas para gerao e recuperao das cpias de segurana. Estas

cpias precisam ser efetuadas e testadas regularmente conforme defino na poltica de cpias,

necessitando possuir os recursos adequados para garantir que todas as informaes e softwares

essenciais ao negcio possam ser recuperados em caso de desastres ou falhas. aconselhvel

que as cpias de segurana sejam mantidas em localidades remotas ou afastadas da principal e

30

que os nveis apropriados de proteo fsica e ambientais sejammantidos, alm de ser necessrio

a definio de um perodo de reteno da informao armazenada [5].

1.7.6 Gerenciamento da segurana em redes

O gerenciamento da segurana em redes tem como propsito assegurar a proteo da

infraestrutura de suporte e das informaes que transitam por ela. Para isso, os gestores devem

implementar controles para manter as redes e os servios que operam nelas protegidos de

ameaas e acessos no autorizados [5].

importe que a rede interna da organizao seja monitorada e os registro das atividades nela

sejam mantidos. Mas a proteo das redes da organizao transcende os limites internos e assim

necessrio estabelecer controles especiais para garantir a integridade e confidencialidade dos

dados que trafegam sobre as redes pblicas e as redes sem fio [5].

Necessit-se que as caractersticas, os nveis de servio e os requisitos de gerenciamento

dos servios de rede sejam identificados e includos em acordos tanto para servios providos

internamente como para servios terceirizados. Tambm preciso determinar e monitorar

regularmente a capacidade do provedor de gerenciar os servios acordados, assim como sejam

acordados os direitos de auditar os servios. Os servios de rede podem incluir fornecimento

de conexo, servios de rede privada e solues de segurana como firewall e sistemas deteco

de intrusos [5].

1.7.7 Manuseio de mdias

Para previr contra a divulgao no autorizada, modificaes, remoo ou destruio dos

ativos da organizao, importante que se estabeleam procedimentos operacionais para o

manuseio de mdias dentro da organizao. Estes procedimentos devem proteger documentos,

mdias magnticas de computadores e dados de entrada e sada [5].

Uma ateno especial tem de ser dada as mdias removveis tais como, fitas, discos,

pen drives, CD/DVD e mdias impressas. O uso de tais mdias somente deve ser permitido

caso exista um necessidade real para o negcio. Mas quando uso ou remoo de mdias for

necessrio, importante que exija-se uma autorizao e os registros desta sejam mantidos para

futuras auditorias [5].

Muitas informaes sensveis podem ser divulgadas impropriamente, devido ao descarte

negligenciado de mdias e equipamentos de informao, assim necessrio a definio de

31

procedimentos formais para o descarte seguro de mdias. Estes procedimentos precisam levar

em considerao fatores como, a identificao dos itens que requerem descarte, nvel de

sensibilidade da informao contida no equipamento e sempre que possvel manter registro

dos dispositivos descartados [5].

No tratamento das informaes, relevante que se estabeleam procedimentos para

tratamento, processamento, armazenamento e transmisso de informaes. Estes devem

considerar itens como, tratamento e identificao de todos os meios magnticos indicando o

nvel de classificao, restries de acesso e o registros dos destinatrios de dados autorizados.

A documentao dos sistemas precisa ser protegida contra acessos no autorizados, devendo

ser guardada de forma segura e a autorizao de acesso a ela seja concedida pelo proprietrio

do sistema poucas pessoas [5].

1.7.8 Troca de informaes

Na troca de informaes e softwares, para manter a segurana, preciso definir procedi-

mentos e polticas formais especficas, podendo ser acordos, com base na legislao, entre as

partes. Nestes acordo deve-se considerar condies de segurana como, as responsabilidades

do gestor pelo controle e notificao de transmisses, expedies e recepes. Alm disso,

necessrio definir as responsabilidades e obrigaes na ocorrncia de incidentes de segurana

[5].

Para as mdias que necessitarem ser transportadas entre localidades, importante que

sejam protegidas contra acessos no autorizados, uso imprprio ou alterao indevida durante

o transporte. Assim, recomendado que se utilizem meios de transporte e servios de

mensageiros confiveis certificando-se de que as embalagens esto lacradas e protegidas contra

danos fsicos [5].

Os servios de mensagens eletrnicas cumprem um papel cada vez mais importante na

comunicaes do negcio, por isso importante que sejam tomadas as devidas precaues

para manter a segurana das informaes. Deste modo, precisa-se avaliar a confiabilidade e

disponibilidade geral dos servios, identificar requisitos de assinaturas eletrnicas e qualquer

uso de servios pblicos tais como, sistemas de mensagens instantneas e compartilhamento de

arquivos sejam previamente aprovados pela direo [5].

Hoje, cada vez maior, o uso de redes para interconectar as diferentes organizaes.

Portanto, extremamente relevante que se estabeleam polticas e procedimentos para proteger

as informaes compartilhadas entre elas. Estas polticas e procedimentos precisam elevar em

32

considerao os impactos da interconectividade com o negcio da organizao e os perigos

trazidos por ela. A gerao de cpias de segurana, restries de acesso, procedimentos de

recuperao e contingncia so algumas das medidas que precisam ser tomadas para assegurar

a segurana na troca de informaes.

1.7.9 Servios de comrcio eletrnico

O uso de servios de comrcio eletrnico cada vez mais popular, seja, entre as

organizaes ou entre as organizaes e clientes. De maneira que, importante garantir a

segurana dos servios e de suas utilizaes. Para isso, preciso proteger as informaes

disponibilizadas publicamente levando-se em considerao aspectos como, mecanismo de

autenticao, processos de autorizao, confidencialidade e integridade de transaes [5].

As informaes envolvidas em transaes on-line precisam ser protegidas, para tanto,

necessrio que todo o trafico de dados das transaes seja criptografado e que seja exigido,

sempre que possvel, o uso de assinaturas eletrnicas por ambas as partes. Essas transaes

precisam estar de acordo com as leis, regras e regulamentaes da jurisdio em que ela

gerada, processada, completada e armazenada [5].

As informaes disponibilizadas em sistemas de acesso pblico precisam ter sua integri-

dade protegida para que no ocorram modificaes no autorizadas. Por isso, importante

que esses sistemas sejam devidamente testados antes de disponibilizar quaisquer tipos de

informaes. necessrio que exista um processo formal para aprovao da informao

antes que ela seja publicada, assim como os dados oriundos de partes externas necessitam de

verificao e aprovao antes de sua disponibilizao [5].

1.7.10 Monitoramento

O monitoramento das redes da organizao tem como finalidade detectar atividades no

autorizadas de processamento da informao. Este monitoramento precisa produzir registros

(log) das atividades e eventos de segurana da informao para a realizao posterior de

auditorias [5].

Os registros de auditoria precisam ser mantidos, durante um determinado tempo, para

auxiliar em futuras investigaes e monitoramento de controle de acesso. importante que estes

registros contenham informaes tais como, identificao dos usurios, data e hora, detalhes dos

eventos, acessos aos sistemas aceitos e rejeitados [5].

33

Necessariamente, preciso elaborar procedimentos para o monitoramento dos recursos

de processamento de informao da organizao e os resultados destes devem ser analisados

periodicamente. Isso importante para assegurar que os usurios esto executando apenas as

atividades que lhe foram designadas [5].

Os registros gerados pelo monitoramento precisam ser protegidos contra falsificaes e

acessos no autorizados. Se possvel nem mesmo os administradores de sistema devem ter

permisso para a excluso ou modificao dos registros. Alm de ser necessrio anlises

peridicas dos registro de operadores e administradores de rede e sistemas para assegurar que

suas atividades esto em conformidade [5].

Todas as ocorrncias de falhas precisam ser registradas e analisadas, cabendo aos respon-

sveis, por medidas autorizadas, executar os procedimentos apropriados para assegurar que

as falhas sero resolvidas. Por isso, importante a existncia de regras para tratar as falhas

informadas por usurios ou por sistemas devendo incluir anlises e medidas corretivas [5].

Ademais, importante que os relgios dos sistemas de processamento da organizao este-

jam sincronizados e que existam procedimentos para identificar inconsistncias e corrigir. Isso

garante a exatido dos registros de auditoria que podem ser requeridos em uma investigaes

ou servir como evidncia legal [5].

1.8 Controle de acesso

1.8.1 Requisitos de negcio para controle de acesso

Os acessos lgicos e fsicos aos ativos da organizao precisam ser controlados para

prevenir o uso no autorizado. Para isso a norma prope a criao de uma poltica de controle

de acesso que tenha como base os requisitos de acesso do negcio e a segurana da informao.

Essa poltica deve expressar claramente os direitos de acesso de usurios e grupos deixando

ntidos os requisitos do negcio a serem atendidos pelos controles de acesso [5].

1.8.2 Gerenciamento de acesso do usurio

A alocao de direitos de acesso aos usurios tem de ser formalmente controlada atravs

do registro do usurio e dos processos administrativos. Os procedimentos devem cobrir desde

o registro de novos usurios at o seu cancelamento final. Tambm importante que existam

processos formais para a autorizao de concesses de privilgios de acesso, gerenciamento

34

de senhas e anlises peridicas dos privilgios para garantir que os direitos de acesso sero

retirados quando no forem mais necessrios [5].

1.8.3 Responsabilidades dos usurios

Os usurios necessitam estar conscientes de suas responsabilidades para manter o controle

de acesso eficaz. Assim, importante que os usurios usem das boas prticas de segurana da

informao para escolher suas senhas e mant-las em confidencialidade. Alm de, manter uma

poltica de mesa limpa e tela limpa precisam assegurar que os equipamentos quando deixados

sozinhos tenham uma proteo adequada como por exemplo, finalizar ou bloquear a sesso de

seus computadores quando forem ao banheiro [5].

1.8.4 Controle de acesso rede

O acesso aos servios de rede internos e externos precisam ser controlados para garantir que

os usurios no comprometam tais servios. Para tanto, recomendado que seja formulada uma

poltica de uso dos servios de rede que especifique os servios permitidos, os procedimentos

e os controles para autorizao e gerenciamento de usurios e servios. Para as conexes de

usurios remotos exigido que se use de mtodos e tcnicas de autenticao seguras tais como

a criptografia e procolos seguros, e se for necessrio usar identificadores de equipamentos para

permitir que apenas os equipamentos autorizados tenham acesso aos servios remotos [5].

Os servios de informao, usurios e sistemas de informao precisam ser separados

em diferentes domnios de redes lgicas, isso permite controlar a segurana da informao

em grandes redes aplicando conjuntos de controles regulveis aos diferentes domnios.

importante que existam restries de acesso entre os diferentes domnios tais como, gateways

ou firewalls para impedir que usurios no acessem os domnios de rede aos quais no possua

autorizao [5].

1.8.5 Controle de acesso ao sistema operacional

O acesso aos sistemas operacionais precisa ser controlado para restringir o seu uso somente

pessoas autorizadas. Para isso, importante que existam mecanismos de entrada segura

no sistema tal como logon (ou login) diminuindo as chances de acessos no autorizados. E

que mecanismos pessoais de identificao nica sejam implementados permitindo rastrear as

atividades aos indivduos responsveis. Alm disso, usar sistemas para gerenciamento de senhas

35

que permita que os usurios escolham apenas senhas de qualidade, permitir que usurios tenham

acessos ao mnimo de utilitrios do sistema, usar mecanismos para controlar o limite de tempo

de sesso e limitar os horrios de conexo [5].

1.8.6 Controle de acesso aplicao e informao

O acesso aos sistemas de aplicao e informaes precisa ser controlado por mecanismos de

segurana da informao para restringir o acesso somente pessoas autorizadas. As restries

devem ser baseadas no que foi definido na poltica de controle de acesso e nos requisitos de

aplicaes individuais do negcio, alm de ser necessrio o isolamento fsico ou lgico dos

sistemas sensveis para diminuir os riscos de perdas [5].

1.8.7 Computao mvel e trabalho remoto

Para garantir a segurana da informao quando se utiliza a computao mvel e recursos de

trabalho remotos preciso criar uma poltica formal e adotar medidas de segurana apropriadas

para proteo da informao. Para a computao e comunicao mvel importante que se leve

em considerao requisitos de proteo fsica, controles de acesso, tcnicas de criptografia e

proteo contra vrus. J para o trabalho remoto, necessrio o desenvolvimento e implantao

de planos operacionais e procedimentos para evitar o acesso remoto no autorizado s redes

internas da organizao, assim como o roubo ou furto de equipamentos e informaes [5].

1.9 Aquisio, desenvolvimento e manuteno de sistemas deinformao

1.9.1 Requisitos de segurana de sistemas de informao

A segurana precisa ser parte integrante dos sistemas de informao, tais como sistemas

operacionais, aplicaes de negcio, infraestrutura, servios e aplicaes desenvolvidas pelo

usurio. Para isso, necessrio que os requisitos de controle de segurana automticos e

manuais sejam analisados e totalmente identificados durante a fase de requisitos dos sistemas

em desenvolvimento ou processo de aquisio, e sejam incorporados aos casos de negcio [5].

Para os produtos comprados preciso elaborar um processo formal de aquisio e testes

devendo avaliar todos os problemas e riscos envolvidos. Caso os requisitos de segurana

especificados no forem atendidos pelo produto importante que os riscos e controles sejam

36

reconsiderados antes da compra [5].

1.9.2 Processamento correto nas aplicaes

Para prevenir a ocorrncia de erros, perdas, modificaes no autorizadas ou mau uso dos

sistemas de informao importante que controles sejam incorporados ao projeto das aplicaes

para garantir o processamento correto das informaes. Esses controles devem incluir a

validao dos dados de entrada para assegurar que so corretos e apropriados, o controle do

processamento interno para detectar qualquer corrupo dos dados, a anlise e avaliao dos

riscos de segurana para determinar a integridade das mensagens e a validao dos dados de

sada para garantir que o processamento das informaes esto corretos e apropriados [5].

1.9.3 Controles criptogrficos

Para garantir a confidencialidade, autenticidade e a integridade das informao por meios

criptogrficos importante que seja desenvolvida e implementada uma poltica para o uso dos

controles criptogrficos. Essa poltica deve considerar as leis, regulamentaes e restries

nacionais ao uso de tcnicas de criptografia, assim como a abordagem gerencial dos controles,

identificao dos nveis de proteo e a abordagem de gerenciamento de chaves. No

gerenciamento de chaves importante implementar processos para proteger as chaves contra

modificaes, perdas e destruies. Os equipamentos utilizados para gerar e armazenar as

chaves precisam ser fisicamente protegidos para evitar divulgaes no autorizadas [5].

1.9.4 Segurana dos arquivos do sistema

O acesso aos arquivos de sistemas e aos programas de cdigo fonte precisa ser controlado,

assim como as atividades de projetos de tecnologia e suporte necessitam ser conduzidas de

forma segura. A norma prope a criao de procedimentos para controlar a instalao de

software nos sistemas operacionais para diminuir os riscos de comprometimento do sistema

[5].

1.9.5 Segurana em processos de desenvolvimento e de suporte

Os ambientes de projetos precisam ser controlados tendo como responsveis pela sua

segurana os gerentes de aplicativos, que devem assegurar que as mudanas propostas sero

analisadas para evitar o comprometimento dos sistemas ou dos ambientes operacionais. Assim,

37

os procedimentos de controle de mudanas devem ser implantados, documentados e reforados

para manter a integridade dos sistemas de informao [5].

Na ocorrncia de mudana de sistema operacional, necessrio que as aplicaes crticas

de negcio sejam analisadas e testadas para assegurar que no haver impactos desastrosos

na operao ou na segurana da organizao. As mudanas em pacotes de softwares devem

ser desencorajadas, e que s sejam realizadas se realmente forem necessrias e estritamente

controladas.

A organizao deve supervisionar e monitorar o desenvolvimento de softwares terceirizados

levando-se em considerao itens como acordos de licenciamento, certificao de qualidade,

requisitos contratuais e testes para deteco de cdigos maliciosos antes de sua instalao. Alm

de manter mecanismos para prevenir o vazamento de informaes.

1.9.6 Gesto de vulnerabilidades tcnicas

A organizao precisa implementar, de forma eficiente, uma gesto de vulnerabilidades

tcnicas que permita, em tempo hbil, obter informaes sobre vulnerabilidades dos sistemas

de informao que esto em funcionamento. Para assim, avaliar o grau de exposio da

organizao s vulnerabilidades e tomar as metidas cabveis para lidar com os riscos associados

[5].

1.10 Gesto de incidentes de segurana da informao

1.10.1 Notificao de fragilidades e eventos de segurana da informao

As fragilidades e eventos de segurana da informao relacionados com os sistemas de

informao precisam ser comunicados direo para permitir a tomada de aes corretivas

em um tempo satisfatrio. Para isso, importante estabelecer procedimentos para relatar os

eventos de segurana da informao junto com os procedimentos de resposta a incidentes e

escalonamento, permitindo identificar ao a ser tomada ao receber a notificao de um evento

de segurana da informao. A norma aconselha a definio de um ponto de contato, que seja

de conhecimento de toda a organizao, para receber as notificaes dos eventos de segurana.

Alm de comunicar a todos os funcionrios, fornecedores e terceiros suas responsabilidades de

notificar qualquer eventos de segurana da informao o mais breve possvel [5].

38

1.10.2 Gesto de incidentes de segurana da informao e melhorias

Para garantir que a gesto de incidentes de segurana da informao tenha um enfoque

consistente e efetivos preciso estabelecer procedimento e responsabilidades para assegurar

respostas rpidas e efetivas aos incidentes de segurana da informao. Alm disso preciso

elaborar mecanismos para quantificar e monitorar os tipos, quantidades e custos dos incidentes

de segurana e a informaes resultantes da anlise desses dados devem ser usadas para

identificar incidentes recorrentes ou de alto impacto. Em casos de uma ao legal contra

uma pessoa ou uma organizao necessrio coletar, armazenar e apresentar as evidncias

em conformidade com as normas de armazenamento de evidncias da jurisdio em questo

[5].

1.11 Gesto da continuidade do negcio

1.11.1 Aspectos da gesto da continuidade do negcio, relativos segu-rana da informao

Na gesto da continuidade do negcio importante implementar processos para minimizar

os impactos de desastres e falhas nos sistemas de informao da organizao. Estes devem

ter como propsito a proteo dos processos crticos de negcio no permitindo a interrupo

das atividades da organizao e em casos de falhas garantir a sua retomada em um tempo

satisfatrio. Para isso necessrio a identificao dos eventos que podem causar a interrupo

dos processos de negcio, e depois realizar uma anlise e avaliao dos riscos para determinar

a probabilidade e o impacto das interrupes considerando os danos e o tempo de recuperao

[5].

A norma prope o desenvolvimento e implantao de planos de continuidade para a

manuteno e a recuperao das operaes e para assegurar a disponibilidade das informaes.

O planejamento precisa considerar aspectos como, identificao das responsabilidades e

processos de continuidade do negcio, identificao de perdas aceitveis, bem como testes

e atualizaes dos planos de continuidade. importante que os planos de continuidade do

negcio mantenham uma estrutura bsica para garantir a consistncia de todos os planos

devendo descrever o enfoque para continuidade, especificar o escalonamento e as condies

de ativao, assim como as responsabilidades individuais para execuo de cada uma das

atividades do plano [5].

Regularmente preciso testar e atualizar os planos de continuidade do negcio para

39

garantir sua efetividade. Devendo certificar que os membros da equipe de recuperao estejam

conscientes de suas responsabilidades para quando o plano for acionado. Pode-se usar tcnicas

como, testes de mesa simulando vrios cenrios, ensaio geral e testes de recuperao para

assegurar que os planos iro operar consistentemente em casos reais. Os resultados dos testes

realizados precisam ser registrados para que possam ser tomadas aes de melhoria dos planos

[5].

1.12 Conformidade

1.12.1 Conformidade com requisitos legais

Muitas vezes, na gesto de sistemas de informao a organizao precisa se enquadrar

com requisitos de segurana contratuais, regulamentares ou estatutrios para evitar violaes

de quaisquer obrigaes legais. Assim, necessrio definir, documentar e manter atualizados

os requisitos legais e contratuais que esto no enfoque da organizao. Bem como, estabelecer

procedimentos para garantir que a empresa est em conformidade com os requisitos legais que

tangem o uso de materiais intelectuais podendo ser o uso de softwares proprietrios, documentos

e licenciamentos especficos [5].

Os registros da organizao precisam ser protegidos contra perdas, destruio e falsificaes

como previstos nos requisitos legais e de negcio. Devendo ser categorizados por tipos,

constando detalhes do perodo de reteno e mdias de armazenamento. Do mesmo modo,

cabe a organizao desenvolver e implementar uma poltica de privacidade e proteo de dados

que assegure a conformidade com a legislao e regulamentao vigente. A manipulao de

dados criptografados tambm precisam obedecer a legislao. A organizao precisa informa

a todos os usurios qual o escopo de suas permisses de acesso e que esto sendo monitorados

para assegurar que no haver uso no autorizado da parte deles dos sistemas de informao da

organizao [5].

1.12.2 Conformidade com normas e polticas de segurana da informaoe conformidade tcnica

Os gerentes e proprietrios de sistemas devem garantir que todos os procedimentos de

segurana da informao da sua rea de responsabilidade esto sendo executados corretamente,

alm de realizar anlise peridicas para assegurar a conformidade com as polticas e normas de

segurana [5].

40

importante que os sistemas de informao tenham suas conformidades tcnicas verifica-

das regularmente por pessoas autorizadas e competentes devendo gerar relatrios que precisam

ser analisados por um tcnico especializado. A verificao de conformidade engloba teste de

invaso e avaliao de vulnerabilidades que precisam ser realizados por pessoas especializadas,

todo o este procedimento precisa ser planejado e documentado [5].

1.12.3 Consideraes quanto auditoria de sistemas de informao

As auditorias precisam ser cuidadosamente planejadas para maximizar a eficcia e minimi-

zar os inconvenientes no processo de auditorias dos sistemas de informao. importante que

existam controles para a proteo de sistemas operacionais e ferramentas de auditoria durante o

processo de verificao, tambm sendo necessrio prevenir o uso indevido das ferramentas de

auditoria [5].

41

2 ITIL r v3 - IT Infrastructure Library

No final dos anos 1980, em resposta a crescente dependncia de TI dos negcios, a Agncia

Central de Computao e Telecomunicaes (CCTA) do governo britnico desenvolveu uma

srie de livros documentando uma abordagem de gerenciamento de servios de TI necessria

para dar suporte aos usurios de negcio. Esta biblioteca de prticas, que na sua verso original

era composta por mais de 40 livros, foi ento chamada de IT Infrastructure Library, mais

conhecida como ITIL r [9].

Posteriormente, a verso original foi revisada e substituda pela ITIL r v2 (verso 2),

formada por 9 livros, que preenche as lacunas entre a tecnologia e o negcio sendo fortemente

focada na entrega de servios. A ITIL r v2 foi a base para a norma British Standard 15000

que foi introduzida norma ISO 20000:2005, ganhando reconhecimento mundial [9].

Com o rpido avano da tecnologia da informao surgiu a necessidade de renovar a

corrente abordagem para enfrentar os novos desafios do gerenciamento de servios de TI, em

2007, foi lanada a ITIL r v3 que uma atualizao completa da verso 2. Esta verso

composta por cinco livros oficiais organizados em torno de uma estrutura de ciclo de vida de

servio (ver Figura 2.1), sendo Service Strategy, Service Design, Service Transition, Service

Operation e Continual Service Improvement [9].

42

Figura 2.1: Ciclo de vida de servio da ITIL r v3.

Neste captulo sero abordadas as cinco fases do ciclo de vida de servio da ITIL r v3 e

os seus respectivos processos.

2.1 Estratgia de Servio

A Estratgia de Servio o ponto de partida do ciclo de vida de um servio na ITIL r

v3 provendo orientaes de como desenhar, desenvolver e implementar o gerenciamento de

servios no somente como uma habilidade organizacional, mas sim como um ativo estratgico.

Nesta fase, so providas orientaes sobre os princpios que sustentam o gerenciamento

de servios que so teis no desenvolvimento de polticas de gerenciamento de servios,

recomendaes e processos em todo o ciclo de vida de servio da ITIL r [10].

Estas orientaes, so usadas pelas organizaes para estabelecer seus objetivos e expec-

tativas de desempenho para servir os clientes e os nichos de mercado, alm de servir para

identificar, selecionar e priorizar as oportunidades de negcio. A Estratgia de Servio assegura

que as organizaes esto em uma posio para lidar com os custos e riscos associados com os

seus portflios de servios, identificando os requisitos e necessidades de negcio que precisam

ser documentados em Pacotes de Nvel de Servio (PNS) [10].

43

2.1.1 Gerenciamento financeiro

O gerenciamento financeiro fornece uma viso geral dos valores envolvidos na prestao

de servio, possibilitando o aumento da percepo dos resultados e dando condies a uma

tomada de deciso mais eficaz. Tambm fornece decises administrativas no que se refere aos

investimentos em TI e incentiva a conscincia dos custos no uso da infraestrutura de TI [10].

Os objetivos do gerenciamento financeiro so:

Agregar qualidade a tomada de decises

Tornar as mudanas mais geis

Facilitar o gerenciamento do portflio de servio

Maior controle dos recursos financeiros

Agregar valor

2.1.2 Gerenciamento da demanda

O propsito do gerenciamento de demanda compreender e influenciar as demandas de

clientes pelos servios e a proviso de capacidade para atendimento s demandas. Este processo

analisa, rastreia, monitora e documenta os padres de atividade do negcio (PAN), a fim de

prever as demandas atuais e futuras por servios. So esses padres de atividade que vo dizer

como o cliente usa o servio e quais os perodos de maior uso do servio. Tambm recomenda

atividades baseadas no gerenciamento da demanda e no relacionamento de padres de demanda

para assegurar que os planos de negcio do cliente estejam sincronizados com os planos de

negcio do provedor de servio [10].

No nvel estratgico, faz anlise de padres de negcio e perfis de usurios. No nvel ttico,

define o uso de mecanismos de diferenciao para encorajar o uso adequado dos servios. Este

processo fornece como resultado um Pacote de Nvel de Servio (PNS) que define o valor dos

servios em termos de utilidade e garantia [10].

2.1.3 Gerenciamento de portflio de servio

O gerenciamento de portflio de servio fornece informaes de todos os servios, que

podem ser os servios atuais, em desenvolvimento ou desativados. A partir dele, possvel saber

44

quais servios esto em desenvolvimento, quais esto em operao e quais servios precisam

ou j foram desativados. Neste processo, os servios so descritos em termos de valor para

o negcio, so definidas as necessidades do negcio e as solues adotadas pelo provedor de

servio. Com ele, tambm, possvel comparar os servios oferecidos por outros provedores

de servio, com base no valor e descrio [10].

As atividades descritas no gerenciamento de portflio de servio so:

Definir: fazer o inventrio de servios, garantir oportunidades de negcio e validar osdados do portflio

Analisar: maximizar o valor do portflio, alinhar, priorizar e balancear a oferta e ademanda

Aprovar: finalizar o portflio proposto, autorizar os servios e recursos

Contratar: comunicar as decises, alocar os recursos e realizar as contrataes

2.2 Desenho de Servio

O Desenho de Servio segunda fase do ciclo de vida do ITIL r , fornece os princpios e

mtodos de desenho para converter os objetivos estratgicos em portflios e ativos de servios,

garantindo que os servios de TI esto alinhados s necessidades de negcio. Tem como

objetivo principal a concepo de servios de TI em conformidade com as prticas, processos e

polticas de governana de TI para consolidar a estratgia e facilitar a introduo destes servios

no ambiente de produo. E desta forma, assegurar a qualidade da entrega dos servios, a

satisfao dos clientes e o custo-benefcio na prestao dos servios [11].

2.2.1 Gerenciamento de catlogo de servio

O objetivo do processo de gerenciamento de catlogo de servio produzir e manter um

Catlogo de Servio, contendo informaes precisas sobre todos os servios em operao e

tambm sobre aqueles que esto prontos para operao. Prover valor ao negcio como uma

fonte central de informao sobre os servios entregues pelo provedor de servio, garantindo

que todas as reas do negcio possam ter uma viso exata e consistente dos servios de TI

em uso, assim como, assegurar que as informaes no Catlogo de Servios esto corretas e

refletem os seus detalhes e a sua situao. Ele tem sua viso de servio voltada para os clientes,

45

mostrando como os servios sero utilizados, quais processos de negcio eles habilitam e quais

nveis e que qualidade de servios os clientes podem esperar de cada servio [11].

As atividades do gerenciamento de catlogo de servio so:

Definio de servio

Produo e manuteno de um Catlogo de Servio

Estabelecimento de interfaces, dependncias e consistncias entre o Catlogo de Servioe o Portflio de Servio

Estabelecimento de interfaces e dependncias entre todos os servios e os servios desuporte do Catlogo de Servio

Estabelecimento de interfaces e dependncias entre todos os servios e componentesde suporte e itens de configurao relacionados aos servios que esto no Catlogo de

Servio.

2.2.2 Gerenciamento do nvel de servio

O gerenciamento do nvel de servio responsvel por negociar, acordar e documentar

as metas dos servios de TI com os representantes do negcio, monitorando e produzindo

relatrios sobre a capacidade que o provedor de servio tem em fornecer o nvel de servio

acordo. Responsvel, tambm, por acordar e documentar as responsabilidades nos Acordos de

Nvel de Servio (ANSs) e nos Requisitos de Nvel de Servio (RNSs), para todas as atividade

dentro da TI. O seu sucesso totalmente dependente da qualidade do contedo do portflio de

servio e do catalogo de servio, uma vez que fornecem as informaes necessrias sobre os

servios a serem geridos [11].

O ANS um acordo entre o provedor de servio e um cliente, ele descreve o servio,

documenta as metas de nvel de servio e especifica as responsabilidades do provedor de servio

e do cliente. No geral, representa um nvel de confiana ou garantia da qualidade do servio

prestado. O RNS um requisito do cliente em relao aos aspectos dos servios de TI, baseado

nos objetivos do negcio e usado para negociar as metas de nveis de servio [11].

Os objetivos do gerenciamento do nvel de servio so:

Definir, documentar, acordar, monitorar, medir, reportar e revisar os nveis dos serviosde TI fornecidos

46

Propiciar e aprimorar o relacionamento e a comunicao com a empresa e clientes

Garantir que as metas especificas e mensurveis so desenvolvidas para todos os servios

Monitorar e melhorar a satisfao dos clientes com a qualidade dos servios prestados

Assegurar que a TI e o cliente tem uma clara e inequvoca expectativa do nvel de servioque ser entregue

Garantir que as medidas pr-ativas para melhoria dos servios prestados so executadassempre que os seus custos forem justificveis.

2.2.3 Gerenciamento da capacidade

O gerenciamento da capacidade um processo que se estende ao longo de todo o ciclo

de vida, garantindo que a relao custo-benefcio sempre exista em todas as reas de TI e seja

correspondente as atuais e futuras necessidades do negcio. Tambm mantem os nveis de

entrega de servios acordados a um custo acessvel, alm de assegurar que a capacidade da

infraestrutura de TI esteja alinhada com as necessidades do negcio [11].

Os objetivos do gerenciamento da capacidade so:

Produzir e manter um plano de capacidade apropriado e atualizado que reflita as atuais efuturas necessidades do negcio

Propiciar recomendaes e orientaes sobre as questes de capacidade para todas asoutras reas de negcio e TI

Certificar que os resultados de desempenho de servio atendem ou excedem todas asmetas acordadas, gerenciando o desempenho e a capacidade dos servios e recursos.

Auxiliar no diagnstico e resoluo de incidentes e problemas relacionados com odesempenho e a capacidade

Avaliar as mudanas no plano de capacidade e o desempenho e capacidade de todos osservios e recursos

Garantir que medidas pr-ativas sejam implantadas para melhorar o desempenho dosservios a um custo justificvel.

47

2.2.4 Gerenciamento da disponibilidade

O propsito do gerenciamento da disponibilidade garantir que o nvel de disponibilidade

de servio prestado em todos os servios corresponde ou excede as necessidades atuais e futuras

do negcio, de forma rentvel. Tambm fornece um ponto de foco e gerenciamento para todas

as questes relacionadas a disponibilidade de servios e recursos, assegurando que as metas de

disponibilidade em todas as reas so medidas e alcanadas [11].

Os objetivos do gerenciamento da disponibilidade so:

Produzir e manter atualizado um plano de disponibilidade que reflita as atuais e futurasnecessidades do negcio

Propiciar recomendaes e orientaes sobre as questes de disponibilidade para todas asoutras reas de negcio e TI

Certificar que os resultados da disponibilidade de servio atendem ou excedem todas asmetas acordadas, atravs do gerenciamento dos servios e recursos relacionados com o

desempenho disponvel

Auxiliar no diagnstico e resoluo de incidentes e problemas relacionados com disponi-bilidade

Avaliar o impacto das mudanas no plano de disponibilidade e o desempenho ecapacidade de todos os servios e recursos

Garantir que medidas pr-ativas para a melhora da disponibilidade de servios sejamimplantadas sempre que seus custos forem justificveis.

2.2.5 Gerenciamento da continuidade do servio de TI

O gerenciamento da continuidade do servio de TI tem como propsito dar suporte aos

processos do Gerenciamento da Continuidade do Negcio, garantindo que os requisitos tcnicos

de servios e de TI possam ser retomados dentro de escalas de tempo requeridas e acordadas

[11].

Os objetivos do gerenciamento da continuidade do servio de TI so:

Manter um conjunto de planos de continuidade de servios de TI e planos de recuperaode servios de TI que possam suportar completamente o Plano de Continuidade do

Negcio da organizao

48

Completar revises regulares da Anlise de Impacto do Negcio para garantir que todosos planos de continuidade so mantidos alinhados com os impactos e requisitos de

mudanas do negcio

Realizar revises regulares de avaliao e gerenciamento de risco, particularmente emconjunto com o negcio e os processos de Gerenciamento da Disponibilidade e de

Gerenciamento da Segurana

Propiciar recomendaes e orientaes sobre as questes de continuidade e recuperaopara todas as outras reas de negcio e TI

Certificar que os mecanismos adequados de continuidade e recuperao so colocadosem prtica para atender ou exceder as metas de continuidade do negcio acordadas

Avaliar o impacto de todas as mudanas nos planos de continuidade de servio de TI eplanos de recuperao

Garantir que medidas pr-ativas para a melhora da disponibilidade de servios sejamimplantadas sempre que seus custos forem justificveis

Negociar e acordar os contratos necessrios com os fornecedores para fornecimento dacapacidade de recuperao necessria para manter todos os planos juntamente com os

processos do Gerenciamento de Fornecedor.

2.2.6 Gerenciamento de segurana da informao

O propsito do gerenciamento de segurana da informao alinhar a segurana de TI

com a segurana de negcio, garantindo que a segurana da informao gerenciada de forma

eficaz em todos os servios e atividades de TI. A segurana da informao uma atividade de

gerenciamento que est dentro da estrutura de governana corporativa, a qual fornece a direo

estratgica para as atividades de segurana, assegurando que os objetivos sejam alcanados.

Alm disso, garante que os risos de segurana so devidamente controlados e que os recursos

da empresa so utilizados de maneira responsvel [11].

Este processo foi baseado na norma ISO/IEC 27001 e assume uma abordagem modificada

da estrutura PDCA (Plan-Do-Check-Act) para o gerenciamento da segurana da informao

que utiliza a seguinte terminologia CPIAM:

Controlar: a primeira atividade do gerenciamento da segurana da informao,

49

tratando da organizao e do gerenciamento do processo, alocando responsabilidades e

estabelecendo e controlando documentaes

Planejar: aconselhar e recomendar medidas de segurana adequadas, com base noentendimento dos requisitos da organizao

Implementar: garantir que os procedimentos adequados, ferramentas e controles esto emconformidade para apoiar a segurana da informao

Avaliar: supervisionar e checar o cumprimento da poltica de segurana e os requisitos desegurana nos ANSs e ANOs e realizar auditorias regulares

Manter: melhorar os acordos de segurana e aplicao das medidas e controles

Os objetivos do gerenciamento de segurana da informao so:

Assegurar que as informaes estejam disponveis quando forem necessrias, alm de queos sistemas estejam preparados para resistir a ataques ou falhas de segurana, garantindo

sua disponibilidade

Garantir que a informao somente seja acessada ou divulgada para pessoas autorizadas,assegurando sua confidencialidade

Garantir que as informaes esto completas, precisas e protegidas contra modificaesno autorizadas, assegurando sua integridade

Garantir que as transaes de negcio e a troca de informaes entre as empresase parceiros seja realizada de maneira confivel, assegurando a autenticidade e o no

repdio.

2.2.7 Gerenciamento de fornecedor

O propsito do processo de gerenciamento de fornecedor garantir que os fornecedores e

os servios fornecidos por eles sejam gerenciados para suportar as metas dos servios de TI e as

expectativas do negcio. Ajudando a melhora a percepo da qualidade dos servios prestados

por parceiros e fornecedores de modo a beneficiar o negcio e a organizao. Tambm contribui

para que seja obtido o retorno adequado dos fornecedores garantindo que eles alcancem as metas

estabelecidas em seus contratos [11].

Os objetivos do gerenciamento de fornecedor so:

50

Agregar valor o dinheiro investido em fornecedores e contratos

Garantir que os contratos, acordos com fornecedores estejam alinhados as necessidadesdo negcio, RNS e ANS

Gerenciar as relaes com os fornecedores

Gerenciar o desempenho dos fornecedores

Negociar e acordar contratos com fornecedores e gerencia-los atravs do ciclo de vida

Manter uma poltica de fornecedores e um banco de dados de contratos e fornecedores.

2.3 Transio de Servio

A Transio de Servio fornece orientaes para o desenvolvimento e melhoria da

capacidade de transio de servios novos e modificados. Mostra como os requisitos da

Estratgia de Servio codificados no Desenho de Servio sero realizados na Operao de

Servio, controlando os riscos de falhas e interrupes. Em linhas gerais, ela serve como um

elo que liga a fase de Desenho de Servio fase de Operao de Servio [12].

2.3.1 Planejamento e suporte da transio

O planejamento e suporte da transio tem como propsito planejar e coordenar os recursos

assegurando que os requisitos da Estratgia de Servio codificados no Desenho de Servio so

efetivamente realizados na Operao de Servio. Alm de identificar, gerenciar e controlar os

riscos de falhas e interrupes atravs das atividades de transio [12].

Os objetivos do planejamento e suporte da transio so:

Planejar e coordenar os recursos para estabelecer com sucesso um servio novo oumodificado no ambiente de produo, dentro dos custos previstos e estimativas de

qualidade e tempo

Assegurar que todas as partes adotem as mesmas estruturas de padres reutilizveis deprocesso e sistemas de suporte, a fim de melhorar a eficcia e a eficincia do planejamento

integrado e atividades de coordenao

Oferecer planos claros e abrangentes que habilitem projetos de mudanas para alinhar assuas atividades s dos planos de Transio de Servio.

51

2.3.2 Gerenciamento de mudanas

O gerenciamento de mudanas tem como propsito assegurar que as mudanas so

realizadas de forma controlada, alm de serem planejadas, avaliadas, implementadas, testadas e

documentadas [12].

Os objetivos do gerenciamento de mudanas so:

Responder s mudanas de requisitos de negcio dos clientes minimizando o valor ereduzindo os incidentes, interrupes e retrabalho

Responder s solicitaes de negcio e TI para mudanas que alinharam os servios comas necessidades do negcio.

2.3.3 Gerenciamento da configurao e de ativo de servio

O propsito do gerenciamento da configurao e de ativo de servio definir e controlar os

componentes de servio e infraestrutura e manter a exatido da informao de configurao no

histrico, planejada e refletindo o estado atual dos servios e infraestrutura [12].

Os objetivos do gerenciamento da configurao e de ativo de servio so:

Apoiar o negcio e os objetivos de controle e requisitos dos clientes

Apoiar a eficincia e eficacia dos processos de gerenciamento de servio proporcionandoa exatido da informao de configurao para habilitar as pessoas a tomarem decises

no momento certo.

Minimizar o nmero de questes de qualidade e conformidade causadas por configura-es incorretas de servios e ativos.

Otimizar os ativos de servio, configuraes de TI, capacidade e recursos.

2.3.4 Gerenciamento de liberao e implantao

O gerenciamento de liberao e implantao tem como propsito implantar as liberaes

no ambiente de produo e estabelecer o uso eficaz do servio, a fim de entregar valor ao cliente

e ser capaz de passar as liberaes para Operao de Servio [1