tcc marcelo
TRANSCRIPT
-
Marcelo Fernandes de Luna
Gesto da Segurana da Informao com ITIL r v3e ISO/IEC 27002
Londrina
2010
-
Marcelo Fernandes de Luna
Gesto da Segurana da Informao com ITIL r v3e ISO/IEC 27002
Trabalho apresentado Universidade Estadualde Londrina, como parte do requisito paraobteno do ttulo de Bacharel em Cincia daComputao.
Orientador: Prof. Dr. Rodolfo Miranda de Barros
UNIVERSIDADE ESTADUAL DE LONDRINA
Londrina
2010
-
Marcelo Fernandes de Luna
Gesto da Segurana da Informao com ITIL r v3e ISO/IEC 27002
Prof. Dr. Rodolfo Miranda de BarrosUniversidade Estadual de Londrina
Prof. Ms. Elieser Botelho Manhas Jr.Universidade Estadual de Londrina
Prof. Dr. Mario Lemes Proena Jr.Universidade Estadual de Londrina
Londrina 30 de Novembro de 2010
-
Aos meus pais...
-
Agradecimentos
Primeiramente gostaria de agradecer imensamente aos meus pais, Elisonete e Antnio, que
com muito amor me ensinaram a ser quem eu sou. Mais do que isso, me mostraram como levar
uma vida digna e honesta, me dando fora nos momentos bons e nos momentos ruins. Pessoas
maravilhosas que tenho muito orgulho de ser filho.
Aos meus familiares, que em todos os momentos me deram apoio e me incentivaram a
continuar lutando.
minha prima de corao Ana Paula, por ter me aguentado durante todo esse ano e por ter
me doado um pouco do seu tempo para ajudar nas correes deste trabalho.
Gostaria de agradecer ao Alexandre e a Angela, por terem me dado apoio nos meus
primeiros anos em Londrina; em especial a Angela por ter cedido sua casa sem nem mesmo
me conhecer.
Agradeo ao meu orientador, professor Dr. Rodolfo Miranda de Barros pela oportunidade
de trabalhar em seu projeto, pela pacincia e confiana neste tempo de convivncia.
professora DraMaria Anglica de Oliveira Camargo Brunetto pela oportunidade de
trabalhar em seus projetos e por ter me mostrado o mundo da pesquisa.
Aos meus amigos com quem convivi nestes anos de faculdade, pelo companheirismos e pe-
los bons momentos. Em especial aos amigos do Banquinho da Alegria que me proporcionaram
momentos de alegria e crescimento pessoal.
Ao Huemer, pela ajuda no estgio, pelo interesse e por me ajudar na correo deste trabalho.
No poderia deixar de agradecer a todos os professores que ao transmitirem seus conheci-
mentos contriburam para meu desenvolvimento acadmico.
Sou grato por todas as pessoas que estiveram presentes em minha vida, so tantas pessoas
que ao nomin-las poderia me esquecer de algum, portanto deixo o meu muito obrigado a elas
por fazerem parte dela.
-
"A mente que se abre a uma nova idia jamais volta ao seu tamanho original"
Albert Einstein
-
Resumo
A Tecnologia da Informao (TI) tem se tornado cada vez mais importante para que asorganizaes obtenham maior proveito de suas informaes, maximizando os benefcios eproporcionando maior competitividade. Com a necessidade de se alinhar com os objetivosda organizao, a TI tem buscado em padres consolidados, como a ITIL, o CobiT e a srieISO/IEC 27000 de normas relacionadas a Segurana da Informao, formas de atender aosinteresses empresariais das organizaes. Neste contexto, o presente trabalho tem por finalidadedesenvolver um estudo que relaciona as fases do ciclo de vida de servio da ITIL r v3 comas sees da norma ISO/IEC 27002, objetivando mostrar como a norma pode contribuir paramelhorar a qualidade e segurana dos servios prestados pelas organizaes que se utilizamda Tecnologia da Informao para agregar valor ao seu negcio e serem geis nas tomadas dedeciso.Palavra-chave: ITIL r , ISO/IEC 27002, segurana da informao
-
Abstract
Information Technology (IT) has become increasingly important to organizations totake greater advantage of their information, maximizing benefits and providing increasedcompetitiveness. With the need to align with the goals of the organization, IT has soughtin pattern consolidated, such as ITIL r , CobiT r and the series ISO/IEC 27000 standardsrelated to information security, forms of serve the interests of business organizations. In thiscontext, this work aims to develop a study that relates the Service Lifecycle of ITIL r v3 andthe sections of ISO/IEC 27002, aiming to show how the standard can help improve the qualityand safety of services provided by organizations that use Information Technology to add valueto your business and be agile in decision-making.Key-word: ITIL r , ISO/IEC 27002, Information Security
-
Sumrio
Lista de Figuras
Lista de Tabelas
Lista de Abreviaturas p. 15
Introduo p. 17
1 NBR ISO/IEC 27002 p. 20
1.1 Anlise/Avaliao e tratamento de riscos . . . . . . . . . . . . . . . . . . . . p. 20
1.1.1 Analisando/avaliando os riscos de segurana da informao . . . . . p. 20
1.1.2 Tratando os riscos de segurana da informao . . . . . . . . . . . . p. 21
1.2 Poltica de segurana da informao . . . . . . . . . . . . . . . . . . . . . . p. 21
1.3 Organizando a segurana da informao . . . . . . . . . . . . . . . . . . . . p. 22
1.3.1 Organizao interna . . . . . . . . . . . . . . . . . . . . . . . . . . p. 22
1.3.2 Partes externas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 24
1.4 Gesto de ativos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 24
1.4.1 Responsabilidade pelos ativos . . . . . . . . . . . . . . . . . . . . . p. 24
1.4.2 Classificao da informao . . . . . . . . . . . . . . . . . . . . . . p. 25
1.5 Segurana em recursos humanos . . . . . . . . . . . . . . . . . . . . . . . . p. 25
1.5.1 Antes da contratao . . . . . . . . . . . . . . . . . . . . . . . . . . p. 25
1.5.2 Durante a contratao . . . . . . . . . . . . . . . . . . . . . . . . . p. 25
1.5.3 Encerramento ou mudana da contratao . . . . . . . . . . . . . . . p. 26
-
1.6 Segurana fsica e do ambiente . . . . . . . . . . . . . . . . . . . . . . . . . p. 26
1.6.1 reas seguras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 26
1.6.2 Segurana de equipamentos . . . . . . . . . . . . . . . . . . . . . . p. 27
1.7 Gerenciamento das operaes e comunicaes . . . . . . . . . . . . . . . . . p. 28
1.7.1 Procedimentos e responsabilidades operacionais . . . . . . . . . . . p. 28
1.7.2 Gerenciamento de servios terceirizados . . . . . . . . . . . . . . . . p. 28
1.7.3 Planejamento e aceitao dos sistemas . . . . . . . . . . . . . . . . . p. 29
1.7.4 Proteo contra cdigos maliciosos e cdigos mveis . . . . . . . . . p. 29
1.7.5 Cpias de segurana . . . . . . . . . . . . . . . . . . . . . . . . . . p. 29
1.7.6 Gerenciamento da segurana em redes . . . . . . . . . . . . . . . . . p. 30
1.7.7 Manuseio de mdias . . . . . . . . . . . . . . . . . . . . . . . . . . p. 30
1.7.8 Troca de informaes . . . . . . . . . . . . . . . . . . . . . . . . . . p. 31
1.7.9 Servios de comrcio eletrnico . . . . . . . . . . . . . . . . . . . . p. 32
1.7.10 Monitoramento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 32
1.8 Controle de acesso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 33
1.8.1 Requisitos de negcio para controle de acesso . . . . . . . . . . . . . p. 33
1.8.2 Gerenciamento de acesso do usurio . . . . . . . . . . . . . . . . . . p. 33
1.8.3 Responsabilidades dos usurios . . . . . . . . . . . . . . . . . . . . p. 34
1.8.4 Controle de acesso rede . . . . . . . . . . . . . . . . . . . . . . . . p. 34
1.8.5 Controle de acesso ao sistema operacional . . . . . . . . . . . . . . . p. 34
1.8.6 Controle de acesso aplicao e informao . . . . . . . . . . . . . p. 35
1.8.7 Computao mvel e trabalho remoto . . . . . . . . . . . . . . . . . p. 35
1.9 Aquisio, desenvolvimento e manuteno de sistemas de informao . . . . p. 35
1.9.1 Requisitos de segurana de sistemas de informao . . . . . . . . . . p. 35
1.9.2 Processamento correto nas aplicaes . . . . . . . . . . . . . . . . . p. 36
1.9.3 Controles criptogrficos . . . . . . . . . . . . . . . . . . . . . . . . p. 36
-
1.9.4 Segurana dos arquivos do sistema . . . . . . . . . . . . . . . . . . . p. 36
1.9.5 Segurana em processos de desenvolvimento e de suporte . . . . . . p. 36
1.9.6 Gesto de vulnerabilidades tcnicas . . . . . . . . . . . . . . . . . . p. 37
1.10 Gesto de incidentes de segurana da informao . . . . . . . . . . . . . . . p. 37
1.10.1 Notificao de fragilidades e eventos de segurana da informao . . p. 37
1.10.2 Gesto de incidentes de segurana da informao e melhorias . . . . p. 38
1.11 Gesto da continuidade do negcio . . . . . . . . . . . . . . . . . . . . . . . p. 38
1.11.1 Aspectos da gesto da continuidade do negcio, relativos segurana
da informao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 38
1.12 Conformidade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 39
1.12.1 Conformidade com requisitos legais . . . . . . . . . . . . . . . . . . p. 39
1.12.2 Conformidade com normas e polticas de segurana da informao e
conformidade tcnica . . . . . . . . . . . . . . . . . . . . . . . . . . p. 39
1.12.3 Consideraes quanto auditoria de sistemas de informao . . . . . p. 40
2 ITIL r v3 - IT Infrastructure Library p. 41
2.1 Estratgia de Servio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 42
2.1.1 Gerenciamento financeiro . . . . . . . . . . . . . . . . . . . . . . . p. 43
2.1.2 Gerenciamento da demanda . . . . . . . . . . . . . . . . . . . . . . p. 43
2.1.3 Gerenciamento de portflio de servio . . . . . . . . . . . . . . . . . p. 43
2.2 Desenho de Servio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 44
2.2.1 Gerenciamento de catlogo de servio . . . . . . . . . . . . . . . . . p. 44
2.2.2 Gerenciamento do nvel de servio . . . . . . . . . . . . . . . . . . . p. 45
2.2.3 Gerenciamento da capacidade . . . . . . . . . . . . . . . . . . . . . p. 46
2.2.4 Gerenciamento da disponibilidade . . . . . . . . . . . . . . . . . . . p. 47
2.2.5 Gerenciamento da continuidade do servio de TI . . . . . . . . . . . p. 47
2.2.6 Gerenciamento de segurana da informao . . . . . . . . . . . . . . p. 48
-
2.2.7 Gerenciamento de fornecedor . . . . . . . . . . . . . . . . . . . . . p. 49
2.3 Transio de Servio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 50
2.3.1 Planejamento e suporte da transio . . . . . . . . . . . . . . . . . . p. 50
2.3.2 Gerenciamento de mudanas . . . . . . . . . . . . . . . . . . . . . . p. 51
2.3.3 Gerenciamento da configurao e de ativo de servio . . . . . . . . . p. 51
2.3.4 Gerenciamento de liberao e implantao . . . . . . . . . . . . . . p. 51
2.3.5 Validao e teste de servio . . . . . . . . . . . . . . . . . . . . . . p. 52
2.3.6 Avaliao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 53
2.3.7 Gerenciamento do conhecimento . . . . . . . . . . . . . . . . . . . . p. 53
2.4 Operao de Servio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 54
2.4.1 Gerenciamento de evento . . . . . . . . . . . . . . . . . . . . . . . . p. 54
2.4.2 Gerenciamento de incidente . . . . . . . . . . . . . . . . . . . . . . p. 55
2.4.3 Cumprimento de requisio . . . . . . . . . . . . . . . . . . . . . . p. 56
2.4.4 Gerenciamento de problema . . . . . . . . . . . . . . . . . . . . . . p. 56
2.4.5 Gerenciamento de acesso . . . . . . . . . . . . . . . . . . . . . . . . p. 57
2.5 Melhoria de Servio Continuada . . . . . . . . . . . . . . . . . . . . . . . . p. 58
2.5.1 Processo de melhoria em 7 etapas . . . . . . . . . . . . . . . . . . . p. 58
2.5.2 Relatrio de servio . . . . . . . . . . . . . . . . . . . . . . . . . . p. 59
2.5.3 Mensurao de servios . . . . . . . . . . . . . . . . . . . . . . . . p. 59
3 ISO/IEC 27002 e ITIL r v3 como ferramenta para alinhar segurana da
informao ao negcio p. 60
3.1 Estratgia de Servio e a norma ISO/IEC 27002 . . . . . . . . . . . . . . . . p. 62
3.2 Desenho de Servio e a norma ISO/IEC 27002 . . . . . . . . . . . . . . . . . p. 63
3.3 Transio de Servio e a norma ISO/IEC 27002 . . . . . . . . . . . . . . . . p. 65
3.4 Operao de Servio e a norma ISO/IEC 27002 . . . . . . . . . . . . . . . . p. 65
3.5 Melhoria Contnua e a norma ISO/IEC 27002 . . . . . . . . . . . . . . . . . p. 67
-
Concluso p. 68
Referncias Bibliogrficas p. 70
-
Lista de Figuras
2.1 Ciclo de vida de servio da ITIL r v3. . . . . . . . . . . . . . . . . . . . . . p. 42
3.1 Relao entre a ITIL r v3 e a ISO/IEC 27002. . . . . . . . . . . . . . . . . . p. 61
-
Lista de Tabelas
3.1 ITIL r v3 ISO/IEC 27002. . . . . . . . . . . . . . . . . . . . . . . . . . . p. 62
-
15
Lista de Abreviaturas
TI Tecnologia da Informao
ITIL r Information Technology Infrastructure Library
CobiT r Control Objectives for Information and Related Technology
ISO International Organization for Standardization
IEC International Electrotechnical Commission
SOX Sarbanes-Oxley
GSI Gerenciamento da Segurana da Informao
SI Segurana da Informao
NBR Norma Brasileira
CD Compact Disc
DVD Digital Video Disc
CCTA Central Computer and Telecommunications Agency
BS British Standard
PNS Pacote de Nvel de Servio
PAN Padro de Atividade do Negcio
-
16
ANS Acordo de Nvel de Servio
RNS Requisito de Nvel de Servio
PDCA Plan-Do-Check-Act
CPIAM Controlar-Planejar-Implementar-Avaliar-Manter
ANO Acordo de Nvel Operacional
IC Item de Configurao
SGSI Sistema de Gerenciamento de Segurana da Informao
ITGI IT Governance Institute
TSO The Stationery Office
-
17
Introduo
A Tecnologia da Informao (TI) uma rea essencial para as organizaes, sendo em
muitos casos pouco compreendida. Organizaes que entendem o valor da TI e utilizam-na
como ferramenta para alcanar seus objetivos de negcio so, em sua maioria, bem-sucedidas.
Essas organizaes adequam-se facilmente s demandas regulatrias e tm uma capacidade
maior de entender e gerenciar a dependncia crtica de muitos processos de negcio da TI [1].
H uma grande cobrana para que a rea de TI se alinhe s metas empresariais de suas
organizaes, alm de ter que atender s regulamentaes como a lei SOX (Sarbanes-Oxley) e
Basilia II. Para isso necessrio capacidade de governana e mecanismos que possibilitem a
auditoria externa. As organizaes em geral compreendem que precisam manter estruturas de
proteo e Segurana da Informao, mas tm dificuldade de entender o escopo dessas. Assim,
estruturas como a ITIL r (Information Technology Infrastructure Library), o CobiT (Control
Objectives for Information and Related Technology) e os padres da famlia ISO/IEC 27000
podem ajudar o profissional a entender o propsito de tais estruturas [2].
Segundo Clinch [3], devido crescente ocorrncia de incidentes relacionados falta
de segurana nas organizaes necessrio que a TI adote uma abordagem integrada de
Gerenciamento de Segurana da Informao (GSI), de forma a alinhar as necessidades e riscos
do negcio s medidas tcnicas. Alm disso, tambm necessria a construo de polticas e
procedimentos para criar uma cultura de Segurana da Informao (SI) dentro da organizao
assegurando que a informao ser tratada de forma segura e apropriada durante todo o tempo.
Os benefcios que a boa Segurana da Informao pode trazer no se restringem apenas
reduo dos riscos e diminuio do impacto s falhas. A Segurana da Informao pode
contribuir para melhorar a reputao da organizao, atravs da agilidade na recuperao de
incidentes de segurana e definindo os devidos valores e permisses de acesso as informaes,
fazendo com que as partes envolvidas confiem na organizao [4].
A informao o bem mais precioso para uma organizao e essencial para a realizao
dos seus negcios e, por consequncia, precisa ser protegida [5]. Em decorrncia disso, cresce
o nmero de organizaes que buscam, na Tecnologia da Informao, formas para melhorar a
eficincia de seus processos e tirar maior proveito de suas informaes. Dentre as tecnologias
-
18
disponveis, destacam-se as redes de computadores que permitem a conexo entre os diversos
setores da mesma organizao, bem como a integrao dos sistemas de diferentes organizaes,
as quais cooperam entre si para que os objetivos de seus negcios sejam atingidos [6]. Como
consequncia dessa interconectividade, a informao est mais exposta a um crescente nmero
e a uma grande variedade de ameaas e vulnerabilidades [5].
A Segurana da Informao protege as informaes dessas ameaas e vulnerabilidades
assegurando a continuidade do negcio, mitigando os riscos, maximizando o retorno sobre os
investimentos e as oportunidades de mercado. Pode-se obter a Segurana da Informao atravs
da implementao de um conjunto de controles adequados que incluem polticas, processos,
procedimentos, estruturas organizacionais e funes de software e hardware. Tais controles
precisam ser estabelecidos, implementados, monitorados, analisados e melhorados, de acordo
com as necessidades, para garantir que os objetivos do negcio e da segurana da organizao
sejam atendidos [5].
Segundo a ISO/IEC 27002 [5], a segurana alcanada por meios tcnicos limitada e
deve ser apoiada por procedimentos e por uma gesto apropriada. Como muitos sistemas de
informao no foram projetados para serem seguros, a identificao dos controles a serem
implementados requerem um planejamento cuidadoso e uma ateno aos detalhes. Alm
dos fatores j descritos, para que a Segurana da Informao seja eficaz, faz-se necessria a
colaborao de todos os interessados no futuro da organizao.
A Segurana da Informao tem como principais componentes a confidencialidade, a
integridade e a disponibilidade, que so necessrios para a preservao e proteo da informao
[2]. A confidencialidade a propriedade que garante que a informao no esteja disponvel ou
revelada a indivduos, entidades ou processos no autorizados [7]. A integridade a propriedade
que garante a salvaguarda da exatido e completeza da informao [7]. A disponibilidade
a propriedade que garante que a informao estar acessvel e utilizvel sob demanda por
entidades autorizadas [7].
Neste contexto, o presente trabalho pretende realizar um estudo da ITIL r v3 e da norma
ISO/IEC 27002, buscando relacionar as fases do ciclo de vida de servio da ITIL r v3 com as
sees da norma. Tendo como objetivo mostrar como a norma pode contribuir para melhorar
a qualidade e a segurana dos servios prestados pelas organizaes que utilizam a Tecnologia
da Informao para agregar valor ao seu negcio.
O restante deste trabalho encontra-se da seguinte forma: no captulo 1 apresentada um
viso geral da NBR ISO/IEC 27002, bem como sua seo introdutria sobre anlise e avaliao
de riscos e mais suas 11 sees, no captulo 2 apresentada uma viso geral sobre a ITIL r v3 e
-
19
suas cinco fases do seu ciclo de vida de servio, no captulo 3 apresentado o estudo que mostra
como a norma ISO/IEC 27002 pode contribuir para aumentar a segurana no gerenciamento de
servios de TI e ao final apresentada a concluso do trabalho realizado.
-
20
1 NBR ISO/IEC 27002
A NBR ISO/IEC 27002 um cdigo de boas prticas para a gesto da segurana da
informao, mantido pelo comit internacional ISO/IEC. Tem como finalidade prover diretrizes
e princpios gerais para iniciar, implementar, manter e melhorar a gesto da segurana da
informao em uma organizao. A norma pode ser usada por uma organizao como um
guia prtico para desenvolver procedimentos e estabelecer prticas de gesto da segurana da
informao [5].
A NBR ISO/IEC 27002 formada por 11 sees de controles de segurana da informao,
as quais so divididas em categorias principais de segurana, que totalizam 39 categorias [5].
Este captulo abordar a seo introdutria sobre anlise e avaliao de riscos e mais as 11
sees desta norma, assim como suas categorias principais de segurana.
1.1 Anlise/Avaliao e tratamento de riscos
1.1.1 Analisando/avaliando os riscos de segurana da informao
As anlises e avaliaes de riscos precisam identificar e priorizar os riscos com base nos
critrios para aceitao dos riscos e dos objetivos relevantes para a organizao. Os resultados
obtidos vo orientar e determinar as aes de gesto que sero apropriadas para o gerenciamento
de riscos de segurana da informao [5].
A anlise e avaliao dos riscos precisa ter seu escopo bem definido para ser eficiente
e produzir o efeito desejado. Devendo estimar a magnitude do risco e comparar os riscos
estimados com os critrios para determinar a significncia dos riscos. Todo esse processo
precisa ser realizado regularmente para cobrir as mudanas nos requisitos de segurana e
situaes de riscos [5].
-
21
1.1.2 Tratando os riscos de segurana da informao
Aps definir os critrios para determinao de quais riscos sero aceitos ou no, preciso
tomar decises para o tratamento de cada um dos riscos identificados. Os riscos podem ser
tratados aplicando controles para reduzir os riscos a um nvel aceitvel, transferindo os riscos
para outras partes ou evitando os riscos de forma a no permitir aes que poderiam causar tais
riscos [5].
1.2 Poltica de segurana da informao
A poltica de segurana da informao definida por Silva [8] como um conjunto de regras
genricas que determina o que considerado pela organizao como aceitvel ou inaceitvel.
Esta desempenha um papel importante para o planejamento estratgico da segurana da
informao, pois por meio dela que a direo fornece orientao e apoio segurana da
informao de acordo com os requisitos do negcio, leis e regulamentaes pertinentes [5].
O documento da poltica de segurana da informao deve ser acessvel, compreensvel,
declarar o comprometimento da direo e o enfoque da organizao no gerenciamento da
segurana da informao. Este documento deve ser aprovado pela direo, publicado e
comunicado a todos os funcionrios e partes externas relevantes [5].
A NBR ISO/IEC 27002[5] sugere que a poltica de segurana da informao passe por
anlises peridicas, para assegurar sua adequao e eficcia. Tambm aconselha a nomeao de
um gestor que seja responsvel por desenvolv-la, analis-la e avali-la. O gestor deve avaliar
as oportunidades de melhoria e ficar atento s mudanas no ambiente organizacional.
Na anlise da poltica de segurana da informao deve-se considerar os seguintes aspectos:
situaes de aes preventivas e corretivas, resultado de anlises anteriores, desempenho do
processo e conformidade com a poltica de segurana da informao, mudanas no ambiente
organizacional, tendncias de ameaas e vulnerabilidades, relato sobre incidentes de segurana
e recomendaes de autoridades relevantes. Como resultado da anlise espera-se obter: melhora
dos controles e seus objetivos, melhor alocao de recursos e responsabilidades, assim como do
alinhamento da segurana da informao com os objetivos do negcio [5].
-
22
1.3 Organizando a segurana da informao
1.3.1 Organizao interna
No processo de organizao da segurana da informao deve-se elaborar uma estrutura
de gerenciamento que seja capaz de iniciar e controlar a implementao da segurana dentro da
empresa. Para isso necessrio o comprometimento da direo com a segurana da informao,
aprovando a poltica de segurana e garantindo sua eficcia, atribuindo responsabilidades,
assegurando que as metas de segurana esto identificadas e atendem aos requisitos do negcio,
fornecendo os recursos necessrios para segurana da informao, iniciando planos para
conscientizao da segurana da informao e identificando a necessidade de consultorias de
especialistas internos ou externos [5].
A NBR ISO/IEC 27002 [5] aconselha que a segurana da informao seja coordenada por
representantes das diferentes partes da organizao e envolva a cooperao e colaborao de
gerentes, administradores, auditores, recursos humanos, questes legais, etc. A coordenao
da segurana da informao tem de garantir que as atividades de segurana sejam executadas
de acordo com sua poltica, para isso deve conduzir os descumprimentos, identificar possveis
ameaas, avaliar e implementar controles, assim como as informaes de monitoramento e de
anlise dos incidentes de segurana, promover a educao, treinamento e conscientizao por
toda a organizao [5].
Para organizar a segurana da informao necessrio que as responsabilidades de
segurana estejam definidas claramente e em conformidade com a poltica de segurana.
Para isso, primeiramente, necessria a identificao dos ativos e processos de segurana
da informao de cada rea, para ento designar os seus responsveis. Aps a escolha dos
gestores de cada rea, deve-se definir suas atribuies e os detalhes deste processo devem ser
inteiramente documentados [5].
Para garantir que as polticas e requisitos de segurana sejam atendidos, a norma determina
que a utilizao interna de novos recursos de processamento de informao tenha seu uso
autorizado pela administrao de usurios e pelo gestor responsvel pelo sistema de segurana
da informao. Tambm deve-se verificar a compatibilidade de hardware e software com os
demais componentes do sistema, certificar que estes recursos no esto introduzindo novas
ameaas e vulnerabilidades, identificar e implementar os controles [5].
Uma das maneiras da organizao proteger suas informaes estabelecer acordos de
confidencialidade e no divulgao, pois atravs destes acordos que a empresa informa aos
-
23
envolvidos quais so suas responsabilidades para proteo, uso e divulgao da informao.
Estes documentos devem buscar embasamento na legislao e estar em conformidade com
as leis e regulamentaes aplicveis na jurisdio a qual eles se aplicam. Para identificar os
requisitos necessrios para os acordos de confidencialidade e no divulgao recomendado
que se leve em considerao elementos como: definio da informao a ser protegida,
tempo esperado do acordo, aes requeridas ao fim do acordo, responsabilidades e aes
dos signatrios, direito de auditar e monitorar as atividades que envolvam as informaes
confidenciais e aes esperadas a serem tomadas no caso de uma violao do acordo.
necessrio que os requisitos identificados sejam analisados periodicamente ou quando houver
mudanas no ambiente organizacional que os afetem [5].
importante que a organizao mantenha contato com autoridades como, organismos
regulatrios que permitem a organizao antecipar e preparar para as mudanas futuras
nas leis e nos regulamentos, os quais ela deve seguir. Deve manter contato tambm com
outras autoridades como utilidades, servios de emergncia, sade e segurana. Ademais, a
organizao deve manter procedimentos que especifiquem quando e quais autoridades devem
ser contatadas na ocorrncia de incidentes de segurana. Alm disso, recomendado que a
organizao mantenha contato com associaes de profissionais, grupos e fruns especializados
em segurana da informao. Este tipo de relacionamento contribui para ampliao dos
conhecimentos da organizao sobre as melhores prticas e para manter a empresa atualizada
com informaes relevantes sobre SI. O contato com esses grupos possibilita a organizao
ter acesso consultoria especializada em SI, compartilhar e trocar informaes a respeito de
novas tecnologias e receber previamente advertncias de alertas, aconselhamentos e correes
relativas a ataques e vulnerabilidades. Com isso, a organizao assegura que seu entendimento
do ambiente de segurana est atual e completo [5].
A norma enfatiza a necessidade de realizar, periodicamente, uma anlise independente do
enfoque da organizao e da sua implementao para segurana da informao. Tal anlise
importante para assegurar a pertinncia, adequao e eficcia das metas de gerenciamento
da segurana estabelecidas pela organizao. A anlise deve ser iniciada pela direo e
executada por pessoas sem vnculos com a rea avaliada, como um grupo de auditores internos,
uma empresa terceirizada ou um gerente independente. Os resultados devem ser registrados,
mantidos e relatados direo, caso no estejam de acordo com o que foi definido na poltica
de segurana da informao, devem ser tomadas medidas corretivas [5].
-
24
1.3.2 Partes externas
A organizao deve se preocupar em manter a segurana das suas informaes e recursos de
processamento que so utilizados no relacionamento com as partes externas. Alm disso, tem de
estar atenta as possveis vulnerabilidades que podem ser introduzidas pela aquisio de produtos
e servios. Assim, necessria a anlise e avaliao dos riscos que envolvem tal relacionamento
antes de obter ou ceder o uso de qualquer recurso de processamento ou informao [5].
Na identificao dos riscos importante que a organizao leve em considerao aspectos
como, quais os recursos de processamento e os tipos de acesso (fsico ou lgico) sero utilizados
pelas partes externas, quem ter a autorizao para acessar e como esta ser verificada. Assim
como, qual o valor e a sensibilidade da informao acessada, que prticas e procedimentos
sero usados para tratar incidentes de segurana. Aps a identificao dos riscos de segurana,
a organizao deve estabelecer, onde for vivel, acordos de confidencialidade e no divulgao
das informaes, tais como, contratos que definam os termos e condies de uso dos recursos
de processamento [5].
1.4 Gesto de ativos
A gesto de ativos tem como objetivo alcanar e manter a proteo dos ativos da
organizao, que so definidos pela norma como sendo qualquer coisa que tenha valor para
a organizao. Por exemplo, informaes, softwares, hardwares, servios, pessoas e suas
qualificaes, a reputao e a imagem da organizao [5].
1.4.1 Responsabilidade pelos ativos
Para assegurar a proteo dos ativos, a ISO/IEC 27002 prope que todos sejam identificados
e que seja elaborado um inventrio. Este deve conter informaes, tais como o tipo do
ativo, formato, localizao e sua importncia para o negcio. Alm disso, aconselhvel
que todos os ativos associados com os recursos de processamento tenham um responsvel,
que deve assegurar que estes esto adequadamente classificados, analisar periodicamente as
classificaes e restries com base na poltica de controle de acesso. O responsvel tambm
deve identificar, documentar e implementar regras para o uso permitido dos ativos, de forma
que as pessoas que possuem o acesso tenham conscincia dos limites que envolvem seu uso [5].
-
25
1.4.2 Classificao da informao
A classificao da informao importante para indicar sua necessidade, prioridade e nvel
de segurana, garantindo que a proteo adequada est sendo oferecida. A informao deve
ser classificada de acordo com seu valor, requisitos legais, sensibilidade e criticidade para o
negcio. necessrio que o responsvel pelo ativo defina as convenes para a classificao
inicial e reclassificao, de acordo com a poltica de controle de acesso. Alm de assegurar, por
meio de anlises, que o ativo est atualizado e no nvel de proteo apropriado [5].
Com base no esquema de classificao adotado pela organizao, convm que procedimen-
tos apropriados sejam definidos e implementados para rotulao e tratamento das informaes.
Esses procedimentos devem atender tanto os ativos de informaes no formato fsico quanto no
formato eletrnico [5].
1.5 Segurana em recursos humanos
1.5.1 Antes da contratao
As responsabilidades de segurana devem ser definidas antes da contratao para garantir
que os funcionrios, fornecedores e terceiros entendam seus deveres e estejam de acordo com
os seus papis, assim possvel reduzir o risco de furto, fraude e mau uso da informao. Os
papis e responsabilidade dos candidatos precisam ser documentados e estar em conformidade
com a poltica de segurana da informao [5].
No processo de seleo, a norma aconselha que seja verificado de acordo com a tica, as
leis e regulamentaes pertinentes, o histrico de todos os candidatos. Essa verificao deve ser
mais detalhada para os candidatos que tero acesso a informaes e recursos de processamento
mais sensveis. Aps a seleo, necessrio que os candidatos assinem os termos e condies
de sua contratao, que declaram suas responsabilidades e a da organizao para a segurana
da informao [5].
1.5.2 Durante a contratao
Durante a contratao, fica sob a responsabilidade da direo assegurar que os funcionrios,
fornecedores e terceiros esto conscientes de suas obrigaes e responsabilidades. Alm de
estarem a par de ameaas e preocupaes relativas a segurana da informao, devendo apoiar
a poltica de segurana nas suas prticas de trabalho [5].
-
26
Todos os funcionrios, assim como fornecedores e terceiros tem de receber treinamentos
apropriados para conscientizao e atualizaes regulares das polticas e procedimentos que
sejam relevantes para suas funes. Esse treinamento visa permitir que as pessoas reconheam
os incidentes de segurana da informao e respondam de acordo com as necessidades de seu
trabalho [5].
importante que exista um processo disciplinar para as pessoas que tenham cometido uma
violao da segurana da informao. A resposta deste processo tem que levar em considerao
fatores como a natureza e a gravidade da violao, o seu impacto sobre negcio, se foi o
primeiro delito, bem como as legislaes relevantes e contratos estabelecidos. Em casos graves,
o processo deve permitir a imediata remoo das atribuies, direitos de acesso e privilgios do
infrator [5].
1.5.3 Encerramento ou mudana da contratao
Para o encerramento de atividades, convm que seja definido quem sero os responsveis
pelo encerramento ou mudanas de pessoal. O encerramento das atividades deve incluir os
requisitos de segurana, de leis e acordos estabelecidos, devendo permanecer vlidos aps o
encerramento das atividades [5].
Aps o encerramento dos acordos e contratos, os ativos que estiverem em posse dos
funcionrios, fornecedores e terceiros devem ser devolvidos para organizao. Nos casos
em que os conhecimentos pessoais sobre o desenvolvimento de atividades de trabalho sejam
importantes para sua execuo, necessrio que esses conhecimentos sejam documentados e
transferidos para a organizao [5].
Os direitos de acesso informao e aos recursos de processamento devem ser retirados
dos funcionrios, fornecedores e terceiros aps o encerramento das suas atividades, contratos e
acordos. Quando houver mudanas nas atividades, preciso reconsiderar os direitos de acesso
para permitir apenas aqueles que forem necessrios para a execuo do novo trabalho [5].
1.6 Segurana fsica e do ambiente
1.6.1 reas seguras
A segurana fsica e de ambiente da organizao tem como objetivo prevenir o acesso
no autorizado, danos e interferncias s instalaes da empresa. Para isso a ISO/IEC 27002
-
27
recomenda que se utilize de permetros de segurana para proteger as reas sensveis da
organizao, esses podem ser barreiras como paredes, portes com acesso controlado e balces
de recepo. O nvel de segurana de cada permetro deve estar de acordo com os requisitos de
segurana identificados pela organizao [5].
A organizao tem de projetar e aplicar protees fsicas contra desastres naturais como
terremoto e enchentes, assim como incndios, exploses ou outros causados pelo homem.
Na fase de planejamento importe levar em considerao as ameaas das reas vizinhas,
localizao dos equipamentos de deteco e combate a incndios e certificar-se que os
equipamentos de contingncia e mdias de backup esto a uma distncia segura do local
principal para que no sejam danificados em caso de desastre [5].
Os pontos de entrega, carregamento ou locais em que pessoas no autorizadas possam entrar
nas instalaes da empresa devem ser controlados e se possvel devem ser isolados das reas de
processamento da informao. Isso evita o acesso de pessoas no autorizadas as reas seguras
da organizao [5].
1.6.2 Segurana de equipamentos
A segurana de equipamentos tem como propsito impedir perdas, danos, furtos ou com-
prometimento dos ativos que impeam as atividades da organizao. Assim, a norma aconselha
que os equipamentos e instalaes de processamento de informaes devem ser posicionados
em locais seguros para reduzir os riscos de acesso no autorizado, ameaas e perigos do meio
ambiente. Alm de ser necessria a implementao da proteo dos equipamento contra falta
de energia, falhas no funcionamento de utilitrios como ar-condicionado e equipamentos de
ventilao. Tambm necessrio manter a manuteno dos equipamentos e registros de falhas
para garantir sua disponibilidade e integridade [5].
Os cabeamentos de energia e telecomunicao precisam ser protegidos contra rupturas,
interceptaes ou danos. Deste modo, onde for possvel, aconselhvel que os cabeamentos
sejam subterrneos e que os cabos de energia sejam separados dos cabos de telecomunicao
para evitar interferncias. Ademais, o acesso aos painis de conexes e salas de cabeamento
devem ser controlados [5].
A utilizao de equipamentos fora das dependncias da organizao deve ser autorizado
pela gerencia, que tem de avaliar os diferentes riscos envolvidos tais como danos, furtos ou
espionagem [5].
Todos equipamentos que contenham informaes da organizao necessitam ser examina-
-
28
dos, antes de serem descartados, para garantir que os dados sensveis e softwares licenciados
tenham sido removidos ou sobre gravados com segurana. importante usar tcnicas que
tornem as informaes irrecuperveis, ao invs de tcnicas convencionais. Nos casos em que
o equipamento est com defeito importante avaliar cuidadosamente as informaes contidas
nele, dependendo do grau de confidencialidade das informaes aconselha-se a destruio do
dispositivo em vez de mand-lo para o conserto [5].
Os equipamentos, informaes e softwares da organizao no devem ser retirados de seus
locais sem a autorizao prvia. As pessoas que receberem a autorizao para a remoo dos
equipamento devem ser devidamente identificadas, se necessrio fazer registro da retirada e
estabelecer limites de tempo para retirada e remoo [5].
1.7 Gerenciamento das operaes e comunicaes
1.7.1 Procedimentos e responsabilidades operacionais
Os procedimentos e responsabilidades operacionais tem de assegurar que os recursos de
processamento da organizao esto sendo operados corretamente. Assim, necessrio que
os procedimentos operacionais sejam documentados, atualizados e disponibilizados todos
que precisarem. Todas as mudanas nos recursos de processamento da informao e sistemas
devem ser controladas, portanto conveniente estabelecer uma gesto de mudanas para que
sejam estabelecidos rgidos controles para identificar, planejar, testar e avaliar os impactos das
mudanas [5].
A ISO/IEC 27002 recomenda que as funes e reas de responsabilidades sejam segregadas
para reduzir as modificaes e o uso indevido dos ativos da organizao. E que os recursos de
desenvolvimento, teste e produo tambm sejam separados para reduzir os riscos de acesso
indevido e modificaes no autorizadas das informaes e sistemas da empresa [5].
1.7.2 Gerenciamento de servios terceirizados
O gerenciamento de servios terceirizados tem como objetivo implementar e manter um
nvel apropriado de segurana e de entrega de servios. Para isso, importante garantir que
os controles de segurana, as definies de servios e os nveis especificados nos acordos
de entrega de servios sejam implementados, executados e mantidos pelo terceiro. Alm de
ser necessrio auditar, monitorar e analisar os servios, relatrios e registros providos pelos
terceiros para assegurar o ajuste dos termos de segurana da informao s condies dos
-
29
acordos [5].
As mudanas, sejam elas feitas pela organizao, como melhoria dos servios oferecidos,
modificaes e atualizaes das polticas e procedimentos, ou feitas nos servios oferecidos por
terceiros, como melhoria na rede e uso de novas tecnologias, devem ser gerenciadas de acordo
com a criticidade de cada sistema ou processo de negcio envolvido [5].
1.7.3 Planejamento e aceitao dos sistemas
O objetivo do planejamento e aceitao dos sistemas minimizar os riscos de falhas.
Qualidades imprescindveis como planejar e preparar com antecedncia, ajudam a garantir a
disponibilidade apropriada de capacidade e recursos esperados de desempenho do sistema. Por
tanto, importante que a utilizao dos recursos seja monitorada, ajustada e que projees das
capacidades futuras sejam feitas para garantir o desempenho requirido do sistema [5].
A norma recomenda que os gestores garantam que os requisitos e critrios de aceitao
de novos sistemas estejam bem definidos, acordados, documentados, testados e aprovados
formalmente antes que os novos sistemas, atualizaes e novas verses sejam migradas para
produo [5].
1.7.4 Proteo contra cdigos maliciosos e cdigos mveis
Proteger-se contra cdigos maliciosos e mveis importante para manter a integridade
dos software e informaes da organizao. Assim, relevante que a organizao estabelea
controles para deteco, preveno e recuperao de ataques deste tipo. A proteo contra esses
ataques pode ser baseada em softwares de deteco e reparo, na conscientizao dos usurios,
nos controles de acesso e no gerenciamento de mudanas [5].
1.7.5 Cpias de segurana
Para manter a integridade e disponibilidade das informaes e recursos de processamento
da organizao, importante que sejam estabelecidos procedimentos para por em prtica as
polticas e estratgias definidas para gerao e recuperao das cpias de segurana. Estas
cpias precisam ser efetuadas e testadas regularmente conforme defino na poltica de cpias,
necessitando possuir os recursos adequados para garantir que todas as informaes e softwares
essenciais ao negcio possam ser recuperados em caso de desastres ou falhas. aconselhvel
que as cpias de segurana sejam mantidas em localidades remotas ou afastadas da principal e
-
30
que os nveis apropriados de proteo fsica e ambientais sejammantidos, alm de ser necessrio
a definio de um perodo de reteno da informao armazenada [5].
1.7.6 Gerenciamento da segurana em redes
O gerenciamento da segurana em redes tem como propsito assegurar a proteo da
infraestrutura de suporte e das informaes que transitam por ela. Para isso, os gestores devem
implementar controles para manter as redes e os servios que operam nelas protegidos de
ameaas e acessos no autorizados [5].
importe que a rede interna da organizao seja monitorada e os registro das atividades nela
sejam mantidos. Mas a proteo das redes da organizao transcende os limites internos e assim
necessrio estabelecer controles especiais para garantir a integridade e confidencialidade dos
dados que trafegam sobre as redes pblicas e as redes sem fio [5].
Necessit-se que as caractersticas, os nveis de servio e os requisitos de gerenciamento
dos servios de rede sejam identificados e includos em acordos tanto para servios providos
internamente como para servios terceirizados. Tambm preciso determinar e monitorar
regularmente a capacidade do provedor de gerenciar os servios acordados, assim como sejam
acordados os direitos de auditar os servios. Os servios de rede podem incluir fornecimento
de conexo, servios de rede privada e solues de segurana como firewall e sistemas deteco
de intrusos [5].
1.7.7 Manuseio de mdias
Para previr contra a divulgao no autorizada, modificaes, remoo ou destruio dos
ativos da organizao, importante que se estabeleam procedimentos operacionais para o
manuseio de mdias dentro da organizao. Estes procedimentos devem proteger documentos,
mdias magnticas de computadores e dados de entrada e sada [5].
Uma ateno especial tem de ser dada as mdias removveis tais como, fitas, discos,
pen drives, CD/DVD e mdias impressas. O uso de tais mdias somente deve ser permitido
caso exista um necessidade real para o negcio. Mas quando uso ou remoo de mdias for
necessrio, importante que exija-se uma autorizao e os registros desta sejam mantidos para
futuras auditorias [5].
Muitas informaes sensveis podem ser divulgadas impropriamente, devido ao descarte
negligenciado de mdias e equipamentos de informao, assim necessrio a definio de
-
31
procedimentos formais para o descarte seguro de mdias. Estes procedimentos precisam levar
em considerao fatores como, a identificao dos itens que requerem descarte, nvel de
sensibilidade da informao contida no equipamento e sempre que possvel manter registro
dos dispositivos descartados [5].
No tratamento das informaes, relevante que se estabeleam procedimentos para
tratamento, processamento, armazenamento e transmisso de informaes. Estes devem
considerar itens como, tratamento e identificao de todos os meios magnticos indicando o
nvel de classificao, restries de acesso e o registros dos destinatrios de dados autorizados.
A documentao dos sistemas precisa ser protegida contra acessos no autorizados, devendo
ser guardada de forma segura e a autorizao de acesso a ela seja concedida pelo proprietrio
do sistema poucas pessoas [5].
1.7.8 Troca de informaes
Na troca de informaes e softwares, para manter a segurana, preciso definir procedi-
mentos e polticas formais especficas, podendo ser acordos, com base na legislao, entre as
partes. Nestes acordo deve-se considerar condies de segurana como, as responsabilidades
do gestor pelo controle e notificao de transmisses, expedies e recepes. Alm disso,
necessrio definir as responsabilidades e obrigaes na ocorrncia de incidentes de segurana
[5].
Para as mdias que necessitarem ser transportadas entre localidades, importante que
sejam protegidas contra acessos no autorizados, uso imprprio ou alterao indevida durante
o transporte. Assim, recomendado que se utilizem meios de transporte e servios de
mensageiros confiveis certificando-se de que as embalagens esto lacradas e protegidas contra
danos fsicos [5].
Os servios de mensagens eletrnicas cumprem um papel cada vez mais importante na
comunicaes do negcio, por isso importante que sejam tomadas as devidas precaues
para manter a segurana das informaes. Deste modo, precisa-se avaliar a confiabilidade e
disponibilidade geral dos servios, identificar requisitos de assinaturas eletrnicas e qualquer
uso de servios pblicos tais como, sistemas de mensagens instantneas e compartilhamento de
arquivos sejam previamente aprovados pela direo [5].
Hoje, cada vez maior, o uso de redes para interconectar as diferentes organizaes.
Portanto, extremamente relevante que se estabeleam polticas e procedimentos para proteger
as informaes compartilhadas entre elas. Estas polticas e procedimentos precisam elevar em
-
32
considerao os impactos da interconectividade com o negcio da organizao e os perigos
trazidos por ela. A gerao de cpias de segurana, restries de acesso, procedimentos de
recuperao e contingncia so algumas das medidas que precisam ser tomadas para assegurar
a segurana na troca de informaes.
1.7.9 Servios de comrcio eletrnico
O uso de servios de comrcio eletrnico cada vez mais popular, seja, entre as
organizaes ou entre as organizaes e clientes. De maneira que, importante garantir a
segurana dos servios e de suas utilizaes. Para isso, preciso proteger as informaes
disponibilizadas publicamente levando-se em considerao aspectos como, mecanismo de
autenticao, processos de autorizao, confidencialidade e integridade de transaes [5].
As informaes envolvidas em transaes on-line precisam ser protegidas, para tanto,
necessrio que todo o trafico de dados das transaes seja criptografado e que seja exigido,
sempre que possvel, o uso de assinaturas eletrnicas por ambas as partes. Essas transaes
precisam estar de acordo com as leis, regras e regulamentaes da jurisdio em que ela
gerada, processada, completada e armazenada [5].
As informaes disponibilizadas em sistemas de acesso pblico precisam ter sua integri-
dade protegida para que no ocorram modificaes no autorizadas. Por isso, importante
que esses sistemas sejam devidamente testados antes de disponibilizar quaisquer tipos de
informaes. necessrio que exista um processo formal para aprovao da informao
antes que ela seja publicada, assim como os dados oriundos de partes externas necessitam de
verificao e aprovao antes de sua disponibilizao [5].
1.7.10 Monitoramento
O monitoramento das redes da organizao tem como finalidade detectar atividades no
autorizadas de processamento da informao. Este monitoramento precisa produzir registros
(log) das atividades e eventos de segurana da informao para a realizao posterior de
auditorias [5].
Os registros de auditoria precisam ser mantidos, durante um determinado tempo, para
auxiliar em futuras investigaes e monitoramento de controle de acesso. importante que estes
registros contenham informaes tais como, identificao dos usurios, data e hora, detalhes dos
eventos, acessos aos sistemas aceitos e rejeitados [5].
-
33
Necessariamente, preciso elaborar procedimentos para o monitoramento dos recursos
de processamento de informao da organizao e os resultados destes devem ser analisados
periodicamente. Isso importante para assegurar que os usurios esto executando apenas as
atividades que lhe foram designadas [5].
Os registros gerados pelo monitoramento precisam ser protegidos contra falsificaes e
acessos no autorizados. Se possvel nem mesmo os administradores de sistema devem ter
permisso para a excluso ou modificao dos registros. Alm de ser necessrio anlises
peridicas dos registro de operadores e administradores de rede e sistemas para assegurar que
suas atividades esto em conformidade [5].
Todas as ocorrncias de falhas precisam ser registradas e analisadas, cabendo aos respon-
sveis, por medidas autorizadas, executar os procedimentos apropriados para assegurar que
as falhas sero resolvidas. Por isso, importante a existncia de regras para tratar as falhas
informadas por usurios ou por sistemas devendo incluir anlises e medidas corretivas [5].
Ademais, importante que os relgios dos sistemas de processamento da organizao este-
jam sincronizados e que existam procedimentos para identificar inconsistncias e corrigir. Isso
garante a exatido dos registros de auditoria que podem ser requeridos em uma investigaes
ou servir como evidncia legal [5].
1.8 Controle de acesso
1.8.1 Requisitos de negcio para controle de acesso
Os acessos lgicos e fsicos aos ativos da organizao precisam ser controlados para
prevenir o uso no autorizado. Para isso a norma prope a criao de uma poltica de controle
de acesso que tenha como base os requisitos de acesso do negcio e a segurana da informao.
Essa poltica deve expressar claramente os direitos de acesso de usurios e grupos deixando
ntidos os requisitos do negcio a serem atendidos pelos controles de acesso [5].
1.8.2 Gerenciamento de acesso do usurio
A alocao de direitos de acesso aos usurios tem de ser formalmente controlada atravs
do registro do usurio e dos processos administrativos. Os procedimentos devem cobrir desde
o registro de novos usurios at o seu cancelamento final. Tambm importante que existam
processos formais para a autorizao de concesses de privilgios de acesso, gerenciamento
-
34
de senhas e anlises peridicas dos privilgios para garantir que os direitos de acesso sero
retirados quando no forem mais necessrios [5].
1.8.3 Responsabilidades dos usurios
Os usurios necessitam estar conscientes de suas responsabilidades para manter o controle
de acesso eficaz. Assim, importante que os usurios usem das boas prticas de segurana da
informao para escolher suas senhas e mant-las em confidencialidade. Alm de, manter uma
poltica de mesa limpa e tela limpa precisam assegurar que os equipamentos quando deixados
sozinhos tenham uma proteo adequada como por exemplo, finalizar ou bloquear a sesso de
seus computadores quando forem ao banheiro [5].
1.8.4 Controle de acesso rede
O acesso aos servios de rede internos e externos precisam ser controlados para garantir que
os usurios no comprometam tais servios. Para tanto, recomendado que seja formulada uma
poltica de uso dos servios de rede que especifique os servios permitidos, os procedimentos
e os controles para autorizao e gerenciamento de usurios e servios. Para as conexes de
usurios remotos exigido que se use de mtodos e tcnicas de autenticao seguras tais como
a criptografia e procolos seguros, e se for necessrio usar identificadores de equipamentos para
permitir que apenas os equipamentos autorizados tenham acesso aos servios remotos [5].
Os servios de informao, usurios e sistemas de informao precisam ser separados
em diferentes domnios de redes lgicas, isso permite controlar a segurana da informao
em grandes redes aplicando conjuntos de controles regulveis aos diferentes domnios.
importante que existam restries de acesso entre os diferentes domnios tais como, gateways
ou firewalls para impedir que usurios no acessem os domnios de rede aos quais no possua
autorizao [5].
1.8.5 Controle de acesso ao sistema operacional
O acesso aos sistemas operacionais precisa ser controlado para restringir o seu uso somente
pessoas autorizadas. Para isso, importante que existam mecanismos de entrada segura
no sistema tal como logon (ou login) diminuindo as chances de acessos no autorizados. E
que mecanismos pessoais de identificao nica sejam implementados permitindo rastrear as
atividades aos indivduos responsveis. Alm disso, usar sistemas para gerenciamento de senhas
-
35
que permita que os usurios escolham apenas senhas de qualidade, permitir que usurios tenham
acessos ao mnimo de utilitrios do sistema, usar mecanismos para controlar o limite de tempo
de sesso e limitar os horrios de conexo [5].
1.8.6 Controle de acesso aplicao e informao
O acesso aos sistemas de aplicao e informaes precisa ser controlado por mecanismos de
segurana da informao para restringir o acesso somente pessoas autorizadas. As restries
devem ser baseadas no que foi definido na poltica de controle de acesso e nos requisitos de
aplicaes individuais do negcio, alm de ser necessrio o isolamento fsico ou lgico dos
sistemas sensveis para diminuir os riscos de perdas [5].
1.8.7 Computao mvel e trabalho remoto
Para garantir a segurana da informao quando se utiliza a computao mvel e recursos de
trabalho remotos preciso criar uma poltica formal e adotar medidas de segurana apropriadas
para proteo da informao. Para a computao e comunicao mvel importante que se leve
em considerao requisitos de proteo fsica, controles de acesso, tcnicas de criptografia e
proteo contra vrus. J para o trabalho remoto, necessrio o desenvolvimento e implantao
de planos operacionais e procedimentos para evitar o acesso remoto no autorizado s redes
internas da organizao, assim como o roubo ou furto de equipamentos e informaes [5].
1.9 Aquisio, desenvolvimento e manuteno de sistemas deinformao
1.9.1 Requisitos de segurana de sistemas de informao
A segurana precisa ser parte integrante dos sistemas de informao, tais como sistemas
operacionais, aplicaes de negcio, infraestrutura, servios e aplicaes desenvolvidas pelo
usurio. Para isso, necessrio que os requisitos de controle de segurana automticos e
manuais sejam analisados e totalmente identificados durante a fase de requisitos dos sistemas
em desenvolvimento ou processo de aquisio, e sejam incorporados aos casos de negcio [5].
Para os produtos comprados preciso elaborar um processo formal de aquisio e testes
devendo avaliar todos os problemas e riscos envolvidos. Caso os requisitos de segurana
especificados no forem atendidos pelo produto importante que os riscos e controles sejam
-
36
reconsiderados antes da compra [5].
1.9.2 Processamento correto nas aplicaes
Para prevenir a ocorrncia de erros, perdas, modificaes no autorizadas ou mau uso dos
sistemas de informao importante que controles sejam incorporados ao projeto das aplicaes
para garantir o processamento correto das informaes. Esses controles devem incluir a
validao dos dados de entrada para assegurar que so corretos e apropriados, o controle do
processamento interno para detectar qualquer corrupo dos dados, a anlise e avaliao dos
riscos de segurana para determinar a integridade das mensagens e a validao dos dados de
sada para garantir que o processamento das informaes esto corretos e apropriados [5].
1.9.3 Controles criptogrficos
Para garantir a confidencialidade, autenticidade e a integridade das informao por meios
criptogrficos importante que seja desenvolvida e implementada uma poltica para o uso dos
controles criptogrficos. Essa poltica deve considerar as leis, regulamentaes e restries
nacionais ao uso de tcnicas de criptografia, assim como a abordagem gerencial dos controles,
identificao dos nveis de proteo e a abordagem de gerenciamento de chaves. No
gerenciamento de chaves importante implementar processos para proteger as chaves contra
modificaes, perdas e destruies. Os equipamentos utilizados para gerar e armazenar as
chaves precisam ser fisicamente protegidos para evitar divulgaes no autorizadas [5].
1.9.4 Segurana dos arquivos do sistema
O acesso aos arquivos de sistemas e aos programas de cdigo fonte precisa ser controlado,
assim como as atividades de projetos de tecnologia e suporte necessitam ser conduzidas de
forma segura. A norma prope a criao de procedimentos para controlar a instalao de
software nos sistemas operacionais para diminuir os riscos de comprometimento do sistema
[5].
1.9.5 Segurana em processos de desenvolvimento e de suporte
Os ambientes de projetos precisam ser controlados tendo como responsveis pela sua
segurana os gerentes de aplicativos, que devem assegurar que as mudanas propostas sero
analisadas para evitar o comprometimento dos sistemas ou dos ambientes operacionais. Assim,
-
37
os procedimentos de controle de mudanas devem ser implantados, documentados e reforados
para manter a integridade dos sistemas de informao [5].
Na ocorrncia de mudana de sistema operacional, necessrio que as aplicaes crticas
de negcio sejam analisadas e testadas para assegurar que no haver impactos desastrosos
na operao ou na segurana da organizao. As mudanas em pacotes de softwares devem
ser desencorajadas, e que s sejam realizadas se realmente forem necessrias e estritamente
controladas.
A organizao deve supervisionar e monitorar o desenvolvimento de softwares terceirizados
levando-se em considerao itens como acordos de licenciamento, certificao de qualidade,
requisitos contratuais e testes para deteco de cdigos maliciosos antes de sua instalao. Alm
de manter mecanismos para prevenir o vazamento de informaes.
1.9.6 Gesto de vulnerabilidades tcnicas
A organizao precisa implementar, de forma eficiente, uma gesto de vulnerabilidades
tcnicas que permita, em tempo hbil, obter informaes sobre vulnerabilidades dos sistemas
de informao que esto em funcionamento. Para assim, avaliar o grau de exposio da
organizao s vulnerabilidades e tomar as metidas cabveis para lidar com os riscos associados
[5].
1.10 Gesto de incidentes de segurana da informao
1.10.1 Notificao de fragilidades e eventos de segurana da informao
As fragilidades e eventos de segurana da informao relacionados com os sistemas de
informao precisam ser comunicados direo para permitir a tomada de aes corretivas
em um tempo satisfatrio. Para isso, importante estabelecer procedimentos para relatar os
eventos de segurana da informao junto com os procedimentos de resposta a incidentes e
escalonamento, permitindo identificar ao a ser tomada ao receber a notificao de um evento
de segurana da informao. A norma aconselha a definio de um ponto de contato, que seja
de conhecimento de toda a organizao, para receber as notificaes dos eventos de segurana.
Alm de comunicar a todos os funcionrios, fornecedores e terceiros suas responsabilidades de
notificar qualquer eventos de segurana da informao o mais breve possvel [5].
-
38
1.10.2 Gesto de incidentes de segurana da informao e melhorias
Para garantir que a gesto de incidentes de segurana da informao tenha um enfoque
consistente e efetivos preciso estabelecer procedimento e responsabilidades para assegurar
respostas rpidas e efetivas aos incidentes de segurana da informao. Alm disso preciso
elaborar mecanismos para quantificar e monitorar os tipos, quantidades e custos dos incidentes
de segurana e a informaes resultantes da anlise desses dados devem ser usadas para
identificar incidentes recorrentes ou de alto impacto. Em casos de uma ao legal contra
uma pessoa ou uma organizao necessrio coletar, armazenar e apresentar as evidncias
em conformidade com as normas de armazenamento de evidncias da jurisdio em questo
[5].
1.11 Gesto da continuidade do negcio
1.11.1 Aspectos da gesto da continuidade do negcio, relativos segu-rana da informao
Na gesto da continuidade do negcio importante implementar processos para minimizar
os impactos de desastres e falhas nos sistemas de informao da organizao. Estes devem
ter como propsito a proteo dos processos crticos de negcio no permitindo a interrupo
das atividades da organizao e em casos de falhas garantir a sua retomada em um tempo
satisfatrio. Para isso necessrio a identificao dos eventos que podem causar a interrupo
dos processos de negcio, e depois realizar uma anlise e avaliao dos riscos para determinar
a probabilidade e o impacto das interrupes considerando os danos e o tempo de recuperao
[5].
A norma prope o desenvolvimento e implantao de planos de continuidade para a
manuteno e a recuperao das operaes e para assegurar a disponibilidade das informaes.
O planejamento precisa considerar aspectos como, identificao das responsabilidades e
processos de continuidade do negcio, identificao de perdas aceitveis, bem como testes
e atualizaes dos planos de continuidade. importante que os planos de continuidade do
negcio mantenham uma estrutura bsica para garantir a consistncia de todos os planos
devendo descrever o enfoque para continuidade, especificar o escalonamento e as condies
de ativao, assim como as responsabilidades individuais para execuo de cada uma das
atividades do plano [5].
Regularmente preciso testar e atualizar os planos de continuidade do negcio para
-
39
garantir sua efetividade. Devendo certificar que os membros da equipe de recuperao estejam
conscientes de suas responsabilidades para quando o plano for acionado. Pode-se usar tcnicas
como, testes de mesa simulando vrios cenrios, ensaio geral e testes de recuperao para
assegurar que os planos iro operar consistentemente em casos reais. Os resultados dos testes
realizados precisam ser registrados para que possam ser tomadas aes de melhoria dos planos
[5].
1.12 Conformidade
1.12.1 Conformidade com requisitos legais
Muitas vezes, na gesto de sistemas de informao a organizao precisa se enquadrar
com requisitos de segurana contratuais, regulamentares ou estatutrios para evitar violaes
de quaisquer obrigaes legais. Assim, necessrio definir, documentar e manter atualizados
os requisitos legais e contratuais que esto no enfoque da organizao. Bem como, estabelecer
procedimentos para garantir que a empresa est em conformidade com os requisitos legais que
tangem o uso de materiais intelectuais podendo ser o uso de softwares proprietrios, documentos
e licenciamentos especficos [5].
Os registros da organizao precisam ser protegidos contra perdas, destruio e falsificaes
como previstos nos requisitos legais e de negcio. Devendo ser categorizados por tipos,
constando detalhes do perodo de reteno e mdias de armazenamento. Do mesmo modo,
cabe a organizao desenvolver e implementar uma poltica de privacidade e proteo de dados
que assegure a conformidade com a legislao e regulamentao vigente. A manipulao de
dados criptografados tambm precisam obedecer a legislao. A organizao precisa informa
a todos os usurios qual o escopo de suas permisses de acesso e que esto sendo monitorados
para assegurar que no haver uso no autorizado da parte deles dos sistemas de informao da
organizao [5].
1.12.2 Conformidade com normas e polticas de segurana da informaoe conformidade tcnica
Os gerentes e proprietrios de sistemas devem garantir que todos os procedimentos de
segurana da informao da sua rea de responsabilidade esto sendo executados corretamente,
alm de realizar anlise peridicas para assegurar a conformidade com as polticas e normas de
segurana [5].
-
40
importante que os sistemas de informao tenham suas conformidades tcnicas verifica-
das regularmente por pessoas autorizadas e competentes devendo gerar relatrios que precisam
ser analisados por um tcnico especializado. A verificao de conformidade engloba teste de
invaso e avaliao de vulnerabilidades que precisam ser realizados por pessoas especializadas,
todo o este procedimento precisa ser planejado e documentado [5].
1.12.3 Consideraes quanto auditoria de sistemas de informao
As auditorias precisam ser cuidadosamente planejadas para maximizar a eficcia e minimi-
zar os inconvenientes no processo de auditorias dos sistemas de informao. importante que
existam controles para a proteo de sistemas operacionais e ferramentas de auditoria durante o
processo de verificao, tambm sendo necessrio prevenir o uso indevido das ferramentas de
auditoria [5].
-
41
2 ITIL r v3 - IT Infrastructure Library
No final dos anos 1980, em resposta a crescente dependncia de TI dos negcios, a Agncia
Central de Computao e Telecomunicaes (CCTA) do governo britnico desenvolveu uma
srie de livros documentando uma abordagem de gerenciamento de servios de TI necessria
para dar suporte aos usurios de negcio. Esta biblioteca de prticas, que na sua verso original
era composta por mais de 40 livros, foi ento chamada de IT Infrastructure Library, mais
conhecida como ITIL r [9].
Posteriormente, a verso original foi revisada e substituda pela ITIL r v2 (verso 2),
formada por 9 livros, que preenche as lacunas entre a tecnologia e o negcio sendo fortemente
focada na entrega de servios. A ITIL r v2 foi a base para a norma British Standard 15000
que foi introduzida norma ISO 20000:2005, ganhando reconhecimento mundial [9].
Com o rpido avano da tecnologia da informao surgiu a necessidade de renovar a
corrente abordagem para enfrentar os novos desafios do gerenciamento de servios de TI, em
2007, foi lanada a ITIL r v3 que uma atualizao completa da verso 2. Esta verso
composta por cinco livros oficiais organizados em torno de uma estrutura de ciclo de vida de
servio (ver Figura 2.1), sendo Service Strategy, Service Design, Service Transition, Service
Operation e Continual Service Improvement [9].
-
42
Figura 2.1: Ciclo de vida de servio da ITIL r v3.
Neste captulo sero abordadas as cinco fases do ciclo de vida de servio da ITIL r v3 e
os seus respectivos processos.
2.1 Estratgia de Servio
A Estratgia de Servio o ponto de partida do ciclo de vida de um servio na ITIL r
v3 provendo orientaes de como desenhar, desenvolver e implementar o gerenciamento de
servios no somente como uma habilidade organizacional, mas sim como um ativo estratgico.
Nesta fase, so providas orientaes sobre os princpios que sustentam o gerenciamento
de servios que so teis no desenvolvimento de polticas de gerenciamento de servios,
recomendaes e processos em todo o ciclo de vida de servio da ITIL r [10].
Estas orientaes, so usadas pelas organizaes para estabelecer seus objetivos e expec-
tativas de desempenho para servir os clientes e os nichos de mercado, alm de servir para
identificar, selecionar e priorizar as oportunidades de negcio. A Estratgia de Servio assegura
que as organizaes esto em uma posio para lidar com os custos e riscos associados com os
seus portflios de servios, identificando os requisitos e necessidades de negcio que precisam
ser documentados em Pacotes de Nvel de Servio (PNS) [10].
-
43
2.1.1 Gerenciamento financeiro
O gerenciamento financeiro fornece uma viso geral dos valores envolvidos na prestao
de servio, possibilitando o aumento da percepo dos resultados e dando condies a uma
tomada de deciso mais eficaz. Tambm fornece decises administrativas no que se refere aos
investimentos em TI e incentiva a conscincia dos custos no uso da infraestrutura de TI [10].
Os objetivos do gerenciamento financeiro so:
Agregar qualidade a tomada de decises
Tornar as mudanas mais geis
Facilitar o gerenciamento do portflio de servio
Maior controle dos recursos financeiros
Agregar valor
2.1.2 Gerenciamento da demanda
O propsito do gerenciamento de demanda compreender e influenciar as demandas de
clientes pelos servios e a proviso de capacidade para atendimento s demandas. Este processo
analisa, rastreia, monitora e documenta os padres de atividade do negcio (PAN), a fim de
prever as demandas atuais e futuras por servios. So esses padres de atividade que vo dizer
como o cliente usa o servio e quais os perodos de maior uso do servio. Tambm recomenda
atividades baseadas no gerenciamento da demanda e no relacionamento de padres de demanda
para assegurar que os planos de negcio do cliente estejam sincronizados com os planos de
negcio do provedor de servio [10].
No nvel estratgico, faz anlise de padres de negcio e perfis de usurios. No nvel ttico,
define o uso de mecanismos de diferenciao para encorajar o uso adequado dos servios. Este
processo fornece como resultado um Pacote de Nvel de Servio (PNS) que define o valor dos
servios em termos de utilidade e garantia [10].
2.1.3 Gerenciamento de portflio de servio
O gerenciamento de portflio de servio fornece informaes de todos os servios, que
podem ser os servios atuais, em desenvolvimento ou desativados. A partir dele, possvel saber
-
44
quais servios esto em desenvolvimento, quais esto em operao e quais servios precisam
ou j foram desativados. Neste processo, os servios so descritos em termos de valor para
o negcio, so definidas as necessidades do negcio e as solues adotadas pelo provedor de
servio. Com ele, tambm, possvel comparar os servios oferecidos por outros provedores
de servio, com base no valor e descrio [10].
As atividades descritas no gerenciamento de portflio de servio so:
Definir: fazer o inventrio de servios, garantir oportunidades de negcio e validar osdados do portflio
Analisar: maximizar o valor do portflio, alinhar, priorizar e balancear a oferta e ademanda
Aprovar: finalizar o portflio proposto, autorizar os servios e recursos
Contratar: comunicar as decises, alocar os recursos e realizar as contrataes
2.2 Desenho de Servio
O Desenho de Servio segunda fase do ciclo de vida do ITIL r , fornece os princpios e
mtodos de desenho para converter os objetivos estratgicos em portflios e ativos de servios,
garantindo que os servios de TI esto alinhados s necessidades de negcio. Tem como
objetivo principal a concepo de servios de TI em conformidade com as prticas, processos e
polticas de governana de TI para consolidar a estratgia e facilitar a introduo destes servios
no ambiente de produo. E desta forma, assegurar a qualidade da entrega dos servios, a
satisfao dos clientes e o custo-benefcio na prestao dos servios [11].
2.2.1 Gerenciamento de catlogo de servio
O objetivo do processo de gerenciamento de catlogo de servio produzir e manter um
Catlogo de Servio, contendo informaes precisas sobre todos os servios em operao e
tambm sobre aqueles que esto prontos para operao. Prover valor ao negcio como uma
fonte central de informao sobre os servios entregues pelo provedor de servio, garantindo
que todas as reas do negcio possam ter uma viso exata e consistente dos servios de TI
em uso, assim como, assegurar que as informaes no Catlogo de Servios esto corretas e
refletem os seus detalhes e a sua situao. Ele tem sua viso de servio voltada para os clientes,
-
45
mostrando como os servios sero utilizados, quais processos de negcio eles habilitam e quais
nveis e que qualidade de servios os clientes podem esperar de cada servio [11].
As atividades do gerenciamento de catlogo de servio so:
Definio de servio
Produo e manuteno de um Catlogo de Servio
Estabelecimento de interfaces, dependncias e consistncias entre o Catlogo de Servioe o Portflio de Servio
Estabelecimento de interfaces e dependncias entre todos os servios e os servios desuporte do Catlogo de Servio
Estabelecimento de interfaces e dependncias entre todos os servios e componentesde suporte e itens de configurao relacionados aos servios que esto no Catlogo de
Servio.
2.2.2 Gerenciamento do nvel de servio
O gerenciamento do nvel de servio responsvel por negociar, acordar e documentar
as metas dos servios de TI com os representantes do negcio, monitorando e produzindo
relatrios sobre a capacidade que o provedor de servio tem em fornecer o nvel de servio
acordo. Responsvel, tambm, por acordar e documentar as responsabilidades nos Acordos de
Nvel de Servio (ANSs) e nos Requisitos de Nvel de Servio (RNSs), para todas as atividade
dentro da TI. O seu sucesso totalmente dependente da qualidade do contedo do portflio de
servio e do catalogo de servio, uma vez que fornecem as informaes necessrias sobre os
servios a serem geridos [11].
O ANS um acordo entre o provedor de servio e um cliente, ele descreve o servio,
documenta as metas de nvel de servio e especifica as responsabilidades do provedor de servio
e do cliente. No geral, representa um nvel de confiana ou garantia da qualidade do servio
prestado. O RNS um requisito do cliente em relao aos aspectos dos servios de TI, baseado
nos objetivos do negcio e usado para negociar as metas de nveis de servio [11].
Os objetivos do gerenciamento do nvel de servio so:
Definir, documentar, acordar, monitorar, medir, reportar e revisar os nveis dos serviosde TI fornecidos
-
46
Propiciar e aprimorar o relacionamento e a comunicao com a empresa e clientes
Garantir que as metas especificas e mensurveis so desenvolvidas para todos os servios
Monitorar e melhorar a satisfao dos clientes com a qualidade dos servios prestados
Assegurar que a TI e o cliente tem uma clara e inequvoca expectativa do nvel de servioque ser entregue
Garantir que as medidas pr-ativas para melhoria dos servios prestados so executadassempre que os seus custos forem justificveis.
2.2.3 Gerenciamento da capacidade
O gerenciamento da capacidade um processo que se estende ao longo de todo o ciclo
de vida, garantindo que a relao custo-benefcio sempre exista em todas as reas de TI e seja
correspondente as atuais e futuras necessidades do negcio. Tambm mantem os nveis de
entrega de servios acordados a um custo acessvel, alm de assegurar que a capacidade da
infraestrutura de TI esteja alinhada com as necessidades do negcio [11].
Os objetivos do gerenciamento da capacidade so:
Produzir e manter um plano de capacidade apropriado e atualizado que reflita as atuais efuturas necessidades do negcio
Propiciar recomendaes e orientaes sobre as questes de capacidade para todas asoutras reas de negcio e TI
Certificar que os resultados de desempenho de servio atendem ou excedem todas asmetas acordadas, gerenciando o desempenho e a capacidade dos servios e recursos.
Auxiliar no diagnstico e resoluo de incidentes e problemas relacionados com odesempenho e a capacidade
Avaliar as mudanas no plano de capacidade e o desempenho e capacidade de todos osservios e recursos
Garantir que medidas pr-ativas sejam implantadas para melhorar o desempenho dosservios a um custo justificvel.
-
47
2.2.4 Gerenciamento da disponibilidade
O propsito do gerenciamento da disponibilidade garantir que o nvel de disponibilidade
de servio prestado em todos os servios corresponde ou excede as necessidades atuais e futuras
do negcio, de forma rentvel. Tambm fornece um ponto de foco e gerenciamento para todas
as questes relacionadas a disponibilidade de servios e recursos, assegurando que as metas de
disponibilidade em todas as reas so medidas e alcanadas [11].
Os objetivos do gerenciamento da disponibilidade so:
Produzir e manter atualizado um plano de disponibilidade que reflita as atuais e futurasnecessidades do negcio
Propiciar recomendaes e orientaes sobre as questes de disponibilidade para todas asoutras reas de negcio e TI
Certificar que os resultados da disponibilidade de servio atendem ou excedem todas asmetas acordadas, atravs do gerenciamento dos servios e recursos relacionados com o
desempenho disponvel
Auxiliar no diagnstico e resoluo de incidentes e problemas relacionados com disponi-bilidade
Avaliar o impacto das mudanas no plano de disponibilidade e o desempenho ecapacidade de todos os servios e recursos
Garantir que medidas pr-ativas para a melhora da disponibilidade de servios sejamimplantadas sempre que seus custos forem justificveis.
2.2.5 Gerenciamento da continuidade do servio de TI
O gerenciamento da continuidade do servio de TI tem como propsito dar suporte aos
processos do Gerenciamento da Continuidade do Negcio, garantindo que os requisitos tcnicos
de servios e de TI possam ser retomados dentro de escalas de tempo requeridas e acordadas
[11].
Os objetivos do gerenciamento da continuidade do servio de TI so:
Manter um conjunto de planos de continuidade de servios de TI e planos de recuperaode servios de TI que possam suportar completamente o Plano de Continuidade do
Negcio da organizao
-
48
Completar revises regulares da Anlise de Impacto do Negcio para garantir que todosos planos de continuidade so mantidos alinhados com os impactos e requisitos de
mudanas do negcio
Realizar revises regulares de avaliao e gerenciamento de risco, particularmente emconjunto com o negcio e os processos de Gerenciamento da Disponibilidade e de
Gerenciamento da Segurana
Propiciar recomendaes e orientaes sobre as questes de continuidade e recuperaopara todas as outras reas de negcio e TI
Certificar que os mecanismos adequados de continuidade e recuperao so colocadosem prtica para atender ou exceder as metas de continuidade do negcio acordadas
Avaliar o impacto de todas as mudanas nos planos de continuidade de servio de TI eplanos de recuperao
Garantir que medidas pr-ativas para a melhora da disponibilidade de servios sejamimplantadas sempre que seus custos forem justificveis
Negociar e acordar os contratos necessrios com os fornecedores para fornecimento dacapacidade de recuperao necessria para manter todos os planos juntamente com os
processos do Gerenciamento de Fornecedor.
2.2.6 Gerenciamento de segurana da informao
O propsito do gerenciamento de segurana da informao alinhar a segurana de TI
com a segurana de negcio, garantindo que a segurana da informao gerenciada de forma
eficaz em todos os servios e atividades de TI. A segurana da informao uma atividade de
gerenciamento que est dentro da estrutura de governana corporativa, a qual fornece a direo
estratgica para as atividades de segurana, assegurando que os objetivos sejam alcanados.
Alm disso, garante que os risos de segurana so devidamente controlados e que os recursos
da empresa so utilizados de maneira responsvel [11].
Este processo foi baseado na norma ISO/IEC 27001 e assume uma abordagem modificada
da estrutura PDCA (Plan-Do-Check-Act) para o gerenciamento da segurana da informao
que utiliza a seguinte terminologia CPIAM:
Controlar: a primeira atividade do gerenciamento da segurana da informao,
-
49
tratando da organizao e do gerenciamento do processo, alocando responsabilidades e
estabelecendo e controlando documentaes
Planejar: aconselhar e recomendar medidas de segurana adequadas, com base noentendimento dos requisitos da organizao
Implementar: garantir que os procedimentos adequados, ferramentas e controles esto emconformidade para apoiar a segurana da informao
Avaliar: supervisionar e checar o cumprimento da poltica de segurana e os requisitos desegurana nos ANSs e ANOs e realizar auditorias regulares
Manter: melhorar os acordos de segurana e aplicao das medidas e controles
Os objetivos do gerenciamento de segurana da informao so:
Assegurar que as informaes estejam disponveis quando forem necessrias, alm de queos sistemas estejam preparados para resistir a ataques ou falhas de segurana, garantindo
sua disponibilidade
Garantir que a informao somente seja acessada ou divulgada para pessoas autorizadas,assegurando sua confidencialidade
Garantir que as informaes esto completas, precisas e protegidas contra modificaesno autorizadas, assegurando sua integridade
Garantir que as transaes de negcio e a troca de informaes entre as empresase parceiros seja realizada de maneira confivel, assegurando a autenticidade e o no
repdio.
2.2.7 Gerenciamento de fornecedor
O propsito do processo de gerenciamento de fornecedor garantir que os fornecedores e
os servios fornecidos por eles sejam gerenciados para suportar as metas dos servios de TI e as
expectativas do negcio. Ajudando a melhora a percepo da qualidade dos servios prestados
por parceiros e fornecedores de modo a beneficiar o negcio e a organizao. Tambm contribui
para que seja obtido o retorno adequado dos fornecedores garantindo que eles alcancem as metas
estabelecidas em seus contratos [11].
Os objetivos do gerenciamento de fornecedor so:
-
50
Agregar valor o dinheiro investido em fornecedores e contratos
Garantir que os contratos, acordos com fornecedores estejam alinhados as necessidadesdo negcio, RNS e ANS
Gerenciar as relaes com os fornecedores
Gerenciar o desempenho dos fornecedores
Negociar e acordar contratos com fornecedores e gerencia-los atravs do ciclo de vida
Manter uma poltica de fornecedores e um banco de dados de contratos e fornecedores.
2.3 Transio de Servio
A Transio de Servio fornece orientaes para o desenvolvimento e melhoria da
capacidade de transio de servios novos e modificados. Mostra como os requisitos da
Estratgia de Servio codificados no Desenho de Servio sero realizados na Operao de
Servio, controlando os riscos de falhas e interrupes. Em linhas gerais, ela serve como um
elo que liga a fase de Desenho de Servio fase de Operao de Servio [12].
2.3.1 Planejamento e suporte da transio
O planejamento e suporte da transio tem como propsito planejar e coordenar os recursos
assegurando que os requisitos da Estratgia de Servio codificados no Desenho de Servio so
efetivamente realizados na Operao de Servio. Alm de identificar, gerenciar e controlar os
riscos de falhas e interrupes atravs das atividades de transio [12].
Os objetivos do planejamento e suporte da transio so:
Planejar e coordenar os recursos para estabelecer com sucesso um servio novo oumodificado no ambiente de produo, dentro dos custos previstos e estimativas de
qualidade e tempo
Assegurar que todas as partes adotem as mesmas estruturas de padres reutilizveis deprocesso e sistemas de suporte, a fim de melhorar a eficcia e a eficincia do planejamento
integrado e atividades de coordenao
Oferecer planos claros e abrangentes que habilitem projetos de mudanas para alinhar assuas atividades s dos planos de Transio de Servio.
-
51
2.3.2 Gerenciamento de mudanas
O gerenciamento de mudanas tem como propsito assegurar que as mudanas so
realizadas de forma controlada, alm de serem planejadas, avaliadas, implementadas, testadas e
documentadas [12].
Os objetivos do gerenciamento de mudanas so:
Responder s mudanas de requisitos de negcio dos clientes minimizando o valor ereduzindo os incidentes, interrupes e retrabalho
Responder s solicitaes de negcio e TI para mudanas que alinharam os servios comas necessidades do negcio.
2.3.3 Gerenciamento da configurao e de ativo de servio
O propsito do gerenciamento da configurao e de ativo de servio definir e controlar os
componentes de servio e infraestrutura e manter a exatido da informao de configurao no
histrico, planejada e refletindo o estado atual dos servios e infraestrutura [12].
Os objetivos do gerenciamento da configurao e de ativo de servio so:
Apoiar o negcio e os objetivos de controle e requisitos dos clientes
Apoiar a eficincia e eficacia dos processos de gerenciamento de servio proporcionandoa exatido da informao de configurao para habilitar as pessoas a tomarem decises
no momento certo.
Minimizar o nmero de questes de qualidade e conformidade causadas por configura-es incorretas de servios e ativos.
Otimizar os ativos de servio, configuraes de TI, capacidade e recursos.
2.3.4 Gerenciamento de liberao e implantao
O gerenciamento de liberao e implantao tem como propsito implantar as liberaes
no ambiente de produo e estabelecer o uso eficaz do servio, a fim de entregar valor ao cliente
e ser capaz de passar as liberaes para Operao de Servio [1