Marcelo Fernandes de Luna

Gesto da Segurana da Informao com ITIL

v3
e ISO/IEC 27002
Londrina
2010
Marcelo Fernandes de Luna
Gesto da Segurana da Informao com ITIL

v3
e ISO/IEC 27002
Trabalho apresentado Universidade Estadual
de Londrina, como parte do requisito para
obteno do ttulo de Bacharel em Cincia da
Computao.
Orientador: Prof. Dr. Rodolfo Miranda de Barros
UNIVERSIDADE ESTADUAL DE LONDRINA
Londrina
2010
Marcelo Fernandes de Luna
Gesto da Segurana da Informao com ITIL

v3
e ISO/IEC 27002
Prof. Dr. Rodolfo Miranda de Barros
Universidade Estadual de Londrina
Prof. Ms. Elieser Botelho Manhas Jr.
Universidade Estadual de Londrina
Prof. Dr. Mario Lemes Proena Jr.
Universidade Estadual de Londrina
Londrina 30 de Novembro de 2010
Aos meus pais...
Agradecimentos
Primeiramente gostaria de agradecer imensamente aos meus pais, Elisonete e Antnio, que
com muito amor me ensinaram a ser quem eu sou. Mais do que isso, me mostraram como levar
uma vida digna e honesta, me dando fora nos momentos bons e nos momentos ruins. Pessoas
maravilhosas que tenho muito orgulho de ser lho.
Aos meus familiares, que em todos os momentos me deram apoio e me incentivaram a
continuar lutando.
minha prima de corao Ana Paula, por ter me aguentado durante todo esse ano e por ter
me doado um pouco do seu tempo para ajudar nas correes deste trabalho.
Gostaria de agradecer ao Alexandre e a Angela, por terem me dado apoio nos meus
primeiros anos em Londrina; em especial a Angela por ter cedido sua casa sem nem mesmo
me conhecer.
Agradeo ao meu orientador, professor Dr. Rodolfo Miranda de Barros pela oportunidade
de trabalhar em seu projeto, pela pacincia e conana neste tempo de convivncia.
professora Dr
a
Maria Anglica de Oliveira Camargo Brunetto pela oportunidade de
trabalhar em seus projetos e por ter me mostrado o mundo da pesquisa.
Aos meus amigos com quem convivi nestes anos de faculdade, pelo companheirismos e pe-
los bons momentos. Em especial aos amigos do Banquinho da Alegria que me proporcionaram
momentos de alegria e crescimento pessoal.
Ao Huemer, pela ajuda no estgio, pelo interesse e por me ajudar na correo deste trabalho.
No poderia deixar de agradecer a todos os professores que ao transmitirem seus conheci-
mentos contriburam para meu desenvolvimento acadmico.
Sou grato por todas as pessoas que estiveram presentes em minha vida, so tantas pessoas
que ao nomin-las poderia me esquecer de algum, portanto deixo o meu muito obrigado a elas
por fazerem parte dela.
"A mente que se abre a uma nova idia jamais volta ao seu tamanho original"
Albert Einstein
Resumo
A Tecnologia da Informao (TI) tem se tornado cada vez mais importante para que as
organizaes obtenham maior proveito de suas informaes, maximizando os benefcios e
proporcionando maior competitividade. Com a necessidade de se alinhar com os objetivos
da organizao, a TI tem buscado em padres consolidados, como a ITIL, o CobiT e a srie
ISO/IEC 27000 de normas relacionadas a Segurana da Informao, formas de atender aos
interesses empresariais das organizaes. Neste contexto, o presente trabalho tem por nalidade
desenvolver um estudo que relaciona as fases do ciclo de vida de servio da ITIL

v3 com
as sees da norma ISO/IEC 27002, objetivando mostrar como a norma pode contribuir para
melhorar a qualidade e segurana dos servios prestados pelas organizaes que se utilizam
da Tecnologia da Informao para agregar valor ao seu negcio e serem geis nas tomadas de
deciso.
Palavra-chave: ITIL

, ISO/IEC 27002, segurana da informao
Abstract
Information Technology (IT) has become increasingly important to organizations to
take greater advantage of their information, maximizing benets and providing increased
competitiveness. With the need to align with the goals of the organization, IT has sought
in pattern consolidated, such as ITIL

, CobiT

and the series ISO/IEC 27000 standards
related to information security, forms of serve the interests of business organizations. In this
context, this work aims to develop a study that relates the Service Lifecycle of ITIL

v3 and
the sections of ISO/IEC 27002, aiming to show how the standard can help improve the quality
and safety of services provided by organizations that use Information Technology to add value
to your business and be agile in decision-making.
Key-word: ITIL

, ISO/IEC 27002, Information Security
Sumrio
Lista de Figuras
Lista de Tabelas
Lista de Abreviaturas p. 15
Introduo p. 17
1 NBR ISO/IEC 27002 p. 20
1.1 Anlise/Avaliao e tratamento de riscos . . . . . . . . . . . . . . . . . . . . p. 20
1.1.1 Analisando/avaliando os riscos de segurana da informao . . . . . p. 20
1.1.2 Tratando os riscos de segurana da informao . . . . . . . . . . . . p. 21
1.2 Poltica de segurana da informao . . . . . . . . . . . . . . . . . . . . . . p. 21
1.3 Organizando a segurana da informao . . . . . . . . . . . . . . . . . . . . p. 22
1.3.1 Organizao interna . . . . . . . . . . . . . . . . . . . . . . . . . . p. 22
1.3.2 Partes externas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 24
1.4 Gesto de ativos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 24
1.4.1 Responsabilidade pelos ativos . . . . . . . . . . . . . . . . . . . . . p. 24
1.4.2 Classicao da informao . . . . . . . . . . . . . . . . . . . . . . p. 25
1.5 Segurana em recursos humanos . . . . . . . . . . . . . . . . . . . . . . . . p. 25
1.5.1 Antes da contratao . . . . . . . . . . . . . . . . . . . . . . . . . . p. 25
1.5.2 Durante a contratao . . . . . . . . . . . . . . . . . . . . . . . . . p. 25
1.5.3 Encerramento ou mudana da contratao . . . . . . . . . . . . . . . p. 26
1.6 Segurana fsica e do ambiente . . . . . . . . . . . . . . . . . . . . . . . . . p. 26
1.6.1 reas seguras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 26
1.6.2 Segurana de equipamentos . . . . . . . . . . . . . . . . . . . . . . p. 27
1.7 Gerenciamento das operaes e comunicaes . . . . . . . . . . . . . . . . . p. 28
1.7.1 Procedimentos e responsabilidades operacionais . . . . . . . . . . . p. 28
1.7.2 Gerenciamento de servios terceirizados . . . . . . . . . . . . . . . . p. 28
1.7.3 Planejamento e aceitao dos sistemas . . . . . . . . . . . . . . . . . p. 29
1.7.4 Proteo contra cdigos maliciosos e cdigos mveis . . . . . . . . . p. 29
1.7.5 Cpias de segurana . . . . . . . . . . . . . . . . . . . . . . . . . . p. 29
1.7.6 Gerenciamento da segurana em redes . . . . . . . . . . . . . . . . . p. 30
1.7.7 Manuseio de mdias . . . . . . . . . . . . . . . . . . . . . . . . . . p. 30
1.7.8 Troca de informaes . . . . . . . . . . . . . . . . . . . . . . . . . . p. 31
1.7.9 Servios de comrcio eletrnico . . . . . . . . . . . . . . . . . . . . p. 32
1.7.10 Monitoramento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 32
1.8 Controle de acesso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 33
1.8.1 Requisitos de negcio para controle de acesso . . . . . . . . . . . . . p. 33
1.8.2 Gerenciamento de acesso do usurio . . . . . . . . . . . . . . . . . . p. 33
1.8.3 Responsabilidades dos usurios . . . . . . . . . . . . . . . . . . . . p. 34
1.8.4 Controle de acesso rede . . . . . . . . . . . . . . . . . . . . . . . . p. 34
1.8.5 Controle de acesso ao sistema operacional . . . . . . . . . . . . . . . p. 34
1.8.6 Controle de acesso aplicao e informao . . . . . . . . . . . . . p. 35
1.8.7 Computao mvel e trabalho remoto . . . . . . . . . . . . . . . . . p. 35
1.9 Aquisio, desenvolvimento e manuteno de sistemas de informao . . . . p. 35
1.9.1 Requisitos de segurana de sistemas de informao . . . . . . . . . . p. 35
1.9.2 Processamento correto nas aplicaes . . . . . . . . . . . . . . . . . p. 36
1.9.3 Controles criptogrcos . . . . . . . . . . . . . . . . . . . . . . . . p. 36
1.9.4 Segurana dos arquivos do sistema . . . . . . . . . . . . . . . . . . . p. 36
1.9.5 Segurana em processos de desenvolvimento e de suporte . . . . . . p. 36
1.9.6 Gesto de vulnerabilidades tcnicas . . . . . . . . . . . . . . . . . . p. 37
1.10 Gesto de incidentes de segurana da informao . . . . . . . . . . . . . . . p. 37
1.10.1 Noticao de fragilidades e eventos de segurana da informao . . p. 37
1.10.2 Gesto de incidentes de segurana da informao e melhorias . . . . p. 38
1.11 Gesto da continuidade do negcio . . . . . . . . . . . . . . . . . . . . . . . p. 38
1.11.1 Aspectos da gesto da continuidade do negcio, relativos segurana
da informao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 38
1.12 Conformidade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 39
1.12.1 Conformidade com requisitos legais . . . . . . . . . . . . . . . . . . p. 39
1.12.2 Conformidade com normas e polticas de segurana da informao e
conformidade tcnica . . . . . . . . . . . . . . . . . . . . . . . . . . p. 39
1.12.3 Consideraes quanto auditoria de sistemas de informao . . . . . p. 40
2 ITIL

v3 - IT Infrastructure Library p. 41
2.1 Estratgia de Servio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 42
2.1.1 Gerenciamento nanceiro . . . . . . . . . . . . . . . . . . . . . . . p. 43
2.1.2 Gerenciamento da demanda . . . . . . . . . . . . . . . . . . . . . . p. 43
2.1.3 Gerenciamento de portflio de servio . . . . . . . . . . . . . . . . . p. 43
2.2 Desenho de Servio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 44
2.2.1 Gerenciamento de catlogo de servio . . . . . . . . . . . . . . . . . p. 44
2.2.2 Gerenciamento do nvel de servio . . . . . . . . . . . . . . . . . . . p. 45
2.2.3 Gerenciamento da capacidade . . . . . . . . . . . . . . . . . . . . . p. 46
2.2.4 Gerenciamento da disponibilidade . . . . . . . . . . . . . . . . . . . p. 47
2.2.5 Gerenciamento da continuidade do servio de TI . . . . . . . . . . . p. 47
2.2.6 Gerenciamento de segurana da informao . . . . . . . . . . . . . . p. 48
2.2.7 Gerenciamento de fornecedor . . . . . . . . . . . . . . . . . . . . . p. 49
2.3 Transio de Servio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 50
2.3.1 Planejamento e suporte da transio . . . . . . . . . . . . . . . . . . p. 50
2.3.2 Gerenciamento de mudanas . . . . . . . . . . . . . . . . . . . . . . p. 51
2.3.3 Gerenciamento da congurao e de ativo de servio . . . . . . . . . p. 51
2.3.4 Gerenciamento de liberao e implantao . . . . . . . . . . . . . . p. 51
2.3.5 Validao e teste de servio . . . . . . . . . . . . . . . . . . . . . . p. 52
2.3.6 Avaliao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 53
2.3.7 Gerenciamento do conhecimento . . . . . . . . . . . . . . . . . . . . p. 53
2.4 Operao de Servio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 54
2.4.1 Gerenciamento de evento . . . . . . . . . . . . . . . . . . . . . . . . p. 54
2.4.2 Gerenciamento de incidente . . . . . . . . . . . . . . . . . . . . . . p. 55
2.4.3 Cumprimento de requisio . . . . . . . . . . . . . . . . . . . . . . p. 56
2.4.4 Gerenciamento de problema . . . . . . . . . . . . . . . . . . . . . . p. 56
2.4.5 Gerenciamento de acesso . . . . . . . . . . . . . . . . . . . . . . . . p. 57
2.5 Melhoria de Servio Continuada . . . . . . . . . . . . . . . . . . . . . . . . p. 58
2.5.1 Processo de melhoria em 7 etapas . . . . . . . . . . . . . . . . . . . p. 58
2.5.2 Relatrio de servio . . . . . . . . . . . . . . . . . . . . . . . . . . p. 59
2.5.3 Mensurao de servios . . . . . . . . . . . . . . . . . . . . . . . . p. 59
3 ISO/IEC 27002 e ITIL

v3 como ferramenta para alinhar segurana da
informao ao negcio p. 60
3.1 Estratgia de Servio e a norma ISO/IEC 27002 . . . . . . . . . . . . . . . . p. 62
3.2 Desenho de Servio e a norma ISO/IEC 27002 . . . . . . . . . . . . . . . . . p. 63
3.3 Transio de Servio e a norma ISO/IEC 27002 . . . . . . . . . . . . . . . . p. 65
3.4 Operao de Servio e a norma ISO/IEC 27002 . . . . . . . . . . . . . . . . p. 65
3.5 Melhoria Contnua e a norma ISO/IEC 27002 . . . . . . . . . . . . . . . . . p. 67
Concluso p. 68
Referncias Bibliogrcas p. 70
Lista de Figuras
2.1 Ciclo de vida de servio da ITIL

v3. . . . . . . . . . . . . . . . . . . . . . p. 42
3.1 Relao entre a ITIL

v3 e a ISO/IEC 27002. . . . . . . . . . . . . . . . . . p. 61
Lista de Tabelas
3.1 ITIL

v3 ISO/IEC 27002. . . . . . . . . . . . . . . . . . . . . . . . . . . p. 62
15
Lista de Abreviaturas
TI Tecnologia da Informao
ITIL

Information Technology Infrastructure Library
CobiT

Control Objectives for Information and Related Technology
ISO International Organization for Standardization
IEC International Electrotechnical Commission
SOX Sarbanes-Oxley
GSI Gerenciamento da Segurana da Informao
SI Segurana da Informao
NBR Norma Brasileira
CD Compact Disc
DVD Digital Video Disc
CCTA Central Computer and Telecommunications Agency
BS British Standard
PNS Pacote de Nvel de Servio
PAN Padro de Atividade do Negcio
16
ANS Acordo de Nvel de Servio
RNS Requisito de Nvel de Servio
PDCA Plan-Do-Check-Act
CPIAM Controlar-Planejar-Implementar-Avaliar-Manter
ANO Acordo de Nvel Operacional
IC Item de Congurao
SGSI Sistema de Gerenciamento de Segurana da Informao
ITGI IT Governance Institute
TSO The Stationery Ofce
17
Introduo
A Tecnologia da Informao (TI) uma rea essencial para as organizaes, sendo em
muitos casos pouco compreendida. Organizaes que entendem o valor da TI e utilizam-na
como ferramenta para alcanar seus objetivos de negcio so, em sua maioria, bem-sucedidas.
Essas organizaes adequam-se facilmente s demandas regulatrias e tm uma capacidade
maior de entender e gerenciar a dependncia crtica de muitos processos de negcio da TI [1].
H uma grande cobrana para que a rea de TI se alinhe s metas empresariais de suas
organizaes, alm de ter que atender s regulamentaes como a lei SOX (Sarbanes-Oxley) e
Basilia II. Para isso necessrio capacidade de governana e mecanismos que possibilitem a
auditoria externa. As organizaes em geral compreendem que precisam manter estruturas de
proteo e Segurana da Informao, mas tm diculdade de entender o escopo dessas. Assim,
estruturas como a ITIL

(Information Technology Infrastructure Library), o CobiT (Control
Objectives for Information and Related Technology) e os padres da famlia ISO/IEC 27000
podem ajudar o prossional a entender o propsito de tais estruturas [2].
Segundo Clinch [3], devido crescente ocorrncia de incidentes relacionados falta
de segurana nas organizaes necessrio que a TI adote uma abordagem integrada de
Gerenciamento de Segurana da Informao (GSI), de forma a alinhar as necessidades e riscos
do negcio s medidas tcnicas. Alm disso, tambm necessria a construo de polticas e
procedimentos para criar uma cultura de Segurana da Informao (SI) dentro da organizao
assegurando que a informao ser tratada de forma segura e apropriada durante todo o tempo.
Os benefcios que a boa Segurana da Informao pode trazer no se restringem apenas
reduo dos riscos e diminuio do impacto s falhas. A Segurana da Informao pode
contribuir para melhorar a reputao da organizao, atravs da agilidade na recuperao de
incidentes de segurana e denindo os devidos valores e permisses de acesso as informaes,
fazendo com que as partes envolvidas conem na organizao [4].
A informao o bem mais precioso para uma organizao e essencial para a realizao
dos seus negcios e, por consequncia, precisa ser protegida [5]. Em decorrncia disso, cresce
o nmero de organizaes que buscam, na Tecnologia da Informao, formas para melhorar a
ecincia de seus processos e tirar maior proveito de suas informaes. Dentre as tecnologias
18
disponveis, destacam-se as redes de computadores que permitem a conexo entre os diversos
setores da mesma organizao, bem como a integrao dos sistemas de diferentes organizaes,
as quais cooperam entre si para que os objetivos de seus negcios sejam atingidos [6]. Como
consequncia dessa interconectividade, a informao est mais exposta a um crescente nmero
e a uma grande variedade de ameaas e vulnerabilidades [5].
A Segurana da Informao protege as informaes dessas ameaas e vulnerabilidades
assegurando a continuidade do negcio, mitigando os riscos, maximizando o retorno sobre os
investimentos e as oportunidades de mercado. Pode-se obter a Segurana da Informao atravs
da implementao de um conjunto de controles adequados que incluem polticas, processos,
procedimentos, estruturas organizacionais e funes de software e hardware. Tais controles
precisam ser estabelecidos, implementados, monitorados, analisados e melhorados, de acordo
com as necessidades, para garantir que os objetivos do negcio e da segurana da organizao
sejam atendidos [5].
Segundo a ISO/IEC 27002 [5], a segurana alcanada por meios tcnicos limitada e
deve ser apoiada por procedimentos e por uma gesto apropriada. Como muitos sistemas de
informao no foram projetados para serem seguros, a identicao dos controles a serem
implementados requerem um planejamento cuidadoso e uma ateno aos detalhes. Alm
dos fatores j descritos, para que a Segurana da Informao seja ecaz, faz-se necessria a
colaborao de todos os interessados no futuro da organizao.
A Segurana da Informao tem como principais componentes a condencialidade, a
integridade e a disponibilidade, que so necessrios para a preservao e proteo da informao
[2]. A condencialidade a propriedade que garante que a informao no esteja disponvel ou
revelada a indivduos, entidades ou processos no autorizados [7]. Aintegridade a propriedade
que garante a salvaguarda da exatido e completeza da informao [7]. A disponibilidade
a propriedade que garante que a informao estar acessvel e utilizvel sob demanda por
entidades autorizadas [7].
Neste contexto, o presente trabalho pretende realizar um estudo da ITIL

v3 e da norma
ISO/IEC 27002, buscando relacionar as fases do ciclo de vida de servio da ITIL

v3 com as
sees da norma. Tendo como objetivo mostrar como a norma pode contribuir para melhorar
a qualidade e a segurana dos servios prestados pelas organizaes que utilizam a Tecnologia
da Informao para agregar valor ao seu negcio.
O restante deste trabalho encontra-se da seguinte forma: no captulo 1 apresentada um
viso geral da NBR ISO/IEC 27002, bem como sua seo introdutria sobre anlise e avaliao
de riscos e mais suas 11 sees, no captulo 2 apresentada uma viso geral sobre a ITIL

v3 e
19
suas cinco fases do seu ciclo de vida de servio, no captulo 3 apresentado o estudo que mostra
como a norma ISO/IEC 27002 pode contribuir para aumentar a segurana no gerenciamento de
servios de TI e ao nal apresentada a concluso do trabalho realizado.
20
1 NBR ISO/IEC 27002
A NBR ISO/IEC 27002 um cdigo de boas prticas para a gesto da segurana da
informao, mantido pelo comit internacional ISO/IEC. Tem como nalidade prover diretrizes
e princpios gerais para iniciar, implementar, manter e melhorar a gesto da segurana da
informao em uma organizao. A norma pode ser usada por uma organizao como um
guia prtico para desenvolver procedimentos e estabelecer prticas de gesto da segurana da
informao [5].
A NBR ISO/IEC 27002 formada por 11 sees de controles de segurana da informao,
as quais so divididas em categorias principais de segurana, que totalizam 39 categorias [5].
Este captulo abordar a seo introdutria sobre anlise e avaliao de riscos e mais as 11
sees desta norma, assim como suas categorias principais de segurana.
1.1 Anlise/Avaliao e tratamento de riscos
1.1.1 Analisando/avaliando os riscos de segurana da informao
As anlises e avaliaes de riscos precisam identicar e priorizar os riscos com base nos
critrios para aceitao dos riscos e dos objetivos relevantes para a organizao. Os resultados
obtidos vo orientar e determinar as aes de gesto que sero apropriadas para o gerenciamento
de riscos de segurana da informao [5].
A anlise e avaliao dos riscos precisa ter seu escopo bem denido para ser eciente
e produzir o efeito desejado. Devendo estimar a magnitude do risco e comparar os riscos
estimados com os critrios para determinar a signicncia dos riscos. Todo esse processo
precisa ser realizado regularmente para cobrir as mudanas nos requisitos de segurana e
situaes de riscos [5].
21
1.1.2 Tratando os riscos de segurana da informao
Aps denir os critrios para determinao de quais riscos sero aceitos ou no, preciso
tomar decises para o tratamento de cada um dos riscos identicados. Os riscos podem ser
tratados aplicando controles para reduzir os riscos a um nvel aceitvel, transferindo os riscos
para outras partes ou evitando os riscos de forma a no permitir aes que poderiam causar tais
riscos [5].
1.2 Poltica de segurana da informao
A poltica de segurana da informao denida por Silva [8] como um conjunto de regras
genricas que determina o que considerado pela organizao como aceitvel ou inaceitvel.
Esta desempenha um papel importante para o planejamento estratgico da segurana da
informao, pois por meio dela que a direo fornece orientao e apoio segurana da
informao de acordo com os requisitos do negcio, leis e regulamentaes pertinentes [5].
O documento da poltica de segurana da informao deve ser acessvel, compreensvel,
declarar o comprometimento da direo e o enfoque da organizao no gerenciamento da
segurana da informao. Este documento deve ser aprovado pela direo, publicado e
comunicado a todos os funcionrios e partes externas relevantes [5].
A NBR ISO/IEC 27002[5] sugere que a poltica de segurana da informao passe por
anlises peridicas, para assegurar sua adequao e eccia. Tambm aconselha a nomeao de
um gestor que seja responsvel por desenvolv-la, analis-la e avali-la. O gestor deve avaliar
as oportunidades de melhoria e car atento s mudanas no ambiente organizacional.
Na anlise da poltica de segurana da informao deve-se considerar os seguintes aspectos:
situaes de aes preventivas e corretivas, resultado de anlises anteriores, desempenho do
processo e conformidade com a poltica de segurana da informao, mudanas no ambiente
organizacional, tendncias de ameaas e vulnerabilidades, relato sobre incidentes de segurana
e recomendaes de autoridades relevantes. Como resultado da anlise espera-se obter: melhora
dos controles e seus objetivos, melhor alocao de recursos e responsabilidades, assim como do
alinhamento da segurana da informao com os objetivos do negcio [5].
22
1.3 Organizando a segurana da informao
1.3.1 Organizao interna
No processo de organizao da segurana da informao deve-se elaborar uma estrutura
de gerenciamento que seja capaz de iniciar e controlar a implementao da segurana dentro da
empresa. Para isso necessrio o comprometimento da direo com a segurana da informao,
aprovando a poltica de segurana e garantindo sua eccia, atribuindo responsabilidades,
assegurando que as metas de segurana esto identicadas e atendem aos requisitos do negcio,
fornecendo os recursos necessrios para segurana da informao, iniciando planos para
conscientizao da segurana da informao e identicando a necessidade de consultorias de
especialistas internos ou externos [5].
A NBR ISO/IEC 27002 [5] aconselha que a segurana da informao seja coordenada por
representantes das diferentes partes da organizao e envolva a cooperao e colaborao de
gerentes, administradores, auditores, recursos humanos, questes legais, etc. A coordenao
da segurana da informao tem de garantir que as atividades de segurana sejam executadas
de acordo com sua poltica, para isso deve conduzir os descumprimentos, identicar possveis
ameaas, avaliar e implementar controles, assim como as informaes de monitoramento e de
anlise dos incidentes de segurana, promover a educao, treinamento e conscientizao por
toda a organizao [5].
Para organizar a segurana da informao necessrio que as responsabilidades de
segurana estejam denidas claramente e em conformidade com a poltica de segurana.
Para isso, primeiramente, necessria a identicao dos ativos e processos de segurana
da informao de cada rea, para ento designar os seus responsveis. Aps a escolha dos
gestores de cada rea, deve-se denir suas atribuies e os detalhes deste processo devem ser
inteiramente documentados [5].
Para garantir que as polticas e requisitos de segurana sejam atendidos, a norma determina
que a utilizao interna de novos recursos de processamento de informao tenha seu uso
autorizado pela administrao de usurios e pelo gestor responsvel pelo sistema de segurana
da informao. Tambm deve-se vericar a compatibilidade de hardware e software com os
demais componentes do sistema, certicar que estes recursos no esto introduzindo novas
ameaas e vulnerabilidades, identicar e implementar os controles [5].
Uma das maneiras da organizao proteger suas informaes estabelecer acordos de
condencialidade e no divulgao, pois atravs destes acordos que a empresa informa aos
23
envolvidos quais so suas responsabilidades para proteo, uso e divulgao da informao.
Estes documentos devem buscar embasamento na legislao e estar em conformidade com
as leis e regulamentaes aplicveis na jurisdio a qual eles se aplicam. Para identicar os
requisitos necessrios para os acordos de condencialidade e no divulgao recomendado
que se leve em considerao elementos como: denio da informao a ser protegida,
tempo esperado do acordo, aes requeridas ao m do acordo, responsabilidades e aes
dos signatrios, direito de auditar e monitorar as atividades que envolvam as informaes
condenciais e aes esperadas a serem tomadas no caso de uma violao do acordo.
necessrio que os requisitos identicados sejam analisados periodicamente ou quando houver
mudanas no ambiente organizacional que os afetem [5].
importante que a organizao mantenha contato com autoridades como, organismos
regulatrios que permitem a organizao antecipar e preparar para as mudanas futuras
nas leis e nos regulamentos, os quais ela deve seguir. Deve manter contato tambm com
outras autoridades como utilidades, servios de emergncia, sade e segurana. Ademais, a
organizao deve manter procedimentos que especiquem quando e quais autoridades devem
ser contatadas na ocorrncia de incidentes de segurana. Alm disso, recomendado que a
organizao mantenha contato com associaes de prossionais, grupos e fruns especializados
em segurana da informao. Este tipo de relacionamento contribui para ampliao dos
conhecimentos da organizao sobre as melhores prticas e para manter a empresa atualizada
com informaes relevantes sobre SI. O contato com esses grupos possibilita a organizao
ter acesso consultoria especializada em SI, compartilhar e trocar informaes a respeito de
novas tecnologias e receber previamente advertncias de alertas, aconselhamentos e correes
relativas a ataques e vulnerabilidades. Com isso, a organizao assegura que seu entendimento
do ambiente de segurana est atual e completo [5].
A norma enfatiza a necessidade de realizar, periodicamente, uma anlise independente do
enfoque da organizao e da sua implementao para segurana da informao. Tal anlise
importante para assegurar a pertinncia, adequao e eccia das metas de gerenciamento
da segurana estabelecidas pela organizao. A anlise deve ser iniciada pela direo e
executada por pessoas sem vnculos com a rea avaliada, como um grupo de auditores internos,
uma empresa terceirizada ou um gerente independente. Os resultados devem ser registrados,
mantidos e relatados direo, caso no estejam de acordo com o que foi denido na poltica
de segurana da informao, devem ser tomadas medidas corretivas [5].
24
1.3.2 Partes externas
A organizao deve se preocupar em manter a segurana das suas informaes e recursos de
processamento que so utilizados no relacionamento comas partes externas. Almdisso, temde
estar atenta as possveis vulnerabilidades que podem ser introduzidas pela aquisio de produtos
e servios. Assim, necessria a anlise e avaliao dos riscos que envolvem tal relacionamento
antes de obter ou ceder o uso de qualquer recurso de processamento ou informao [5].
Na identicao dos riscos importante que a organizao leve em considerao aspectos
como, quais os recursos de processamento e os tipos de acesso (fsico ou lgico) sero utilizados
pelas partes externas, quem ter a autorizao para acessar e como esta ser vericada. Assim
como, qual o valor e a sensibilidade da informao acessada, que prticas e procedimentos
sero usados para tratar incidentes de segurana. Aps a identicao dos riscos de segurana,
a organizao deve estabelecer, onde for vivel, acordos de condencialidade e no divulgao
das informaes, tais como, contratos que denam os termos e condies de uso dos recursos
de processamento [5].
1.4 Gesto de ativos
A gesto de ativos tem como objetivo alcanar e manter a proteo dos ativos da
organizao, que so denidos pela norma como sendo qualquer coisa que tenha valor para
a organizao. Por exemplo, informaes, softwares, hardwares, servios, pessoas e suas
qualicaes, a reputao e a imagem da organizao [5].
1.4.1 Responsabilidade pelos ativos
Para assegurar a proteo dos ativos, a ISO/IEC27002 prope que todos sejam identicados
e que seja elaborado um inventrio. Este deve conter informaes, tais como o tipo do
ativo, formato, localizao e sua importncia para o negcio. Alm disso, aconselhvel
que todos os ativos associados com os recursos de processamento tenham um responsvel,
que deve assegurar que estes esto adequadamente classicados, analisar periodicamente as
classicaes e restries com base na poltica de controle de acesso. O responsvel tambm
deve identicar, documentar e implementar regras para o uso permitido dos ativos, de forma
que as pessoas que possuem o acesso tenham conscincia dos limites que envolvem seu uso [5].
25
1.4.2 Classicao da informao
A classicao da informao importante para indicar sua necessidade, prioridade e nvel
de segurana, garantindo que a proteo adequada est sendo oferecida. A informao deve
ser classicada de acordo com seu valor, requisitos legais, sensibilidade e criticidade para o
negcio. necessrio que o responsvel pelo ativo dena as convenes para a classicao
inicial e reclassicao, de acordo com a poltica de controle de acesso. Alm de assegurar, por
meio de anlises, que o ativo est atualizado e no nvel de proteo apropriado [5].
Com base no esquema de classicao adotado pela organizao, convm que procedimen-
tos apropriados sejam denidos e implementados para rotulao e tratamento das informaes.
Esses procedimentos devem atender tanto os ativos de informaes no formato fsico quanto no
formato eletrnico [5].
1.5 Segurana em recursos humanos
1.5.1 Antes da contratao
As responsabilidades de segurana devem ser denidas antes da contratao para garantir
que os funcionrios, fornecedores e terceiros entendam seus deveres e estejam de acordo com
os seus papis, assim possvel reduzir o risco de furto, fraude e mau uso da informao. Os
papis e responsabilidade dos candidatos precisam ser documentados e estar em conformidade
com a poltica de segurana da informao [5].
No processo de seleo, a norma aconselha que seja vericado de acordo com a tica, as
leis e regulamentaes pertinentes, o histrico de todos os candidatos. Essa vericao deve ser
mais detalhada para os candidatos que tero acesso a informaes e recursos de processamento
mais sensveis. Aps a seleo, necessrio que os candidatos assinem os termos e condies
de sua contratao, que declaram suas responsabilidades e a da organizao para a segurana
da informao [5].
1.5.2 Durante a contratao
Durante a contratao, ca sob a responsabilidade da direo assegurar que os funcionrios,
fornecedores e terceiros esto conscientes de suas obrigaes e responsabilidades. Alm de
estarem a par de ameaas e preocupaes relativas a segurana da informao, devendo apoiar
a poltica de segurana nas suas prticas de trabalho [5].
26
Todos os funcionrios, assim como fornecedores e terceiros tem de receber treinamentos
apropriados para conscientizao e atualizaes regulares das polticas e procedimentos que
sejam relevantes para suas funes. Esse treinamento visa permitir que as pessoas reconheam
os incidentes de segurana da informao e respondam de acordo com as necessidades de seu
trabalho [5].
importante que exista um processo disciplinar para as pessoas que tenham cometido uma
violao da segurana da informao. A resposta deste processo tem que levar em considerao
fatores como a natureza e a gravidade da violao, o seu impacto sobre negcio, se foi o
primeiro delito, bem como as legislaes relevantes e contratos estabelecidos. Em casos graves,
o processo deve permitir a imediata remoo das atribuies, direitos de acesso e privilgios do
infrator [5].
1.5.3 Encerramento ou mudana da contratao
Para o encerramento de atividades, convm que seja denido quem sero os responsveis
pelo encerramento ou mudanas de pessoal. O encerramento das atividades deve incluir os
requisitos de segurana, de leis e acordos estabelecidos, devendo permanecer vlidos aps o
encerramento das atividades [5].
Aps o encerramento dos acordos e contratos, os ativos que estiverem em posse dos
funcionrios, fornecedores e terceiros devem ser devolvidos para organizao. Nos casos
em que os conhecimentos pessoais sobre o desenvolvimento de atividades de trabalho sejam
importantes para sua execuo, necessrio que esses conhecimentos sejam documentados e
transferidos para a organizao [5].
Os direitos de acesso informao e aos recursos de processamento devem ser retirados
dos funcionrios, fornecedores e terceiros aps o encerramento das suas atividades, contratos e
acordos. Quando houver mudanas nas atividades, preciso reconsiderar os direitos de acesso
para permitir apenas aqueles que forem necessrios para a execuo do novo trabalho [5].
1.6 Segurana fsica e do ambiente
1.6.1 reas seguras
A segurana fsica e de ambiente da organizao tem como objetivo prevenir o acesso
no autorizado, danos e interferncias s instalaes da empresa. Para isso a ISO/IEC 27002
27
recomenda que se utilize de permetros de segurana para proteger as reas sensveis da
organizao, esses podem ser barreiras como paredes, portes com acesso controlado e balces
de recepo. O nvel de segurana de cada permetro deve estar de acordo com os requisitos de
segurana identicados pela organizao [5].
A organizao tem de projetar e aplicar protees fsicas contra desastres naturais como
terremoto e enchentes, assim como incndios, exploses ou outros causados pelo homem.
Na fase de planejamento importe levar em considerao as ameaas das reas vizinhas,
localizao dos equipamentos de deteco e combate a incndios e certicar-se que os
equipamentos de contingncia e mdias de backup esto a uma distncia segura do local
principal para que no sejam danicados em caso de desastre [5].
Os pontos de entrega, carregamento ou locais emque pessoas no autorizadas possamentrar
nas instalaes da empresa devem ser controlados e se possvel devem ser isolados das reas de
processamento da informao. Isso evita o acesso de pessoas no autorizadas as reas seguras
da organizao [5].
1.6.2 Segurana de equipamentos
A segurana de equipamentos tem como propsito impedir perdas, danos, furtos ou com-
prometimento dos ativos que impeam as atividades da organizao. Assim, a norma aconselha
que os equipamentos e instalaes de processamento de informaes devem ser posicionados
em locais seguros para reduzir os riscos de acesso no autorizado, ameaas e perigos do meio
ambiente. Alm de ser necessria a implementao da proteo dos equipamento contra falta
de energia, falhas no funcionamento de utilitrios como ar-condicionado e equipamentos de
ventilao. Tambm necessrio manter a manuteno dos equipamentos e registros de falhas
para garantir sua disponibilidade e integridade [5].
Os cabeamentos de energia e telecomunicao precisam ser protegidos contra rupturas,
interceptaes ou danos. Deste modo, onde for possvel, aconselhvel que os cabeamentos
sejam subterrneos e que os cabos de energia sejam separados dos cabos de telecomunicao
para evitar interferncias. Ademais, o acesso aos painis de conexes e salas de cabeamento
devem ser controlados [5].
A utilizao de equipamentos fora das dependncias da organizao deve ser autorizado
pela gerencia, que tem de avaliar os diferentes riscos envolvidos tais como danos, furtos ou
espionagem [5].
Todos equipamentos que contenham informaes da organizao necessitam ser examina-
28
dos, antes de serem descartados, para garantir que os dados sensveis e softwares licenciados
tenham sido removidos ou sobre gravados com segurana. importante usar tcnicas que
tornem as informaes irrecuperveis, ao invs de tcnicas convencionais. Nos casos em que
o equipamento est com defeito importante avaliar cuidadosamente as informaes contidas
nele, dependendo do grau de condencialidade das informaes aconselha-se a destruio do
dispositivo em vez de mand-lo para o conserto [5].
Os equipamentos, informaes e softwares da organizao no devem ser retirados de seus
locais sem a autorizao prvia. As pessoas que receberem a autorizao para a remoo dos
equipamento devem ser devidamente identicadas, se necessrio fazer registro da retirada e
estabelecer limites de tempo para retirada e remoo [5].
1.7 Gerenciamento das operaes e comunicaes
1.7.1 Procedimentos e responsabilidades operacionais
Os procedimentos e responsabilidades operacionais tem de assegurar que os recursos de
processamento da organizao esto sendo operados corretamente. Assim, necessrio que
os procedimentos operacionais sejam documentados, atualizados e disponibilizados todos
que precisarem. Todas as mudanas nos recursos de processamento da informao e sistemas
devem ser controladas, portanto conveniente estabelecer uma gesto de mudanas para que
sejam estabelecidos rgidos controles para identicar, planejar, testar e avaliar os impactos das
mudanas [5].
A ISO/IEC 27002 recomenda que as funes e reas de responsabilidades sejam segregadas
para reduzir as modicaes e o uso indevido dos ativos da organizao. E que os recursos de
desenvolvimento, teste e produo tambm sejam separados para reduzir os riscos de acesso
indevido e modicaes no autorizadas das informaes e sistemas da empresa [5].
1.7.2 Gerenciamento de servios terceirizados
O gerenciamento de servios terceirizados tem como objetivo implementar e manter um
nvel apropriado de segurana e de entrega de servios. Para isso, importante garantir que
os controles de segurana, as denies de servios e os nveis especicados nos acordos
de entrega de servios sejam implementados, executados e mantidos pelo terceiro. Alm de
ser necessrio auditar, monitorar e analisar os servios, relatrios e registros providos pelos
terceiros para assegurar o ajuste dos termos de segurana da informao s condies dos
29
acordos [5].
As mudanas, sejam elas feitas pela organizao, como melhoria dos servios oferecidos,
modicaes e atualizaes das polticas e procedimentos, ou feitas nos servios oferecidos por
terceiros, como melhoria na rede e uso de novas tecnologias, devem ser gerenciadas de acordo
com a criticidade de cada sistema ou processo de negcio envolvido [5].
1.7.3 Planejamento e aceitao dos sistemas
O objetivo do planejamento e aceitao dos sistemas minimizar os riscos de falhas.
Qualidades imprescindveis como planejar e preparar com antecedncia, ajudam a garantir a
disponibilidade apropriada de capacidade e recursos esperados de desempenho do sistema. Por
tanto, importante que a utilizao dos recursos seja monitorada, ajustada e que projees das
capacidades futuras sejam feitas para garantir o desempenho requirido do sistema [5].
A norma recomenda que os gestores garantam que os requisitos e critrios de aceitao
de novos sistemas estejam bem denidos, acordados, documentados, testados e aprovados
formalmente antes que os novos sistemas, atualizaes e novas verses sejam migradas para
produo [5].
1.7.4 Proteo contra cdigos maliciosos e cdigos mveis
Proteger-se contra cdigos maliciosos e mveis importante para manter a integridade
dos software e informaes da organizao. Assim, relevante que a organizao estabelea
controles para deteco, preveno e recuperao de ataques deste tipo. A proteo contra esses
ataques pode ser baseada em softwares de deteco e reparo, na conscientizao dos usurios,
nos controles de acesso e no gerenciamento de mudanas [5].
1.7.5 Cpias de segurana
Para manter a integridade e disponibilidade das informaes e recursos de processamento
da organizao, importante que sejam estabelecidos procedimentos para por em prtica as
polticas e estratgias denidas para gerao e recuperao das cpias de segurana. Estas
cpias precisam ser efetuadas e testadas regularmente conforme deno na poltica de cpias,
necessitando possuir os recursos adequados para garantir que todas as informaes e softwares
essenciais ao negcio possam ser recuperados em caso de desastres ou falhas. aconselhvel
que as cpias de segurana sejam mantidas em localidades remotas ou afastadas da principal e
30
que os nveis apropriados de proteo fsica e ambientais sejammantidos, almde ser necessrio
a denio de um perodo de reteno da informao armazenada [5].
1.7.6 Gerenciamento da segurana em redes
O gerenciamento da segurana em redes tem como propsito assegurar a proteo da
infraestrutura de suporte e das informaes que transitam por ela. Para isso, os gestores devem
implementar controles para manter as redes e os servios que operam nelas protegidos de
ameaas e acessos no autorizados [5].
importe que a rede interna da organizao seja monitorada e os registro das atividades nela
sejam mantidos. Mas a proteo das redes da organizao transcende os limites internos e assim
necessrio estabelecer controles especiais para garantir a integridade e condencialidade dos
dados que trafegam sobre as redes pblicas e as redes sem o [5].
Necessit-se que as caractersticas, os nveis de servio e os requisitos de gerenciamento
dos servios de rede sejam identicados e includos em acordos tanto para servios providos
internamente como para servios terceirizados. Tambm preciso determinar e monitorar
regularmente a capacidade do provedor de gerenciar os servios acordados, assim como sejam
acordados os direitos de auditar os servios. Os servios de rede podem incluir fornecimento
de conexo, servios de rede privada e solues de segurana como rewall e sistemas deteco
de intrusos [5].
1.7.7 Manuseio de mdias
Para previr contra a divulgao no autorizada, modicaes, remoo ou destruio dos
ativos da organizao, importante que se estabeleam procedimentos operacionais para o
manuseio de mdias dentro da organizao. Estes procedimentos devem proteger documentos,
mdias magnticas de computadores e dados de entrada e sada [5].
Uma ateno especial tem de ser dada as mdias removveis tais como, tas, discos,
pen drives, CD/DVD e mdias impressas. O uso de tais mdias somente deve ser permitido
caso exista um necessidade real para o negcio. Mas quando uso ou remoo de mdias for
necessrio, importante que exija-se uma autorizao e os registros desta sejam mantidos para
futuras auditorias [5].
Muitas informaes sensveis podem ser divulgadas impropriamente, devido ao descarte
negligenciado de mdias e equipamentos de informao, assim necessrio a denio de
31
procedimentos formais para o descarte seguro de mdias. Estes procedimentos precisam levar
em considerao fatores como, a identicao dos itens que requerem descarte, nvel de
sensibilidade da informao contida no equipamento e sempre que possvel manter registro
dos dispositivos descartados [5].
No tratamento das informaes, relevante que se estabeleam procedimentos para
tratamento, processamento, armazenamento e transmisso de informaes. Estes devem
considerar itens como, tratamento e identicao de todos os meios magnticos indicando o
nvel de classicao, restries de acesso e o registros dos destinatrios de dados autorizados.
A documentao dos sistemas precisa ser protegida contra acessos no autorizados, devendo
ser guardada de forma segura e a autorizao de acesso a ela seja concedida pelo proprietrio
do sistema poucas pessoas [5].
1.7.8 Troca de informaes
Na troca de informaes e softwares, para manter a segurana, preciso denir procedi-
mentos e polticas formais especcas, podendo ser acordos, com base na legislao, entre as
partes. Nestes acordo deve-se considerar condies de segurana como, as responsabilidades
do gestor pelo controle e noticao de transmisses, expedies e recepes. Alm disso,
necessrio denir as responsabilidades e obrigaes na ocorrncia de incidentes de segurana
[5].
Para as mdias que necessitarem ser transportadas entre localidades, importante que
sejam protegidas contra acessos no autorizados, uso imprprio ou alterao indevida durante
o transporte. Assim, recomendado que se utilizem meios de transporte e servios de
mensageiros conveis certicando-se de que as embalagens esto lacradas e protegidas contra
danos fsicos [5].
Os servios de mensagens eletrnicas cumprem um papel cada vez mais importante na
comunicaes do negcio, por isso importante que sejam tomadas as devidas precaues
para manter a segurana das informaes. Deste modo, precisa-se avaliar a conabilidade e
disponibilidade geral dos servios, identicar requisitos de assinaturas eletrnicas e qualquer
uso de servios pblicos tais como, sistemas de mensagens instantneas e compartilhamento de
arquivos sejam previamente aprovados pela direo [5].
Hoje, cada vez maior, o uso de redes para interconectar as diferentes organizaes.
Portanto, extremamente relevante que se estabeleam polticas e procedimentos para proteger
as informaes compartilhadas entre elas. Estas polticas e procedimentos precisam elevar em
32
considerao os impactos da interconectividade com o negcio da organizao e os perigos
trazidos por ela. A gerao de cpias de segurana, restries de acesso, procedimentos de
recuperao e contingncia so algumas das medidas que precisam ser tomadas para assegurar
a segurana na troca de informaes.
1.7.9 Servios de comrcio eletrnico
O uso de servios de comrcio eletrnico cada vez mais popular, seja, entre as
organizaes ou entre as organizaes e clientes. De maneira que, importante garantir a
segurana dos servios e de suas utilizaes. Para isso, preciso proteger as informaes
disponibilizadas publicamente levando-se em considerao aspectos como, mecanismo de
autenticao, processos de autorizao, condencialidade e integridade de transaes [5].
As informaes envolvidas em transaes on-line precisam ser protegidas, para tanto,
necessrio que todo o traco de dados das transaes seja criptografado e que seja exigido,
sempre que possvel, o uso de assinaturas eletrnicas por ambas as partes. Essas transaes
precisam estar de acordo com as leis, regras e regulamentaes da jurisdio em que ela
gerada, processada, completada e armazenada [5].
As informaes disponibilizadas em sistemas de acesso pblico precisam ter sua integri-
dade protegida para que no ocorram modicaes no autorizadas. Por isso, importante
que esses sistemas sejam devidamente testados antes de disponibilizar quaisquer tipos de
informaes. necessrio que exista um processo formal para aprovao da informao
antes que ela seja publicada, assim como os dados oriundos de partes externas necessitam de
vericao e aprovao antes de sua disponibilizao [5].
1.7.10 Monitoramento
O monitoramento das redes da organizao tem como nalidade detectar atividades no
autorizadas de processamento da informao. Este monitoramento precisa produzir registros
(log) das atividades e eventos de segurana da informao para a realizao posterior de
auditorias [5].
Os registros de auditoria precisam ser mantidos, durante um determinado tempo, para
auxiliar emfuturas investigaes e monitoramento de controle de acesso. importante que estes
registros contenham informaes tais como, identicao dos usurios, data e hora, detalhes dos
eventos, acessos aos sistemas aceitos e rejeitados [5].
33
Necessariamente, preciso elaborar procedimentos para o monitoramento dos recursos
de processamento de informao da organizao e os resultados destes devem ser analisados
periodicamente. Isso importante para assegurar que os usurios esto executando apenas as
atividades que lhe foram designadas [5].
Os registros gerados pelo monitoramento precisam ser protegidos contra falsicaes e
acessos no autorizados. Se possvel nem mesmo os administradores de sistema devem ter
permisso para a excluso ou modicao dos registros. Alm de ser necessrio anlises
peridicas dos registro de operadores e administradores de rede e sistemas para assegurar que
suas atividades esto em conformidade [5].
Todas as ocorrncias de falhas precisam ser registradas e analisadas, cabendo aos respon-
sveis, por medidas autorizadas, executar os procedimentos apropriados para assegurar que
as falhas sero resolvidas. Por isso, importante a existncia de regras para tratar as falhas
informadas por usurios ou por sistemas devendo incluir anlises e medidas corretivas [5].
Ademais, importante que os relgios dos sistemas de processamento da organizao este-
jam sincronizados e que existam procedimentos para identicar inconsistncias e corrigir. Isso
garante a exatido dos registros de auditoria que podem ser requeridos em uma investigaes
ou servir como evidncia legal [5].
1.8 Controle de acesso
1.8.1 Requisitos de negcio para controle de acesso
Os acessos lgicos e fsicos aos ativos da organizao precisam ser controlados para
prevenir o uso no autorizado. Para isso a norma prope a criao de uma poltica de controle
de acesso que tenha como base os requisitos de acesso do negcio e a segurana da informao.
Essa poltica deve expressar claramente os direitos de acesso de usurios e grupos deixando
ntidos os requisitos do negcio a serem atendidos pelos controles de acesso [5].
1.8.2 Gerenciamento de acesso do usurio
A alocao de direitos de acesso aos usurios tem de ser formalmente controlada atravs
do registro do usurio e dos processos administrativos. Os procedimentos devem cobrir desde
o registro de novos usurios at o seu cancelamento nal. Tambm importante que existam
processos formais para a autorizao de concesses de privilgios de acesso, gerenciamento
34
de senhas e anlises peridicas dos privilgios para garantir que os direitos de acesso sero
retirados quando no forem mais necessrios [5].
1.8.3 Responsabilidades dos usurios
Os usurios necessitam estar conscientes de suas responsabilidades para manter o controle
de acesso ecaz. Assim, importante que os usurios usem das boas prticas de segurana da
informao para escolher suas senhas e mant-las em condencialidade. Alm de, manter uma
poltica de mesa limpa e tela limpa precisam assegurar que os equipamentos quando deixados
sozinhos tenham uma proteo adequada como por exemplo, nalizar ou bloquear a sesso de
seus computadores quando forem ao banheiro [5].
1.8.4 Controle de acesso rede
O acesso aos servios de rede internos e externos precisam ser controlados para garantir que
os usurios no comprometam tais servios. Para tanto, recomendado que seja formulada uma
poltica de uso dos servios de rede que especique os servios permitidos, os procedimentos
e os controles para autorizao e gerenciamento de usurios e servios. Para as conexes de
usurios remotos exigido que se use de mtodos e tcnicas de autenticao seguras tais como
a criptograa e procolos seguros, e se for necessrio usar identicadores de equipamentos para
permitir que apenas os equipamentos autorizados tenham acesso aos servios remotos [5].
Os servios de informao, usurios e sistemas de informao precisam ser separados
em diferentes domnios de redes lgicas, isso permite controlar a segurana da informao
em grandes redes aplicando conjuntos de controles regulveis aos diferentes domnios.
importante que existam restries de acesso entre os diferentes domnios tais como, gateways
ou rewalls para impedir que usurios no acessem os domnios de rede aos quais no possua
autorizao [5].
1.8.5 Controle de acesso ao sistema operacional
O acesso aos sistemas operacionais precisa ser controlado para restringir o seu uso somente
pessoas autorizadas. Para isso, importante que existam mecanismos de entrada segura
no sistema tal como logon (ou login) diminuindo as chances de acessos no autorizados. E
que mecanismos pessoais de identicao nica sejam implementados permitindo rastrear as
atividades aos indivduos responsveis. Almdisso, usar sistemas para gerenciamento de senhas
35
que permita que os usurios escolhamapenas senhas de qualidade, permitir que usurios tenham
acessos ao mnimo de utilitrios do sistema, usar mecanismos para controlar o limite de tempo
de sesso e limitar os horrios de conexo [5].
1.8.6 Controle de acesso aplicao e informao
O acesso aos sistemas de aplicao e informaes precisa ser controlado por mecanismos de
segurana da informao para restringir o acesso somente pessoas autorizadas. As restries
devem ser baseadas no que foi denido na poltica de controle de acesso e nos requisitos de
aplicaes individuais do negcio, alm de ser necessrio o isolamento fsico ou lgico dos
sistemas sensveis para diminuir os riscos de perdas [5].
1.8.7 Computao mvel e trabalho remoto
Para garantir a segurana da informao quando se utiliza a computao mvel e recursos de
trabalho remotos preciso criar uma poltica formal e adotar medidas de segurana apropriadas
para proteo da informao. Para a computao e comunicao mvel importante que se leve
em considerao requisitos de proteo fsica, controles de acesso, tcnicas de criptograa e
proteo contra vrus. J para o trabalho remoto, necessrio o desenvolvimento e implantao
de planos operacionais e procedimentos para evitar o acesso remoto no autorizado s redes
internas da organizao, assim como o roubo ou furto de equipamentos e informaes [5].
1.9 Aquisio, desenvolvimento e manuteno de sistemas de
informao
1.9.1 Requisitos de segurana de sistemas de informao
A segurana precisa ser parte integrante dos sistemas de informao, tais como sistemas
operacionais, aplicaes de negcio, infraestrutura, servios e aplicaes desenvolvidas pelo
usurio. Para isso, necessrio que os requisitos de controle de segurana automticos e
manuais sejam analisados e totalmente identicados durante a fase de requisitos dos sistemas
em desenvolvimento ou processo de aquisio, e sejam incorporados aos casos de negcio [5].
Para os produtos comprados preciso elaborar um processo formal de aquisio e testes
devendo avaliar todos os problemas e riscos envolvidos. Caso os requisitos de segurana
especicados no forem atendidos pelo produto importante que os riscos e controles sejam
36
reconsiderados antes da compra [5].
1.9.2 Processamento correto nas aplicaes
Para prevenir a ocorrncia de erros, perdas, modicaes no autorizadas ou mau uso dos
sistemas de informao importante que controles sejamincorporados ao projeto das aplicaes
para garantir o processamento correto das informaes. Esses controles devem incluir a
validao dos dados de entrada para assegurar que so corretos e apropriados, o controle do
processamento interno para detectar qualquer corrupo dos dados, a anlise e avaliao dos
riscos de segurana para determinar a integridade das mensagens e a validao dos dados de
sada para garantir que o processamento das informaes esto corretos e apropriados [5].
1.9.3 Controles criptogrcos
Para garantir a condencialidade, autenticidade e a integridade das informao por meios
criptogrcos importante que seja desenvolvida e implementada uma poltica para o uso dos
controles criptogrcos. Essa poltica deve considerar as leis, regulamentaes e restries
nacionais ao uso de tcnicas de criptograa, assim como a abordagem gerencial dos controles,
identicao dos nveis de proteo e a abordagem de gerenciamento de chaves. No
gerenciamento de chaves importante implementar processos para proteger as chaves contra
modicaes, perdas e destruies. Os equipamentos utilizados para gerar e armazenar as
chaves precisam ser sicamente protegidos para evitar divulgaes no autorizadas [5].
1.9.4 Segurana dos arquivos do sistema
O acesso aos arquivos de sistemas e aos programas de cdigo fonte precisa ser controlado,
assim como as atividades de projetos de tecnologia e suporte necessitam ser conduzidas de
forma segura. A norma prope a criao de procedimentos para controlar a instalao de
software nos sistemas operacionais para diminuir os riscos de comprometimento do sistema
[5].
1.9.5 Segurana em processos de desenvolvimento e de suporte
Os ambientes de projetos precisam ser controlados tendo como responsveis pela sua
segurana os gerentes de aplicativos, que devem assegurar que as mudanas propostas sero
analisadas para evitar o comprometimento dos sistemas ou dos ambientes operacionais. Assim,
37
os procedimentos de controle de mudanas devem ser implantados, documentados e reforados
para manter a integridade dos sistemas de informao [5].
Na ocorrncia de mudana de sistema operacional, necessrio que as aplicaes crticas
de negcio sejam analisadas e testadas para assegurar que no haver impactos desastrosos
na operao ou na segurana da organizao. As mudanas em pacotes de softwares devem
ser desencorajadas, e que s sejam realizadas se realmente forem necessrias e estritamente
controladas.
Aorganizao deve supervisionar e monitorar o desenvolvimento de softwares terceirizados
levando-se em considerao itens como acordos de licenciamento, certicao de qualidade,
requisitos contratuais e testes para deteco de cdigos maliciosos antes de sua instalao. Alm
de manter mecanismos para prevenir o vazamento de informaes.
1.9.6 Gesto de vulnerabilidades tcnicas
A organizao precisa implementar, de forma eciente, uma gesto de vulnerabilidades
tcnicas que permita, em tempo hbil, obter informaes sobre vulnerabilidades dos sistemas
de informao que esto em funcionamento. Para assim, avaliar o grau de exposio da
organizao s vulnerabilidades e tomar as metidas cabveis para lidar com os riscos associados
[5].
1.10 Gesto de incidentes de segurana da informao
1.10.1 Noticao de fragilidades e eventos de segurana da informao
As fragilidades e eventos de segurana da informao relacionados com os sistemas de
informao precisam ser comunicados direo para permitir a tomada de aes corretivas
em um tempo satisfatrio. Para isso, importante estabelecer procedimentos para relatar os
eventos de segurana da informao junto com os procedimentos de resposta a incidentes e
escalonamento, permitindo identicar ao a ser tomada ao receber a noticao de um evento
de segurana da informao. A norma aconselha a denio de um ponto de contato, que seja
de conhecimento de toda a organizao, para receber as noticaes dos eventos de segurana.
Alm de comunicar a todos os funcionrios, fornecedores e terceiros suas responsabilidades de
noticar qualquer eventos de segurana da informao o mais breve possvel [5].
38
1.10.2 Gesto de incidentes de segurana da informao e melhorias
Para garantir que a gesto de incidentes de segurana da informao tenha um enfoque
consistente e efetivos preciso estabelecer procedimento e responsabilidades para assegurar
respostas rpidas e efetivas aos incidentes de segurana da informao. Alm disso preciso
elaborar mecanismos para quanticar e monitorar os tipos, quantidades e custos dos incidentes
de segurana e a informaes resultantes da anlise desses dados devem ser usadas para
identicar incidentes recorrentes ou de alto impacto. Em casos de uma ao legal contra
uma pessoa ou uma organizao necessrio coletar, armazenar e apresentar as evidncias
em conformidade com as normas de armazenamento de evidncias da jurisdio em questo
[5].
1.11 Gesto da continuidade do negcio
1.11.1 Aspectos da gesto da continuidade do negcio, relativos segu-
rana da informao
Na gesto da continuidade do negcio importante implementar processos para minimizar
os impactos de desastres e falhas nos sistemas de informao da organizao. Estes devem
ter como propsito a proteo dos processos crticos de negcio no permitindo a interrupo
das atividades da organizao e em casos de falhas garantir a sua retomada em um tempo
satisfatrio. Para isso necessrio a identicao dos eventos que podem causar a interrupo
dos processos de negcio, e depois realizar uma anlise e avaliao dos riscos para determinar
a probabilidade e o impacto das interrupes considerando os danos e o tempo de recuperao
[5].
A norma prope o desenvolvimento e implantao de planos de continuidade para a
manuteno e a recuperao das operaes e para assegurar a disponibilidade das informaes.
O planejamento precisa considerar aspectos como, identicao das responsabilidades e
processos de continuidade do negcio, identicao de perdas aceitveis, bem como testes
e atualizaes dos planos de continuidade. importante que os planos de continuidade do
negcio mantenham uma estrutura bsica para garantir a consistncia de todos os planos
devendo descrever o enfoque para continuidade, especicar o escalonamento e as condies
de ativao, assim como as responsabilidades individuais para execuo de cada uma das
atividades do plano [5].
Regularmente preciso testar e atualizar os planos de continuidade do negcio para
39
garantir sua efetividade. Devendo certicar que os membros da equipe de recuperao estejam
conscientes de suas responsabilidades para quando o plano for acionado. Pode-se usar tcnicas
como, testes de mesa simulando vrios cenrios, ensaio geral e testes de recuperao para
assegurar que os planos iro operar consistentemente em casos reais. Os resultados dos testes
realizados precisam ser registrados para que possam ser tomadas aes de melhoria dos planos
[5].
1.12 Conformidade
1.12.1 Conformidade com requisitos legais
Muitas vezes, na gesto de sistemas de informao a organizao precisa se enquadrar
com requisitos de segurana contratuais, regulamentares ou estatutrios para evitar violaes
de quaisquer obrigaes legais. Assim, necessrio denir, documentar e manter atualizados
os requisitos legais e contratuais que esto no enfoque da organizao. Bem como, estabelecer
procedimentos para garantir que a empresa est em conformidade com os requisitos legais que
tangemo uso de materiais intelectuais podendo ser o uso de softwares proprietrios, documentos
e licenciamentos especcos [5].
Os registros da organizao precisamser protegidos contra perdas, destruio e falsicaes
como previstos nos requisitos legais e de negcio. Devendo ser categorizados por tipos,
constando detalhes do perodo de reteno e mdias de armazenamento. Do mesmo modo,
cabe a organizao desenvolver e implementar uma poltica de privacidade e proteo de dados
que assegure a conformidade com a legislao e regulamentao vigente. A manipulao de
dados criptografados tambm precisam obedecer a legislao. A organizao precisa informa
a todos os usurios qual o escopo de suas permisses de acesso e que esto sendo monitorados
para assegurar que no haver uso no autorizado da parte deles dos sistemas de informao da
organizao [5].
1.12.2 Conformidade com normas e polticas de segurana da informao
e conformidade tcnica
Os gerentes e proprietrios de sistemas devem garantir que todos os procedimentos de
segurana da informao da sua rea de responsabilidade esto sendo executados corretamente,
alm de realizar anlise peridicas para assegurar a conformidade com as polticas e normas de
segurana [5].
40
importante que os sistemas de informao tenham suas conformidades tcnicas verica-
das regularmente por pessoas autorizadas e competentes devendo gerar relatrios que precisam
ser analisados por um tcnico especializado. A vericao de conformidade engloba teste de
invaso e avaliao de vulnerabilidades que precisam ser realizados por pessoas especializadas,
todo o este procedimento precisa ser planejado e documentado [5].
1.12.3 Consideraes quanto auditoria de sistemas de informao
As auditorias precisam ser cuidadosamente planejadas para maximizar a eccia e minimi-
zar os inconvenientes no processo de auditorias dos sistemas de informao. importante que
existam controles para a proteo de sistemas operacionais e ferramentas de auditoria durante o
processo de vericao, tambm sendo necessrio prevenir o uso indevido das ferramentas de
auditoria [5].
41
2 ITIL

v3 - IT Infrastructure Library
No nal dos anos 1980, em resposta a crescente dependncia de TI dos negcios, a Agncia
Central de Computao e Telecomunicaes (CCTA) do governo britnico desenvolveu uma
srie de livros documentando uma abordagem de gerenciamento de servios de TI necessria
para dar suporte aos usurios de negcio. Esta biblioteca de prticas, que na sua verso original
era composta por mais de 40 livros, foi ento chamada de IT Infrastructure Library, mais
conhecida como ITIL

[9].
Posteriormente, a verso original foi revisada e substituda pela ITIL

v2 (verso 2),
formada por 9 livros, que preenche as lacunas entre a tecnologia e o negcio sendo fortemente
focada na entrega de servios. A ITIL

v2 foi a base para a norma British Standard 15000
que foi introduzida norma ISO 20000:2005, ganhando reconhecimento mundial [9].
Com o rpido avano da tecnologia da informao surgiu a necessidade de renovar a
corrente abordagem para enfrentar os novos desaos do gerenciamento de servios de TI, em
2007, foi lanada a ITIL

v3 que uma atualizao completa da verso 2. Esta verso
composta por cinco livros ociais organizados em torno de uma estrutura de ciclo de vida de
servio (ver Figura 2.1), sendo Service Strategy, Service Design, Service Transition, Service
Operation e Continual Service Improvement [9].
42
Figura 2.1: Ciclo de vida de servio da ITIL

v3.
Neste captulo sero abordadas as cinco fases do ciclo de vida de servio da ITIL

v3 e
os seus respectivos processos.
2.1 Estratgia de Servio
A Estratgia de Servio o ponto de partida do ciclo de vida de um servio na ITIL

v3 provendo orientaes de como desenhar, desenvolver e implementar o gerenciamento de
servios no somente como uma habilidade organizacional, mas sim como um ativo estratgico.
Nesta fase, so providas orientaes sobre os princpios que sustentam o gerenciamento
de servios que so teis no desenvolvimento de polticas de gerenciamento de servios,
recomendaes e processos em todo o ciclo de vida de servio da ITIL

[10].
Estas orientaes, so usadas pelas organizaes para estabelecer seus objetivos e expec-
tativas de desempenho para servir os clientes e os nichos de mercado, alm de servir para
identicar, selecionar e priorizar as oportunidades de negcio. A Estratgia de Servio assegura
que as organizaes esto em uma posio para lidar com os custos e riscos associados com os
seus portflios de servios, identicando os requisitos e necessidades de negcio que precisam
ser documentados em Pacotes de Nvel de Servio (PNS) [10].
43
2.1.1 Gerenciamento nanceiro
O gerenciamento nanceiro fornece uma viso geral dos valores envolvidos na prestao
de servio, possibilitando o aumento da percepo dos resultados e dando condies a uma
tomada de deciso mais ecaz. Tambm fornece decises administrativas no que se refere aos
investimentos em TI e incentiva a conscincia dos custos no uso da infraestrutura de TI [10].
Os objetivos do gerenciamento nanceiro so:
Agregar qualidade a tomada de decises
Tornar as mudanas mais geis
Facilitar o gerenciamento do portflio de servio
Maior controle dos recursos nanceiros
Agregar valor
2.1.2 Gerenciamento da demanda
O propsito do gerenciamento de demanda compreender e inuenciar as demandas de
clientes pelos servios e a proviso de capacidade para atendimento s demandas. Este processo
analisa, rastreia, monitora e documenta os padres de atividade do negcio (PAN), a m de
prever as demandas atuais e futuras por servios. So esses padres de atividade que vo dizer
como o cliente usa o servio e quais os perodos de maior uso do servio. Tambm recomenda
atividades baseadas no gerenciamento da demanda e no relacionamento de padres de demanda
para assegurar que os planos de negcio do cliente estejam sincronizados com os planos de
negcio do provedor de servio [10].
No nvel estratgico, faz anlise de padres de negcio e pers de usurios. No nvel ttico,
dene o uso de mecanismos de diferenciao para encorajar o uso adequado dos servios. Este
processo fornece como resultado um Pacote de Nvel de Servio (PNS) que dene o valor dos
servios em termos de utilidade e garantia [10].
2.1.3 Gerenciamento de portflio de servio
O gerenciamento de portflio de servio fornece informaes de todos os servios, que
podemser os servios atuais, emdesenvolvimento ou desativados. Apartir dele, possvel saber
44
quais servios esto em desenvolvimento, quais esto em operao e quais servios precisam
ou j foram desativados. Neste processo, os servios so descritos em termos de valor para
o negcio, so denidas as necessidades do negcio e as solues adotadas pelo provedor de
servio. Com ele, tambm, possvel comparar os servios oferecidos por outros provedores
de servio, com base no valor e descrio [10].
As atividades descritas no gerenciamento de portflio de servio so:
Denir: fazer o inventrio de servios, garantir oportunidades de negcio e validar os
dados do portflio
Analisar: maximizar o valor do portflio, alinhar, priorizar e balancear a oferta e a
demanda
Aprovar: nalizar o portflio proposto, autorizar os servios e recursos
Contratar: comunicar as decises, alocar os recursos e realizar as contrataes
2.2 Desenho de Servio
O Desenho de Servio segunda fase do ciclo de vida do ITIL

, fornece os princpios e
mtodos de desenho para converter os objetivos estratgicos em portflios e ativos de servios,
garantindo que os servios de TI esto alinhados s necessidades de negcio. Tem como
objetivo principal a concepo de servios de TI em conformidade com as prticas, processos e
polticas de governana de TI para consolidar a estratgia e facilitar a introduo destes servios
no ambiente de produo. E desta forma, assegurar a qualidade da entrega dos servios, a
satisfao dos clientes e o custo-benefcio na prestao dos servios [11].
2.2.1 Gerenciamento de catlogo de servio
O objetivo do processo de gerenciamento de catlogo de servio produzir e manter um
Catlogo de Servio, contendo informaes precisas sobre todos os servios em operao e
tambm sobre aqueles que esto prontos para operao. Prover valor ao negcio como uma
fonte central de informao sobre os servios entregues pelo provedor de servio, garantindo
que todas as reas do negcio possam ter uma viso exata e consistente dos servios de TI
em uso, assim como, assegurar que as informaes no Catlogo de Servios esto corretas e
reetem os seus detalhes e a sua situao. Ele tem sua viso de servio voltada para os clientes,
45
mostrando como os servios sero utilizados, quais processos de negcio eles habilitam e quais
nveis e que qualidade de servios os clientes podem esperar de cada servio [11].
As atividades do gerenciamento de catlogo de servio so:
Denio de servio
Produo e manuteno de um Catlogo de Servio
Estabelecimento de interfaces, dependncias e consistncias entre o Catlogo de Servio
e o Portflio de Servio
Estabelecimento de interfaces e dependncias entre todos os servios e os servios de
suporte do Catlogo de Servio
Estabelecimento de interfaces e dependncias entre todos os servios e componentes
de suporte e itens de congurao relacionados aos servios que esto no Catlogo de
Servio.
2.2.2 Gerenciamento do nvel de servio
O gerenciamento do nvel de servio responsvel por negociar, acordar e documentar
as metas dos servios de TI com os representantes do negcio, monitorando e produzindo
relatrios sobre a capacidade que o provedor de servio tem em fornecer o nvel de servio
acordo. Responsvel, tambm, por acordar e documentar as responsabilidades nos Acordos de
Nvel de Servio (ANSs) e nos Requisitos de Nvel de Servio (RNSs), para todas as atividade
dentro da TI. O seu sucesso totalmente dependente da qualidade do contedo do portflio de
servio e do catalogo de servio, uma vez que fornecem as informaes necessrias sobre os
servios a serem geridos [11].
O ANS um acordo entre o provedor de servio e um cliente, ele descreve o servio,
documenta as metas de nvel de servio e especica as responsabilidades do provedor de servio
e do cliente. No geral, representa um nvel de conana ou garantia da qualidade do servio
prestado. O RNS um requisito do cliente em relao aos aspectos dos servios de TI, baseado
nos objetivos do negcio e usado para negociar as metas de nveis de servio [11].
Os objetivos do gerenciamento do nvel de servio so:
Denir, documentar, acordar, monitorar, medir, reportar e revisar os nveis dos servios
de TI fornecidos
46
Propiciar e aprimorar o relacionamento e a comunicao com a empresa e clientes
Garantir que as metas especicas e mensurveis so desenvolvidas para todos os servios
Monitorar e melhorar a satisfao dos clientes com a qualidade dos servios prestados
Assegurar que a TI e o cliente tem uma clara e inequvoca expectativa do nvel de servio
que ser entregue
Garantir que as medidas pr-ativas para melhoria dos servios prestados so executadas
sempre que os seus custos forem justicveis.
2.2.3 Gerenciamento da capacidade
O gerenciamento da capacidade um processo que se estende ao longo de todo o ciclo
de vida, garantindo que a relao custo-benefcio sempre exista em todas as reas de TI e seja
correspondente as atuais e futuras necessidades do negcio. Tambm mantem os nveis de
entrega de servios acordados a um custo acessvel, alm de assegurar que a capacidade da
infraestrutura de TI esteja alinhada com as necessidades do negcio [11].
Os objetivos do gerenciamento da capacidade so:
Produzir e manter um plano de capacidade apropriado e atualizado que reita as atuais e
futuras necessidades do negcio
Propiciar recomendaes e orientaes sobre as questes de capacidade para todas as
outras reas de negcio e TI
Certicar que os resultados de desempenho de servio atendem ou excedem todas as
metas acordadas, gerenciando o desempenho e a capacidade dos servios e recursos.
Auxiliar no diagnstico e resoluo de incidentes e problemas relacionados com o
desempenho e a capacidade
Avaliar as mudanas no plano de capacidade e o desempenho e capacidade de todos os
servios e recursos
Garantir que medidas pr-ativas sejam implantadas para melhorar o desempenho dos
servios a um custo justicvel.
47
2.2.4 Gerenciamento da disponibilidade
O propsito do gerenciamento da disponibilidade garantir que o nvel de disponibilidade
de servio prestado em todos os servios corresponde ou excede as necessidades atuais e futuras
do negcio, de forma rentvel. Tambm fornece um ponto de foco e gerenciamento para todas
as questes relacionadas a disponibilidade de servios e recursos, assegurando que as metas de
disponibilidade em todas as reas so medidas e alcanadas [11].
Os objetivos do gerenciamento da disponibilidade so:
Produzir e manter atualizado um plano de disponibilidade que reita as atuais e futuras
necessidades do negcio
Propiciar recomendaes e orientaes sobre as questes de disponibilidade para todas as
outras reas de negcio e TI
Certicar que os resultados da disponibilidade de servio atendem ou excedem todas as
metas acordadas, atravs do gerenciamento dos servios e recursos relacionados com o
desempenho disponvel
Auxiliar no diagnstico e resoluo de incidentes e problemas relacionados com disponi-
bilidade
Avaliar o impacto das mudanas no plano de disponibilidade e o desempenho e
capacidade de todos os servios e recursos
Garantir que medidas pr-ativas para a melhora da disponibilidade de servios sejam
implantadas sempre que seus custos forem justicveis.
2.2.5 Gerenciamento da continuidade do servio de TI
O gerenciamento da continuidade do servio de TI tem como propsito dar suporte aos
processos do Gerenciamento da Continuidade do Negcio, garantindo que os requisitos tcnicos
de servios e de TI possam ser retomados dentro de escalas de tempo requeridas e acordadas
[11].
Os objetivos do gerenciamento da continuidade do servio de TI so:
Manter um conjunto de planos de continuidade de servios de TI e planos de recuperao
de servios de TI que possam suportar completamente o Plano de Continuidade do
Negcio da organizao
48
Completar revises regulares da Anlise de Impacto do Negcio para garantir que todos
os planos de continuidade so mantidos alinhados com os impactos e requisitos de
mudanas do negcio
Realizar revises regulares de avaliao e gerenciamento de risco, particularmente em
conjunto com o negcio e os processos de Gerenciamento da Disponibilidade e de
Gerenciamento da Segurana
Propiciar recomendaes e orientaes sobre as questes de continuidade e recuperao
para todas as outras reas de negcio e TI
Certicar que os mecanismos adequados de continuidade e recuperao so colocados
em prtica para atender ou exceder as metas de continuidade do negcio acordadas
Avaliar o impacto de todas as mudanas nos planos de continuidade de servio de TI e
planos de recuperao
Garantir que medidas pr-ativas para a melhora da disponibilidade de servios sejam
implantadas sempre que seus custos forem justicveis
Negociar e acordar os contratos necessrios com os fornecedores para fornecimento da
capacidade de recuperao necessria para manter todos os planos juntamente com os
processos do Gerenciamento de Fornecedor.
2.2.6 Gerenciamento de segurana da informao
O propsito do gerenciamento de segurana da informao alinhar a segurana de TI
com a segurana de negcio, garantindo que a segurana da informao gerenciada de forma
ecaz em todos os servios e atividades de TI. A segurana da informao uma atividade de
gerenciamento que est dentro da estrutura de governana corporativa, a qual fornece a direo
estratgica para as atividades de segurana, assegurando que os objetivos sejam alcanados.
Alm disso, garante que os risos de segurana so devidamente controlados e que os recursos
da empresa so utilizados de maneira responsvel [11].
Este processo foi baseado na norma ISO/IEC 27001 e assume uma abordagem modicada
da estrutura PDCA (Plan-Do-Check-Act) para o gerenciamento da segurana da informao
que utiliza a seguinte terminologia CPIAM:
Controlar: a primeira atividade do gerenciamento da segurana da informao,
49
tratando da organizao e do gerenciamento do processo, alocando responsabilidades e
estabelecendo e controlando documentaes
Planejar: aconselhar e recomendar medidas de segurana adequadas, com base no
entendimento dos requisitos da organizao
Implementar: garantir que os procedimentos adequados, ferramentas e controles esto em
conformidade para apoiar a segurana da informao
Avaliar: supervisionar e checar o cumprimento da poltica de segurana e os requisitos de
segurana nos ANSs e ANOs e realizar auditorias regulares
Manter: melhorar os acordos de segurana e aplicao das medidas e controles
Os objetivos do gerenciamento de segurana da informao so:
Assegurar que as informaes estejam disponveis quando forem necessrias, alm de que
os sistemas estejam preparados para resistir a ataques ou falhas de segurana, garantindo
sua disponibilidade
Garantir que a informao somente seja acessada ou divulgada para pessoas autorizadas,
assegurando sua condencialidade
Garantir que as informaes esto completas, precisas e protegidas contra modicaes
no autorizadas, assegurando sua integridade
Garantir que as transaes de negcio e a troca de informaes entre as empresas
e parceiros seja realizada de maneira convel, assegurando a autenticidade e o no
repdio.
2.2.7 Gerenciamento de fornecedor
O propsito do processo de gerenciamento de fornecedor garantir que os fornecedores e
os servios fornecidos por eles sejam gerenciados para suportar as metas dos servios de TI e as
expectativas do negcio. Ajudando a melhora a percepo da qualidade dos servios prestados
por parceiros e fornecedores de modo a beneciar o negcio e a organizao. Tambm contribui
para que seja obtido o retorno adequado dos fornecedores garantindo que eles alcancemas metas
estabelecidas em seus contratos [11].
Os objetivos do gerenciamento de fornecedor so:
50
Agregar valor o dinheiro investido em fornecedores e contratos
Garantir que os contratos, acordos com fornecedores estejam alinhados as necessidades
do negcio, RNS e ANS
Gerenciar as relaes com os fornecedores
Gerenciar o desempenho dos fornecedores
Negociar e acordar contratos com fornecedores e gerencia-los atravs do ciclo de vida
Manter uma poltica de fornecedores e um banco de dados de contratos e fornecedores.
2.3 Transio de Servio
A Transio de Servio fornece orientaes para o desenvolvimento e melhoria da
capacidade de transio de servios novos e modicados. Mostra como os requisitos da
Estratgia de Servio codicados no Desenho de Servio sero realizados na Operao de
Servio, controlando os riscos de falhas e interrupes. Em linhas gerais, ela serve como um
elo que liga a fase de Desenho de Servio fase de Operao de Servio [12].
2.3.1 Planejamento e suporte da transio
O planejamento e suporte da transio tem como propsito planejar e coordenar os recursos
assegurando que os requisitos da Estratgia de Servio codicados no Desenho de Servio so
efetivamente realizados na Operao de Servio. Alm de identicar, gerenciar e controlar os
riscos de falhas e interrupes atravs das atividades de transio [12].
Os objetivos do planejamento e suporte da transio so:
Planejar e coordenar os recursos para estabelecer com sucesso um servio novo ou
modicado no ambiente de produo, dentro dos custos previstos e estimativas de
qualidade e tempo
Assegurar que todas as partes adotem as mesmas estruturas de padres reutilizveis de
processo e sistemas de suporte, a m de melhorar a eccia e a ecincia do planejamento
integrado e atividades de coordenao
Oferecer planos claros e abrangentes que habilitem projetos de mudanas para alinhar as
suas atividades s dos planos de Transio de Servio.
51
2.3.2 Gerenciamento de mudanas
O gerenciamento de mudanas tem como propsito assegurar que as mudanas so
realizadas de forma controlada, alm de serem planejadas, avaliadas, implementadas, testadas e
documentadas [12].
Os objetivos do gerenciamento de mudanas so:
Responder s mudanas de requisitos de negcio dos clientes minimizando o valor e
reduzindo os incidentes, interrupes e retrabalho
Responder s solicitaes de negcio e TI para mudanas que alinharam os servios com
as necessidades do negcio.
2.3.3 Gerenciamento da congurao e de ativo de servio
O propsito do gerenciamento da congurao e de ativo de servio denir e controlar os
componentes de servio e infraestrutura e manter a exatido da informao de congurao no
histrico, planejada e reetindo o estado atual dos servios e infraestrutura [12].
Os objetivos do gerenciamento da congurao e de ativo de servio so:
Apoiar o negcio e os objetivos de controle e requisitos dos clientes
Apoiar a ecincia e ecacia dos processos de gerenciamento de servio proporcionando
a exatido da informao de congurao para habilitar as pessoas a tomarem decises
no momento certo.
Minimizar o nmero de questes de qualidade e conformidade causadas por congura-
es incorretas de servios e ativos.
Otimizar os ativos de servio, conguraes de TI, capacidade e recursos.
2.3.4 Gerenciamento de liberao e implantao
O gerenciamento de liberao e implantao tem como propsito implantar as liberaes
no ambiente de produo e estabelecer o uso ecaz do servio, a m de entregar valor ao cliente
e ser capaz de passar as liberaes para Operao de Servio [12].
Os objetivos do gerenciamento de liberao e implantao so:
52
Certicar que existem planos claros e abrangentes de liberao e implantao que
permitam aos clientes e negcio a modicao de projetos para alinhar suas atividades
Assegurar que um pacote de liberao possa ser construdo, instalado, testado e implan-
tado de forma eciente e dentro do tempo programado
Assegurar que servios novos ou modicados, assim como os seus sistemas, tecnologias
e organizaes sejam capazes de satisfazer os requisitos de servios acordados
Certicar que exista o mnimo de impactos imprevisveis na produo de servios,
operaes e organizao de apoio
Assegurar que clientes, usurios e equipe de gerenciamento de servio esto satisfeitos
com as prticas e sadas da Transio de Servio.
2.3.5 Validao e teste de servio
A validao e teste de servio contribui para garantir a qualidade dos servios, certicando
que o Desenho de Servio e liberao entregaram um servio adequado ao seu propsito e uso
[12].
A rea de teste vital para o gerenciamento de servio e tem sido uma causa invisvel
da inecincia dos processos de gerenciamento de servio. Se os servios no forem testados
sucientemente, a sua introduo no ambiente operacional trar um aumento dos incidentes,
das chamadas de suporte, dos problemas, dos erros e dos custos [12].
Os objetivos da validao e teste de servio so:
Fornecer conana que uma liberao criara um servio novo ou modicado ou ofertas
de servios que entregaram os resultados e valores esperados para os clientes dentro das
limitaes, capacidade e custos previstos.
Validar se um servio adequado ao seu propsito
Garantir que um servio est apto para uso
Vericar se os requisitos para servios novos ou modicados dos clientes e partes
interessadas esto corretamente denidos e corrigir eventuais erros ou desvios no incio
do ciclo de vida do servio j que isso consideravelmente mais barato do que corrigir
erros na produo.
53
2.3.6 Avaliao
O propsito da avaliao fornecer uma forma consistente e padronizado de determinar
o desempenho de uma mudana de servio no contexto da infraestrutura de TI e dos servios
existentes e propostos. Alm de denir corretamente a expectativas das partes interessadas
e fornecer informaes precisas e ecazes para que o gerenciamento de mudanas no faa
alteraes que afetem negativamente a capacidade dos servios e introduza riscos que no foram
checados na transio [12].
Os objetivos da avaliao so:
Avaliar os efeitos desejados de uma mudana de servio assim como os efeitos no
desejados que forem razoavelmente prticos dada a capacidade, recursos e limitaes
organizacionais
Fornecer sadas de boa qualidade de modo que o gerenciamento de mudanas possa
acelerar as decises sobre se uma mudana de servio ser aprovada ou no.
2.3.7 Gerenciamento do conhecimento
O gerenciamento do conhecimento tem como propsito assegurar que a informao certa
est entregue no lugar apropriado ou pessoa competente na hora certa para permitir decises
informadas. Alm de permitir que a organizao melhore a qualidade da tomada de decises
gerenciais, assegurando que os dados e informaes conveis e seguras esto disponveis
atravs de todo o ciclo de vida do servio [12].
Os objetivos do gerenciamento do conhecimento so:
Permitir que o provedor de servio seja mais ecientes e melhorar a qualidade dos
servios, aumentando a satisfao e reduzindo os custos do servio
Garantir que os funcionrios tenham uma compreenso clara e comum do valor que seus
servios oferecem para o cliente e a maneira na qual os benefcios so percebidos a partir
do uso desses servios
Assegurar que em um dado momento e local, a equipe do provedor de servio ter as
informaes adequadas em:
Quem est usando atualmente os seus servios
54
O estado atual do consumo
Restries de entrega de servio
Diculdades enfrentadas pelos clientes em realizar plenamente os benefcios espe-
rados do servio.
2.4 Operao de Servio
A Operao de Servio incorpora prticas para o gerenciamento dos servios em operao.
Ela fornece diretrizes para adquirir eccia e ecincia na entrega e suporte dos servios,
assegurando a entrega de valor ao cliente e ao provedor de servio. Alm de, proporcionar
orientaes para manter a estabilidade dos servios em operao, permitindo realizao de
mudanas no projeto, escopo e nveis de servios acordos [13].
Na Operao de Servio, possvel gerenciar as aplicaes, as tecnologias e a infraestrutura
que suporta os servios, permitindo aos gestores tomarem decises melhores respeito do
gerenciamento da disponibilidade dos servios, do controle de demanda, da otimizao da
utilizao da capacidade, do escalonamento das operaes e at mesmo corrigir problemas [13].
2.4.1 Gerenciamento de evento
O propsito do gerenciamento de evento fornecer a capacidade para detectar eventos e
dar-lhes sentido, determinando as medidas de controle apropriadas. Alm disso, proporciona
uma maneira de comparar o desempenho e o comportamento atual com que foi estabelecido
nos ANSs da fase desenho. Assim, o gerenciamento de evento a base para o monitoramento
e controle operacional [13].
Um evento pode ser denido como qualquer ocorrncia que tenha importncia para o
gerenciamento da infraestrutura ou prestao de servios de TI, avaliando dos impactos que
um desvio pode causar aos servios. Geralmente, estes eventos so noticaes criadas por um
servio de TI, um Item de Congurao (IC) ou uma ferramenta de monitoramento [13].
Existem alguns tipos de eventos, tais como:
Eventos que signicam uma operao comum, como: a entrada de um usurio para o uso
de um aplicativo e a chegada de um e-mail ao um destinatrio
Eventos que signicam uma exceo, como: uma tentativa de um usurio de entrar em
55
um aplicativo com uma senha incorreta e aps uma varredura, revelao da instalao de
um software no autorizado
Eventos que signicam uma operao incomum, mas no excepcional, como: a memria
de um servidor chega 5% do seu nvel mais alto de desempenho e o tempo de concluso
de uma transio 10% maior do que o normal.
As organizaes precisam ter sua prpria categorizao de importncia de um evento, o
ITIL

[13] sugere que as organizaes adotem pelo menos trs categorias, que so:
Informativos - entrada de um usurio no sistema
Alertas - tempo de uma transio 10% acima do normal
Excees - detectou-se a instalao de um software no licenciado.
2.4.2 Gerenciamento de incidente
O gerenciamento de incidente tem como propsito restaurar as operaes normais de
servio to rpido quanto possvel e minimizar os impactos negativos sobre as operaes de
negcio, deste modo, garantindo que os melhores nveis possveis de qualidade e disponibili-
dade de servio so mantidos [13].
O gerenciamento de incidentes inclui qualquer evento que interrompa ou possa interromper
um servio. Isso inclui eventos que so diretamente comunicados por usurios ou atravs da
Central de Servio. Os incidentes, tambm, podem ser comunicados ou registrados pela equipe
tcnica quando, por exemplo, eles percebam o mau funcionamento de algum IC [13].
As atividades do gerenciamento de incidentes incluem:
Identicao: o processo inicia quando o incidente identicado
Registro: os incidentes precisam ser registrados
Classicao: a classicao til para identicar os tipos de incidentes mais recorrentes
Priorizao: priorizar por impacto e urgncia
Diagnstico: descobre possveis sintomas e o que no est funcionando adequadamente
Escalonamento: caso o incidente no possa ser resolvido pela Central de Servio, ele
precisa ser escalonado para outro nvel de suporte
56
Investigao e diagnstico: determina a natureza da requisio
Resoluo e recuperao: identica uma soluo
Fechamento: a Central de Servio dever documentar o incidente e fazer um fechamento
formal junto ao usurio.
2.4.3 Cumprimento de requisio
O cumprimento de requisio o processo que lida com as solicitaes de servios dos
usurios. Permite aos usurios solicitar e receber servios padronizados, fornece informaes
aos usurios e clientes sobre os servios e procedimentos para obteno do que desejam e prove
suporte com reclamaes, comentrios e sugestes [13].
Os objetivos do cumprimento de requisio so:
Fornecer um canal para que os usurios solicitem e recebam servios padronizados para
os quais existe um processo de aprovao e qualicao pr-denidos
Fornecer informaes aos usurios e clientes sobre a disponibilidade dos servios e
procedimentos para obt-los
Produzir e entregar os componentes de servios requisitados
Ajudar com as informaes gerais, reclamaes e comentrios.
2.4.4 Gerenciamento de problema
O gerenciamento de problema responsvel por gerenciar o ciclo de vida de todos
os problemas. Tendo como propsito evitar problemas resultantes de incidentes ocorridos,
eliminar incidentes recorrentes e minimizar o impacto de incidentes que no podem ser evitados
[13].
Este processo mantm informaes sobre os problemas e solues, bem como as solues
de contorno para que a organizao seja capaz de reduzir o nmero de impactos de incidentes ao
um tempo satisfatrio. Os problemas so a causa de um ou mais incidente, porm um incidente
nunca vira um problema, os registros so mantidos em separado [13].
As atividades do gerenciamento de problema so:
Identicao
57
Registro
Categorizao
Priorizao
Investigao e diagnstico
Deciso sobre a soluo de contorno
Identicao de erros conhecidos
Resoluo
Concluso
Reviso
Correo de erros identicados.
2.4.5 Gerenciamento de acesso
O gerenciamento de acesso tem como propsito fornecer os direitos para que os usurios
possam utilizar um servio ou grupo de servios, ao passo que tem de prevenir o acesso
de usurios no autorizados. , portanto, a execuo das polticas e aes denidas no
gerenciamento da segurana da informao e disponibilidade, capacitando a organizao a
gerenciar a condencialidade, disponibilidade e integridade de seus dos dados e propriedade
intelectual [13].
Algumas das atividades do gerenciamento de acesso so:
Vericao da legitimidade das requisies
Fornecer os direitos de acesso
Monitorar o estado da identidade
Registrar e monitorar o acesso
Remove e limita os direitos de acesso.
58
2.5 Melhoria de Servio Continuada
A Melhoria de Servio Continuada fundamental na criao e manuteno de valor
para os clientes. Combinando os princpios, prticas e mtodos de gesto de qualidade,
gesto de mudanas e melhoria da capacidade ela permite as organizaes a realizarem
melhorias incrementais e em grande escala na qualidade dos servios, ecincia operacional
e continuidade do negcio [14].
As atividades de Melhoria de Servio Continuada so executadas durante todo o ciclo de
vida, atuando na integrao e melhoria de todas as fases e possibilitando o alinhamento e o
realinhamento dos servios de TI para atender s mudanas nas necessidades do negcio [14].
2.5.1 Processo de melhoria em 7 etapas
O conceito de medio fundamental para a Melhoria de Servio Continuada. Assim,
este processo enfoca nas etapas necessrias para obter dados importantes, analisar os dados
coletados e reconhecer as tendncias, identicando e implementando melhorias [14].
As sete etapas do processo de melhoria so:
1. Denir o que deve ser medido: compilar uma lista do que deve ser medido conforme os
requisitos de negcio
2. Denir o que se pode medir: listar ferramentas em uso e compilar uma lista de quais
ferramentas podem ser medidas comparando com o a etapa 1
3. Coletar dados: a coleta de dados exige ter alguma forma de monitoramento no local. O
monitoramento pode ser executado usando tecnologias tais como aplicativos, ferramentas
de monitoramento de sistemas e componentes
4. Processar dados: converter dados para o pblico e formato requerido. Tecnologias de
gerao de relatrios so normalmente usadas nesta etapa
5. Analisar dados: a anlise de dados transforma a informao em conhecimento de eventos
que esto afetando a organizao
6. Apresentar e usar a informao: esta etapa envolve a apresentao da informao em um
formato que seja compreensvel e no nvel certo, permitindo que aqueles que receberem
as informaes tomem decises estratgicas, tticas e operacionais
59
7. Implantar ao corretiva: usa o conhecimento adquirido para otimizar, melhorar e corrigir
os servios.
2.5.2 Relatrio de servio
O propsito do relatrio de servio desenvolver e fornecer relatrios sobre os resultados
alcanados e os crescimentos da qualidade nos nveis de servio. Estes relatrios devem
demonstrar o desempenho passado e destacar as ameaas que possam prejudicar a organizao
no futuro [14].
As atividades do relatrio de servio inclui:
Coletar dados
Processar os dados em informao
Publicar a informao
Ajustar o relatrio para o negcio.
2.5.3 Mensurao de servios
O propsito da mensurao de servio fornecer uma viso signicativa dos servios de TI
da forma como os clientes vivenciam os servios. Alm de ser capaz de medir se um servio
est diretamente ligado aos componentes, sistemas e aplicativos que esto sendo monitorados e
reportados [14].
Os objetivos da mensurao de servio so:
Validar decises que tenham sido tomadas
Direcionar atividade para o alcance das metas
Fornecer evidncias que justiquem aes
Sinalizar a necessidade de aes corretivas.
60
3 ISO/IEC 27002 e ITIL

v3 como
ferramenta para alinhar segurana da
informao ao negcio
Neste captulo, ser apresentado o estudo de como algumas das sees e categorias
da ISO/IEC 27002 podem contribuir para aumentar a segurana da informao e, por
consequncia, a qualidade do gerenciamento dos servios de TI segundo o ITIL

v3.
O estudo seguir a ordem estabelecida pelo ciclo de vida de servio do ITIL

, ou
seja: Estratgia de Servio, Desenho de Servio, Transio de Servio, Operao de Servio
e Melhoria de Servio Continuada.
A relao entre as fases do ciclo de vida de servio do ITIL

v3 e as sees da norma
ISO/IEC 27002 est apresentada na Tabela 3.1 e, na Figura 3.1 apresentada uma viso geral
desta relao.
61
Figura 3.1: Relao entre a ITIL

v3 e a ISO/IEC 27002.
62
Tabela 3.1: ITIL

v3 ISO/IEC 27002.
Fase do Ciclo de Vida Seo da ISO/IEC 27002
Estratgia de Servio
Anlise/avaliao e tratamento de riscos
Desenho de Servio
Anlise/avaliao e tratamento de riscos
Poltica de segurana da informao
Organizando a segurana da informao
Gesto de ativos
Segurana fsica e do ambiente
Gerenciamento das operaes e comunicaes
Aquisio, desenvolvimento e manuteno de sistemas de
informao
Gesto da continuidade do negcio
Transio de Servio Gesto de ativos
Gerenciamento das operaes e comunicaes
Aquisio, desenvolvimento e manuteno de sistemas de
informao
Operao de Servio
Anlise/avaliao e tratamento de riscos
Segurana em recursos humanos
Segurana fsica e do ambiente
Gerenciamento das operaes e comunicaes
Controle de acessos
Aquisio, desenvolvimento e manuteno de sistemas de
informao
Gesto de incidentes de segurana da informao
Gesto da continuidade do negcio
Conformidade
Melhoria Contnua
Organizando a segurana da informao
3.1 Estratgia de Servio e a norma ISO/IEC 27002
A Estratgia de Servio a primeira fase do ciclo de vida e demonstra como dese-
nhar, desenvolver e implementar o gerenciamento de servios de TI de maneira estratgica,
identicando, selecionando e priorizando as oportunidades de negcio. Alm disso, garante
que as organizaes esto aptas a lidar com os riscos e custos associados aos seus servios,
identicando os requisitos e necessidades de negcio. E nesta fase que so estabelecidos os
objetivos e expectativas de desempenho dos servios que sero fornecidos aos clientes.
63
Aseo da ISO/IEC27002 que contribui para esta fase do ciclo de vida a anlise/avaliao
e tratamento de riscos, mais especicamente a categoria analisando/avaliando os riscos de
segurana da informao. Isso se justica pelo fato de que nessa fase do ciclo de vida que so
identicados os requisitos e necessidades de negcio, alm de identicar, selecionar e priorizar
as oportunidades, com o objetivo de alinhar a TI aos negcios. Ento, para alinhar a segurana
da informao aos negcios, precisa-se realizar um levantamento dos requisitos de segurana da
informao e identicar, quanticar e priorizar os riscos com base nos objetivos da organizao.
Os resultados dessa anlise e avaliao de riscos devem orientar e denir as aes de gesto
durante todo o ciclo de vida do servio.
3.2 Desenho de Servio e a norma ISO/IEC 27002
O Desenho de Servio segunda fase do ciclo de vida do ITIL

. Nesta fase os
objetivos estratgicos denidos na Estratgia de Servio so convertidos em portflios e ativos
de servios, isso garante que os servios de TI estaro alinhados s necessidades e objetivos
de negcio. Desta forma, busca assegurar a qualidade da entrega de servios, a satisfao dos
clientes e o custo-benefcio na prestao dos servios.
As sees da ISO/IEC 27002 que podem contribuir para esta fase do ciclo de vida so:
Anlise/avaliao e tratamento de riscos, Poltica de segurana da informao, Organizando a
segurana da informao, Gesto de ativos, Segurana fsica e do ambiente, Gerenciamento
das operaes e comunicaes, Aquisio, desenvolvimento e manuteno de sistemas de
informao e Gesto da continuidade do negcio.
A Anlise/avaliao e tratamento de riscos aplicada na fase anterior (Estratgia de Servio)
vai fornecer os riscos e suas prioridades para que possam ento ser tratados nesta fase, seja
aplicando controles ou evitando os riscos. Isso contribuir para o alinhamento da segurana da
informao com os objetivos do negcio.
A Poltica de segurana da informao determinar o que considerado pela organizao
como aceitvel ou inaceitvel e atravs dela a direo ir orientar e dar apoio a segurana
da informao de acordo com os requisitos de negcio, leis e regulamentaes. Isso ajudar
a alinhar os servios a segurana da informao. Tambm, ir contribuir na elaborao do
documento de poltica da segurana da informao.
A seo Organizando a segurana da informao contribui para desenvolver e estruturar
um Sistema de Gerenciamento de Segurana da Informao (SGSI) e garantir que as atividades
de segurana sero executadas de acordo com o que foi denido no documento de poltica de
64
segurana da informao. Tambm, ajuda a identicar os ativos e processos de segurana de
cada rea denindo as responsabilidades sobre eles. Isso possibilita assegurar que apenas as
pessoas autorizadas tero acesso aos recursos de processamento e s informaes. Quanto s
mudanas de equipamentos e softwares esta seo ir colaborar com os procedimentos para
vericar a compatibilidade com os demais componentes do sistema e certicar que os mesmos
no introduziram nenhum tipo de ameaa ou vulnerabilidade, alm de assegurar que suportaram
os servios oferecidos. Alm disso, analisa e avalia os riscos que envolvem o relacionamento
com fornecedores, antes de obter qualquer produto ou servio.
A Gesto de ativos contribui para a proteo dos ativos organizacionais classicando as
informaes de forma a identicar se as necessidades, as prioridades e os nveis de segurana
esto sendo oferecidos adequadamente. Alm de, realizar anlises para certicar que os ativos
esto atualizados e no nvel de proteo apropriado.
A Segurana fsica e do ambiente ajudar a manter a segurana das instalaes e da
infraestrutura de TI da organizao, evitando acessos no autorizados, danos e interferncias.
Contribui para projetar permetros de segurana e proteger as reas sensveis da organizao
contra desastres naturais e fsicos. Colabora com o descarte de equipamentos estabelecendo
controles para o tratamento apropriado e medidas que iro prevenir perdas, danos e furtos de
informaes sensveis.
O Gerenciamento das operaes e comunicaes vai contribuir com esta fase provendo
orientaes de como gerenciar os servios terceirizados, de forma a garantir que os controles
de segurana, as denies e os nveis de servios acordados sejam implementados, executados
e mantidos por terceiros. Alm disso, fornecer controles para garantir a disponibilidade da
capacidade apropriada e o desempenho esperado do sistema, monitorando a utilizao dos
recursos e fazendo projees das capacidades futuras, alm de oferecer medidas para avaliar,
testar e documentar os novos sistemas antes que sejam aprovados para migrar ao ambiente de
produo. Tambm contribui com procedimentos para a proteo contra cdigos maliciosos e
para realizao de cpias de segurana.
A Aquisio, desenvolvimento e manuteno de sistemas de informao ir colaborar para
manter a segurana dos sistemas de informao, tais como sistemas operacionais, aplicaes
de negcio, infraestrutura e servios, analisando e identicando os requisitos de controle de
segurana durante a fase de desenvolvimento ou processo de aquisio.
A Gesto da continuidade do negcio ir contribuir para fortalecer o processo de Gerenci-
amento da continuidade do servio de TI desta fase do ciclo de vida, implementando processos
para minimizar os impactos de desastres e falhas nos sistemas de informao da organizao.
65
Ajudar a identicar eventos que possam causar a interrupo dos processos de negcio e a
realizar anlises e avaliaes dos riscos para determinar a probabilidade e o impacto dessas
interrupes, levando em considerao os danos e tempo de recuperao.
3.3 Transio de Servio e a norma ISO/IEC 27002
A Transio de Servio a terceira fase da ITIL

v3 e fornece orientaes para o
desenvolvimento e melhoria da capacidade de transio de servios novos ou modicados. Ela
tem como propsito planejar e gerenciar mudanas nos servios e implantar a liberao de
novos servios com sucesso no ambiente de produo.
As sees da ISO/IEC 27002 que podem contribuir para esta fase do ciclo de vida so:
Gesto de ativos, Gerenciamento das operaes e comunicaes e Aquisio, desenvolvimento
e manuteno de sistemas de informao.
A Gesto de ativos, nesta fase do ciclo de vida, fornecer suporte ao processo de
Gerenciamento da congurao e de ativo de servio da ITIL

v3, ajudando a controlar os
componentes de servio e infraestrutura. Contribuir com a identicao dos ativos e com a
elaborao do inventrio de ativos, alm de ajudar com a denio dos responsveis dos ativos
e com o desenvolvimento da poltica de gerenciamento da congurao e de ativo de servio.
O Gerenciamento das operaes e comunicaes colaborar com o processo de Gerenci-
amento de mudanas, ajudando a estabelecer mudanas atravs de controles para identicar,
planejar, testar e avaliar os impactos ao negcio.
A Aquisio, desenvolvimento e manuteno de sistemas de informao contribuir com o
processo de Gerenciamento de liberao e implantao, certicando que os novos servios no
iro introduzir qualquer tipo de ameaa ou vulnerabilidade. Alm disso, fornecer controles
para garantir que as aplicaes esto realizando o processamento correto das informaes,
prevenindo a ocorrncia de erros, perdas, modicaes no autorizadas ou mau uso.
3.4 Operao de Servio e a norma ISO/IEC 27002
A Operao de Servio fase do ciclo de vida da ITIL

v3 que incorpora prticas para o
gerenciamento dos servios em operao. Fornece orientaes para manter a estabilidade dos
servios em operao e permite a realizao de mudanas no projeto, escopo e nvel de servios
acordados. nesta fase que os servios efetivamente entregam valor ao cliente.
66
As sees da ISO/IEC 27002 que podem contribuir para esta fase do ciclo de vida so:
Anlise/avaliao e tratamento de riscos, Segurana em recursos humanos, Segurana fsica e
do ambiente, Gerenciamento das operaes e comunicaes, Controle de acessos, Aquisio,
desenvolvimento e manuteno de sistemas de informao, Gesto de incidentes de segurana
da informao, Gesto da continuidade do negcio e Conformidade.
A Anlise/avaliao e tratamento de riscos ir colaborar para identicar os riscos de falhas
ou potenciais falhas nos servios que esto em operao, alm de avaliar as potenciais mudanas
e seus impactos.
A Segurana em recursos humanos ir contribuir para educar e conscientizar os funcio-
nrios sobre a segurana da informao nas suas atividades de trabalho. Tambm ajudar a
denir, de acordo com a poltica de segurana, os papis e responsabilidades dos funcionrios,
bem como as medidas cabveis em caso de seu descumprimento.
A Segurana fsica e do ambiente ir cooperar prevenindo o acesso no autorizado, danos
e interferncias s instalaes da empresa, estabelecendo permetros e controles de segurana
para limitar a entra de funcionrios e visitantes somente as reas que lhes so permitidas.
O Gerenciamento das operaes e comunicaes contribuir com esta fase ajudando
a desenvolver, documentar e manter os procedimentos operacionais para garantir que os
recursos de processamento da organizao sero operados corretamente. E colabora com o
gerenciamento da segurana em redes denindo controles para manter as redes e os servios que
operam nelas protegidos de ameaas e acessos no autorizados, alm de monitorar as atividades
nas redes e manter os registros destas para futuras auditorias.
O Controle de acessos ir contribuir com o processo de Gerenciamento de acesso desta fase
do ciclo de vida, ajudando a desenvolver as polticas e princpios. Possibilitando aos usurios
correto a utilizao dos servios e recursos autorizados. Tambm estabelece medidas para evitar
acessos no autorizados aos ativos e recursos da organizao.
A Aquisio, desenvolvimento e manuteno de sistemas de informao ir colaborar com
esta fase denindo controles para assegurar que os servios em operao esto operando de
maneira correta. Alm de vericar a integridade dos dados de entrada e sada das aplicaes
utilizadas na operao deste servio.
A Gesto de incidentes de segurana da informao ir fortalecer os processos de
Gerenciamento de evento e Gerenciamento de incidentes da ITIL

v3, possibilitando a
identicao dos eventos e incidentes de segurana e permitindo uma tomada de aes
corretivas em um tempo satisfatrio.
67
A Gesto da continuidade do negcio ir contribuir com esta fase no que diz respeito
a execuo, teste e atualizao dos planos de continuidade do negcio para garantir que os
mesmos so efetivos.
A Conformidade ir ajudar a manter as atividades de monitoramento e armazenamento
de informaes dos usurios em conformidade com os requisitos de segurana contratuais,
regulamentares ou estatutrios para evitar violaes de quaisquer obrigaes legais.
3.5 Melhoria Contnua e a norma ISO/IEC 27002
A fase de Melhoria de Servio Continuada fundamental para a criao e manuteno de
valor para os clientes. Ela permite as organizaes a realizarem melhorias incrementais e em
grande escala na qualidade dos servios. Tambm possibilita o alinhamento e o realinhamento
dos servios de TI para atender s mudanas nas necessidades do negcio.
A seo da ISO/IEC 27002 que pode contribuir para esta fase do ciclo de vida :
Organizando a segurana da informao.
A seo Organizando a segurana da informao ajudar na realizao de anlises
independentes do enfoque da organizao e implementao para a segurana da informao,
com o propsito de assegurar a pertinncia, adequao e eccia das metas de gerenciamento da
segurana estabelecidas pela organizao. O contato com grupos especializados em segurana
da informao possibilitar a ampliao dos conhecimentos da organizao e manter a empresa
atualizada, alm de permitir a identicao da necessidade da contratao de consultorias.
68
Concluso
Nos ltimos anos, a tecnologia assumiu um papel essencial para as organizaes, que
muitas vezes, fazem parte de seus produtos e servios. Isso gera uma dependncia que faz com
que as organizaes busquem por abordagens que alinhem a TI s necessidades do negcio.
Essa dependncia pode causar srios prejuzos s organizaes quando, por alguma falha ou
vulnerabilidade na infraestrutura de TI dos servios, impossibilita as atividades de negcio.
Como foi possvel observar, a ITIL

v3 focada no gerenciamento de servios de TI,
permitindo s organizaes gerenciar suas infraestruturas para possibilitar maior qualidade na
entrega de servios de TI. A mais importante contribuio oferecida pela ITIL

v3 o maior
alinhamento da TI com as necessidades do negcio.
A norma ISO/IEC 27002, tem seu enfoque no gerenciamento da segurana da informao
com o objetivo de alinha a SI s necessidades do negcio.
Neste contexto, o presente estudo mostrou como possvel relacionar algumas das sees
da ISO/IEC 27002 com as fases do ciclo de vida da ITIL

v3, para contribuir com o aumento
da segurana da informao e, por consequncia, da qualidade do gerenciamento dos servios
TI.
Na fase de Estratgia de Servio, a seo Anlise/Avaliao e tratamento de riscos da
contribui com o levantamento dos requisitos de segurana da informao e identicando,
qualicando e priorizando os riscos com base nos objetivos da organizao.
Na fase de Desenho de Servio, as sees Anlise/avaliao e tratamento de riscos, Poltica
de segurana da informao, Organizando a segurana da informao, Gesto de ativos,
Segurana fsica e do ambiente, Gerenciamento das operaes e comunicaes, Aquisio,
desenvolvimento e manuteno de sistemas de informao e Gesto da continuidade do negcio
iro contribuir para proporcionar um maior alinhamento da segurana da informao com os
objetivo do negcio, para o desenvolvimento de um Sistema de Gerenciamento de Segurana
da Informao e para estabelecer uma cultura em segurana dentro da organizao.
Na fase de Transio de Servio, as sees Gesto de ativos, Gerenciamento das operaes
e comunicaes e Aquisio, desenvolvimento e manuteno de sistemas de informao
69
contribuiro para identicar os ativos, estabelecer mudanas e garantir que novos servios no
introduziro ameaas e vulnerabilidades.
Na fase de Operao de Servio, as sees Anlise/avaliao e tratamento de riscos,
Segurana em recursos humanos, Segurana fsica e do ambiente, Gerenciamento das operaes
e comunicaes, Controle de acessos, Aquisio, desenvolvimento e manuteno de sistemas de
informao, Gesto de incidentes de segurana da informao, Gesto da continuidade do neg-
cio e Conformidade iro contribuir para identicar possveis falhas, denir responsabilidades,
prevenir acessos no autorizados, manter os procedimentos operacionais, identicar incidentes
de segurana e manter a conformidade com requisitos contratuais, regulamentares e legislativos.
Na fase de Melhoria de Servio Continuada, a seo Organizando a segurana da
informao contribui com anlise do enfoque da organizao para segurana da informao
com o objetivo de assegurar a pertinncia, adequao e eccia das metas de gerenciamento
da segurana estabelecidas pela organizao e mantendo a organizao atualizada sobre as
questes de segurana da informao.
Com os resultados deste trabalho, possvel conseguir tanto o alinhamento da TI com
as necessidades do negcio, atravs da ITIL

v3, quanto o alinhamento da segurana da
informao, com a integrao das sees da ISO/IEC 27002 ao ciclo de vida da ITIL

.
Assim, este estudo mostrou como a norma ISO/IEC 27002 pode contribuir com a ITIL

v3
para melhorar a qualidade e segurana dos servios prestados pelas organizaes. Desta forma,
possvel reduzir os riscos e agilizar a tomada de decises, diminuindo o impacto de incidentes
e falhas de segurana.
Para trabalhos futuros, sugere-se que seja incorporado a este estudo o CobiT 4.1 que
voltado para gerentes executivos, gerentes de TI e auditores. No sentido de complementar este
trabalho, o CobiT pode ser usado no alto nvel do gerenciamento de TI provendo uma estrutura
de controle geral baseada em modelos de processos de TI.
70
Referncias Bibliogrcas
[1] ITGI. CobiT

4.1. USA: IT GOVERNANCE INSTITUTE, 2007.
[2] SCHREIBER, V.; PITKOWSKI, A. Melhores prticas. In: Planejamento Estratrgico da
Segurana da Informao. So Paulo: INFOSEC COUNCIL, 2010. p. 29 34. Acesso em:
10 de fev. 2010. Disponvel em: <http://www.infoseccouncil.org.br>.
[3] CLINCH, J. ITIL

v3 and information security. Best Management Practice: For Portfolio,
Programme, Project, Risk and Service Management, 2009.
[4] ITGI. CobiT

Security Base Line: An Information Security Survival Kit. [S.l.]: IT
GOVERNANCE INSTITUTE, 2007.
[5] ABNT. ISO/IEC 27002: Tecnologia da Informao - Tcnicas de Segurana - Cdigo de
Prticas para a Gesto da Segurana da Informao. 2007.
[6] GEUS, P. L. de; NAKAMURA, E. T. Segurana de Redes em Ambientes Cooperativos. 3.
ed. So Paulo: Furura, 2003.
[7] ABNT. ISO/IEC 27001: Tecnologia da Informao - Tcnicas de Segurana - Sistema de
Gesto de Segurana da Informao - Requisitos. 2006.
[8] SILVA, P. T.; CARVALHO, H.; TORRES, C. B. Segurana dos Sistemas de Informao:
Gesto Estratgica da Segurana Empresarial. Portugal: Centro Atlntico, 2003.
[9] TSO. The Ofcial Introduction to the ITIL

Service Lifecycle. [S.l.]: TSO, 2007.
[10] TSO. ITIL

- Service Strategy. [S.l.]: TSO, 2007.
[11] TSO. ITIL

- Service Design. [S.l.]: TSO, 2007.
[12] TSO. ITIL

- Service Transition. [S.l.]: TSO, 2007.
[13] TSO. ITIL

- Service Operation. [S.l.]: TSO, 2007.
[14] TSO. ITIL

- Continual Service Improvement. [S.l.]: TSO, 2007.