Segurança sob a perspectiva do ITIL

Author Photo
11:26 pm - 23 de maio de 2011

A partir dessa necessidade, o modelo ITIL Information Technology Infrastructure Library se torna cada vez mais forte e respeitado no mercado. Na prática, poucas empresas o adotaram, mas é verdade que muitos procuram esse caminho atualmente. Criado nos anos 80, o modelo propõe um conjunto de boas práticas que permitam a uma organização determinar, para suas diversas áreas a adoção de técnicas que, aplicadas uniformemente pelas diferentes vertentes que compõem a gerência de TI, permitam maior eficiência de seu gerenciamento.

Entre suas várias disciplinas, o ITIL define um modelo de gerenciamento de Segurança da Informação. No entanto, diferentemente das normas tradicionais voltadas para a gestão desse quesito, como a ISO 17799 e BS7799, o código de boas práticas do ITIL dá uma visão de segurança sob a perspectiva da gerência de TI, sendo essa disciplina integrada às outras do modelo.

Um dos fatores de maior atração para um gestor de segurança, ao estudar o ITIL, é a percepção de que as outras disciplinas do conjunto devem adotar técnicas de segurança dentro de seus processos, o que leva cada líder, seja o de Change Management ou de Configuration and Asset Management, a ser diretamente responsável por segurança dentro de sua própria área. Apesar disso, sob o ponto de vista do ITIL, os controles pertinentes são centralizados nos processos de gerenciamento de segurança da informação.

Essa perspectiva muda a forma como o tema deve ser visto dentro de uma corporação. Com o ITIL, cada unidade tem a responsabilidade de desenvolver seus processos pensando em segurança. Não se altera, no entanto, a responsabilidade do gestor de segurança desenhar as políticas da empresa a partir de um modelo reconhecido. A própria BS7799 é apontada como o modelo ideal (e segundo sua perspectiva, o “padrão definitivo” de normas voltadas para o assunto) que deve ser considerado por cada empresa no momento de escrever suas políticas.

Como exemplo, podemos citar o processo de gerenciamento de incidentes de segurança. Os modelos mais respeitados do mercado apontam à necessidade da criação de um CSIRT Computer Security Incident Response Team em uma corporação que quer lidar formalmente e de forma organizada cada ocorrência em seu ambiente. Inicialmente, o modelo desenhado pelo CERT (ver www.cert.org) já indica a necessidade de formação de equipe multidisciplinar, com o gerenciamento dos incidentes feitos pela área de segurança.

No modelo ITIL, uma das disciplinas a serem desenvolvidas é o Incident Control, que tem a responsabilidade maior sobre todas as ocorrências registradas em um ambiente, incluindo as de segurança. Dessa forma, uma vez adotado o modelo ITIL, passa a ser da Gerência de Incidentes, paralela à de Segurança, a incumbência sobre a triagem, estudo, tratamento e resolução de incidentes, mesmo que o CSIRT continue com o seu papel fundamental. Obviamente, cada ambiente deve adequar seu processo de forma a unir as boas práticas à sua realidade.

Existe também no código de práticas do ITIL o anexo “Security Management with ITIL in relation to the code of practice for information security management (BS7799)”. Nessa parte do documento há uma importante comparação dos aspectos da BS7799 correlacionados aos do ITIL, bem como aqueles que não são cobertos pelo modelo britânico segundo o seu próprio código de práticas, são os elementos que não fazem parte do escopo da metodologia, mas que devem ser levados em conta no gerenciamento de segurança da organização. Adicionalmente são elencados os assuntos estudados na BS7799, mas que são considerados pelo modelo ITIL como distintos da disciplina de segurança, como no caso de Contingency Planning e Availability Management, que têm seus próprios códigos e práticas independentes de Information Security.

É a opinião de profissionais do mercado que a adoção do ITIL no Brasil poderá seguir o mesmo caminho de sucesso que percorreu na Europa. Como no caso de outras tendências de mercado, gestores de segurança da informação devem ficar atentos aos movimentos de suas empresas em relação à adoção de metodologias de gerenciamento, incluindo de TI, ao qual a maioria das estruturas de segurança está diretamente ligada. Nesse caso específico, é significativa a mudança que o modelo ITIL propõe. Cabe aos security officers, quando for aplicável, procurar entender em quais aspectos seus processos poderão sofrer alterações, tentando tirar o melhor proveito do novo modelo para sua equipe.

Referência:Cazemier, Jacques A., Overbeek, Paul L. e Peters, Louk M.C. Best Practice for Security Management. Londres: The Stationery Office, 1999.

Álvaro Teófilo é Gerente Geral de Segurança da Informação do Banco Santander Banespa.

Notícias relacionadas

Notícias
Meta amplia controle para adolescentes
Notícias
Alphabet quer levantar US$ 80 bi para financiar infraestrutura de IA
Notícias
Sberbank oferece IA soberana a países do Sul Global
Notícias
Palo Alto registra alta na procura por segurança em IA
Ver todas as noticias

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.