ITIL e a segurança da informação – Parte II

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Share on telegram
Share on pocket

A visão estendida da segurança da informação. É importante a garantia da entrega dos serviços. Seja ainda um incidente, seja já considerado um problema. Passando por mudanças planejadas ou emergenciais. A questão é manter a disponibilidade, mantendo ainda o nível de serviço acordado perante as analises de criticidade que o negócio exige. Por isso, a existência de patamares diferentes de prioridade devem ser considerados, avaliando sua urgência e, sobretudo, impacto ao negócio, para que se possa focar os esforços devidos com a energia necessária para determinada situação. Fazendo assim que não aja descrédito na tratativa de um incidente ou problema quando de fato sua criticidade exige atitude emergencial. Neste sentido uma boa gestão de eventos faz diferença, ao qual identificará os alertas/alarmes a serem tratados em função da situação de impacto que esteja gerando, sem com que falsos positivos possam prejudicar a interpretação da tratativa que deve ser dada realmente.

Neste contexto de visão mais ampla perante os riscos inerentes ao negócio, deve-se imergir para fora da caixa. Claro que grande parte das ameaças advém dos fatores internos da empresa. Mas é fundamental considerar os fatores externos no que condizem as ameaças, fraquezas e demais vulnerabilidades, como questões adversas tais como tempestade, incêndio, inundação e ataques terroristas. Assim, os chamados Planos de Continuidade de Negócio, Planos de Recuperação e Desastre, devem ser previstos pensando no futuro do negócio.

Por isso que saber pensar nas definições e mapeamentos de processos é crucial. Isso facilitará a visão do que se tem, do que se quer, para onde direcionar as atividades e demais dependências. Enxergando as inter-relações dos diversos setores-segmentos e compreendendo melhor o que cada recurso humano desempenha, manipula, entrega e compartilha como ativo da informação na busca pelo objetivo a ser cumprido.

Desta forma, gasta-se “munição” adequada, suficiente e necessária para desenvolver e assim investir num Plano de Continuidade do Negócio e demais planos de recuperação e desastre, coerentes ao orçamento e projeções financeiras.

Mas além da disponibilidade mencionada no inicio do texto, a integridade e confidencialidade são outros dois aspectos primordiais de sustentação para esta boa entrega dos serviços prestados, que se almeja com qualidade, garantia, utilidade e claro, valor agregado ao negócio.

Estes três grandes aspectos é que formam a sustentação de uma boa gestão de segurança das informações (podendo envolver outros aspectos como não repúdio, autenticidade, legalidade), demonstrando suas devidas importâncias no que falamos logo acima sobre processos. Processos que envolvem pessoas, que devem ser muito bem identificadas em seu ciclo de vida (quem entra, quem sai, o que muda/atualiza), sabendo “Quem”, “Como”, “Quando” e “O Que” acessa. Por isso que nomear os “donos de cada processo” é essencial. Quando se tem o “pai da criança” cria-se um sentido de responsabilização em que se é encarado de forma diferente por quem de fato responde pelos fatos e atos. Isso se chama controle. E o que notamos hoje, em muitas organizações são as carências incessantes de diversos tipos de controles.

Neste sentido quando então se tem pessoas bem direcionadas, com processos controlados, a tecnologia faz o que bem tem que ser feito: ser o meio para toda esta arquitetura de gestão segura do negocio, proporcionando, por exemplo, redundância, assinaturas digitais, encapsulamento dos dados e demais perímetros de segurança das informações.

si

A importância dos padrões

O mercado já constatou e claramente já demonstrou, que uma sustentabilidade do negócio bem alicerçada, depende muito de padrões. Prova disso, são os chamados Frameworks. A consolidação de melhores práticas se consagra justamente por passarem por comprovações, de experiências, testes, erros e acertos, métricas e medições comprovadas por valores de ganhos quantitativo e qualitativo.

Neste contexto, a ITIL deixa evidente ser uma biblioteca de infraestrutura da Tecnologia da Informação, em que nas suas novas versões, explica que não basta ser somente eficaz, mas também eficiente, pois emprega a Gestão da Entrega de Serviços, que envolve assim a disponibilidade preocupando-se com: tempo e custo. E não somente o mero ato de entregar.

Vem então o que já mencionei anteriormente na parte I, que é a preocupação pela Gestão da qualidade (Ex: ISO/IEC 2000). Qualidade esta que exige aquilo que o mercado já vem sinalizando, que é prever riscos + estar em conformidade + seguir a “ordem das coisas” (processos), que consequentemente irá trazer a sinergia da boa governança de TI. Soma-se então tudo isso, para se ter uma coerência agora com a Gestão da segurança, ao framework da família ISO/IEC 27000:

  • 27001:2005 – Requisitos para Sistemas de Gestão de Segurança da Informação
  • 27002:2005 – Código de Prática de Gestão de Segurança da Informação
  • 27005:2008 – Gestão de Riscos de Segurança da Informação
  • 27006:2007 – Requisitos para orgãos que prestem serviços de auditoria e Certificação de Sistemas de Gestão de Segurança da Informação
  • Adendo à ISO / IEC 27799:2008 Informática em Saúde – Informações da Gestão de Segurança em Saúde.
  • Guia de Implementação para 27003 e 27001 2
  • 27004 – Medição e métricas para ISM (Information Security Management)
  • Orientação a 27.007 para Informações de auditores de segurança a Sistemas de Gestão mediante a especificação ISO /IEC 27001
  • 27008 ( Relatório técnico ) Orientação para Auditores em controles do SGSI
  • 27.010 – questões ISM em comunicações interorganizacional e internacional
  • 27011 –  ISMS guia de implementação para osetor de telecomunicações
  • 27031 – Guia TIC para Continuidade de Negócios ( papel da TI e telecomunicações)
  • Segurança Cibernética 27032 – Previsto para ser a orientação para ISPs e outros usuários da Internet
  • 27033- Segurança da rede  – Sete unidades atualmente planejados (atualizações 18028 parte 1)
  • 27034  – Segurança da informação para aplicações de TI.

si2

Fecharemos a “Trilogia” na última parte que será em breve publicada. Até lá. [Webinsider]

…………………………

Leia também:

…………………………

Conheça os cursos patrocinadores do Webinsider

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Share on telegram
Share on pocket

Mais lidas

2 respostas

  1. Prezado(a),

    Segue abaixo próximas turmas de Gestão de Risco e Segurança da Informação.

    Todos os treinamentos incluem certificação internacional PECB

    ISO 31000 Risk Manager: 28 – 30 de Julho

    ISO 27001 Lead Auditor: 01 – 05 de Agosto

    ISO 27001 Lead Implementer: 08 – 12 de Agosto

    ISO 27005 Risk Manager: 10 – 12 de Agosto

    Os mesmos ocorrem em São Paulo, na rua do Bosque, 1621 – sala 409 – Barra Funda.

    http://www.behaviourbrasil.com.br/

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *