O que já percebemos é que o alinhamento e toda esta sinergia entre a Gestão de Segurança da Informação para com a Gestão da Entrega de Serviços é importante para o negócio. Todo este processo que assegura a confidencialidade, integridade e disponibilidade de ativos de uma organização, com informações, dados e serviços de TI, agrega valor. A Gestão de Segurança da Informação normalmente forma este compartilhamento da abordagem organizacional coerente ao escopo do que o provedor de serviços de TI tem como meta ao negócio, incluindo questões como a manipulação de papeis e funções, a construção de acessos e perfis para toda a organização, dentre outro elementos.
Por isso, como vimos na parte II, a série 27000 da família ISO/IEC, retrata muito bem os diversos silos de sustentação da segurança, em que trabalham não somente questões técnicas, mas, sobretudo, vertentes a níveis de processos, organização, regras, requisitos, medições e métricas. Enfim, toda uma fase de estratégia e projeto para o planejamento posse de 27k de desenvolvimento de normas reside com a norma ISO / IEC
A ISO / IEC JTC 1/SC 27 – “Técnicas de segurança de TI” – é uma padronização do subcomitê Técnico do conjunto ISO / IEC JTC 1 pertencente à International Organization for Standardization (ISO) junto a Comissão Eletrotécnica Internacional (IEC), que desenvolve e facilita os padrões internacionais, relatórios técnicos, e as especificações técnicas no campo das especificações de segurança de TI. As atividades de normalização por esta subcomissão inclui métodos gerais, técnicas e diretrizes para lidar com ambos os aspectos de segurança e privacidade. Os projetos de normas internacionais pela ISO / IEC JTC 1 ou qualquer de suas subcomissões são enviados para participar nos organismos nacionais de normalização de voto, comentários e contribuições gerais. A publicação como um padrão internacional ISO / IEC exige a aprovação de um mínimo de 75% dos organismos nacionais com direito a voto. A secretaria internacional da ISO / IEC JTC 1/SC 27 é o Deutsches Institut für Normung (DIN), localizado na Alemanha. Maiores detalhes podem ser encontrados em http://www.iso.org como um todo.
Todas estas séries citadas na parte II servirão para os devidos direcionamentos de apoio para esta gestão da entrega de serviços e produtos que se espera para o negócio, dando maior credibilidade, assertividade e claro, segurança.
A Gestão de Segurança da Informação é um processo e uma função em ITIL. A conscientização e todas as considerações relativas aos problemas de segurança estarão envolvendo a disciplina de Riscos e demais obrigações para que cada passo deste Gerenciamento de Serviços de TI seja bem sucedido nesta simbiose com ITIL. A GST, como já falamos, estará embasando-se nas normas ISO / IEC e avaliando sempre o grande volume dos diversos tipos de informações para o negócio, ao qual, cada um tem suas particularidades. Fornecendo assim, uma consideração mais profunda de todos os elementos, incluindo políticas, processos, medidas melhorias, necessárias para a criação de um SGSI (Sistema de Gestão de Segurança da Informação) mais eficaz, esperando-se uma implementação bem sucedida. Muitas questões da GST não são exploradas em profundidade nos objetivos ITIL.
Se formos fazer um brevíssimo mapeamento, bem resumido como um todo, numa visão bem abrangente e não detalhada, pois merecerá estudos mais cadenciados, focados de imersão, daquilo que a ITIL em termos de suporte e entrega de serviço estaria relacionado com a segurança, teríamos basicamente:
Chegamos ao fim desta “simbiose” entre ITIL e Segurança da Informação. Espero que tenha gostado e tirado proveito de algumas informações para reflexão, planejamento e claro aplicabilidade. [Webinsider]
…………………………
Leia também:
- ITIL e a segurança da informação – Parte I
- ITIL e a segurança da informação – Parte II
- A inovação na área de segurança da informação
…………………………
Conheça os cursos patrocinadores do Webinsider
- TreinaWeb – Cursos de Tecnologia da Informação – treinaweb.com.br/cursos-online
Mário Peixoto
Mário Peixoto (leitoronline@gmail.com) é consultor de segurança da informação e professor universitário.