Security management (gerenciamento de segurança) é apenas um dos métodos que existem no ITIL. Porém, antes de explicar um pouco sobre este tema é preciso dar uma rápida explanação sobre o ITIL.
ITIL (Information Technology Infrastructure Library) é um conjunto de diretrizes e boas práticas recomendadas que definem uma abordagem integrada, baseada no processo de gerenciamento de Serviços de TI. ITIL pode ser aplicada em quase todo tipo de ambiente de TI e tem aumentada constantemente em todo o mundo a quantidade de organizações públicas e privadas que adotaram.
Para saber mais sobre ITIL, assista este vídeo.
ITIL assegura que a segurança de TI está implantada em prática estratégica, tática e operacional. A segurança da informação precisa ser planejada, controlada, avaliada e revisada regularmente.
A segurança com ITIL visa como políticas indicam os objetivos gerais que a organização pretende atingir, com o processo o que precisa ser feito para os objetivos serem atingidos, com procedimentos o que descreve quem faz o que e quando para que os objetivos sejam atingidos e com as instruções de trabalho do passo-a-passo para executar ações específicas.
Existem alguns modelos de como o ITIL pode melhorar a segurança da informação, de vários modos distintos as recomendações de ITIL podem ajudar a melhorar a implantação e gerenciamento da segurança da informação:
- Foco em gerenciamento e atendimento dos requisitos de segurança para o serviço de TI, ditados pelos clientes. Isso é conseguido através do alinhamento entre as necessidades dos negócios (necessidades dos clientes) e com o que a área de TI oferece de serviços.
- Modelo estruturado de implantação, gerenciamento e análise de melhoria em relação aos serviços de segurança da informação, baseado em melhores práticas aceitas pelo mercado.
- A necessidade de revisão contínua para melhoria ajuda a revisar os requerimentos e a efetividade das implantações de segurança da informação.
- Com documentos formais, como SLAs e OLAs, ITIL ajuda a medição e demonstração de efetividade da segurança da informação, com relatórios baseados em metas e indicadores. Isso também ajuda às organizações a cumprirem com requerimentos regulatórios, como Basiléia II, SOX, etc…
- Processos auxiliares como Gerenciamento de Mudanças, Gerenciamento de Incidentes e outros, podem ajudar a organizar melhor as intervenções e manter a segurança da informação efetiva e eficaz. Por exemplo, vários eventos de segurança são causados por configurações inadequadas dos servidores e equipamentos de TI. Com um processo bem ajustado de Gerenciamento de Mudanças, isso pode ser evitado, aumentando a eficiência e atuação da Segurança da Informação.
- ITIL ajuda a padronizar as comunicações, principalmente com usuários e clientes (que estão fora da área de TI e de seus termos específicos), tornando a comunicação mais clara, direta e efetiva. Toda a comunicação é baseada em requerimentos de segurança e nos itens que o serviço de TI deve respeitar (itens dos SLAs).
- O planejamento de uma política de segurança, bem como a implantação baseada em indicadores e metas ajuda a evitar implantações divergentes em serviços distintos. Em última análise, isso aumenta a eficiência, diminui as contradições, economiza tempo e dinheiro.
- O planejamento dos relatórios gerenciais e executivos ajuda a comunicar uniformemente e no nível necessário das metas e resultados alcançados.
- ITIL define papéis e responsabilidades para a Segurança da Informação. Durante as várias atividades, como por exemplo, a resposta a um incidente de segurança, fica claro quem deve fazer o quê.
Segurança da Informação é um tema cada vez mais importante e têm crescido em escopo e complexidade. É uma área que trata constantemente com tratamento de riscos, ou seja, como evita-los. Normalmente é custosa em dinheiro, recursos humanos e tempo e, não raramente, é criticada por falhas e eventos de segurança que são registrados.
Embora um ciclo completo de implantação de ITIL possa demandar tempo e investimento, pode com certeza ajudar a definir, estabelecer, organizar, medir e comunicar claramente as políticas e os processos envolvidos com a Segurança da Informação. Dessa forma pode-se conseguir maior eficiência e menor custo total envolvido nessa área.
Co-autores: Gessé Rocha, Gustavo Candido