Está en la página 1de 22

ITIL na Gesto da Segurana da Informao

ITIL on Security Information Management

ITIL na Gesto da Segurana da Informao


ITIL on Security Information Management
Rogrio Mendes (UNIPAC Universidade Presidente Antnio Carlos, Minas Gerais, Brasil) rogerio@websec.com.br
Mrcio Aurlio Ribeiro Moreira (UNIMINAS Unio Educacional Minas Gerais, Minas
Gerais, Brasil) marcio.moreira@uniminas.br

Abstract: The security information, since its principle aimed at to all assures the control
and the access of the systems/users and the any type of information that had to be protected. Many technologies had been developed to the long one of the time to guarantee that
this happened of the best form, but the control has currently only not demonstrated to be
enough efficient, when it is about an extensive organizational environment. This paper approaches the methodologies that can be applied to guarantee the management of security
information, based in best practices, giving emphasis in to ITIL methodology, and show to
an implementation of this methodology in the corporative environment and the gotten results and the benefits reached with the methodology.
Keywords: security information, methodology, IT, management, ITIL.
Resumo: A segurana da informao, desde seu princpio visou assegurar o controle e o
acesso dos sistemas/usurios a todo e qualquer tipo de informao que devesse ser protegida. Diversas tecnologias foram desenvolvidas ao longo do tempo para garantir que isso acontecesse da melhor forma, mas atualmente somente o controle no tem demonstrado ser
suficientemente eficiente, quando se trata de um ambiente organizacional extenso. Este artigo aborda as metodologias que podem ser aplicadas para garantir a gesto da segurana
da informao, baseadas nas melhores prticas, dando nfase metodologia ITIL, e mostra
uma implementao dessa metodologia no ambiente corporativo e os resultados obtidos e
os benefcios alcanados com a metodologia.
Palavras-chave: segurana da informao, metodologia, gesto, TI, ITIL.

Rogrio Mendes & Mrcio Moreira

Pgina 1 de 22

ITIL na Gesto da Segurana da Informao


ITIL on Security Information Management

I Introduo

Muito se tem comentado e falado a respeito de segurana da informao, sendo esta


atualmente, uma das reas com maior foco em toda a cadeia de valor da Tecnologia da Informao.
fato que a segurana da informao evoluiu para proporcionar um ambiente mais
seguro e transparente tanto para os usurios, quanto para os administradores de redes de
computadores, mas estes mesmos administradores tm, em sua grande maioria, uma viso
especfica e tcnica com relao a esse tema.
Cada vez mais torna-se necessrio uma viso de gesto da segurana da informao, para, dentre outros pontos, planejar, prever e atuar nos impactos causados pelo comprometimento da segurana de uma informao.
Atravs de metodologias das quais pode-se destacar o ITIL (Information Technology Infrastructure Library), so especificados os relacionamentos que a rea da segurana
da informao tem com as demais reas da empresa, como por exemplo, os impactos financeiros causados por uma quebra de sigilo.
Alm das metodologias que podem ser empregadas, tambm faz-se necessria a adequao s normais e leis vigentes em cada pas, mas acima de tudo as empresas vm
demonstrando um padro de facto, quando se trata de normas internacionais, sendo a Lei
Sarbanes-Oxley a mais utilizada atualmente pelas empresas e rgos governamentais.
O objetivo deste artigo mostrar a segurana da informao, alm dos aspectos
tcnicos, relacionados principalmente ao controle do acesso informao, mas sim, ter
uma abordagem sob a perspectiva de gesto e das melhores prticas, com nfase na Metodologia ITIL, apresentando os conceitos e resultados obtidos com a implementao destas
premissas de gesto da segurana da informao.
Na seo 2 so mostrados os principais conceitos e caractersticas envolvendo a segurana da informao. A seo 3 apresenta a metodologia ITIL, com nfase nos aspectos
relacionados segurana da informao. Na seo 4 so mostrados os resultados efetivos
da implementao da metotologia ITIL no ambiente corporativo e na seo 5 so feitas as
consideraes finais.

Rogrio Mendes & Mrcio Moreira

Pgina 2 de 22

ITIL na Gesto da Segurana da Informao


ITIL on Security Information Management

II Conceitos e caractersticas da segurana da informao

A informao, principalmente em sua forma eletrnica, deve estar cada vez mais
acessvel e disponvel a todo lugar e a qualquer momento. Quando se trata de Internet, os
conceitos de tempo/localidade praticamente caem por terra, uma vez que a mesma informao pode ser acessada simultaneamente tanto por uma pessoa situada no prdio do servidor dessa informao, como por outra pessoa do outro lado do mundo, onde fatores como
distncia, e at mesmo o fuso-horrio (horrio em que a informao foi acessada) devem
ser levados em considerao.
Diversas formas de ataque para obteno de acesso informao privilegiada podem ser estruturadas, como por exemplo, a invaso por software que uma forma de acesso no autorizado a um equipamento, com aquisio da elevao de privilgios e execuo
de aes alm daquelas previamente autorizadas, podendo tomar a forma de um vrus ou
um trojan1.
Independente de quaisquer aspectos, algumas premissas devem ser respeitadas, e
quando se trata de segurana da informao, de uma maneira geral, alguns aspectos devem
ser abordados, como por exemplo (STALINGS, 2006):

Confidencialidade: Este aspecto refere-se especificamente autenticao e


ao acesso da informao, ou seja, quais usurios e/ou dispositivos devem ter
acesso total ou restrito a determinado tipo de informao, devendo ser autnticos com relao esse acesso.

Integridade: Aspecto referente alterao da informao, pois mesmo


quando obtido o acesso informao a autenticidade ainda deve ser preservada, portanto deve-se ter claramente o controle de leitura, alterao e
excluso da informao.

Disponibilidade: Alm de disponvel somente para sistemas/usurios devidamente autorizados, a informao, principalmente quando se trata de informao crtica, deve ser passvel totalmente em ser recuperada, e vrios
procedimentos devem ser implementados para se conseguir a recuperao

Trojan ou cavalo de tria so programas de computador que podem capturar os nomes e senhas dos usurios do sistema.

Rogrio Mendes & Mrcio Moreira

Pgina 3 de 22

ITIL na Gesto da Segurana da Informao


ITIL on Security Information Management

da informao, quer seja atravs de rotinas de backup, quer seja atravs de


redundncia da informao, como por exemplo a tecnologia raid2.

Para garantir o acesso e controle dos dados trafegados em uma rede de computadores, diversas ferramentas e tecnologias podem e devem ser empregadas, das quais so mais
amplamentes usadas:

1. Firewalls: conceito de segurana que tm como princpio fundamental o


controle no acesso informao, podendo ser implementado totalmente baseado em hardware especfico, ou em software, com a utilizao de sistemas operacionais de apoio. O princpio bsico de funcionamento e configurao de um firewall refere-se liberao/bloqueio de portas de comunicao das aplicaes, onde regras especficas podem ser implementadas, de
acordo com o perfil e necessidade do usurio/sistema. Um esquema bsico
de funcionamento de um firewall pode ser observado na Figura 1 (MENDES, 2005).

Figura 1: Esquema bsico de funcionamento de firewall.

De acordo com a Figura 1, pode ser observado que a informao est disponvel somente para o Usurio Legtimo, que possui as devidas permisses de acesso no firewall. Quan-

Raid uma tecnologia que refere-se a procedimentos que abrangem a replicao e/ou distribuio da informao em diversos meios de armazenamento.

Rogrio Mendes & Mrcio Moreira

Pgina 4 de 22

ITIL na Gesto da Segurana da Informao


ITIL on Security Information Management

do um Usurio Ilegtimo tentar acessar a informao, ela ser negada devido s restries
do firewall.

2. IDSs: Intrusion Detection System ou Sistema de Deteco de Intrusos um


sistema que monitora o trfego e detecta se a rede est tendo acessos no autorizados. Esta tecnologia visa detectar quando uma rede de computadores
tem sua segurana comprometida, e, assim como os firewalls pode ser totalmente baseada em hardware ou software.

3. IPSs: Intrusion Prevention System, ou Sistema de Preveno de Intrusos,


alm de detectar o acesso irregular, tambm capaz de trat-lo, sendo na
maioria dos casos, mais eficiente do que os prprios IDSs.

Atualmente, as solues para segurana de dados em redes de computadores renem-se em um nico pacote que integra programas antivrus e firewalls. O chamado UTM
Unified Threat Management, ou Gerenciamento Unificado de Ameaas surgiu para atender a demanda por solues integradas e menos complexas, alm de beneficiar o mercado com produtos mais baratos e mais eficientes.
Analistas e fornecedores declaram que o UTM deve evoluir para pacotes 3 em 1,
que integram antivrus, firewall e solues IDS/IPS. Para o mercado de segurana da informao, o UTM deve ser considerado um divisor de guas, j que as empresas que no
seguirem o novo modelo provavelmente sero engolidas pelas empresas que integrarem
seus produtos. O usurio, por outro lado, lucra com mais tecnologia, praticidade e baixo
custo, podendo aumentar a quantidade e qualidade de suas ferramentas de segurana.
Embora eficientes, na maioria dos casos, somente solues tcnicas no do uma
viso estratgica e ttica da segurana da informao, ento faz-se necessrio a adoo de
metodologias que visam suprir essa necessidade tcnica.

III Metodologia ITIL

ITIL (Information Technology Infaestructre Library) so as diretrizes das melhores


prticas desenvolvida pela CCTA (Central Computer and Telecomunications Agency), atu-

Rogrio Mendes & Mrcio Moreira

Pgina 5 de 22

ITIL na Gesto da Segurana da Informao


ITIL on Security Information Management

al OGC (Office Government Commerce) da Inglaterra, para o governo britnico no final


dos anos 80 (ITSMF, 2006).
Atualmente, a metodologia ITIL um padro de facto na rea de gerenciamento de
servio. Ela contm documentao especializada, pblica e acessvel, para o planejamento,
proviso e suporte dos servios de TI, alm de fornecer as bases para a melhoria do uso, da
eficincia e da eficcia da infraestrutura de TI, onde as organizaes com interesse em servios de TI, empregados de centros de computao, fornecedores, especialistas e consultores fazem parte do desenvolvimento desta metodologia.
A metodologia ITIL descreve uma abordagem sistemtica e integrada para gerenciar os servios de TI. A biblioteca enfatiza a importncia de satisfazer os requisitos da empresa de modo econmico e orienta a rea de TI para a prestao de servio, focada no cliente, embora no descarte que em muitas empresas seja necessria uma mudana cultural
para atingir esse benefcio.
Adicionalmente, com a ajuda dessa metodologia, ser criado um conjunto de terminologia no setor de servio que padronizar a comunicao entre as partes envolvidas. A
adeso s melhores prticas preconizada pela metodologia ITIL, trazem os seguintes benefcios diretos para a organizao:

Suporte aos processos de negcios s atividades desenvolvidas pelos responsveis pelas decises relacionadas a TI.

Definio de funes, regras e responsabilidades no setor de servios.

Reduo de despesas dos processos de desenvolvimento, procedimentos e


instrues de trabalho.

Os servios de TI passam a atender os requisitos de um negcio especfico.

E como benefcios indiretos, podem ser citados:

Melhoria da satisfao do cliente atravs de maior qualidade, mensurvel,


na disponibilidade e na performace dos servios de TI contratados.

Melhoria da produtividade e eficincia atravs do uso planejado do conhecimento e experincia armazenados.

Estabelecer as bases para uma abordagem sistemtica do gerenciamento da


qualidade no gerenciamento dos servios de TI.

Rogrio Mendes & Mrcio Moreira

Pgina 6 de 22

ITIL na Gesto da Segurana da Informao


ITIL on Security Information Management

Melhoria na satisfao da equipe de TI e consequente aumento da reteno


dos empregados da empresa.

Melhoria na comunicao e troca de informaes entre o pessoal de TI e dos


clientes.

Treinamento e certificao dos profissionais de TI.

Troca de experincia profissional.

O ITSMF (IT Service Management Forum) uma organizao internacional, fundada em 1991, independente, dedicada ao gerenciamento do servio de TI, que no possui
fins lucrativos e totalmente operada pelos seus membros.
Tem como objetivos principais o de desenvolver e promover as melhores prticas
para o gerenciamento de servio, ser um veculo para auxiliar os membros a melhorar a
qualidade do servio e estabelecer um frum relevante para a troca de informaes e experincias.
Um diagrama esquemtico referente aplicao da metodologia ITIL pode ser observado na Figura 2:

Figura 2: Diagrama de Implantao da Metodologia ITIL.

Toda a metodologia ITIL baseada nos processos e em suas melhorias, sendo processo definido como um conjunto de atividades interrelacionadas e com um objetivo especfico. Possui entradas de dados, informaes e produtos para, atravs da identificao dos
recursos necessrios ao processo, transformar estas entradas nos objetivos especficos.

Rogrio Mendes & Mrcio Moreira

Pgina 7 de 22

ITIL na Gesto da Segurana da Informao


ITIL on Security Information Management

Processos so compostos de entradas, atividades e sadas, onde cada atividade pode


conter funes executadas por pessoas ou automatizadas, e regras que definem como devem ser executadas as tarefas, conforme pode ser observado na Figura 3:

Figura 3: Definio de Processo.

A metodologia ITIL baseada nas seguintes disciplinas e conceitos, que podem ser observados na Figura 4:

Figura 4: ITIL Service Management

Configuration Management: Gera informaes para o Financial Management for


IT para poder fazer a contabilizao de gastos sobre os ativos de TI. Para o IT Service Continuity Management considerar os componentes no plano de continuidade
de TI e para o Availability Management levantar riscos relacionados disponibilidade.

Rogrio Mendes & Mrcio Moreira

Pgina 8 de 22

ITIL na Gesto da Segurana da Informao


ITIL on Security Information Management

Change Management: Tem relacionamento muito prximo com o processo de


Configuration Management para levantar onde a mudana ir impactar. No Release
Management para liberar as correes desenvolvidas.

Release Management: Tem dependncia do processo de Change Management e utiliza o Configuration Management para registrar os releases.

Incident Management: Deve funcionar em conjunto com os processos de Problem


Management e Change Management, mas o Configuration Management importante para realizar anlise de impacto, identificar solues de contorno.

Problem Management: Necessita ter implementado j o processo de Incident Management.

Service Level Management: importante j ter os processos de suporte implementados para suportar as SLAs.

Cada vez mais, a segurana torna-se um dos temas mais relevantes para gestores de
TI. Um verdadeiro arsenal de regulamentaes, metodologias e certicaes, associado a um
grande aparato de ferramentas de hardware, software e sistemas de preveno est em
permanente ebulio.
O Gerenciamento de Segurana um processo que faz parte do framework do ITIL
e que tem por finalidade controlar um nvel definido de segurana para a informao e para
os servios e infra-estrutura de TI e capacitar os profissionais a compreenderem a importncia do processo da segurana da informao na avaliao de riscos estruturais na TI,
proporcionando aos participantes uma viso geral do Gerenciamento de Segurana do ITIL.
Gerenciamento da Segurana uma das principais atividades em uma organizao
para manter as suas informaes confidenciais e acessveis apenas para quem deve ter real
acesso, mesmo porque para os negcios atuais a informao na sua maioria o centro de
sua existncia. Focado na implementao dos requisitos de segurana identificados no acordo de nvel do servio de TI (SLA Service Level Agreements), a Gesto da Segurana
tem dois objetivos principais:

Satisfazer os requisitos de segurana dos SLA's, bem como outros requisitos, que dizem respeito a contratos, legislao e outras polticas impostas
por fatores externos.

Rogrio Mendes & Mrcio Moreira

Pgina 9 de 22

ITIL na Gesto da Segurana da Informao


ITIL on Security Information Management

Fornecer um nvel bsico de segurana, independente de outros requisitos


externos.

A metodologia ITIL atua essencialmente na gesto de servios de TI, cujos objetivos so:

Alinhar os servios de TI com as necessidades atuais e futuras das organizaes e dos seus clientes e fornecedores.

Melhorar a qualidade dos servios de TI fornecidos.

Reduzir, em longo prazo, o custo inerente Disponibilizao de Servios de


TI.

A Gesto da Segurana uma atividade importante que tem como objetivo, por um
lado controlar a disponibilizao de informao e por outro evitar a utilizao no autorizada dessa informao. Mais uma vez aqui a Internet (bem como as suas tecnologias associadas como sejam as Intranets e as Extranets), e o negcio eletrnico com os novos modelos de relacionamentos de empresas em rede (ligando clientes e fornecedores), tm um papel decisivo na medida em que as organizaoes de certa maneira se abriram para o exterior, aumentando drasticamente os riscos de intruso colocando novos desafios para os
seus responsveis.
Por outro lado, tambm deve-se ter ateno que a infra-estrutura dos sistemas e tecnologias de informao e comunicao muito mais complexa, o que implica que as organizaes esto mais vulnerveis a problemas tcnicos, erros humanos e aes intencionais
que se traduzem na prtica, por exemplo, por ataques de hackers e de vrus de computador.
Esta crescente complexidade vai requerer uma abordagem integrada que , na metodologia
ITIL, dada pelo processo da Gesto da Segurana.
Os SLA's so um dos componentes mais importantes do processo de Gesto da Segurana na metodologia ITIL (embora a sua aplicao no se limite apenas nessa metodologia). Um SLA um acordo formal, contrato escrito, onde constam os nveis de servio
(por exemplo, garantir que um site da Internet est disponvel 24 horas por dia, 365 dias
por ano ou que a reparao de um sistema que deixou de funcionar demorar menos de x
horas), incluindo a segurana da informao, que o prestador de servios de TI se compromete a cumprir.

Rogrio Mendes & Mrcio Moreira

Pgina 10 de 22

ITIL na Gesto da Segurana da Informao


ITIL on Security Information Management

Alm dos SLA's deve-se ainda considerar os OLAs Operational Level Agreements (nveis de servio operacionais) que fornecem uma descrio detalhada de como os
servios de segurana da informao devem ser prestados.
A metodologia ITIL define ainda outros documentos sobre a segurana da informao (ITEC , 2008):

Polticas de segurana da informao: recomenda que as polticas de segurana devam partir dos responsveis da organizao e devem conter:
1. Objetivos de segurana de informao para a organizao.
2. Metas e princpios de gesto sobre a forma como a segurana da informao deve ser gerida.
3. Definio das funes, e responsabilidades, para a segurana da informao.

Planos de segurana da informao: descrevem como que as polticas


devem ser implementadas para um determinado sistema de informao e/ou
unidade de negcio.

Manuais de segurana da informao: documentos operacionais para utilizao diria com instrues operacionais detalhadas sobre a segurana de
informao.

Entre suas vrias disciplinas, a metodologia ITIL define um modelo de gerenciamento de segurana da informao. No entanto, diferentemente das normas tradicionais
voltadas para a gesto desse quesito, como a ISO 17799 e BS7799, o cdigo de boas prticas dessa metodologia d uma viso de segurana sob a perspectiva da gerncia de TI, sendo essa disciplina integrada nas outras do modelo.
Um dos fatores de maior atrao para um gestor de segurana, ao estudar a metodologia ITIL, a percepo de que as outras disciplinas do conjunto devem adotar tcnicas de
segurana dentro de seus processos, o que leva cada lder, seja o de Change Management
ou de Configuration and Asset Management, a ser diretamente responsvel por segurana
dentro de sua prpria rea.
Apesar disso, sob o ponto de vista da metodologia ITIL, os controles pertinentes
so centralizados nos processos de gerenciamento de segurana da informao. Essa perspectiva muda a forma como o tema deve ser visto dentro de uma corporao. Com essa
metodologia, cada unidade tem a responsabilidade de desenvolver seus processos pensando

Rogrio Mendes & Mrcio Moreira

Pgina 11 de 22

ITIL na Gesto da Segurana da Informao


ITIL on Security Information Management

em segurana. No se altera, no entanto, a responsabilidade do gestor de segurana desenhar as polticas da empresa a partir de um modelo reconhecido. A prpria BS7799 apontada como o modelo ideal (e segundo sua perspectiva, o padro definitivo de normas voltadas para o assunto) que deve ser considerado por cada empresa no momento de escrever
suas polticas.
Por se tratar de uma metodologia voltada a servios de TI, baseadas nas melhores
prticas do mercado, a metodologia ITIL vem sendo amplamente pelas empresas com esse
foco e negcio.

IV - Implementao da Metotologia ITIL no ambiente corporativo

Como exemplo de aplicao e resultados prticos, ser apresentada a implementao, o acompanhamento e a evoluo da implantao da Metodologia ITIL no ambiente
corporativo.
A empresa que serviu como base de pesquisa para este trabalho a CTBC Telecom,
como sede na cidade de Uberlndia, no estado de Minas Gerais. A CTBC Telecom uma
operadora de telecomunicaes, e possui, dentre seu portflio de produtos e servios, o
servio de Data Center, que ser o estudo especfico deste trabalho.
O histrico desta implantao, vem desde o incio do ano 2000, quando a empresa
efetivamente consolidou e abriu o negcio de Data Center, tendo como primeiros clientes,
a hospedagem de servidores de um shopping center, de um rgo de imprensa local e de
um cliente corporativo.
No ano de 2001 foi sendo ampliado o escopo do negcio de Data Center, com equipe de suporte, monitoramento e backup prpria, onde alm dos clientes terem um servio de melhor qualidade e valor agregado, tambm passaram e ter uma maior segurana
com relao aos quesitos de disponibilidade dos sistemas e servidores hospedados no Data
Center.
Ao longo dos anos, houve uma ampliao da infraestrutura do Data Center, com a
migrao da prpria estrutura da CTBC Telecom para este Data Center, o que pode comprovar e consolidar a eficincia e segurana dos servios prestados e embora o escopo do
ambiente fosse aumentado com o decorrer do tempo, alguns pontos no tiveram a devida
ateno.

Rogrio Mendes & Mrcio Moreira

Pgina 12 de 22

ITIL na Gesto da Segurana da Informao


ITIL on Security Information Management

Fez-se ento necessrio uma anlise SWOT3, que um sistema analtico que representa Foras-Fraquezas-Oportunidades-Ameaas, e serve para identificar os pontos fracos
de um concorrente, se tornando uma ferramenta til para examinar oportunidades estratgicas. As Foras so definidas como sendo as vantagens competitivas da empresa. Fraquezas so as desvantagens. Oportunidades so as caractersticas dentro de um representativo mercado que podem oferecer a empresa vantagens competitivas. Ameaas so condies neste mesmo mercado que possam ser uma ameaa ou um bloqueio as oportunidades para esta empresa.
A anlise SWOT da CTBC Telecom realizada para os produtos e servios do Data
Center, realizada em julho de 2006, pode ser obervada na Tabela 1:

Tabela 1: Anlise SWOT - CTBC Telecom

Foras

Fraquezas

Tecnologia Moderna.

Ausncia de Processos de Gesto de

Talentos Humanos Especializados.

Tecnologia da Informao.

Respeito da Marca CTBC Telecom.

Dependncia Excessiva de Pessoas.

Oportunidades

Ameaas

Implantar Processos de Gesto de Tec- Penalidades


nologia da Informao.
Otimizar a Utilizao da Tecnologia da
Informao.
Aumentar a Gerao de Receita em Clientes Atuais.

Contratuais

pelo

no

Atingimento dos Nveis de Servio


Contratados.
Perda de Cliente por Alto Volume de
Indisponibilidades.
Presena de Concorrentes Altamente
Competitivos.

Como pode ser observado, mesmo possuindo toda a infraestrutura e recursos tcnicos para a operao de um Data Center, os principais possveis pontos de falha, referiamse aos processos e pessoas envolvidas, alm de uma clara falta de metodologia de trabalho.
Diante deste cenrio, algumas aes poderiam ter sido tomadas:

Foras (Strengths), Fraquezas (Weaknesses), Oportunidades (Opportunities) e Ameaas (Threats).

Rogrio Mendes & Mrcio Moreira

Pgina 13 de 22

ITIL na Gesto da Segurana da Informao


ITIL on Security Information Management

Solues paliativas: continuar tentando resolver os problemas em decorrncia da falta de padronizao e metodologia de trabalho ou simplesmente
aumentar o nmero efetivo de pessoas, que impactaria diretamente no custo
da operao.

Solues efetivas: implementar efetivamente metodologias de trabalho, baseadas nas melhores prticas do mercado, como o ITIL e o Cobit.

As duas metodologias no so concorrentes, mas sim complementares, uma vez que


cada uma delas tem seu papel bem definido, e so a base de apoio para uma efetiva governana operacional, como pode ser observado na Figura 5:

Gesto dos servios.

Disponibilidade dos ambientes.

Otimizao de recursos.
Melhorar relacionamento com cliente.

Os objetivos esperados
foram atingidos.
Entregar o que foi ofertado da melhor maneira
possvel,
considerando
maior qualidade, reduzindo os custos, gerenciando
os riscos e maior alinhamento da TI ao negcio
CTBC Telecom.
Identificar como est em
relao ao mercado e as
melhores prticas.
Melhorar continuamente
os processos.

Maximizar os objetivos
e estratgias de negcio
da organizao.
Adicionar valores aos
servios entregues.
Balancear os riscos.
Obter retorno sobre os
investimentos.

Figura 5: Estrutura de Gesto

Rogrio Mendes & Mrcio Moreira

Pgina 14 de 22

ITIL na Gesto da Segurana da Informao


ITIL on Security Information Management

O COBIT (Control Objectives IT and Related Technology) foi desenvolvido pela


ISACA (Information Systems Audit and Control Association), mantido pela instituio de
Governana de TI, sendo uma prtica internacional para a implementao de: (COBIT,
2008)

Processos de TI.

Direcionamento de TI, Monitoramento de TI e Benchmarking.

Sistemas de Controles Internos.

Governana de TI.

Como principais pontos fortes, o COBIT permite que TI aborde riscos no endereados explicitamente por outros modelos e que seja aprovada em auditoria e funciona bem
com outros modelos de qualidade, principalmente a metodologia ITIL, embora possua as
limitaes de dizer o que fazer, mas no como fazer, no trata diretamente desenvolvimento de software ou servios de TI e no fornece um roadmap de aprimoramento contnuo
dos processos.
Diante dessa situao, optou-se em executar um planejamento estratgico e com foco principal na implementao da metodologia ITIL na empresa, visando especificamente
os servios de Data Center, que o objeto de estudo deste trabalho. O planejamento teve
as seguintes diretrizes:

Definir a misso e a extenso do processo.


Iniciar uma campanha de comprometimento.
Descrever as etapas do processo e procedimentos.
Determinar responsabilidade, atividades e autoridade e para todos os envolvidos
(regras).
Determinar as necessidades de treinamento.
Se necessrio, selecionar e implantar ferramentas.
Definir os tipos de relatrios (gerenciais, informativos e controle).
Fazer melhoramentos contnuos nos processos.
Implementar os processos.

Rogrio Mendes & Mrcio Moreira

Pgina 15 de 22

ITIL na Gesto da Segurana da Informao


ITIL on Security Information Management

Um resumo desse planejamento pode ser observado na Figura 6:

Figura 6: Melhores prticas de implementao.

A partir da pode-se determinar claramente o escopo desse projeto:

Misso: Garantir disponibilidade e continuidade das solues de tecnologia,


atuando pro-ativamente na identificao, gesto e atendimento de oportunidades.

Objetivos:
Perspectiva Financeira:
Reduzir os Custos de Operao.
Cumprir Planejamento de Custos e Investimentos.
Identificar Oportunidades para Aumento na Gerao de Receita.
Perspectiva de Clientes:
Gerenciar o Ciclo de Vida dos Servios de Tecnologia da Informao.
Aprimorar o Relacionamento com os Clientes.
Perspectiva de Processos Internos:
Implantar processos de gesto de TI reconhecidos (ITIL).
Definir e utilizar documentos e ferramentas padronizados.
Gerenciar o Ciclo de Vida dos Processos.
Perspectiva do Aprendizado e Crescimento:
Certificao da equipe nas melhores prticas de TI (ITIL).

Rogrio Mendes & Mrcio Moreira

Pgina 16 de 22

ITIL na Gesto da Segurana da Informao


ITIL on Security Information Management

Domnio da inteligncia do negcio de Data Center.


O RoadMap do projeto pode ser observado na Figura 7:

Figura 7: RoadMap Agosto 2006.

Resultados esperados:
Curto Prazo:
Base nica e centralizada de casos.
Controle e gerenciamento dos incidentes.
Reduo de trabalho operacional e erros.
Domnio da inteligncia envolvida na prestao do servio.
Reduo nas indisponibilidades no ambiente.
Controle das mudanas no ambiente tratando os riscos.
Monitoramento de TI de um ponto nico (sinergia):
Padronizao da ferramenta de monitoramento.
Gerenciamento de todos os ativos de TI.
Gerao de alarmes e notificaes.
Melhoria no relacionamento e a satisfao dos clientes.

Rogrio Mendes & Mrcio Moreira

Pgina 17 de 22

ITIL na Gesto da Segurana da Informao


ITIL on Security Information Management

Disponibilizao de informaes do ambiente aos clientes.


Identificao da causa raiz dos problemas no ambiente.
Mdio Prazo (6 meses):
Alocao adequada dos custos dos contratos.
Controle e gerenciamento de configurao do ambiente.
Identificao e aproveitamento da capacidade ociosa no ambiente.
Garantia da disponibilidade do ambiente atravs da identificao de
oportunidades de melhoria.
Longo Prazo (12 meses):
Profissionalizao do negcio Data Center.
Reconhecimento do mercado em melhores prticas.
Automatizao dos processos da metodologia ITIL.

Riscos esperados:
Atrasos na soluo de problemas emergenciais.
Problemas decorrentes de erros de utilizao.
Falta do CMDB:4
Ler configuraes nos equipamentos.
Ativaes de um cliente podem impactar os demais.
Falta de Configuration:
Gasto de tempo desnecessrio para tratar incidentes.
Gesto de capacidade reativa:
Demora na resposta de necessidades efetivas.

Com a adoo da metodologia ITIL na CTBC Telecom, comeou-se a ter um efetivo modelo de trabalho, com funes e atividades bem definidas, que culminaram numa
melhoria na qualidade dos processos, bem como um aumento na qualidade dos servios
prestados aos clientes, principalmente atravs da implantao do processo de mudana
(changes) e atravs do acompanhamento realizado e foram obtidos os resultados que podem ser observados respectivamente nas Figuras 8 e 9:
4

CMDB (Configuration Management Data Base) um banco de dados que contm todos os detalhes relevantes de cada item de configurao e detalhes dos relacionamentos importantes entre os itens de configurao.

Rogrio Mendes & Mrcio Moreira

Pgina 18 de 22

ITIL na Gesto da Segurana da Informao


ITIL on Security Information Management

Figura 8: Resultados das Changes.

Figura 9: Resultados por Tipo de Changes.

Rogrio Mendes & Mrcio Moreira

Pgina 19 de 22

ITIL na Gesto da Segurana da Informao


ITIL on Security Information Management

Como resultados efetivos observaram-se:

Reduo das indisponibilidades dos servios.

Maior confiabilidade dos profissionais na infra-estrutura.

Aproximao entre clientes e profissionais.

Reduo do tempo de atendimento de incidentes.

Aumento da previsibilidade do ambiente de 14% para 46%.

Melhoria de 79% para 89% do sucesso de mudanas.

Reduo das corretivas para menos de 24%

E podem ser comprovados atravs das Figuras 10 e 11:

2006
Programada
14%
Acelerada
da
17%
%
da
%

Emergencial
69%
cial
%

Figura 10: Resultados comparativos por Tipo de Changes 2006.

2007
Emergencial
40%

Programada
46%

Acelerada
14%

Figura 11: Resultados comparativos por Tipo de Changes 2007.

V Consideraes Finais

Os benefcios em se utilizar a metodologia ITIL como referncia para servios de


TI j so amplamente reconhecidos no mercado e a utilizao de modelos baseados em melhores prticas est se tornando cada vez mais consolidada. Modelos desta natureza tradu-

Rogrio Mendes & Mrcio Moreira

Pgina 20 de 22

ITIL na Gesto da Segurana da Informao


ITIL on Security Information Management

zem prticas experimentadas, testadas e reconhecidas, tendo, assim a credibilidade de suas


informaes como pontos fortes.
O aspecto da segurana definido na politica de segurana, podendo envolver servios e mecanismos de hardware e software para servios de controle de acesso, integridade
de dados e comunicao, confidencialidade, no-rejeio, disponibilidade de recursos e autenticao e as medidas de segurana de informao esto aumentando rapidamente em
termos de aplicao, complexidade e importncia.
Especificamente no caso da CTBC Telecom, esse reconhecimento se concretiza na
forma de novos negcios, novos clientes, e principalmente em novas formas de prestao
de servios, tendo essa empresa sido reconhecida por mdia nacional como sendo um dos
10 melhores Data Centers do Brasil, conforme reportagem da revista especializada Info
Exame, em sua edio de Maio de 2007.
Conforme pode ser observado, a efetiva implementao de uma metodologia pode
trazer resultados que podem ser comprovados, traduzindo tanto em benefcios diretos, como a reduo do custo operacional, como em benefcios indiretos, como o aumento da satisfao da qualidade dos servios prestados aos clientes da empresa, e dentro da linha de
melhores prticas do mercado, a metodologia ITIL vem mostrando sua eficincia e eficcia
dentro das organizaes.

Rogrio Mendes & Mrcio Moreira

Pgina 21 de 22

ITIL na Gesto da Segurana da Informao


ITIL on Security Information Management

Referncias Bibliogrficas
COBIT. ISACA Serving IT Governance Professionals. Disponvel em
<http://www.isaca.org>. Acesso em: 20 jan 08.
ITEC. A ITIL e a governanca de TI Itec. Journal. Disponvel em:
<http://www.itec.com.br/journal/40/itil.htm>. Acesso em: 20 jan 08.

ITSMF. Foundation of IT Service Management, based on ITIL. 2.ed. ITSMF-NL, 2006.


MENDES, Rogrio. Segurana de dados em redes sem fio de computadores. In: 2 CONGRESSO INTERNACIONAL DE GESTO DA TECNOLOGIA E SISTEMAS DE INFORMAO, 2005, So Paulo. Anais... So Paulo: CONTECSI, 2005.
STALLINGS, W. Cryptography and Network Security: Principles and Practice. 4. ed. Englewood Cliffs, NJ: Prentice Hall, 2006.

Rogrio Mendes & Mrcio Moreira

Pgina 22 de 22