Gestão da Segurança da Informação nas Etapas de Estratégia, Desenho, Transição, Operação, Melhoria Contínua dos Serviços de TI
Etapa de Estratégia de Serviços de TI
Esta etapa do ciclo de vida do serviço de TI apenas menciona a gestão da #Segurança da Informação, mas não realiza uma abordagem com foco no tema.
Vale destacar o papel da definição do valor do serviço pela gestão do portfólio de serviços e gerenciamento da expectativa com o apoio da gestão de relacionamento com o negócio, através de definições de requisitos gerais para os serviços que impactam os critérios de segurança.
Etapa de Desenho de Serviços
Gerenciamento da disponibilidade
Atividades proativas do gerenciamento da disponibilidade contribuem para o cumprimento deste que é um dos requisitos de segurança da informação: a disponibilidade.
O plano da disponibilidade traz proteção à informação, garantindo que níveis de disponibilidade adequados serão entregues para serviços de TI. Técnicas e atividades como Análise de Impacto de Falhas em Componentes (AIFC) , identificação de Funções Vitais do Negócio, Pontos Únicos de Falha, definição do conceito de downtime com o cliente, Análise de Impacto no Negócio, entre outras, contribuirão com níveis de disponibilidade e consequentemente com a segurança da informação.
Vale ressaltar que o processo de gestão da disponibilidade cita explicitamente requisitos de segurança como atributos a serem definidos durante a fase de planejamento.
Gerenciamento da Continuidade para Serviços de TI
Basta um pouco de intimidade com a gestão da segurança da informação para entender que o gerenciamento da continuidade é fator crítico de sucesso para proteção da informação, sendo mencionado inclusive como uma sessão da norma ISO 27002 (e consequentemente, no anexo da ISO 27001) . Em outras palavras, continuidade e segurança são temas relacionados entre si.
Gerenciamento da Segurança da Informação para TI
Naturalmente, esta é a principal referência da #ITIL para o tema. Contempla o processo como um todo, resumindo a aplicação de boas práticas para gestão da #Segurança da Informação.
Vale a pena conferir os capítulos do livro Service Design transcritos a seguir:
- 4.6.1 Purpose/goal/objective
- 4.6.2 Scope
- 4.6.3 Value to the business
- 4.6.4 Policies/principles/basic concepts
- 4.6.4.1 Security framework
- 4.6.4.2 The Information Security Policy
- 4.6.4.3 The Information Security Management
- 4.6.5 Process activities, methods and techniques
- 4.6.5.1 Security controls
- 4.6.5.2 Management of security breaches and incidents
- 4.6.6 Triggers, inputs, outputs and interfaces
- 4.6.6.1 Inputs
- 4.6.6.2 Outputs
- 4.6.7 Key Performance Indicators
- 4.6.8 Information Management
- 4.6.9 Challenges, Critical Success Factors and risks
Gerenciamento de Fornecedores
Gerenciamento de Nível de Serviços
Boas práticas de gerenciamento de nível de serviços são essenciais para definir, acordar, entregar, monitorar, reportar e melhorar continuamente os níveis de serviço, abrangendo metas, regras e acordos para disponibilidade, confidencialidade e integridade da informação.Etapa de Transição de Serviços
Gerenciamento de Libração e Gerenciamento de Mudanças
Requisitos de segurança devem ser contemplados em especificações de sistemas assim como em projetos de #Infraestrutura.
Etapa da Operação de Serviços
Gerenciamento de Incidentes
Gerenciamento de Acesso
Etapa da Melhoria Contínua de Serviços de TI
Melhorias para o processo de gestão da segurança da informação, para interseções entre processos que abrangem segurança, #Gestão de Riscos e para os requisitos de segurança contemplados em serviços de TI.
Considerações Finais
Como citado na introdução do artigo, minha intenção não foi apontar todos itens dos livros da ITIL que criam consequências ou obtêm saídas de/para segurança e sim destacar os mais relevantes.
Convido aos amigos que frequentam o Portal a acrescentar, comentar ou mesmo questionar os pontos aqui elencados!
