Professional Documents
Culture Documents
Abstract: The security information, since its principle aimed at to all assures the control
and the access of the systems/users and the any type of information that had to be protected. Many technologies had been developed to the long one of the time to guarantee that
this happened of the best form, but the control has currently only not demonstrated to be
enough efficient, when it is about an extensive organizational environment. This paper approaches the methodologies that can be applied to guarantee the management of security
information, based in best practices, giving emphasis in to ITIL methodology, and show to
an implementation of this methodology in the corporative environment and the gotten results and the benefits reached with the methodology.
Keywords: security information, methodology, IT, management, ITIL.
Resumo: A segurana da informao, desde seu princpio visou assegurar o controle e o
acesso dos sistemas/usurios a todo e qualquer tipo de informao que devesse ser protegida. Diversas tecnologias foram desenvolvidas ao longo do tempo para garantir que isso acontecesse da melhor forma, mas atualmente somente o controle no tem demonstrado ser
suficientemente eficiente, quando se trata de um ambiente organizacional extenso. Este artigo aborda as metodologias que podem ser aplicadas para garantir a gesto da segurana
da informao, baseadas nas melhores prticas, dando nfase metodologia ITIL, e mostra
uma implementao dessa metodologia no ambiente corporativo e os resultados obtidos e
os benefcios alcanados com a metodologia.
Palavras-chave: segurana da informao, metodologia, gesto, TI, ITIL.
Pgina 1 de 22
I Introduo
Pgina 2 de 22
A informao, principalmente em sua forma eletrnica, deve estar cada vez mais
acessvel e disponvel a todo lugar e a qualquer momento. Quando se trata de Internet, os
conceitos de tempo/localidade praticamente caem por terra, uma vez que a mesma informao pode ser acessada simultaneamente tanto por uma pessoa situada no prdio do servidor dessa informao, como por outra pessoa do outro lado do mundo, onde fatores como
distncia, e at mesmo o fuso-horrio (horrio em que a informao foi acessada) devem
ser levados em considerao.
Diversas formas de ataque para obteno de acesso informao privilegiada podem ser estruturadas, como por exemplo, a invaso por software que uma forma de acesso no autorizado a um equipamento, com aquisio da elevao de privilgios e execuo
de aes alm daquelas previamente autorizadas, podendo tomar a forma de um vrus ou
um trojan1.
Independente de quaisquer aspectos, algumas premissas devem ser respeitadas, e
quando se trata de segurana da informao, de uma maneira geral, alguns aspectos devem
ser abordados, como por exemplo (STALINGS, 2006):
Disponibilidade: Alm de disponvel somente para sistemas/usurios devidamente autorizados, a informao, principalmente quando se trata de informao crtica, deve ser passvel totalmente em ser recuperada, e vrios
procedimentos devem ser implementados para se conseguir a recuperao
Trojan ou cavalo de tria so programas de computador que podem capturar os nomes e senhas dos usurios do sistema.
Pgina 3 de 22
Para garantir o acesso e controle dos dados trafegados em uma rede de computadores, diversas ferramentas e tecnologias podem e devem ser empregadas, das quais so mais
amplamentes usadas:
De acordo com a Figura 1, pode ser observado que a informao est disponvel somente para o Usurio Legtimo, que possui as devidas permisses de acesso no firewall. Quan-
Raid uma tecnologia que refere-se a procedimentos que abrangem a replicao e/ou distribuio da informao em diversos meios de armazenamento.
Pgina 4 de 22
do um Usurio Ilegtimo tentar acessar a informao, ela ser negada devido s restries
do firewall.
Atualmente, as solues para segurana de dados em redes de computadores renem-se em um nico pacote que integra programas antivrus e firewalls. O chamado UTM
Unified Threat Management, ou Gerenciamento Unificado de Ameaas surgiu para atender a demanda por solues integradas e menos complexas, alm de beneficiar o mercado com produtos mais baratos e mais eficientes.
Analistas e fornecedores declaram que o UTM deve evoluir para pacotes 3 em 1,
que integram antivrus, firewall e solues IDS/IPS. Para o mercado de segurana da informao, o UTM deve ser considerado um divisor de guas, j que as empresas que no
seguirem o novo modelo provavelmente sero engolidas pelas empresas que integrarem
seus produtos. O usurio, por outro lado, lucra com mais tecnologia, praticidade e baixo
custo, podendo aumentar a quantidade e qualidade de suas ferramentas de segurana.
Embora eficientes, na maioria dos casos, somente solues tcnicas no do uma
viso estratgica e ttica da segurana da informao, ento faz-se necessrio a adoo de
metodologias que visam suprir essa necessidade tcnica.
Pgina 5 de 22
Suporte aos processos de negcios s atividades desenvolvidas pelos responsveis pelas decises relacionadas a TI.
Pgina 6 de 22
O ITSMF (IT Service Management Forum) uma organizao internacional, fundada em 1991, independente, dedicada ao gerenciamento do servio de TI, que no possui
fins lucrativos e totalmente operada pelos seus membros.
Tem como objetivos principais o de desenvolver e promover as melhores prticas
para o gerenciamento de servio, ser um veculo para auxiliar os membros a melhorar a
qualidade do servio e estabelecer um frum relevante para a troca de informaes e experincias.
Um diagrama esquemtico referente aplicao da metodologia ITIL pode ser observado na Figura 2:
Toda a metodologia ITIL baseada nos processos e em suas melhorias, sendo processo definido como um conjunto de atividades interrelacionadas e com um objetivo especfico. Possui entradas de dados, informaes e produtos para, atravs da identificao dos
recursos necessrios ao processo, transformar estas entradas nos objetivos especficos.
Pgina 7 de 22
A metodologia ITIL baseada nas seguintes disciplinas e conceitos, que podem ser observados na Figura 4:
Pgina 8 de 22
Release Management: Tem dependncia do processo de Change Management e utiliza o Configuration Management para registrar os releases.
Service Level Management: importante j ter os processos de suporte implementados para suportar as SLAs.
Cada vez mais, a segurana torna-se um dos temas mais relevantes para gestores de
TI. Um verdadeiro arsenal de regulamentaes, metodologias e certicaes, associado a um
grande aparato de ferramentas de hardware, software e sistemas de preveno est em
permanente ebulio.
O Gerenciamento de Segurana um processo que faz parte do framework do ITIL
e que tem por finalidade controlar um nvel definido de segurana para a informao e para
os servios e infra-estrutura de TI e capacitar os profissionais a compreenderem a importncia do processo da segurana da informao na avaliao de riscos estruturais na TI,
proporcionando aos participantes uma viso geral do Gerenciamento de Segurana do ITIL.
Gerenciamento da Segurana uma das principais atividades em uma organizao
para manter as suas informaes confidenciais e acessveis apenas para quem deve ter real
acesso, mesmo porque para os negcios atuais a informao na sua maioria o centro de
sua existncia. Focado na implementao dos requisitos de segurana identificados no acordo de nvel do servio de TI (SLA Service Level Agreements), a Gesto da Segurana
tem dois objetivos principais:
Satisfazer os requisitos de segurana dos SLA's, bem como outros requisitos, que dizem respeito a contratos, legislao e outras polticas impostas
por fatores externos.
Pgina 9 de 22
A metodologia ITIL atua essencialmente na gesto de servios de TI, cujos objetivos so:
Alinhar os servios de TI com as necessidades atuais e futuras das organizaes e dos seus clientes e fornecedores.
A Gesto da Segurana uma atividade importante que tem como objetivo, por um
lado controlar a disponibilizao de informao e por outro evitar a utilizao no autorizada dessa informao. Mais uma vez aqui a Internet (bem como as suas tecnologias associadas como sejam as Intranets e as Extranets), e o negcio eletrnico com os novos modelos de relacionamentos de empresas em rede (ligando clientes e fornecedores), tm um papel decisivo na medida em que as organizaoes de certa maneira se abriram para o exterior, aumentando drasticamente os riscos de intruso colocando novos desafios para os
seus responsveis.
Por outro lado, tambm deve-se ter ateno que a infra-estrutura dos sistemas e tecnologias de informao e comunicao muito mais complexa, o que implica que as organizaes esto mais vulnerveis a problemas tcnicos, erros humanos e aes intencionais
que se traduzem na prtica, por exemplo, por ataques de hackers e de vrus de computador.
Esta crescente complexidade vai requerer uma abordagem integrada que , na metodologia
ITIL, dada pelo processo da Gesto da Segurana.
Os SLA's so um dos componentes mais importantes do processo de Gesto da Segurana na metodologia ITIL (embora a sua aplicao no se limite apenas nessa metodologia). Um SLA um acordo formal, contrato escrito, onde constam os nveis de servio
(por exemplo, garantir que um site da Internet est disponvel 24 horas por dia, 365 dias
por ano ou que a reparao de um sistema que deixou de funcionar demorar menos de x
horas), incluindo a segurana da informao, que o prestador de servios de TI se compromete a cumprir.
Pgina 10 de 22
Alm dos SLA's deve-se ainda considerar os OLAs Operational Level Agreements (nveis de servio operacionais) que fornecem uma descrio detalhada de como os
servios de segurana da informao devem ser prestados.
A metodologia ITIL define ainda outros documentos sobre a segurana da informao (ITEC , 2008):
Polticas de segurana da informao: recomenda que as polticas de segurana devam partir dos responsveis da organizao e devem conter:
1. Objetivos de segurana de informao para a organizao.
2. Metas e princpios de gesto sobre a forma como a segurana da informao deve ser gerida.
3. Definio das funes, e responsabilidades, para a segurana da informao.
Manuais de segurana da informao: documentos operacionais para utilizao diria com instrues operacionais detalhadas sobre a segurana de
informao.
Entre suas vrias disciplinas, a metodologia ITIL define um modelo de gerenciamento de segurana da informao. No entanto, diferentemente das normas tradicionais
voltadas para a gesto desse quesito, como a ISO 17799 e BS7799, o cdigo de boas prticas dessa metodologia d uma viso de segurana sob a perspectiva da gerncia de TI, sendo essa disciplina integrada nas outras do modelo.
Um dos fatores de maior atrao para um gestor de segurana, ao estudar a metodologia ITIL, a percepo de que as outras disciplinas do conjunto devem adotar tcnicas de
segurana dentro de seus processos, o que leva cada lder, seja o de Change Management
ou de Configuration and Asset Management, a ser diretamente responsvel por segurana
dentro de sua prpria rea.
Apesar disso, sob o ponto de vista da metodologia ITIL, os controles pertinentes
so centralizados nos processos de gerenciamento de segurana da informao. Essa perspectiva muda a forma como o tema deve ser visto dentro de uma corporao. Com essa
metodologia, cada unidade tem a responsabilidade de desenvolver seus processos pensando
Pgina 11 de 22
em segurana. No se altera, no entanto, a responsabilidade do gestor de segurana desenhar as polticas da empresa a partir de um modelo reconhecido. A prpria BS7799 apontada como o modelo ideal (e segundo sua perspectiva, o padro definitivo de normas voltadas para o assunto) que deve ser considerado por cada empresa no momento de escrever
suas polticas.
Por se tratar de uma metodologia voltada a servios de TI, baseadas nas melhores
prticas do mercado, a metodologia ITIL vem sendo amplamente pelas empresas com esse
foco e negcio.
Como exemplo de aplicao e resultados prticos, ser apresentada a implementao, o acompanhamento e a evoluo da implantao da Metodologia ITIL no ambiente
corporativo.
A empresa que serviu como base de pesquisa para este trabalho a CTBC Telecom,
como sede na cidade de Uberlndia, no estado de Minas Gerais. A CTBC Telecom uma
operadora de telecomunicaes, e possui, dentre seu portflio de produtos e servios, o
servio de Data Center, que ser o estudo especfico deste trabalho.
O histrico desta implantao, vem desde o incio do ano 2000, quando a empresa
efetivamente consolidou e abriu o negcio de Data Center, tendo como primeiros clientes,
a hospedagem de servidores de um shopping center, de um rgo de imprensa local e de
um cliente corporativo.
No ano de 2001 foi sendo ampliado o escopo do negcio de Data Center, com equipe de suporte, monitoramento e backup prpria, onde alm dos clientes terem um servio de melhor qualidade e valor agregado, tambm passaram e ter uma maior segurana
com relao aos quesitos de disponibilidade dos sistemas e servidores hospedados no Data
Center.
Ao longo dos anos, houve uma ampliao da infraestrutura do Data Center, com a
migrao da prpria estrutura da CTBC Telecom para este Data Center, o que pode comprovar e consolidar a eficincia e segurana dos servios prestados e embora o escopo do
ambiente fosse aumentado com o decorrer do tempo, alguns pontos no tiveram a devida
ateno.
Pgina 12 de 22
Fez-se ento necessrio uma anlise SWOT3, que um sistema analtico que representa Foras-Fraquezas-Oportunidades-Ameaas, e serve para identificar os pontos fracos
de um concorrente, se tornando uma ferramenta til para examinar oportunidades estratgicas. As Foras so definidas como sendo as vantagens competitivas da empresa. Fraquezas so as desvantagens. Oportunidades so as caractersticas dentro de um representativo mercado que podem oferecer a empresa vantagens competitivas. Ameaas so condies neste mesmo mercado que possam ser uma ameaa ou um bloqueio as oportunidades para esta empresa.
A anlise SWOT da CTBC Telecom realizada para os produtos e servios do Data
Center, realizada em julho de 2006, pode ser obervada na Tabela 1:
Foras
Fraquezas
Tecnologia Moderna.
Tecnologia da Informao.
Oportunidades
Ameaas
Contratuais
pelo
no
Como pode ser observado, mesmo possuindo toda a infraestrutura e recursos tcnicos para a operao de um Data Center, os principais possveis pontos de falha, referiamse aos processos e pessoas envolvidas, alm de uma clara falta de metodologia de trabalho.
Diante deste cenrio, algumas aes poderiam ter sido tomadas:
Pgina 13 de 22
Solues paliativas: continuar tentando resolver os problemas em decorrncia da falta de padronizao e metodologia de trabalho ou simplesmente
aumentar o nmero efetivo de pessoas, que impactaria diretamente no custo
da operao.
Solues efetivas: implementar efetivamente metodologias de trabalho, baseadas nas melhores prticas do mercado, como o ITIL e o Cobit.
Otimizao de recursos.
Melhorar relacionamento com cliente.
Os objetivos esperados
foram atingidos.
Entregar o que foi ofertado da melhor maneira
possvel,
considerando
maior qualidade, reduzindo os custos, gerenciando
os riscos e maior alinhamento da TI ao negcio
CTBC Telecom.
Identificar como est em
relao ao mercado e as
melhores prticas.
Melhorar continuamente
os processos.
Maximizar os objetivos
e estratgias de negcio
da organizao.
Adicionar valores aos
servios entregues.
Balancear os riscos.
Obter retorno sobre os
investimentos.
Pgina 14 de 22
Processos de TI.
Governana de TI.
Como principais pontos fortes, o COBIT permite que TI aborde riscos no endereados explicitamente por outros modelos e que seja aprovada em auditoria e funciona bem
com outros modelos de qualidade, principalmente a metodologia ITIL, embora possua as
limitaes de dizer o que fazer, mas no como fazer, no trata diretamente desenvolvimento de software ou servios de TI e no fornece um roadmap de aprimoramento contnuo
dos processos.
Diante dessa situao, optou-se em executar um planejamento estratgico e com foco principal na implementao da metodologia ITIL na empresa, visando especificamente
os servios de Data Center, que o objeto de estudo deste trabalho. O planejamento teve
as seguintes diretrizes:
Pgina 15 de 22
Objetivos:
Perspectiva Financeira:
Reduzir os Custos de Operao.
Cumprir Planejamento de Custos e Investimentos.
Identificar Oportunidades para Aumento na Gerao de Receita.
Perspectiva de Clientes:
Gerenciar o Ciclo de Vida dos Servios de Tecnologia da Informao.
Aprimorar o Relacionamento com os Clientes.
Perspectiva de Processos Internos:
Implantar processos de gesto de TI reconhecidos (ITIL).
Definir e utilizar documentos e ferramentas padronizados.
Gerenciar o Ciclo de Vida dos Processos.
Perspectiva do Aprendizado e Crescimento:
Certificao da equipe nas melhores prticas de TI (ITIL).
Pgina 16 de 22
Resultados esperados:
Curto Prazo:
Base nica e centralizada de casos.
Controle e gerenciamento dos incidentes.
Reduo de trabalho operacional e erros.
Domnio da inteligncia envolvida na prestao do servio.
Reduo nas indisponibilidades no ambiente.
Controle das mudanas no ambiente tratando os riscos.
Monitoramento de TI de um ponto nico (sinergia):
Padronizao da ferramenta de monitoramento.
Gerenciamento de todos os ativos de TI.
Gerao de alarmes e notificaes.
Melhoria no relacionamento e a satisfao dos clientes.
Pgina 17 de 22
Riscos esperados:
Atrasos na soluo de problemas emergenciais.
Problemas decorrentes de erros de utilizao.
Falta do CMDB:4
Ler configuraes nos equipamentos.
Ativaes de um cliente podem impactar os demais.
Falta de Configuration:
Gasto de tempo desnecessrio para tratar incidentes.
Gesto de capacidade reativa:
Demora na resposta de necessidades efetivas.
Com a adoo da metodologia ITIL na CTBC Telecom, comeou-se a ter um efetivo modelo de trabalho, com funes e atividades bem definidas, que culminaram numa
melhoria na qualidade dos processos, bem como um aumento na qualidade dos servios
prestados aos clientes, principalmente atravs da implantao do processo de mudana
(changes) e atravs do acompanhamento realizado e foram obtidos os resultados que podem ser observados respectivamente nas Figuras 8 e 9:
4
CMDB (Configuration Management Data Base) um banco de dados que contm todos os detalhes relevantes de cada item de configurao e detalhes dos relacionamentos importantes entre os itens de configurao.
Pgina 18 de 22
Pgina 19 de 22
2006
Programada
14%
Acelerada
da
17%
%
da
%
Emergencial
69%
cial
%
2007
Emergencial
40%
Programada
46%
Acelerada
14%
V Consideraes Finais
Pgina 20 de 22
Pgina 21 de 22
Referncias Bibliogrficas
COBIT. ISACA Serving IT Governance Professionals. Disponvel em
<http://www.isaca.org>. Acesso em: 20 jan 08.
ITEC. A ITIL e a governanca de TI Itec. Journal. Disponvel em:
<http://www.itec.com.br/journal/40/itil.htm>. Acesso em: 20 jan 08.
Pgina 22 de 22