Embed Size (px)
Citation preview
PONTIFÍCIA UNIVERSIDADE CATÓLICA DE MINAS GERAIS
SEGURANÇA E AUDITORIA DE SISTEMAS
Dyego Henrique Melo Dias
Poços de Caldas 2011
PONTIFÍCIA UNIVERSIDADE CATÓLICA DE MINAS GERAIS
SEGURANÇA E AUDITORIA DE SISTEMAS
Relatório apresentado à Disciplina Segurança e Auditoria de Sistemas ao Professor Luis Alberto Ferreira Gomes, da Pontifícia Universidade Católica de Minas Gerais, campus Poços de Caldas.
Poços de Caldas 2011
Questão 1
Quais são as responsabilidades e a importância de um modelo de governança da
segurança da informação para uma organização?
Resposta
As responsabilidades e a importância de um modelo de governança da segurança
da informação para uma organização são para dirigir, avaliar e monitorar as
informações e atividades do sistema de gestão de segurança de informação. Esta
governança deve estabelecer os papeis e responsabilidades das principais partes
interessadas e relacionadas aos comitês estratégicos e de direção. A governança da
Segurança da Informação é uma das responsabilidades do Conselho de Administração.
Com a importância do assunto é oferecido aos profissionais normas da família ISO/IEC
27000, ISO/IEC 38500, ISACA, ITGI e ITSMF.
Dentre o que foi dito acima destacam-se os modelos e arquiteturas abaixo
relacionadas:
• Overview
• Política e Estratégia
• Padrões de Serviços de Segurança de TI
• Padrões no nível da Aplicação
• Padrões na Infraestrutura
• Central de Serviços de Segurança
Também as Métricas de segurança da Informação:
• Métricas de Segurança da Informação
• Métricas Implementação Governança
• Alinhamento Estratégico
• Gerenciamento de Risco
Questão 2
Qual a recomendação principal que o autor do artigo “Algumas Recomendações
para Um Modelo de Governança para Segurança da Informação” apresenta com relação
a processos e controles para um modelo de governança em segurança da informação?
Resposta
A recomendação apresentada pelo autor é que se faça uma combinação de
potencialidades dos modelos COBIT e ITIL e da nossa ISO 20000, sendo que estes
mesmos modelo vem sendo utilizados pelas organizações e testadas e aprovadas por
vários especialistas ao redor do mundo.
Assim recomendando a utilização dos modelos COBIT e a norma ISO 27002
que irão fornecer os objetivos de controle necessários para atender os requisitos
necessários. Os processos do modelo ITIL são utilizados para gerir a implementação
destes objetivos de controle. Onde com uma correlação desses objetivos com os
processos descritos do modelo ITIL.
Questão 3
Descreva o processo de Gerenciamento da Segurança do ITIL e cite três
benefícios trazidos por este processo.
Resposta
O modelo ITIL(Information Technology Infrastructure Library) começou na
Grã-Bretanha na década de 80, com o objetivo de desenvolver uma abordagem para a
utilização eficiente e econômica dos recursos de TI. Desde então o ITIL tornou se uma
indústria com organizações, ferramentas, treinamentos, serviços de consultoria,
estruturas relacionadas e publicações.
Utilizado no processo de gerenciamento de segurança na área de TI de uma
organização, que pode gerar informações úteis. Quando, hoje em dia estas organizações
estão presentes na internet, realizando transações, necessitando de um “back-office” que
suporte relacionamentos automáticos usados nos negócios eletrônicos. Segundo
Francisco Ferrão na SQS Software Quality Systems Artigo IV os objetivos da ITIL são:
1 - Alinhar os serviços de TI com as necessidades atuais e futuras das organizações e
dos seus clientes e fornecedores; 2 - Melhorar a qualidade dos serviços de TI
fornecidos; 3 – Reduzir, a longo prazo, o custo inerente à Disponibilização de Serviços
de TI.
A ITIL procura assim assegurar que as medidas de segurança da informação são
tomadas as três níveis, estratégico, tático e operacional consoante os processos que a
constituem, isto é, serviços de suporte a nível operacional e disponibilização de serviços
a nível tático. Existem 7 passos que podem descrever mais claramente o processo de
gestão do ITIL.
1. Identificação dos requisitos de segurança;
2. Viabilidade dos requisitos e comparação com serviços básicos de
segurança a garantir;
3. Definição dos SLA’s que devem incluir requisitos de segurança
em termos manuseáveis que especifiquem como devem ser verificados e
auditados;
4. Do mesmo modo são negociados, e acordados, os OLA’s;
5. Controle e implementação dos SLA’s e OLA’s;
6. Relatórios periódicos do ponto de situação desses serviços;
7. Modificação, se necessário, dos SLA’s e OLA’s.
A ITIL mantém a segurança de informação com seu enfoque no negócio nos
serviços de TI. Com as ITIL’s pode-se garantir que os serviços estão alinhados com as
necessidades de negócio. A ITIL também permite que as organizações desenvolvam, e
implementem, a segurança de informação de uma forma estruturada baseada nas boas
praticas de prestação de serviços de TI.
Segundo a própria ITIL, seus benefícios podem ser agrupados em quatro
categorias: Benefícios de Negócio, Benefícios Financeiros, Benefícios de Inovação e
Benefícios para os Profissionais, onde, estes benefícios são divididos em diversos
fatores, que, claro, dependem de atitudes necessárias para chegar ao benefício.
Benefício de Negócio, possuem estratégias de serviços que visam o que se
deseja planejar e gerenciamento de nível de serviço que estabelece uma prioridade para
cada processos a ser realizado na organização.
Benefício Financeiro, acima de tudo toda organização está preocupada com
resultados rentáveis, contribuindo assim com o maior retorno possível sob utilização
dos serviços de tecnologia, sobretudo demostrando-os.
Benefício de Inovação, com a flexibilidade de boas práticas de transação de
serviços fornecem, melhoria contínua de serviços, que é ferramenta de inovação
constante por essência.
Benefício dos Profissionais, minimizando o esforço do profissional ao buscar
tratamento de falhas, rápidas informações sobre o andamento dos serviços, solução de
falhas quase que de imediato, controle de incidentes.
A ITIL possui diversos benefícios alcançáveis, mas os que mais se destacam são
a redução de custos, o aumento de produtividade e o aprimoramento dos processos.
Referencias Bibliográficas
Blog Path - http://www.path.com.br/blog/?p=227, acessado em 08/05/11; Mauro César Bernardes - Algumas recomendações para um modelo de governança da segurança da informação. EAD PUC Minas, acessado em 09/05/11; ITIL - Benefícios Associados à Segurança da Informação - http://blogs.technet.com/b/ronaldosjr/archive/2010/01/05/itil-benef-cios-associados-seguran-a-da-informa-o.aspx, por Ronaldo Smith Jr em 5 Jan 2010 10:39 AM, acessado em 10/05/2011; A ITIL E A SEGURANÇA DAS TI - http://www.sqs.pt/ARTIGO-4-ITIL.pdf, caderno “Inovação & Tecnologia” por Francisco Ferrão, acessado em 10/05/11; Os benefícios da ITIL - http://www.portalgsti.com.br/2009/08/os-beneficios-da-itil.html, por Fernando Palma em Agosto de 2009, acessado em 10/05/11;
