Revista hospedada em: http://revistas.facecla.com.br/index.

php/reinfo Forma de avaliao: double blind review

Esta revista (e sempre foi) eletrnica para ajudar a proteger o meio ambiente. Agora ela volta a ser diagramada em uma nica coluna, para facilitar a leitura na tela do computador. Mas, caso deseje imprimir esse artigo, saiba que ele foi editorado com uma fonte mais ecolgica, a Eco Sans, que gasta menos tinta.

GERENCIAMENTO DE SEGURANA SEGUNDO ITIL: UM SEGURANA UMA INDUSTRIAL ESTUDO DE CASO EM UMA ORGANIZAO INDUSTRIAL DE GRANDE PORTE
ITIL: SECURITY MANAGEMENT WITH ITIL: A CASE STUDY IN A LARGE ORGANIZATION INDUSTRIAL ORGANIZATION
(artigo submetido em novembro de 2009) Vivaldo Jos Breternitz Faculdade de Computao e Informtica - Universidade Presbiteriana Mackenzie (UPM) vjbreternitz@mackenzie.br Francisco Navarro Neto Faculdade de Computao e Informtica - Universidade Presbiteriana Mackenzie (UPM) fnneto@yahoo.com.br Alexandre Franco Navarro Faculdade de Computao e Informtica - Universidade Presbiteriana Mackenzie (UPM) afnavarro@gmail.com
ABSTRACT In an environment in which organizations increasingly depend on the quality of their information systems to provide services and produce goods in an appropriate manner, it is vital to adopt tools to ensure this quality. One of the most used tools for this purpose is the Information Technology Infrastructure Library (ITIL), in which the module that deals with security management is one of the most important. The objective of this study was to understand how ITIL is used in the process of security management in a large industrial organization, as this understanding may bring useful knowledge to people who are faced with similar situations. This case study was done through semi-structured interviews that allowed the comparison between the ITIL principles to the subject and the practices adopted by the organization object of study. Key-words: ITIL; information security; IT governance; security management; service level agreement.
RESUMO Em um ambiente no qual as organizaes dependem cada vez mais da qualidade de seus servios de Tecnologia da Informao para poderem prestar servios e produzirem bens de forma adequada, torna-se vital adotar ferramentas que garantam essa qualidade. Uma das ferramentas mais utilizadas para esse fim a biblioteca ITIL (Information Technology Infrastructure Library), que possui um mdulo que trata de gerenciamento da segurana. O objetivo da pesquisa apresentada neste trabalho foi compreender a forma pela qual a ITIL utilizada no processo de gerenciamento de segurana na rea de TI de uma organizao industrial de grande porte, o que pode gerar conhecimentos teis aos que venham a atuar em situaes similares. Essa compreenso foi obtida por meio de um estudo de caso, realizado com aplicao de entrevistas semiestruturadas que permitiram a comparao entre as propostas de ITIL para o tema e as prticas adotadas pela organizao objeto do estudo. Palavras-chave: ITIL; segurana da informao; governana de TI; gerenciamento de segurana; acordo de nvel de servio.

Revista Eletrnica de Sistemas de Informao, v. 8, n. 2, artigo 4

INTRODUO

Atualmente a qualidade de produtos e servios um grande diferencial para as organizaes, em um ambiente em que a concorrncia entre elas cada vez mais acirrada. A qualidade deve estar presente em todas as fases dos processos produtivos, uma vez que um produto ou servio integralmente desenvolvido com qualidade, alm de agregar valor ao cliente, evita perdas para o fornecedor. Outra constante no cotidiano das organizaes o valor que as informaes agregam ao negcio. Essas informaes vo desde procedimentos internos da organizao e dados de seus sistemas transacionais at segredos de negcio e informaes sigilosas de clientes. Nesse ambiente, vital a adoo de medidas que possam garantir a segurana das informaes ou, ao menos, reduzir a possibilidade de sinistros. Dentre essas medidas, est a implementao de uma governana de TI eficaz, entendida como um conjunto de mecanismos que estimulam comportamentos consistentes com a misso, a estratgia, os valores, as normas e a cultura da organizao (WEILL; ROSS, 2006). Uma das ferramentas que pode ser utilizada para a prtica da governana de TI a ITIL (Information Technology Infrastructure Library), uma biblioteca de melhores prticas de governana de TI, frequentemente citada como um dos mais populares frameworks para governana de TI (RUDD, 2004). A utilizao da ITIL vem crescendo nos ltimos anos, em decorrncia no apenas do aumento da demanda por governana de TI, como tambm da evoluo da prpria ITIL, que j est em sua terceira verso. Nesses termos, o objetivo da pesquisa aqui relatada foi compreender a forma pela qual a ITIL utilizada no processo de gerenciamento de segurana na rea de TI de uma organizao industrial de grande porte, que no mbito deste trabalho ser chamada organizao. Essa compreenso pode gerar conhecimentos teis aos que venham a atuar em situaes similares. 2 METODOLGICOS ASPECTOS METODOLGICOS

Este trabalho apresenta os resultados de uma pesquisa exploratria qualitativa, desenvolvida com base em um estudo de caso. Selltiz et al. (1987) dizem que a pesquisa exploratria proporciona maior familiaridade com o problema, com vista a torn-lo mais explcito ou construir hipteses para posterior investigao mais profunda, tendo como objetivo tambm aprimorar ideias e despertar intuies. Na maioria dos casos, isso envolve levantamentos bibliogrficos, entrevistas com pessoas que tiveram experincias prticas com o problema e anlise de exemplos que estimulem a compreenso do assunto.

Revista Eletrnica de Sistemas de Informao, v. 8, n. 2, artigo 4

Na pesquisa relativa ao objeto desse trabalho a opo foi por uma abordagem qualitativa. Assim, as perguntas elaboradas no possibilitam respostas mensurveis, na maioria das vezes, e, quando so mensurveis, no o so de forma precisa. Mattar (2001) e Malhotra (2008) afirmam que, em situaes como essa, considerar apenas a pesquisa quantitativa pode levar a resultados muito superficiais e talvez incorretos. Miles (1979) afirma que o enfoque qualitativo tem obtido crescente popularidade na pesquisa organizacional, pelo seu carter rico, holstico e real. Segundo Malhotra (2008), a abordagem qualitativa proporciona melhor viso e compreenso do contexto do problema, de modo que, ao se abordar um novo problema, a pesquisa quantitativa deve ser precedida de pesquisa qualitativa apropriada. Miles e Huberman (1994) consideram que a pesquisa qualitativa leva a um contato intenso com o objeto sob estudo, o que acaba produzindo um conhecimento mais profundo dele. Cabe ressaltar que as estratgias de pesquisa quantitativa e as de pesquisa qualitativa no so mutuamente excludentes. Estudos futuros do objeto de pesquisa desse trabalho podem vir a exigir a adoo de procedimentos quantitativos. Mattar (2001) afirma que o estudo de casos um mtodo muito produtivo para estimular a compreenso e ampliar os conhecimentos sobre o problema em estudo. Diz tambm no existirem regras para a escolha dos casos a serem trabalhados e que a experincia mostra que casos que refletem situaes extremas podem ser de melhor aproveitamento, talvez ajudando a estabelecer padres ou esteretipos que podem no ser totalmente indesejveis. Na viso desse autor, no estudo de casos mdios, pode-se conseguir enxergar apenas pequenas diferenas, tornando a pesquisa menos til. Yin (2005), ao comparar o estudo de caso com outros mtodos como experimento, survey etc., diz que essa estratgia de pesquisa a mais indicada para responder a questes do tipo "como" e "por que", especialmente quando o pesquisador no tem controle sobre o comportamento dos eventos. Nesses termos, justifica-se a escolha, como objeto da pesquisa, de uma organizao industrial de grande porte, com uma rea de TI atendendo a problemas complexos. Foram realizadas no primeiro semestre de 2009 entrevistas semi-estruturadas com seis profissionais da rea de TI dessa empresa, em nvel de gerncia, tendo o resultado da anlise dos dados coletados passado por um processo de validao junto a eles. O roteiro das entrevistas abordou alm dos processos relativos segurana de informao temas como o alinhamento estratgico entre TI e negcios, gerenciamento de risco, governana de TI etc. O roteiro bsico das entrevistas compreendeu os pontos que se seguem: - Razes da adoo de ITIL - Importncia atribuda pela organizao aos ativos de TI - Situao anterior implementao de ITIL - Durao do processo de implementao
Revista Eletrnica de Sistemas de Informao, v. 8, n. 2, artigo 4 3

Ordem de implementao das diversas disciplinas Profissionais responsveis pela implementao Problemas encontrados Situao atual em termos de estrutura e procedimentos formais, mtricas Utilizao de ferramentas de software nas atividades rotineiras ligadas a ITIL Forma de utilizao do gerenciamento de segurana Aspectos ligados a auditoria Percepo dos envolvidos quanto efetiva utilidade de ITIL para a organizao e sobre o nvel de aderncia s prticas ITIL

No houve autorizao para gravao das entrevistas. Imediatamente aps a realizao, de cada uma, as notas tomadas pelos pesquisadores eram complementadas, com o objetivo de reter o maior volume de dados possvel. Concludas as entrevistas, foram os dados organizados, servindo de base para discusso e anlise entre os pesquisadores, onde se procurou identificar os aspectos relevantes, que poderiam atender aos objetivos da pesquisa. Em alguns casos, quando se julgou necessrio esclarecer pontos especficos, os entrevistados foram contatados novamente, por telefone ou correio eletrnico; concludo o processo de anlise, foram as concluses submetidas aos entrevistados para validao. 3 TERICA FUNDAMENTAO TERICA

Esta seo tem como objetivo apresentar os principais conceitos acerca dos temas centrais deste trabalho: segurana da informao e riscos, governana de TI e ITIL. 3.1 SEGURANA DA INFORMAO E RISCOS No passado, as preocupaes com segurana da informao restringiam-se praticamente integridade das instalaes de processamento de dados e possibilidade de prejuzos financeiros em funo de fraudes, estas ltimas basicamente no mbito das instituies financeiras. Mais recentemente, este contexto se expandiu. Aps a lei Sarbanes-Oxley, o paradigma de segurana alterou-se, de forma que manter o controle dos processos de segurana tornou-se uma tarefa crucial, porque tais processos afetam diretamente o negcio (BLOEM; VAN DOORN; MITTAL, 2006). A segurana de informao implementada por meio de planos de segurana, que devem contemplar os processos de toda a organizao. Segundo Bishop (2003), a implantao destes planos envolve:
-

requisitos de segurana: as necessidades de segurana variam de

uma organizao para outra. Uma pequena oficina mecnica certamente no possui os mesmos requisitos de segurana de um banco. Estes requisitos devem ser determinados pela organizao com a ajuda de uma equipe de segurana da informao e devem ser

Revista Eletrnica de Sistemas de Informao, v. 8, n. 2, artigo 4

claros e especficos, pois sero a base de toda a poltica de segurana. Eles devem ser analisados em profundidade, porque diferentes sistemas podem ter requisitos de segurana distintos dentro de uma mesma organizao;
-

poltica de segurana, que estabelece as regras de segurana da

organizao. Basicamente, expressa em um documento que define os comportamentos desejveis dos sistemas e usurios de TI de uma organizao. Quando o sistema opera de acordo com a poltica, pode-se dizer que o sistema seguro (caso contrrio, no, e medidas devem ser tomadas para se corrigir a situao);

mecanismos de segurana: garantem que a poltica de segurana ser seguida dentro da organizao. Estes mecanismos podem ser tcnicos, como a utilizao de firewalls, ou burocrticos, como penalidades queles que desobedecerem a uma determinada regra. O importante que esses mecanismos, unidos, sejam vistos como uma poltica de segurana a ser aplicada em toda a organizao; e avaliaes de segurana: consistem em certificar-se de que os
requisitos, polticas e mecanismos de segurana existentes esto sendo seguidos e ainda se encontram de acordo com as necessidades do negcio, gerando informaes para alteraes, quando for o caso.

Alm dos problemas de natureza humana, com as pessoas frequentemente negligenciando aspectos relativos segurana, por consider-los pouco importantes e geradores de custos e de trabalhos adicionais, h que se lembrar que, no caso de sistemas de informaes baseados em computadores, h aspectos peculiares a serem considerados, dentre os quais o fato desses sistemas serem, como diz Schneier (2001):
-

complexos: pois possuem diversos componentes internos, cuja relao poucas vezes inteiramente conhecida, ou seja, uma falha em um destes componentes pode gerar resultados inesperados em outro; interativos: os sistemas se relacionam entre si, o que aumenta ainda mais sua complexidade e torna pouco eficaz a verificao isolada de um nico sistema; emergentes: devido interatividade, os sistemas assumem caractersticas no projetadas originalmente, adquirindo novas funcionalidades, como por exemplo, as capacidades de multimdia integradas Internet; e, principalmente, falveis: os sistemas usualmente possuem falhas de concepo, projeto e construo, e muitas destas acabam por causar ameaas de segurana. A correo destas falhas deve levar em considerao os fatores anteriormente descritos, o que torna esse processo ainda mais complexo.

Revista Eletrnica de Sistemas de Informao, v. 8, n. 2, artigo 4

Esses aspectos mostram o quanto difcil administrar o assunto

segurana da informao, e que garantir 100% de segurana em qualquer

sistema uma tarefa rdua, quase impossvel, pois a segurana envolve tantos aspectos que por mais que se adotem meios de defesa, ainda existiro vulnerabilidades impedindo que o sistema seja totalmente seguro. Assim sendo, pode-se dizer que a busca pela segurana de TI , na prtica, o gerenciamento do risco representado pela perda, indisponibilidade temporria ou mau uso da informao (WINKLER, 2007). Gerenciamento de risco, segundo Kerzner (2003), pode ser entendido como o ato de lidar com o risco. Inclui atividades como avaliar a probabilidade da ocorrncia de sinistros, desenvolver estratgias para lidar com o risco e monitorar os riscos para determinar como eles evoluem. Observa-se ento que para o processo de segurana ser eficiente, deve ser acompanhado de perto pela alta administrao da organizao. Afinal, so os interesses maiores do negcio que devem ditar as reais necessidades e prioridades da segurana. A fim de obter a devida ateno dos altos nveis da organizao, deve-se criar um modelo de gesto que deixe clara a necessidade do acompanhamento desse processo em todos os nveis, e uma boa maneira para se chegar a tal modelo por meio da governana de TI. 3.2 GOVERNANA DE TI De acordo com Weill e Ross (2006, p. 2), a governana de TI pode ser considerada a especificao dos direitos decisrios e do framework de responsabilidades para estimular comportamentos desejveis na utilizao da TI. Dentre esses direitos decisrios esto os relativos ao papel estratgico que a TI exerce no ambiente de negcios, a arquitetura adequada, a infraestrutura, os processos operacionais, os investimentos etc. Esses mesmos autores lembram que os ativos de TI esto entre os principais ativos de uma organizao, devendo por essa razo ser objeto de especial ateno no contexto da governana corporativa, para que possam criar valor para a organizao. Para que se crie valor, deve-se procurar minimizar as possibilidades de ocorrncia de falhas que gerem riscos no ambiente de TI. Uma das formas de se fazer isso pela utilizao da disciplina gerenciamento de segurana, que est contida na ITIL, que um dos mais utilizados frameworks para implementao da governana de TI, como j se disse (RUDD, 2004). 3.3 ITIL A biblioteca ITIL foi desenvolvida por rgos do governo britnico no final da dcada de 1980 e tem como foco principal a operao e a gesto da infraestrutura de TI na organizao, incluindo todos os pontos importantes no fornecimento dos servios prestados pela rea (OGC, 2004).
6 Revista Eletrnica de Sistemas de Informao, v. 8, n. 2, artigo 4

A ITIL descreve os processos que so necessrios para dar suporte adequado utilizao e ao gerenciamento da infraestrutura de TI, levando em conta tambm os custos envolvidos, de forma que se possa perceber como estes trazem valor estratgico ao negcio. Em meados de 2007, foi lanada sua verso 3.0, composta por cinco livros, cujo contedo basicamente o que se segue:
-

Estratgia de servios: esse livro aborda principalmente as estratgias, polticas e restries sobre os servios. Inclui tambm temas como implementao, redes de valor, portflio de servios, gerenciamento, gesto financeira e ROI (return on investment - retorno do investimento);

Design de servios: nesse livro so tratadas polticas, planejamento

e implementao. baseado nos cinco aspectos principais de design de servios: disponibilidade, capacidade, continuidade, gerenciamento de nvel de servio e outsourcing. Tambm esto presentes informaes sobre gerenciamento de fornecedores e de segurana da informao;

Transio de servios: apresenta conceitos sobre o sistema de

gerenciamento do conhecimento dos servios. Tambm aborda mudanas, riscos e garantia de qualidade. Os processos tratados, entre outros, so planejamento e suporte, gerenciamento de mudanas, gerenciamento de ativos e configuraes;

Operaes de servios: operaes cotidianas de suporte o foco desse livro, que trata do gerenciamento de service desk, requisies de servios, gerenciamento de incidentes e de problemas, etc.;

Melhoria contnua de servios: a nfase do livro est no ciclo

planejar, fazer, verificar e agir, de forma a buscar a melhoria contnua dos processos detalhados nos quatro livros anteriores, visando a aprimorar os servios prestados aos clientes e usurios.

Com o lanamento da verso 3.0, procurou-se eliminar redundncias encontradas nos diversos livros, tornando mais clara e forte a ligao entre as melhores prticas e os benefcios para o negcio. Essa verso tem uma abordagem baseada no ciclo de vida, ao contrrio da abordagem baseada em setores de entrega da verso anterior. Apesar de j haver sido lanada a verso 3.0, a organizao que foi objeto desta pesquisa ainda utiliza a verso 2, que composta por sete livros, a saber:
-

Suporte a servios: abrange os processos voltados ao suporte do dia-a-dia e s atividades para a sua manuteno; Entrega de servios: voltado aos processos de planejamento e
entrega dos servios de TI, preocupando-se em garantir um alto nvel de qualidade a esses servios;

Revista Eletrnica de Sistemas de Informao, v. 8, n. 2, artigo 4

Planejamento para implementar o gerenciamento de servios de TI:

especifica os passos necessrios para identificar como uma organizao pode alcanar e usufruir os benefcios da ITIL;

Gerenciamento da infraestrutura de TI e telecomunicaes: aborda

os processos, organizao e ferramentas necessrios ao fornecimento de uma infraestrutura estvel de TI e comunicaes;

Gerenciamento de aplicaes: um guia para o gerenciamento das

aplicaes partindo das necessidades do negcio, passando por todos os estgios do ciclo de vida de uma aplicao. Este processo d nfase a assegurar que os projetos de TI e as estratgias estejam corretamente alinhados com o ciclo de vida da aplicao, garantindo que o negcio consiga obter o retorno do valor investido;

Perspectiva de negcios: auxilia os responsveis por TI a entenderem como podem contribuir da melhor forma para os objetivos do negcio da organizao, alm de demonstrar como as suas funes e servios podem ser alinhados e aproveitados na organizao; e Gerenciamento de segurana: este livro, foco deste trabalho, detalha o processo de planejamento e gerenciamento da segurana da informao e servios em TI.

Em virtude do advento da verso 3.0, que tende a substituir a verso 2, ser considerado aqui apenas o livro que discute o gerenciamento da segurana, por ainda estar em uso na organizao. Segundo o OGC (2004), o gerenciamento de segurana uma disciplina que gerencia o nvel de segurana da informao definido sobre os servios de TI. Ele o responsvel por manter o controle sobre os possveis incidentes de segurana que possam vir a causar danos em termos de confidencialidade, integridade e disponibilidade da informao, medindo o seu risco e impacto sobre o negcio. Essa disciplina tem origem em uma norma britnica para gesto de segurana de informao, a BS7799, criada em 1995 e que evoluiu at 1999, quando se transformou na norma ISO/IEC 17799:2000. O gerenciamento de segurana interage continuamente com as diversas disciplinas da ITIL, em todos os nveis organizacionais (estratgico, ttico e operacional), como ilustrado na Figura 1 (OGC, 2004). Em termos de ambiente de TI, diz-se geralmente que o gerenciamento de segurana usualmente est posicionado no nvel ttico, nos termos usualmente utilizados em que se considera terem as organizaes trs nveis: estratgico, ttico e operacional.

Revista Eletrnica de Sistemas de Informao, v. 8, n. 2, artigo 4

Figura 1 Gerenciamento de Segurana e a dependncia entre as disciplinas Fonte: OGC (2004)

No nvel estratgico, o gerenciamento de segurana se compromete a fornecer as informaes necessrias para o entendimento da alta administrao a respeito das atividades relacionadas segurana de informao necessria aos negcios: novas polticas de segurana, seu grau de importncia e definio das medidas sero tomadas para conter o risco de uma eventual perda de informao, relacionada a incidentes de segurana, caso o risco esteja definido dentro de uma poltica (OGC, 2004). No nvel ttico, o gerenciamento de segurana se baseia em Acordos do Nvel de Servio (SLA Service Level Agreements) celebrados entre a rea de TI e as reas clientes. Em funo dos nveis acordados, so criados planos de segurana e definidas as polticas necessrias para suportar a demanda de informao gerada pelo negcio. No nvel operacional so aplicadas as polticas definidas no nvel ttico. Isto assegura o gerenciamento operacional sobre os recursos de TI (OGC, 2004). O OGC (2004) divide os requisitos de segurana em dois grandes grupos: requisitos externos (aqueles derivados de contratos, legislao e outros fatores externos organizao) e requisitos internos (relacionados aos acordos de nvel de servio celebrados com os gestores dos sistemas). Esses requisitos levam gerao de planos de segurana, que, de acordo com ITIL, so documentos gerados pelo gerente de segurana. Esses documentos devem conter a situao atual da organizao, metas especficas a serem cumpridas e a situao almejada no futuro. Definem ainda as prioridades para o bom andamento dos negcios, seus responsveis e demais envolvidos, alm dos desafios e de como contorn-los, a fim de manter o nvel de servio em um padro aceitvel. A Figura 2, adaptada de OGC (2004) mostra de forma esquemtica como a ITIL v o processo de gerenciamento de segurana:
Revista Eletrnica de Sistemas de Informao, v. 8, n. 2, artigo 4 9

Figura 2 - Processo de Gerenciamento de Segurana Fonte: adaptado de OGC (2004)

De maneira resumida, as atividades que compem esse processo podem ser descritas como se segue:
-

Planejar: busca garantir que o nvel de segurana foi estabelecido e

definido em conjunto com o cliente, de forma a atender as suas expectativas. Aqui tambm so definidos polticas, regras, medidas e manuais de segurana para orientar os envolvidos;

Implementar: esta atividade tem como objetivo por em prtica as

aes planejadas anteriormente;

Avaliar: compreende a realizao de auditorias internas e externas

no ambiente, revisando polticas e medidas de segurana, com o objetivo de descobrir se esto sendo aplicadas corretamente. Esta atividade garante que o ambiente no foi modificado, permitindo continuar a cumprir os acordos de SLA pr-estabelecidos. As ameaas identificadas sero reportadas e analisadas, visando a evit-las ou minimiz-las;

Manter: esta atividade atualiza os acordos de SLA e as medidas e

planos de segurana existentes, melhorando-os para que possam garantir a manuteno e melhoria de qualidade;

Controlar: a atividade integradora, que garante que o que foi

planejado ser executado;

Relatar: esta atividade de grande importncia para os usurios, pois os mantm informados sobre a situao do ambiente de segurana de TI. Baseia-se principalmente nos resultados das auditorias e nos indicadores de desempenho do ambiente.
Revista Eletrnica de Sistemas de Informao, v. 8, n. 2, artigo 4

10

O processo de gerenciamento de segurana comea pelo contato com o cliente, quando se elabora o SLA e se definem suas necessidades. O processo se repete em um ciclo de retroalimentao e tem como objetivo revisar as polticas e planos de segurana a fim de encontrar seus pontos fracos e detectar mudanas no ambiente que possam trazer ameaas segurana. De acordo com Tipton e Krause (2008), este processo pode ser comparado com o Crculo da Qualidade de Deming, que tem como atividades planejar, fazer, verificar e agir, sempre com a finalidade de aperfeioar o processo, garantindo uma melhora na qualidade do servio fornecido. 4 APRESENTAO DO CASO

A organizao objeto desta pesquisa a operao brasileira de uma indstria automobilstica, uma montadora de grande porte de origem estrangeira, com mais de 250 mil empregados no mundo. Sua primeira fbrica no Brasil foi aberta em 1930. Sua rea de TI no Brasil conta com cerca de 50 empregados diretos e cerca de 2.500 terceirizados. Os empregados diretos ocupam cargos de gerncia e auditoria. Os gerentes usualmente so considerados pontos focais - ou clientes - dos prestadores de servios terceirizados e esto distribudos de acordo com as linhas de servio da rea de TI, como manufatura, sistemas de negcio, redes lgica e fsica, correio eletrnico etc. Os auditores esto organizados de forma similar, sendo o foco de seu trabalho a verificao do trabalho executado pelos prestadores de servio de TI. A organizao adotou ITIL por considerar este um padro internacional de boas prticas consagrado e por ter conseguido trazer os retornos esperados em diversas outras organizaes. O processo de implantao iniciou-se h cerca de dez anos. Primeiramente foi implementada a disciplina central de servios e incidentes, e a seguir gerenciamento de problemas, mudanas, configurao, liberao etc. O processo foi conduzido por uma prestadora de servios na rea de TI, uma empresa de grande porte com forte presena no cenrio internacional. No incio da implantao de ITIL, houve alguns problemas relacionados adaptao dos usurios e equipes de TI aos novos processos. Hoje esses problemas esto resolvidos e a maioria dos usurios tem a compreenso de como funcionam os processos da rea de TI. Atualmente, a organizao se utiliza de ferramentas de software adquiridas no mercado ou desenvolvidas internamente para a operacionalizao das disciplinas da ITIL. Dentre estas, pode-se citar ferramentas para controle de incidentes, itens de configurao, problemas, mudanas etc. O uso dessas ferramentas permite a obteno de relatrios concisos e relevantes, que informam de forma concreta a situao da rea de TI, apoiando assim o processo de tomada de deciso por parte da alta
Revista Eletrnica de Sistemas de Informao, v. 8, n. 2, artigo 4 11

administrao, alm de decises no nvel ttico. O contedo desses relatrios foi definido pela organizao, com o apoio da prestadora de servios que atua no processo de implementao. Cabe registrar que se apurou que a alta administrao considera os ativos de TI como estratgicos para o seu sucesso, tomando decises de investimentos baseadas principalmente no retorno que ser proporcionado por estes. Antes da implementao de ITIL, os procedimentos de segurana utilizados eram dispersos e no padronizados, distribudos entre as diversas linhas de servios e regies geogrficas em que esto situadas as dependncias da organizao. A necessidade de padronizao e a importncia de se gerenciar estes procedimentos levaram adoo de ITIL. A organizao ainda no concluiu a instalao do gerenciamento de segurana centralizado, sendo este distribudo de acordo com as linhas de servio de TI da empresa, embora seus processos j apresentem certo grau de integrao. O gerenciamento de segurana atua de forma a balizar os processos das demais disciplinas, mais especificamente gerenciamento de mudanas, de incidentes, de problemas e liberao. Sempre que um novo requisito de negcio determinado, analisado sob a tica do gerenciamento de segurana. Um exemplo disso: sempre que h necessidade de mudana de software ou hardware, o gerenciamento de liberao repassa essa necessidade ao gerenciamento de segurana, onde especialistas verificam a melhor forma de liberar essas novas verses aos usurios. As mudanas ento so documentadas, de forma a se estabelecer um processo para a sua implantao em toda a organizao e, a partir de ento, so criados os registros de mudanas delas derivados. Os incidentes de segurana so relatados a uma central de servios, que resolve os casos mais simples. Os demais so encaminhados s equipes de especialistas que discutem a melhor forma para solucionar o problema, buscando minimizar o impacto sobre os usurios. A organizao possui mtricas especficas para se determinar rapidamente o impacto de incidentes de segurana, que levam em considerao o tempo de parada, a criticidade do sistema, o nmero de usurios afetados etc. O clculo deste impacto varia de acordo com a linha de servios de TI (no jargo da organizao, a expresso linha de servios significa o conjunto de servios prestados a uma de suas reas). Desde o momento em que um incidente comunicado, este registrado em um sistema prprio, o que tambm ocorre com todas as providncias tomadas at que a ocorrncia esteja solucionada e validada pelo usurio para seu encerramento (anlise end-to-end). Depois de encerrado seu tratamento, o incidente continua registrado no sistema, pois com essa informao so definidos possveis pontos de melhoria nos processos e geradas mtricas de desempenho da rea de TI para a organizao. A organizao procura evitar incidentes de segurana tomando medidas pr-ativas de verificao de segurana nos procedimentos adotados
12 Revista Eletrnica de Sistemas de Informao, v. 8, n. 2, artigo 4

no ambiente, o que envolve verificar se esses procedimentos podem, de alguma forma, constituir ameaa organizao. Os incidentes tambm so evitados por meio da constante atualizao dos sistemas operacionais, antivrus e demais ferramentas de software, de acordo com o estabelecido pelos seus fornecedores. Reativamente, a organizao se utiliza de lies aprendidas com incidentes passados, tomando as devidas medidas para que no voltem a ocorrer. Na organizao, os requisitos de segurana so aplicados por meio de planos de segurana, que variam de acordo com a linha de servios de TI. Esses planos agregam valor aos servios prestados pela rea de TI da organizao, pois por meio deles se assegura que os usurios de uma determinada linha recebam um servio padronizado e que tenham a compreenso de como utilizar seus recursos da melhor forma. Os planos so vistos na prtica como regulamentaes de uso de ativos de TI, normas internas para gerenciamento do ambiente, programas de conscientizao de funcionrios para as polticas da organizao e at mesmo como regras para a aplicao de sanes para os infratores. Para criar os planos de segurana, os gerentes de TI de uma determinada linha de servios partem de uma necessidade pontual para a segurana dos ativos de TI, verificando junto s equipes responsveis os meios, tecnolgicos ou no, que possam ser empregados para esse fim. Essas mesmas equipes ajudam a avaliar o impacto dessas medidas no ambiente e, concluda a anlise, colocam as medidas em prtica. Depois de o plano ser colocado em prtica, ele revisado periodicamente para que se possa avaliar sua eficcia e, caso necessrio, so propostas mudanas com a finalidade de melhor atender s necessidades do negcio. Dentre essas equipes de apoio, pode-se ressaltar as equipes das prestadoras de servios como conselheiras em tecnologia e as equipes de recursos humanos e da gerncia das reas interessadas como conselheiros no tecnolgicos. Os planos contm as medidas a serem adotadas, o que se espera com sua adoo, a forma de medio da sua eficcia e quem responsvel por prover essas mtricas. O ambiente auditado externa e internamente ao menos uma vez por ano, sendo que alguns sistemas mais crticos so auditados mais frequentemente. A organizao no possui uma rea especfica para o gerenciamento de risco, deixando aos gerentes de TI a responsabilidade pelos riscos de suas respectivas linhas de servio, o que torna a organizao de alguma maneira ciente dos riscos a que est sujeita. A postura da organizao perante os riscos , de certa forma, conservadora, preferindo evitar riscos sempre que possvel, embora essa postura mude de acordo com a linha de servios de TI. Como no existe o gerenciamento de risco formal, no existe um registro dos riscos de TI, este sendo substitudo pela base de dados de incidentes em uso pela organizao, de onde so retiradas informaes para a preveno de incidentes futuros.
Revista Eletrnica de Sistemas de Informao, v. 8, n. 2, artigo 4 13

Com a inexistncia do registro de riscos, a anlise de riscos tambm ocorre de forma relativamente informal, baseando-se quase que totalmente na vivncia dos prestadores de servio mais experientes, que conhecem o ambiente de forma a antecipar as possveis ameaas facilmente. 5 CONSIDERAES FINAIS

Apresentados os procedimentos adotados pela organizao, concluise agora com uma comparao entre estes e os processos de segurana recomendados por ITIL. Verifica-se que a rea de TI da organizao realmente leva em considerao os objetivos do negcio para definir como melhor utilizar seus recursos. Esse alinhamento entre TI e o negcio confirmado pela percepo dos entrevistados no sentido de que a alta administrao tem confiana nas informaes geradas pela rea atravs dos processos ITIL. Percebe-se que a ITIL serve de sustentao para os processos de segurana utilizados pela organizao, embora diferenas entre o prescrito e o adotado no mbito do gerenciamento de segurana sejam notadas. Dentre essas diferenas, destacam-se a falta de papis mais claros para a gerncia de segurana e a descentralizao dos processos de gerenciamento de segurana, que resultam em polticas no totalmente padronizadas. No que se refere ao processo de elaborao de planos de segurana, conclui-se que a organizao adota algumas das prticas ITIL, pois nota-se o envolvimento consciente de seus membros durante o desenvolvimento destes planos, bem como a retroalimentao do processo com o intuito de incrementar sua qualidade. Com relao ao gerenciamento de riscos, fica claro que h ainda muito a se fazer para que os riscos sejam enfrentados de forma eficiente, embora essa necessidade seja aplacada em parte pelos processos do gerenciamento de segurana. Pode-se concluir tambm que o ambiente estudado no est totalmente de acordo com o proposto por ITIL, que em teoria foi a base de sua estruturao. Os envolvidos tm a percepo de que as necessidades do negcio so atendidas, embora a situao ainda possa ser melhorada. Para melhoria, sugere-se que o processo de gerenciamento de segurana na organizao seja centralizado e formalizado, assumindo os poderes e responsabilidades necessrios a um gerenciamento de segurana eficiente. Ainda necessrio um gerenciamento de risco formal, estabelecendo responsabilidades e delegando autoridade suficiente para que se possa lidar com os riscos de forma mais eficaz, pois somente com esta formalizao a organizao poder compreender e lidar adequadamente com os riscos a que est sujeita.

14

Revista Eletrnica de Sistemas de Informao, v. 8, n. 2, artigo 4

Para trabalhos futuros a respeito do gerenciamento de segurana em ITIL, sugere-se um estudo comparativo entre as verses 2 (antiga) e 3 (atual), com foco nas vantagens da nova verso sobre a antiga, bem como em eventuais dificuldades para a migrao para a verso 3. Acredita-se que esse estudo possa gerar conhecimentos teis aos que venham a atuar em processo de migrao da verso 2 para a verso 3. REFERNCIAS REFERNCIAS BISHOP, Matt. What is computer security? IEEE Security & Privacy, Los Alamitos, v. 1, n. 1, p. 67-69, Jan./Feb. 2003. BLOEM, Jaap; VAN DOORN, Menno; MITTAL, Piyush. Making IT Governance work in a Sarbanes-Oxley world. Hoboken: John Wiley & Sons, 2006. KERZNER, Harold. Project Management: a systems approach to planning, scheduling, and controlling. Hoboken: John Wiley & Sons, 2003. MALHOTRA, Naresh K. Pesquisa de marketing: uma orientao aplicada. Porto Alegre: Bookman, 2008. MATTAR, Fauze N. Pesquisa de marketing. So Paulo: Atlas, 2001. MILES, Matthew B. Qualitative data as an attractive nuisance: the problem of analysis. Administrative Science Quarterly, Ithaca, v. 24, n. 4, p. 590601, Dec. 1979. MILES, Matthew B; HUBERMAN, A. Michael. Qualitative data analysis: an , expanded sourcebook. Thousand Oaks: Sage, 1994. OGC. ITIL Security Management. Londres: The Stationary Office, v. 1.0, 2004. RUDD, Colin. An introductory overview of ITIL. Webbs Court (UK): iTSMF, 2004. Disponvel em http://www.paradigm-itsm.com/documents/ITIL _Overview_Book-itSMF.pdf. Acesso em: 27/06/2008. SCHNEIER, Bruce. Segurana.com: segredos e mentiras sobre a proteo na vida digital. Rio de Janeiro: Campus, 2001. SELLTIZ, Claire; WRINGHTSMAN, Lawrence S.; COOK, Stuart. Mtodos de pesquisa nas relaes sociais: delineamento de pesquisa. So Paulo: EPU, 1987. TIPTON, Harold F.; KRAUSE, Micki. Information Security Management Handbook. 6. ed., vol. 2. Boca Raton: Auerbach, 2008. WEILL, Peter; ROSS, Jeanne W. Governana de TI: tecnologia da informao. So Paulo: Makron Books, 2006. WINKLER, Ira. Zen and the art of information security. Rockland: Syngress, 2007. YIN, Robert.K. Estudo de caso planejamento e mtodos. Porto Alegre: Bookman, 2005.

Revista Eletrnica de Sistemas de Informao, v. 8, n. 2, artigo 4

15