Rhand Leal
março 14, 2016
Os serviços de TI estão entre as principais vias para o fluxo de informações entre organizações, seus clientes e parceiros, e com requisitos legais e contratuais demandando cada vez mais medidas de proteção da informação (o setor de saúde é um exemplo), estes serviços e suas práticas de gestão devem evoluir para se adaptar a este novo cenário. Mas como fazer isso de forma apropriada e de forma eficiente em custo?
Este artigo apresentará uma visão geral de como a ISO 27001, uma norma ISO com foco na gestão da segurança da informação, e o ITIL, um framework público-privado que foca na gestão de serviços de TI, estão relacionado considerando a proteção de informações e como ele podem ser usados em conjunto para aumentar seus benefício para o negócio de uma organização.
Aqui estão algumas informações que você pode achar úteis para um entendimento inicial da ISO 27001 e ITIL:
ISO 27001 | ITIL |
Norma internacional | Estrutura de boas práticas |
Define requisitos para o estabelecimento, implementação, manutenção e melhoria contínua de um Sistema de Gestão de Segurança da Informação (SGSI). | Apresenta um conjunto de boas práticas para a gestão de serviços de TI, dando orientações para a provisão de serviços de TI de qualidade e os processos, funções e outras capacidades necessárias para suportá-los. |
Aplicável para qualquer tipo e tamanho de organização. | Aplicável para quase todos os tipos de ambiente de TI. |
Implementação e certificação são opcionais. | Implementação não está sujeita a certificação. |
Versão atual: ISO 27001:2013 | Versão atual: ITIL edição 2011 |
Como você pode ver, a ISO 27001 possui uma definição direta com relação a proteção da informação, enquanto que no ITIL ela é mais indireta. Isso é desta forma porque o termo “ITIL” se refere a múltiplas práticas para gestão e provisão de serviços de TI de qualidade, como gestão financeira e atendimento a solicitações. Contudo, uma vez que a segurança da informação também é um aspecto crítico na gestão de serviços de TI e na qualidade de serviços de TI, o ITIL trata da segurança da informação como um de seus processos de apoio (gestão da segurança), e integra a segurança da informação em muitos dos processos presentes no framework.
A ISO 27001 consiste de 11 cláusulas e 114 controles de segurança genéricos agrupados em 13 seções (o Anexo A). Para maiores informações, leia estes artigos: Uma primeira impressão sobre a nova ISO 27001 e Visão geral do Anexo A da ISO 27001:2013.
Uma das limitações da ISO 27001 é que ela não prove detalhes sobre como atender os requisitos ou implementar controles, apenas sobre o que você precisa atingir. Para maiores detalhes, você pode usar a ISO 27002 como guia. Para mais informações, leia este artigo: Semelhanças e diferenças entre a ISO 27001 e a ISO 27002.
Por outro lado, a estrutura do ITIL consiste de 26 processos e quarto funções, baseados em uma abordagem de ciclo de vida de serviço com cinco estágios:
Estratégia de serviço (4 processos): envolve o alinhamento da estratégia de TI com as metas e expectativas gerais do negócio, para assegurar a agregação de valor para a organização. Este estágio pode ser relacionado a cláusula 4 (Contexto da organização) da ISO 27001.
Design de serviço (7 processos): envolve assegurar que os serviços de TI atendam os objetivos de negócio equilibrando custo, funcionalidade e desempenho. Um dos processos no design de serviço e a gestão de segurança, e devido ao uso de muitos conceitos similares (e.g., tríade CIA, controles de segurança, etc.), ele pode ser coberto pela cláusula 6 (Planejamento) da ISO 27001. Para mais informações, leia este artigo: If anything shouldn’t be taken for granted… it’s Information Security Management.
Transição de serviço (7 processos): envolve assegurar que serviços de TI novos, modificados e retirados estejam atendendo as necessidades do negócio, e que as mudanças sejam geridas e controlada de forma eficiente. Este estágio pode ser relacionado a cláusula 8 (Operação) da ISO 27001 e ao controle A.12.1.2 – Gestão de mudança.
Operação de serviço (5 processos): envolve assegurar que os serviços de TI são operados de forma segura e confiável para apoiar as necessidades do negócio. Este estágio pode ser relacionado a cláusula 8 (Operação) da ISO 27001.
Melhoria continua de serviço (3 processos): envolve a melhoria da qualidade, eficiência e eficácia dos serviços de TI, ao mesmo tempo reduzindo custos. Este estágio pode ser relacionado às cláusulas 9 (Avaliação de desempenho) e 10 (Melhoria contínua) da ISO 27001.
Como você pode ver, embora a ISO 27001 e o ITIL tenham apresentações diferentes, eles compartilham uma abordagem similar ao ciclo PDCA, o que facilita trabalhar com ambos em conjunto.
Ciclo PDCA | Cláusulas da ISO 27001:2013 | Estágios do ITIL |
Plan (planejar) |
Cláusula 4 – Contexto da organização Cláusula 5 – Liderança Cláusula 6 – Planejamento Cláusula 7 – Suporte |
Estratégia de serviço Design de serviço |
Do (executar) | Cláusula 8 – Operação |
Transição de serviço Operação de serviço |
Check (checar) | Cláusula 9 – Avaliação de desempenho | Melhoria contínua de serviço |
Act (ajustar) | Cláusula 10 – Melhoria contínua | Melhoria contínua de serviço |
Adicionalmente, como na ISO 27001, ao ITIL faltam detalhes sobre “como fazer” com relação a como os processos deveriam ser implementados, embora ele forneça descrições detalhadas com relação a objetivos, atividades a serem feitas, entradas e saídas, em adição a listas de verificação, tudo para prover espaço para que as organizações possam adequá-los de acordo com suas necessidades. Uma comparação grosseira seria pensar no ITIL como se o conteúdo da ISO 27002 estive incluído na ISO 27001.
Não há resposta exata para esta questão, uma vez que ela depende da organização e de seus requisitos. Uma abordagem é começar a implementação da ISO 27001 primeiro, porque ela cobre a gestão de segurança da informação de forma geral (da qual o ambiente de TI é apenas uma parte), e após isso ir para o ITIL, o qual fornecerá mais detalhes para implementação.
Outra alternativa é considerar os elementos da ISO 27001 para cada estágio do ITIL e implementá-los em sequência de acordo com um cronograma de implementação do ITIL.
Para mais informações sobre a implementação da ISO 27001 e ITIL, veja estes materiais: Diagrama para a implementação da ISO 27001:2013 e ITIL implementation diagram.
O importante aqui é que você veja a ISO 27001 e o ITIL como materiais complementares que podem ajudar uma organização a prover serviços ao cliente com a segurança apropriada.
Para saber mais sobre como implementar a ISO 27001, veja este ISO 27001:2013 Lead Implementer Online Course.
Nós agradecemos a Rhand Leal pela tradução para o português.