• (0)
    ISO-27001-ISO-22301-blog

    Blog ISO 27001 e ISO 22301

    ISO 27001 vs. ITIL: Similaridades e diferenças

    Os serviços de TI estão entre as principais vias para o fluxo de informações entre organizações, seus clientes e parceiros, e com requisitos legais e contratuais demandando cada vez mais medidas de proteção da informação (o setor de saúde é um exemplo), estes serviços e suas práticas de gestão devem evoluir para se adaptar a este novo cenário. Mas como fazer isso de forma apropriada e de forma eficiente em custo?

    Este artigo apresentará uma visão geral de como a ISO 27001, uma norma ISO com foco na gestão da segurança da informação, e o ITIL, um framework público-privado que foca na gestão de serviços de TI, estão relacionado considerando a proteção de informações e como ele podem ser usados em conjunto para aumentar seus benefício para o negócio de uma organização.

    Fatos gerais

    Aqui estão algumas informações que você pode achar úteis para um entendimento inicial da ISO 27001 e ITIL:

    ISO 27001 ITIL
    Norma internacional Estrutura de boas práticas
    Define requisitos para o estabelecimento, implementação, manutenção e melhoria contínua de um Sistema de Gestão de Segurança da Informação (SGSI). Apresenta um conjunto de boas práticas para a gestão de serviços de TI, dando orientações para a provisão de serviços de TI de qualidade e os processos, funções e outras capacidades necessárias para suportá-los.
    Aplicável para qualquer tipo e tamanho de organização. Aplicável para quase todos os tipos de ambiente de TI.
    Implementação e certificação são opcionais. Implementação não está sujeita a certificação.
    Versão atual: ISO 27001:2013 Versão atual: ITIL edição 2011

    Como você pode ver, a ISO 27001 possui uma definição direta com relação a proteção da informação, enquanto que no ITIL ela é mais indireta. Isso é desta forma porque o termo “ITIL” se refere a múltiplas práticas para gestão e provisão de serviços de TI de qualidade, como gestão financeira e atendimento a solicitações. Contudo, uma vez que a segurança da informação também é um aspecto crítico na gestão de serviços de TI e na qualidade de serviços de TI, o ITIL trata da segurança da informação como um de seus processos de apoio (gestão da segurança), e integra a segurança da informação em muitos dos processos presentes no framework.

    Estrutura da ISO 27001

    A ISO 27001 consiste de 11 cláusulas e 114 controles de segurança genéricos agrupados em 13 seções (o Anexo A). Para maiores informações, leia estes artigos: Uma primeira impressão sobre a nova ISO 27001 e Visão geral do Anexo A da ISO 27001:2013.

    Uma das limitações da ISO 27001 é que ela não prove detalhes sobre como atender os requisitos ou implementar controles, apenas sobre o que você precisa atingir. Para maiores detalhes, você pode usar a ISO 27002 como guia. Para mais informações, leia este artigo: Semelhanças e diferenças entre a ISO 27001 e a ISO 27002.

    Estrutura do ITIL e similaridades e diferenças com a ISO 27001

    Por outro lado, a estrutura do ITIL consiste de 26 processos e quarto funções, baseados em uma abordagem de ciclo de vida de serviço com cinco estágios:

    Estratégia de serviço (4 processos): envolve o alinhamento da estratégia de TI com as metas e expectativas gerais do negócio, para assegurar a agregação de valor para a organização. Este estágio pode ser relacionado a cláusula 4 (Contexto da organização) da ISO 27001.

    Design de serviço (7 processos): envolve assegurar que os serviços de TI atendam os objetivos de negócio equilibrando custo, funcionalidade e desempenho. Um dos processos no design de serviço e a gestão de segurança, e devido ao uso de muitos conceitos similares (e.g., tríade CIA, controles de segurança, etc.), ele pode ser coberto pela cláusula 6 (Planejamento) da ISO 27001. Para mais informações, leia este artigo: If anything shouldn’t be taken for granted… it’s Information Security Management.

    Transição de serviço (7 processos): envolve assegurar que serviços de TI novos, modificados e retirados estejam atendendo as necessidades do negócio, e que as mudanças sejam geridas e controlada de forma eficiente. Este estágio pode ser relacionado a cláusula 8 (Operação) da ISO 27001 e ao controle A.12.1.2 – Gestão de mudança.

    Operação de serviço (5 processos): envolve assegurar que os serviços de TI são operados de forma segura e confiável para apoiar as necessidades do negócio. Este estágio pode ser relacionado a cláusula 8 (Operação) da ISO 27001.

    Melhoria continua de serviço (3 processos): envolve a melhoria da qualidade, eficiência e eficácia dos serviços de TI, ao mesmo tempo reduzindo custos. Este estágio pode ser relacionado às cláusulas 9 (Avaliação de desempenho) e 10 (Melhoria contínua) da ISO 27001.

    Como você pode ver, embora a ISO 27001 e o ITIL tenham apresentações diferentes, eles compartilham uma abordagem similar ao ciclo PDCA, o que facilita trabalhar com ambos em conjunto.

    Ciclo PDCA Cláusulas da ISO 27001:2013 Estágios do ITIL
    Plan (planejar)

    Cláusula 4 – Contexto da organização

    Cláusula 5 – Liderança

    Cláusula 6 – Planejamento

    Cláusula 7 – Suporte

    Estratégia de serviço

    Design de serviço

    Do (executar) Cláusula 8 – Operação

    Transição de serviço

    Operação de serviço

    Check (checar) Cláusula 9 – Avaliação de desempenho Melhoria contínua de serviço
    Act (ajustar) Cláusula 10 – Melhoria contínua Melhoria contínua de serviço

    Adicionalmente, como na ISO 27001, ao ITIL faltam detalhes sobre “como fazer” com relação a como os processos deveriam ser implementados, embora ele forneça descrições detalhadas com relação a objetivos, atividades a serem feitas, entradas e saídas, em adição a listas de verificação, tudo para prover espaço para que as organizações possam adequá-los de acordo com suas necessidades. Uma comparação grosseira seria pensar no ITIL como se o conteúdo da ISO 27002 estive incluído na ISO 27001.

    Como usar o ITIL e a ISO 27001 juntos?

    Não há resposta exata para esta questão, uma vez que ela depende da organização e de seus requisitos. Uma abordagem é começar a implementação da ISO 27001 primeiro, porque ela cobre a gestão de segurança da informação de forma geral (da qual o ambiente de TI é apenas uma parte), e após isso ir para o ITIL, o qual fornecerá mais detalhes para implementação.

    Outra alternativa é considerar os elementos da ISO 27001 para cada estágio do ITIL e implementá-los em sequência de acordo com um cronograma de implementação do ITIL.

    Para mais informações sobre a implementação da ISO 27001 e ITIL, veja estes materiais: Diagrama para a implementação da ISO 27001:2013 e ITIL implementation diagram.

    O importante aqui é que você veja a ISO 27001 e o ITIL como materiais complementares que podem ajudar uma organização a prover serviços ao cliente com a segurança apropriada.

    Para saber mais sobre como implementar a ISO 27001, veja este ISO 27001:2013 Lead Implementer Online Course.

    Nós agradecemos a Rhand Leal pela tradução para o português.

    Advisera Rhand Leal
    Autor
    Rhand Leal
    Rhand Leal tem 10 anos de experiência em segurança da informação, e por 6 anos manteve um sistema de gestão de segurança da informação baseado na ISO 27001. Rhand possui uma especialização em Gestão de Negócios pela Fundação Getúlio Vargas. Entre suas certificações estão: ISO 27001 Lead Auditor, Certified Information Security Manager (CISM), Certified Information Systems Security Professional (CISSP), entre outras. Ele é membro do Capítulo Brasília do ISACA.