{"id":7754,"date":"2015-11-10T07:26:14","date_gmt":"2015-11-10T07:26:14","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/blog\/015\/11\/10\/using-itil-to-implement-iso-27001-incident-management-2\/"},"modified":"2022-12-29T09:05:59","modified_gmt":"2022-12-29T09:05:59","slug":"usando-o-itil-para-implementar-a-gestao-de-incidentes-da-iso-27001","status":"publish","type":"post","link":"https:\/\/advisera.com\/27001academy\/pt-br\/blog\/2015\/11\/10\/usando-o-itil-para-implementar-a-gestao-de-incidentes-da-iso-27001\/","title":{"rendered":"Usando o ITIL para implementar a gest\u00e3o de incidentes da ISO 27001"},"content":{"rendered":"

A gest\u00e3o de incidente \u00e9 um dos processos chave para assegurar a efic\u00e1cia de qualquer opera\u00e7\u00e3o de neg\u00f3cio. Com maior ou menor sofistica\u00e7\u00e3o e maturidade, praticamente qualquer organiza\u00e7\u00e3o possui pr\u00e1ticas implementadas para lidar com eventos indesejados, e algumas destas pr\u00e1ticas s\u00e3o t\u00e3o lugar comum que se tornaram boas pr\u00e1ticas de mercado e base para normas mundiais.<\/p>\n

Sendo uma pr\u00e1tica mais antiga, a gest\u00e3o de incidentes do ITIL<\/a> tem ajudado muitas organiza\u00e7\u00f5es a bastante tempo a lidar com incidentes de Tide modo a rapidamente restaurar as opera\u00e7\u00f5es do neg\u00f3cio. Contudo, com a crescente preocupa\u00e7\u00e3o com a seguran\u00e7a da informa\u00e7\u00e3o, e a ado\u00e7\u00e3o de SGSI certificados pela ISO 27001<\/a>, profissionais est\u00e3o enfrentando um novo desafio: preservar a efic\u00e1cia do processo de gest\u00e3o de incidentes do ITIL e ao mesmo tempo obter conformidade com os requisitos da ISO 27001.<\/p>\n

Neste artigo, apresentarei o que uma organiza\u00e7\u00e3o deveria considerar para assegurar que o processo de gest\u00e3o de incidentes do ITIL esteja em conformidade com os requisitos da ISO 27001 para a certifica\u00e7\u00e3o de um SGSI<\/a><\/u>, considerando similaridades, lacunas e orienta\u00e7\u00f5es para atingir o alinhamento.<\/p>\n

Gest\u00e3o de incidente do ITIL<\/h2>\n

Como parte da opera\u00e7\u00e3o de servi\u00e7os, a gest\u00e3o de incidente visa gerenciar o ciclo de vida de todos os incidentes. Seu objetivo prim\u00e1rio \u00e9 o retorno do servi\u00e7o de TI para os usu\u00e1rios t\u00e3o rapidamente quanto poss\u00edvel. Os sub-processos da gest\u00e3o de incidente e seus objetivos s\u00e3o:<\/p>\n

Suporte a Gest\u00e3o de Incidente:<\/em><\/strong> visa prover e manter os recursos (ex.: ferramentas, processos, habilidades e regras) para uma tratativa eficaz e eficiente de incidentes.<\/p>\n

Categoriza\u00e7\u00e3o e Registro de Incidente:<\/em><\/strong> visa registrar e priorizar incidentes com a dilig\u00eancia apropriada, facilitando a resolu\u00e7\u00e3o r\u00e1pida e eficaz.<\/p>\n

Resolu\u00e7\u00e3o de Incidente:<\/em><\/strong> visa resolver incidentes dentro de prazos definidos acordados, considerando solu\u00e7\u00f5es de contorno, n\u00edveis de suporte e incidentes maiores. Ele pode iniciar o processo de gest\u00e3o de problemas.<\/p>\n

Monitoramento e Escalada de Incidente:<\/em><\/strong> visa continuamente monitorar a situa\u00e7\u00e3o do processamento de incidentes, assegurando a implementa\u00e7\u00e3o de contramedidas apropriadas em tempo h\u00e1bil se os n\u00edveis de servi\u00e7o t\u00eam a possibilidade de serem afetados.<\/p>\n

Fechamento e Avalia\u00e7\u00e3o de Incidente:<\/em><\/strong> visa assegurar que o incidente est\u00e1 realmente resolvido e que todas as informa\u00e7\u00f5es relevantes foram fornecidas para uso futuro (ex.: melhoria do processo, a\u00e7\u00e3o legal, etc.).<\/p>\n

Informa\u00e7\u00e3o Proativa do Usu\u00e1rio<\/em>:<\/strong> visa informar aos usu\u00e1rios de falhas e alertas de servi\u00e7o, de forma que eles estejam em posi\u00e7\u00e3o de se ajustar a interrup\u00e7\u00f5es e eventos, reduzindo o n\u00famero de chamadas feitas por usu\u00e1rios.<\/p>\n

Reporte da Gest\u00e3o de Incidente:<\/em><\/strong> visa fornecer informa\u00e7\u00e3o relacionada a incidente para outros processos de gest\u00e3o de servi\u00e7o, e para assegurar que melhorias potenciais s\u00e3o desenvolvidas a partir de incidentes.<\/p>\n

Conformidade com a ISO 27001<\/h2>\n

Para lidar com a gest\u00e3o de incidentes, a ISO 27001 possui cl\u00e1usulas e toda uma categoria no anexo<\/a> (A.16 \u2013 Gest\u00e3o de incidentes<\/a> de seguran\u00e7a da informa\u00e7\u00e3o).<\/p>\n

Estas cl\u00e1usulas cobrem os sete sub-processos do ITIL mencionados na se\u00e7\u00e3o anterior, e precisam de pouco a nenhum ajuste para assegurar conformidade:<\/span><\/p>\n\n\n\n\n\n\n\n\n\n\n\n
Cl\u00e1usulas da ISO 27001<\/td>\nSub-processos da Gest\u00e3o de Incidente do ITIL<\/td>\n<\/tr>\n<\/thead>\n
5.1 \u2014 Lideran\u00e7a e comprometimento<\/td>\nO Suporte a Gest\u00e3o de Incidente claramente declara a necessidade por recursos, habilidade e conhecimento.<\/td>\n<\/tr>\n
7.2 \u2014 Compet\u00eancia<\/td>\n<\/tr>\n
5.3 \u2014 Autoridades, responsabilidades e pap\u00e9is organizacionais<\/td>\nPara todos os sub-processos, responsabilidades s\u00e3o definidas apenas com rela\u00e7\u00e3o ao processo de gest\u00e3o de incidente (ex.: gerente de incidente, equipe de suporte \u00e0 incidente, etc.). Uma organiza\u00e7\u00e3o deveria definir quais pap\u00e9is de neg\u00f3cio espec\u00edficos (ex.: gerente de produ\u00e7\u00e3o, gerente de relacionamento com o cliente, etc.) est\u00e3o inclu\u00eddos no processo de gest\u00e3o de incidente<\/a>. Para procedimentos, a necessidade est\u00e1 clara (por meio de solu\u00e7\u00f5es de contorno e crit\u00e9rios de escalada).<\/td>\n<\/tr>\n
A.16.1.1 \u2014 Responsabilidades e procedimentos<\/td>\n<\/tr>\n
A.16.1.4 \u2014 Avalia\u00e7\u00e3o e decis\u00e3o dos eventos de seguran\u00e7a da informa\u00e7\u00e3o<\/td>\nO Registro<\/a> de Incidente e como lidar com o incidente devem ser definidos.<\/td>\n<\/tr>\n
A.16.1.5 \u2014 Resposta aos incidentes de seguran\u00e7a da informa\u00e7\u00e3o<\/td>\nA Resolu\u00e7\u00e3o de Incidente claramente cobre o objetivo deste controle.<\/td>\n<\/tr>\n
A.16.1.6 \u2014 Aprendendo com os incidentes de seguran\u00e7a da informa\u00e7\u00e3o<\/td>\nO Reporte da Gest\u00e3o de Incidente \u00e9 uma fonte clara para prover melhoria cont\u00ednua para o SGSI.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

 <\/p>\n

Existem algumas lacunas no processo de Gest\u00e3o de Incidente do ITIL que podem ser resolvidos pela aplica\u00e7\u00e3o de controles da ISO 27001:<\/p>\n\n\n\n\n\n\n\n
Sub-processo da Gest\u00e3o de Incidente do ITIL<\/td>\nLacuna<\/td>\nControle do Anexo A da ISO 27001<\/td>\n<\/tr>\n<\/thead>\n
Informa\u00e7\u00e3o Proativa do Usu\u00e1rio<\/td>\nO fluxo de comunica\u00e7\u00e3o \u00e9 claro apenas do processo para os usu\u00e1rios. O processo deveria prover formas claras para os usu\u00e1rios comunicarem evento e fragilidades de seguran\u00e7a (ex.: em formul\u00e1rios na Intranet da organiza\u00e7\u00e3o, uma linha telef\u00f4nica, etc.).<\/td>\nA.16.1.2 \u2013 Notifica\u00e7\u00e3o de eventos de seguran\u00e7a da informa\u00e7\u00e3o<\/td>\n<\/tr>\n
A.16.1.3 \u2013 Notificando fragilidades de seguran\u00e7a da informa\u00e7\u00e3o<\/td>\n<\/tr>\n
Resolu\u00e7\u00e3o de Incidente<\/td>\nN\u00e3o \u00e9 claro como informa\u00e7\u00e3o e evid\u00eancia material deveriam ser tratadas, para assegurar sua aceita\u00e7\u00e3o legal. Um procedimento forense deveria ser considerado.<\/td>\nA.16.1.7 \u2013 Coleta de evid\u00eancias<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

 <\/p>\n

Embora n\u00e3o sejam cr\u00edticos para os processos, os seguintes controles do Anexo A da ISO 27001 podem melhorar a gest\u00e3o de Incidente do ITIL, e ao mesmo tempo assegurar a conformidade de outros processos do ITIL com os requisitos da ISO 27001:<\/p>\n\n\n\n\n\n\n\n
Sub-processo da Gest\u00e3o de Incidente do ITIL<\/td>\nControle do Anexo A da ISO 27001<\/td>\nMelhoria potencial<\/td>\n<\/tr>\n<\/thead>\n
Nenhum processo espec\u00edfico da gest\u00e3o de incidente<\/td>\nA.11.2.4 \u2013 Manuten\u00e7\u00e3o dos equipamentos<\/td>\nManuten\u00e7\u00e3o adequada assegura a disponibilidade e integridade continua dos ativos, reduzindo a probabilidade de ocorr\u00eancia de incidentes.<\/td>\n<\/tr>\n
Suporte a Gest\u00e3o de Incidente<\/td>\nA.12.1.3 \u2013 Gest\u00e3o de capacidade<\/td>\nAssegura a conformidade do processo de gest\u00e3o de capacidade do ITIL com a ISO 27001.<\/p>\n

Um melhor entendimento da capacidade atual e demandas futuras pode melhorar a aloca\u00e7\u00e3o de recursos para lidar melhor lidar com incidente com redu\u00e7\u00e3o de custos.<\/td>\n<\/tr>\n

Monitoramento e Escalada de Incidente<\/td>\nA.12.4.1 \u2013 Registros de eventos<\/td>\nPode ajudar a aumentar \/ organizar informa\u00e7\u00e3o dispon\u00edvel, reduzindo a probabilidade de ocorr\u00eancia de incidentes e o tempo de resposta.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

 <\/p>\n

N\u00e3o reinvente a roda. Melhore-a!<\/strong><\/h2>\n

Como dito anteriormente, a gest\u00e3o de incidente do ITIL h\u00e1 muito tempo vem ajudando organiza\u00e7\u00f5es ao redor do mundo a tratar de forma eficaz eventos de TI n\u00e3o desejados, mas como a gest\u00e3o da seguran\u00e7a da informa\u00e7\u00e3o est\u00e1 se tornando uma preocupa\u00e7\u00e3o da alta dire\u00e7\u00e3o, gestores de TI deveriam estar preparados para incluir novas fontes de requisitos sem perda de desempenho.<\/p>\n

Meu conselho nesta situa\u00e7\u00e3o \u00e9: conhe\u00e7a bem estes novos requisitos, e melhor ainda, seus processos. Uma vez que o ITIL e a ISO 27001 s\u00e3o baseadas em melhores pr\u00e1ticas mundiais, elas ter\u00e3o muito em comum, e sabendo disso, e tirando vantagem do que j\u00e1 existe e pode ser integrado, isso se provar\u00e1 muito \u00fatil para sua equipe e os recursos da organiza\u00e7\u00e3o.<\/p>\n

Este\u00a0<\/em>ITSM Incident Management Toolkit<\/a> lhe d\u00e1 muita ajuda para cumprir os requisitos de gerenciamento de incidentes da ISO 27001.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"

A gest\u00e3o de incidente \u00e9 um dos processos chave para assegurar a efic\u00e1cia de qualquer opera\u00e7\u00e3o de neg\u00f3cio. Com maior ou menor sofistica\u00e7\u00e3o e maturidade, praticamente qualquer organiza\u00e7\u00e3o possui pr\u00e1ticas implementadas para lidar com eventos indesejados, e algumas destas pr\u00e1ticas s\u00e3o t\u00e3o lugar comum que se tornaram boas pr\u00e1ticas de mercado e base para normas …<\/p>\n","protected":false},"author":41,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[310],"tags":[906,907],"class_list":["post-7754","post","type-post","status-publish","format-standard","hentry","category-blog-pt-br","tag-iso-27001-pt-br","tag-itil-pt-br"],"acf":[],"_links":{"self":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/7754","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/users\/41"}],"replies":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/comments?post=7754"}],"version-history":[{"count":0,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/7754\/revisions"}],"wp:attachment":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media?parent=7754"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/categories?post=7754"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/tags?post=7754"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}