Antes de falarmos desse processo propriamente dito, acho que vale a pena tratarmos um pouco do assunto segurança da informação. O papo que informação é o ativo mais importante da empresa não é novo e, apesar de ser realmente uma verdade, as empresas só entenderam a mensagem apenas de alguns anos para cá. Ok, ok, sei que algumas empresas levam esse assunto a sério a algum tempo, mas não é a realidade da maioria. Quer ver? Quem conhece alguma empresa onde os funcionários deixam sobre suas mesas informações relevantes de reuniões realizadas, cópias de minutas de contrato e outras coisas que possam ser utilizadas por outras pessoas de alguma forma? Pois é... isso acontece lá no Japão e não aqui nas nossas empresas!!! (brincadeirinha...)
Tendo a nítida noção de que Segurança da Informação é assunto sério e relevante, o ITIL, na versão 3, a promoveu a processo dentro do Ciclo de vida do Serviço. O processo de Gerenciamento da Segurança da Informação possui, portanto, quatro grandes objetivos, a saber:
Vocês estão percebendo alguma semelhança do ITIL com as normas ISO (família 27000) que tratam de segurança da informação? Pois é, o ITIL se baseou exatamente nessas normas para escrever o seu processo. Assim sendo, não nos surpreende o ITIL ter adotado exatamente o mesmo ciclo PDCA descrito nas referidas normas.
Para o ITIL, o processo de Gerenciamento da Segurança da Informação deveria ser o ponto focal para todas as questões de segurança da informação e deveria, insistentemente, garantir que uma Política de Segurança da Informação fosse criada, atualizada e que cobrisse todos os pontos de informações de TI. Para isso criou o SGSI – Sistema de Gerenciamento de Segurança da Informação. Assim como faz em outros processos, o ITIL não descreve o SGSI como uma ferramenta única, mas sim como um grupo de instrumentos capazes de permitir o gerenciamento. Neste caso, o ITIL sugere que o SGSI deva seguir o padrão da ISO 27001.
Já que falamos da Política de Segurança, acho legal dizermos que ela não pode ser muito genérica, em que pese a possibilidade de ser inócua, nem pode ser muito densa, para evitar o engessamento da organização. Além disso, não se faz Política de Segurança sem o patrocínio do alto escalão da empresa e sem uma devida divulgação para todos, inclusive os clientes. Como sugestão, o ITIL aponta que a Política de Segurança da Informação deveria estar referenciada em todos os RNS, ANS, ANO e contratos adjacentes, além de ser revisada pelo menos uma vez ao ano.
Continuaremos a falar de outros processos da etapa do Desenho do Serviço nas próximas postagens!
Vamos em frente que atrás vem gente!!!
Tendo a nítida noção de que Segurança da Informação é assunto sério e relevante, o ITIL, na versão 3, a promoveu a processo dentro do Ciclo de vida do Serviço. O processo de Gerenciamento da Segurança da Informação possui, portanto, quatro grandes objetivos, a saber:
- Disponibilidade: Garantir que a informação esteja disponível e utilizável quando requerida
- Confidencialidade: Garantir que a informação é observada e divulgada somente àqueles que têm direitos de saber.
- Integridade: Garantir que a informação esteja completa, acurada e protegida contra modificações não autorizadas.
- Autenticidade e não-repúdio: Garantir que a troca de informações comerciais entre as empresas sejam confiáveis.
Vocês estão percebendo alguma semelhança do ITIL com as normas ISO (família 27000) que tratam de segurança da informação? Pois é, o ITIL se baseou exatamente nessas normas para escrever o seu processo. Assim sendo, não nos surpreende o ITIL ter adotado exatamente o mesmo ciclo PDCA descrito nas referidas normas.
Para o ITIL, o processo de Gerenciamento da Segurança da Informação deveria ser o ponto focal para todas as questões de segurança da informação e deveria, insistentemente, garantir que uma Política de Segurança da Informação fosse criada, atualizada e que cobrisse todos os pontos de informações de TI. Para isso criou o SGSI – Sistema de Gerenciamento de Segurança da Informação. Assim como faz em outros processos, o ITIL não descreve o SGSI como uma ferramenta única, mas sim como um grupo de instrumentos capazes de permitir o gerenciamento. Neste caso, o ITIL sugere que o SGSI deva seguir o padrão da ISO 27001.
Já que falamos da Política de Segurança, acho legal dizermos que ela não pode ser muito genérica, em que pese a possibilidade de ser inócua, nem pode ser muito densa, para evitar o engessamento da organização. Além disso, não se faz Política de Segurança sem o patrocínio do alto escalão da empresa e sem uma devida divulgação para todos, inclusive os clientes. Como sugestão, o ITIL aponta que a Política de Segurança da Informação deveria estar referenciada em todos os RNS, ANS, ANO e contratos adjacentes, além de ser revisada pelo menos uma vez ao ano.
Continuaremos a falar de outros processos da etapa do Desenho do Serviço nas próximas postagens!
Vamos em frente que atrás vem gente!!!
Nenhum comentário:
Postar um comentário