Revista hospedada em: http://revistas.facecla.com.br/index.

php/reinfo
Forma de avaliao: double blind review


Esta revista (e sempre foi) eletrnica para ajudar a proteger o meio ambiente. Agora
ela volta a ser diagramada em uma nica coluna, para facilitar a leitura na tela do
computador. Mas, caso deseje imprimir esse artigo, saiba que ele foi editorado com
uma fonte mais ecolgica, a Eco Sans, que gasta menos tinta.

Revista Eletrnica de Sistemas de Informao, v. 8, n. 2, artigo 4 1
GERENCIAMENTO DE SEG GERENCIAMENTO DE SEG GERENCIAMENTO DE SEG GERENCIAMENTO DE SEGURANA SEGUNDO ITIL: URANA SEGUNDO ITIL: URANA SEGUNDO ITIL: URANA SEGUNDO ITIL: UM UM UM UM
ESTUDO DE CASO EM UM ESTUDO DE CASO EM UM ESTUDO DE CASO EM UM ESTUDO DE CASO EM UMA ORGANIZAO INDUST A ORGANIZAO INDUST A ORGANIZAO INDUST A ORGANIZAO INDUSTRIAL RIAL RIAL RIAL
DE GRANDE PORTE DE GRANDE PORTE DE GRANDE PORTE DE GRANDE PORTE
SECURITY SECURITY SECURITY SECURITY MANAGEMENT WITH ITIL MANAGEMENT WITH ITIL MANAGEMENT WITH ITIL MANAGEMENT WITH ITIL: A CASE STUDY IN A : A CASE STUDY IN A : A CASE STUDY IN A : A CASE STUDY IN A LARGE LARGE LARGE LARGE
INDUSTRIAL ORGANIZAT INDUSTRIAL ORGANIZAT INDUSTRIAL ORGANIZAT INDUSTRIAL ORGANIZATION ION ION ION
(artigo submetido em novembro de 2009)
Vivaldo Jos Breternitz Vivaldo Jos Breternitz Vivaldo Jos Breternitz Vivaldo Jos Breternitz
Faculdade de Computao e Informtica - Universidade Presbiteriana
Mackenzie (UPM)
vjbreternitz@mackenzie.br

Francisco Navarro Neto Francisco Navarro Neto Francisco Navarro Neto Francisco Navarro Neto
Faculdade de Computao e Informtica - Universidade Presbiteriana
Mackenzie (UPM)
fnneto@yahoo.com.br

Alexandre Franco Navarro Alexandre Franco Navarro Alexandre Franco Navarro Alexandre Franco Navarro
Faculdade de Computao e Informtica - Universidade Presbiteriana
Mackenzie (UPM)
afnavarro@gmail.com
ABSTRACT ABSTRACT ABSTRACT ABSTRACT
In an environment in which organizations increasingly depend on the quality of their
information systems to provide services and produce goods in an appropriate manner, it is
vital to adopt tools to ensure this quality. One of the most used tools for this purpose is the
Information Technology Infrastructure Library (ITIL), in which the module that deals with
security management is one of the most important. The objective of this study was to
understand how ITIL is used in the process of security management in a large industrial
organization, as this understanding may bring useful knowledge to people who are faced with
similar situations. This case study was done through semi-structured interviews that allowed
the comparison between the ITIL principles to the subject and the practices adopted by the
organization object of study.
Key-words: ITIL; information security; IT governance; security management; service level
agreement.
RESUMO RESUMO RESUMO RESUMO
Em um ambiente no qual as organizaes dependem cada vez mais da qualidade de seus
servios de Tecnologia da Informao para poderem prestar servios e produzirem bens de
forma adequada, torna-se vital adotar ferramentas que garantam essa qualidade. Uma das
ferramentas mais utilizadas para esse fim a biblioteca ITIL (Information Technology
Infrastructure Library), que possui um mdulo que trata de gerenciamento da segurana. O
objetivo da pesquisa apresentada neste trabalho foi compreender a forma pela qual a ITIL
utilizada no processo de gerenciamento de segurana na rea de TI de uma organizao
industrial de grande porte, o que pode gerar conhecimentos teis aos que venham a atuar em
situaes similares. Essa compreenso foi obtida por meio de um estudo de caso, realizado
com aplicao de entrevistas semiestruturadas que permitiram a comparao entre as
propostas de ITIL para o tema e as prticas adotadas pela organizao objeto do estudo.
Palavras-chave: ITIL; segurana da informao; governana de TI; gerenciamento de seguran-
a; acordo de nvel de servio.
2 Revista Eletrnica de Sistemas de Informao, v. 8, n. 2, artigo 4
1 11 1 INTRODUO INTRODUO INTRODUO INTRODUO
Atualmente a qualidade de produtos e servios um grande
diferencial para as organizaes, em um ambiente em que a concorrncia
entre elas cada vez mais acirrada. A qualidade deve estar presente em
todas as fases dos processos produtivos, uma vez que um produto ou
servio integralmente desenvolvido com qualidade, alm de agregar valor
ao cliente, evita perdas para o fornecedor.
Outra constante no cotidiano das organizaes o valor que as
informaes agregam ao negcio. Essas informaes vo desde procedi-
mentos internos da organizao e dados de seus sistemas transacionais
at segredos de negcio e informaes sigilosas de clientes. Nesse
ambiente, vital a adoo de medidas que possam garantir a segurana
das informaes ou, ao menos, reduzir a possibilidade de sinistros.
Dentre essas medidas, est a implementao de uma governana de
TI eficaz, entendida como um conjunto de mecanismos que estimulam
comportamentos consistentes com a misso, a estratgia, os valores, as
normas e a cultura da organizao (WEILL; ROSS, 2006).
Uma das ferramentas que pode ser utilizada para a prtica da
governana de TI a ITIL (Information Technology Infrastructure Library),
uma biblioteca de melhores prticas de governana de TI, frequentemente
citada como um dos mais populares frameworks para governana de TI
(RUDD, 2004). A utilizao da ITIL vem crescendo nos ltimos anos, em
decorrncia no apenas do aumento da demanda por governana de TI,
como tambm da evoluo da prpria ITIL, que j est em sua terceira
verso.
Nesses termos, o objetivo da pesquisa aqui relatada foi compreender
a forma pela qual a ITIL utilizada no processo de gerenciamento de
segurana na rea de TI de uma organizao industrial de grande porte,
que no mbito deste trabalho ser chamada organizao. Essa compreen-
so pode gerar conhecimentos teis aos que venham a atuar em situaes
similares.
2 22 2 ASPECTOS METODOLGIC ASPECTOS METODOLGIC ASPECTOS METODOLGIC ASPECTOS METODOLGICOS OS OS OS
Este trabalho apresenta os resultados de uma pesquisa exploratria
qualitativa, desenvolvida com base em um estudo de caso.
Selltiz et al. (1987) dizem que a pesquisa exploratria proporciona
maior familiaridade com o problema, com vista a torn-lo mais explcito ou
construir hipteses para posterior investigao mais profunda, tendo como
objetivo tambm aprimorar ideias e despertar intuies. Na maioria dos
casos, isso envolve levantamentos bibliogrficos, entrevistas com pessoas
que tiveram experincias prticas com o problema e anlise de exemplos
que estimulem a compreenso do assunto.

Revista Eletrnica de Sistemas de Informao, v. 8, n. 2, artigo 4 3
Na pesquisa relativa ao objeto desse trabalho a opo foi por uma
abordagem qualitativa. Assim, as perguntas elaboradas no possibilitam
respostas mensurveis, na maioria das vezes, e, quando so mensurveis,
no o so de forma precisa. Mattar (2001) e Malhotra (2008) afirmam que,
em situaes como essa, considerar apenas a pesquisa quantitativa pode
levar a resultados muito superficiais e talvez incorretos.
Miles (1979) afirma que o enfoque qualitativo tem obtido crescente
popularidade na pesquisa organizacional, pelo seu carter rico, holstico e
real. Segundo Malhotra (2008), a abordagem qualitativa proporciona
melhor viso e compreenso do contexto do problema, de modo que, ao
se abordar um novo problema, a pesquisa quantitativa deve ser precedida
de pesquisa qualitativa apropriada. Miles e Huberman (1994) consideram
que a pesquisa qualitativa leva a um contato intenso com o objeto sob
estudo, o que acaba produzindo um conhecimento mais profundo dele.
Cabe ressaltar que as estratgias de pesquisa quantitativa e as de
pesquisa qualitativa no so mutuamente excludentes. Estudos futuros do
objeto de pesquisa desse trabalho podem vir a exigir a adoo de procedi-
mentos quantitativos.
Mattar (2001) afirma que o estudo de casos um mtodo muito
produtivo para estimular a compreenso e ampliar os conhecimentos
sobre o problema em estudo. Diz tambm no existirem regras para a
escolha dos casos a serem trabalhados e que a experincia mostra que
casos que refletem situaes extremas podem ser de melhor aproveita-
mento, talvez ajudando a estabelecer padres ou esteretipos que podem
no ser totalmente indesejveis. Na viso desse autor, no estudo de casos
mdios, pode-se conseguir enxergar apenas pequenas diferenas,
tornando a pesquisa menos til.
Yin (2005), ao comparar o estudo de caso com outros mtodos como
experimento, survey etc., diz que essa estratgia de pesquisa a mais
indicada para responder a questes do tipo "como" e "por que", espe-
cialmente quando o pesquisador no tem controle sobre o comportamento
dos eventos.
Nesses termos, justifica-se a escolha, como objeto da pesquisa, de
uma organizao industrial de grande porte, com uma rea de TI
atendendo a problemas complexos. Foram realizadas no primeiro semes-
tre de 2009 entrevistas semi-estruturadas com seis profissionais da rea
de TI dessa empresa, em nvel de gerncia, tendo o resultado da anlise
dos dados coletados passado por um processo de validao junto a eles.
O roteiro das entrevistas abordou alm dos processos relativos
segurana de informao temas como o alinhamento estratgico entre TI
e negcios, gerenciamento de risco, governana de TI etc. O roteiro bsico
das entrevistas compreendeu os pontos que se seguem:
- Razes da adoo de ITIL
- Importncia atribuda pela organizao aos ativos de TI
- Situao anterior implementao de ITIL
- Durao do processo de implementao
4 Revista Eletrnica de Sistemas de Informao, v. 8, n. 2, artigo 4
- Ordem de implementao das diversas disciplinas
- Profissionais responsveis pela implementao
- Problemas encontrados
- Situao atual em termos de estrutura e procedimentos formais,
mtricas
- Utilizao de ferramentas de software nas atividades rotineiras
ligadas a ITIL
- Forma de utilizao do gerenciamento de segurana
- Aspectos ligados a auditoria
- Percepo dos envolvidos quanto efetiva utilidade de ITIL para a
organizao e sobre o nvel de aderncia s prticas ITIL

No houve autorizao para gravao das entrevistas. Imediatamente
aps a realizao, de cada uma, as notas tomadas pelos pesquisadores
eram complementadas, com o objetivo de reter o maior volume de dados
possvel. Concludas as entrevistas, foram os dados organizados, servindo
de base para discusso e anlise entre os pesquisadores, onde se
procurou identificar os aspectos relevantes, que poderiam atender aos
objetivos da pesquisa. Em alguns casos, quando se julgou necessrio
esclarecer pontos especficos, os entrevistados foram contatados nova-
mente, por telefone ou correio eletrnico; concludo o processo de anlise,
foram as concluses submetidas aos entrevistados para validao.
3 33 3 FUNDAMENTAO TERIC FUNDAMENTAO TERIC FUNDAMENTAO TERIC FUNDAMENTAO TERICA AA A
Esta seo tem como objetivo apresentar os principais conceitos
acerca dos temas centrais deste trabalho: segurana da informao e
riscos, governana de TI e ITIL.
3.1 SEGURANA DA INFORMAO E RISCOS
No passado, as preocupaes com segurana da informao restrin-
giam-se praticamente integridade das instalaes de processamento de
dados e possibilidade de prejuzos financeiros em funo de fraudes,
estas ltimas basicamente no mbito das instituies financeiras. Mais
recentemente, este contexto se expandiu. Aps a lei Sarbanes-Oxley, o
paradigma de segurana alterou-se, de forma que manter o controle dos
processos de segurana tornou-se uma tarefa crucial, porque tais
processos afetam diretamente o negcio (BLOEM; VAN DOORN; MITTAL,
2006).
A segurana de informao implementada por meio de planos de
segurana, que devem contemplar os processos de toda a organizao.
Segundo Bishop (2003), a implantao destes planos envolve:
- requisitos de segurana: as necessidades de segurana variam de
uma organizao para outra. Uma pequena oficina mecnica certa-
mente no possui os mesmos requisitos de segurana de um banco.
Estes requisitos devem ser determinados pela organizao com a
ajuda de uma equipe de segurana da informao e devem ser

Revista Eletrnica de Sistemas de Informao, v. 8, n. 2, artigo 4 5
claros e especficos, pois sero a base de toda a poltica de segu-
rana. Eles devem ser analisados em profundidade, porque diferen-
tes sistemas podem ter requisitos de segurana distintos dentro de
uma mesma organizao;
- poltica de segurana, que estabelece as regras de segurana da
organizao. Basicamente, expressa em um documento que define
os comportamentos desejveis dos sistemas e usurios de TI de uma
organizao. Quando o sistema opera de acordo com a poltica,
pode-se dizer que o sistema seguro (caso contrrio, no, e
medidas devem ser tomadas para se corrigir a situao);
- mecanismos de segurana: garantem que a poltica de segurana
ser seguida dentro da organizao. Estes mecanismos podem ser
tcnicos, como a utilizao de firewalls, ou burocrticos, como
penalidades queles que desobedecerem a uma determinada regra.
O importante que esses mecanismos, unidos, sejam vistos como
uma poltica de segurana a ser aplicada em toda a organizao; e
- avaliaes de segurana: consistem em certificar-se de que os
requisitos, polticas e mecanismos de segurana existentes esto
sendo seguidos e ainda se encontram de acordo com as necessi-
dades do negcio, gerando informaes para alteraes, quando for
o caso.
Alm dos problemas de natureza humana, com as pessoas
frequentemente negligenciando aspectos relativos segurana, por
consider-los pouco importantes e geradores de custos e de trabalhos
adicionais, h que se lembrar que, no caso de sistemas de informaes
baseados em computadores, h aspectos peculiares a serem conside-
rados, dentre os quais o fato desses sistemas serem, como diz Schneier
(2001):
- complexos: pois possuem diversos componentes internos, cuja
relao poucas vezes inteiramente conhecida, ou seja, uma falha
em um destes componentes pode gerar resultados inesperados em
outro;
- interativos: os sistemas se relacionam entre si, o que aumenta ainda
mais sua complexidade e torna pouco eficaz a verificao isolada de
um nico sistema;
- emergentes: devido interatividade, os sistemas assumem carac-
tersticas no projetadas originalmente, adquirindo novas funciona-
lidades, como por exemplo, as capacidades de multimdia integradas
Internet; e, principalmente,
- falveis: os sistemas usualmente possuem falhas de concepo,
projeto e construo, e muitas destas acabam por causar ameaas
de segurana. A correo destas falhas deve levar em considerao
os fatores anteriormente descritos, o que torna esse processo ainda
mais complexo.
6 Revista Eletrnica de Sistemas de Informao, v. 8, n. 2, artigo 4
Esses aspectos mostram o quanto difcil administrar o assunto
segurana da informao, e que garantir 100% de segurana em qualquer
sistema uma tarefa rdua, quase impossvel, pois a segurana envolve
tantos aspectos que por mais que se adotem meios de defesa, ainda
existiro vulnerabilidades impedindo que o sistema seja totalmente
seguro.
Assim sendo, pode-se dizer que a busca pela segurana de TI , na
prtica, o gerenciamento do risco representado pela perda, indisponibi-
lidade temporria ou mau uso da informao (WINKLER, 2007). Gerencia-
mento de risco, segundo Kerzner (2003), pode ser entendido como o ato
de lidar com o risco. Inclui atividades como avaliar a probabilidade da
ocorrncia de sinistros, desenvolver estratgias para lidar com o risco e
monitorar os riscos para determinar como eles evoluem.
Observa-se ento que para o processo de segurana ser eficiente,
deve ser acompanhado de perto pela alta administrao da organizao.
Afinal, so os interesses maiores do negcio que devem ditar as reais
necessidades e prioridades da segurana. A fim de obter a devida ateno
dos altos nveis da organizao, deve-se criar um modelo de gesto que
deixe clara a necessidade do acompanhamento desse processo em todos
os nveis, e uma boa maneira para se chegar a tal modelo por meio da
governana de TI.
3.2 GOVERNANA DE TI
De acordo com Weill e Ross (2006, p. 2), a governana de TI pode ser
considerada a especificao dos direitos decisrios e do framework de
responsabilidades para estimular comportamentos desejveis na utilizao
da TI. Dentre esses direitos decisrios esto os relativos ao papel
estratgico que a TI exerce no ambiente de negcios, a arquitetura
adequada, a infraestrutura, os processos operacionais, os investimentos
etc.
Esses mesmos autores lembram que os ativos de TI esto entre os
principais ativos de uma organizao, devendo por essa razo ser objeto
de especial ateno no contexto da governana corporativa, para que
possam criar valor para a organizao.
Para que se crie valor, deve-se procurar minimizar as possibilidades
de ocorrncia de falhas que gerem riscos no ambiente de TI. Uma das
formas de se fazer isso pela utilizao da disciplina gerenciamento de
segurana, que est contida na ITIL, que um dos mais utilizados
frameworks para implementao da governana de TI, como j se disse
(RUDD, 2004).
3.3 ITIL
A biblioteca ITIL foi desenvolvida por rgos do governo britnico no
final da dcada de 1980 e tem como foco principal a operao e a gesto
da infraestrutura de TI na organizao, incluindo todos os pontos impor-
tantes no fornecimento dos servios prestados pela rea (OGC, 2004).

Revista Eletrnica de Sistemas de Informao, v. 8, n. 2, artigo 4 7
A ITIL descreve os processos que so necessrios para dar suporte
adequado utilizao e ao gerenciamento da infraestrutura de TI, levando
em conta tambm os custos envolvidos, de forma que se possa perceber
como estes trazem valor estratgico ao negcio. Em meados de 2007, foi
lanada sua verso 3.0, composta por cinco livros, cujo contedo
basicamente o que se segue:
- Estratgia de servios: esse livro aborda principalmente as estrat-
gias, polticas e restries sobre os servios. Inclui tambm temas
como implementao, redes de valor, portflio de servios, geren-
ciamento, gesto financeira e ROI (return on investment - retorno
do investimento);
- Design de servios: nesse livro so tratadas polticas, planejamento
e implementao. baseado nos cinco aspectos principais de
design de servios: disponibilidade, capacidade, continuidade,
gerenciamento de nvel de servio e outsourcing. Tambm esto
presentes informaes sobre gerenciamento de fornecedores e de
segurana da informao;
- Transio de servios: apresenta conceitos sobre o sistema de
gerenciamento do conhecimento dos servios. Tambm aborda
mudanas, riscos e garantia de qualidade. Os processos tratados,
entre outros, so planejamento e suporte, gerenciamento de
mudanas, gerenciamento de ativos e configuraes;
- Operaes de servios: operaes cotidianas de suporte o foco
desse livro, que trata do gerenciamento de service desk, requisi-
es de servios, gerenciamento de incidentes e de problemas,
etc.;
- Melhoria contnua de servios: a nfase do livro est no ciclo
planejar, fazer, verificar e agir, de forma a buscar a melhoria
contnua dos processos detalhados nos quatro livros anteriores,
visando a aprimorar os servios prestados aos clientes e usurios.
Com o lanamento da verso 3.0, procurou-se eliminar redundncias
encontradas nos diversos livros, tornando mais clara e forte a ligao
entre as melhores prticas e os benefcios para o negcio. Essa verso
tem uma abordagem baseada no ciclo de vida, ao contrrio da abordagem
baseada em setores de entrega da verso anterior.
Apesar de j haver sido lanada a verso 3.0, a organizao que foi
objeto desta pesquisa ainda utiliza a verso 2, que composta por sete
livros, a saber:
- Suporte a servios: abrange os processos voltados ao suporte do
dia-a-dia e s atividades para a sua manuteno;
- Entrega de servios: voltado aos processos de planejamento e
entrega dos servios de TI, preocupando-se em garantir um alto
nvel de qualidade a esses servios;
8 Revista Eletrnica de Sistemas de Informao, v. 8, n. 2, artigo 4
- Planejamento para implementar o gerenciamento de servios de TI:
especifica os passos necessrios para identificar como uma
organizao pode alcanar e usufruir os benefcios da ITIL;
- Gerenciamento da infraestrutura de TI e telecomunicaes: aborda
os processos, organizao e ferramentas necessrios ao forneci-
mento de uma infraestrutura estvel de TI e comunicaes;
- Gerenciamento de aplicaes: um guia para o gerenciamento das
aplicaes partindo das necessidades do negcio, passando por
todos os estgios do ciclo de vida de uma aplicao. Este processo
d nfase a assegurar que os projetos de TI e as estratgias
estejam corretamente alinhados com o ciclo de vida da aplicao,
garantindo que o negcio consiga obter o retorno do valor inves-
tido;
- Perspectiva de negcios: auxilia os responsveis por TI a entende-
rem como podem contribuir da melhor forma para os objetivos do
negcio da organizao, alm de demonstrar como as suas funes
e servios podem ser alinhados e aproveitados na organizao; e
- Gerenciamento de segurana: este livro, foco deste trabalho, deta-
lha o processo de planejamento e gerenciamento da segurana da
informao e servios em TI.
Em virtude do advento da verso 3.0, que tende a substituir a verso
2, ser considerado aqui apenas o livro que discute o gerenciamento da
segurana, por ainda estar em uso na organizao.
Segundo o OGC (2004), o gerenciamento de segurana uma
disciplina que gerencia o nvel de segurana da informao definido sobre
os servios de TI. Ele o responsvel por manter o controle sobre os
possveis incidentes de segurana que possam vir a causar danos em
termos de confidencialidade, integridade e disponibilidade da informao,
medindo o seu risco e impacto sobre o negcio. Essa disciplina tem origem
em uma norma britnica para gesto de segurana de informao, a
BS7799, criada em 1995 e que evoluiu at 1999, quando se transformou
na norma ISO/IEC 17799:2000.
O gerenciamento de segurana interage continuamente com as
diversas disciplinas da ITIL, em todos os nveis organizacionais (estrat-
gico, ttico e operacional), como ilustrado na Figura 1 (OGC, 2004). Em
termos de ambiente de TI, diz-se geralmente que o gerenciamento de
segurana usualmente est posicionado no nvel ttico, nos termos
usualmente utilizados em que se considera terem as organizaes trs
nveis: estratgico, ttico e operacional.

Revista Eletrnica de Sistemas de Informao, v. 8, n. 2, artigo 4 9

Figura 1 Gerenciamento de Segurana e a dependncia entre as disciplinas
Fonte: OGC (2004)
No nvel estratgico, o gerenciamento de segurana se compromete a
fornecer as informaes necessrias para o entendimento da alta adminis-
trao a respeito das atividades relacionadas segurana de informao
necessria aos negcios: novas polticas de segurana, seu grau de
importncia e definio das medidas sero tomadas para conter o risco de
uma eventual perda de informao, relacionada a incidentes de seguran-
a, caso o risco esteja definido dentro de uma poltica (OGC, 2004).
No nvel ttico, o gerenciamento de segurana se baseia em Acordos
do Nvel de Servio (SLA Service Level Agreements) celebrados entre a
rea de TI e as reas clientes. Em funo dos nveis acordados, so
criados planos de segurana e definidas as polticas necessrias para
suportar a demanda de informao gerada pelo negcio.
No nvel operacional so aplicadas as polticas definidas no nvel
ttico. Isto assegura o gerenciamento operacional sobre os recursos de TI
(OGC, 2004).
O OGC (2004) divide os requisitos de segurana em dois grandes
grupos: requisitos externos (aqueles derivados de contratos, legislao e
outros fatores externos organizao) e requisitos internos (relacionados
aos acordos de nvel de servio celebrados com os gestores dos sistemas).
Esses requisitos levam gerao de planos de segurana, que, de
acordo com ITIL, so documentos gerados pelo gerente de segurana.
Esses documentos devem conter a situao atual da organizao, metas
especficas a serem cumpridas e a situao almejada no futuro. Definem
ainda as prioridades para o bom andamento dos negcios, seus respon-
sveis e demais envolvidos, alm dos desafios e de como contorn-los, a
fim de manter o nvel de servio em um padro aceitvel.
A Figura 2, adaptada de OGC (2004) mostra de forma esquemtica
como a ITIL v o processo de gerenciamento de segurana:
10 Revista Eletrnica de Sistemas de Informao, v. 8, n. 2, artigo 4

Figura 2 - Processo de Gerenciamento de Segurana
Fonte: adaptado de OGC (2004)
De maneira resumida, as atividades que compem esse processo
podem ser descritas como se segue:
- Planejar: busca garantir que o nvel de segurana foi estabelecido e
definido em conjunto com o cliente, de forma a atender as suas
expectativas. Aqui tambm so definidos polticas, regras, medidas
e manuais de segurana para orientar os envolvidos;
- Implementar: esta atividade tem como objetivo por em prtica as
aes planejadas anteriormente;
- Avaliar: compreende a realizao de auditorias internas e externas
no ambiente, revisando polticas e medidas de segurana, com o
objetivo de descobrir se esto sendo aplicadas corretamente. Esta
atividade garante que o ambiente no foi modificado, permitindo
continuar a cumprir os acordos de SLA pr-estabelecidos. As
ameaas identificadas sero reportadas e analisadas, visando a
evit-las ou minimiz-las;
- Manter: esta atividade atualiza os acordos de SLA e as medidas e
planos de segurana existentes, melhorando-os para que possam
garantir a manuteno e melhoria de qualidade;
- Controlar: a atividade integradora, que garante que o que foi
planejado ser executado;
- Relatar: esta atividade de grande importncia para os usurios,
pois os mantm informados sobre a situao do ambiente de
segurana de TI. Baseia-se principalmente nos resultados das
auditorias e nos indicadores de desempenho do ambiente.

Revista Eletrnica de Sistemas de Informao, v. 8, n. 2, artigo 4 11
O processo de gerenciamento de segurana comea pelo contato com
o cliente, quando se elabora o SLA e se definem suas necessidades. O
processo se repete em um ciclo de retroalimentao e tem como objetivo
revisar as polticas e planos de segurana a fim de encontrar seus pontos
fracos e detectar mudanas no ambiente que possam trazer ameaas
segurana.
De acordo com Tipton e Krause (2008), este processo pode ser
comparado com o Crculo da Qualidade de Deming, que tem como
atividades planejar, fazer, verificar e agir, sempre com a finalidade de
aperfeioar o processo, garantindo uma melhora na qualidade do servio
fornecido.
4 44 4 APRESENTAO DO CASO APRESENTAO DO CASO APRESENTAO DO CASO APRESENTAO DO CASO
A organizao objeto desta pesquisa a operao brasileira de uma
indstria automobilstica, uma montadora de grande porte de origem
estrangeira, com mais de 250 mil empregados no mundo. Sua primeira
fbrica no Brasil foi aberta em 1930.
Sua rea de TI no Brasil conta com cerca de 50 empregados diretos e
cerca de 2.500 terceirizados. Os empregados diretos ocupam cargos de
gerncia e auditoria. Os gerentes usualmente so considerados pontos
focais - ou clientes - dos prestadores de servios terceirizados e esto
distribudos de acordo com as linhas de servio da rea de TI, como
manufatura, sistemas de negcio, redes lgica e fsica, correio eletrnico
etc. Os auditores esto organizados de forma similar, sendo o foco de seu
trabalho a verificao do trabalho executado pelos prestadores de servio
de TI.
A organizao adotou ITIL por considerar este um padro interna-
cional de boas prticas consagrado e por ter conseguido trazer os retornos
esperados em diversas outras organizaes. O processo de implantao
iniciou-se h cerca de dez anos. Primeiramente foi implementada a
disciplina central de servios e incidentes, e a seguir gerenciamento de
problemas, mudanas, configurao, liberao etc. O processo foi condu-
zido por uma prestadora de servios na rea de TI, uma empresa de
grande porte com forte presena no cenrio internacional.
No incio da implantao de ITIL, houve alguns problemas relaciona-
dos adaptao dos usurios e equipes de TI aos novos processos. Hoje
esses problemas esto resolvidos e a maioria dos usurios tem a
compreenso de como funcionam os processos da rea de TI.
Atualmente, a organizao se utiliza de ferramentas de software
adquiridas no mercado ou desenvolvidas internamente para a operacio-
nalizao das disciplinas da ITIL. Dentre estas, pode-se citar ferramentas
para controle de incidentes, itens de configurao, problemas, mudanas
etc. O uso dessas ferramentas permite a obteno de relatrios concisos e
relevantes, que informam de forma concreta a situao da rea de TI,
apoiando assim o processo de tomada de deciso por parte da alta
12 Revista Eletrnica de Sistemas de Informao, v. 8, n. 2, artigo 4
administrao, alm de decises no nvel ttico. O contedo desses
relatrios foi definido pela organizao, com o apoio da prestadora de
servios que atua no processo de implementao. Cabe registrar que se
apurou que a alta administrao considera os ativos de TI como
estratgicos para o seu sucesso, tomando decises de investimentos
baseadas principalmente no retorno que ser proporcionado por estes.
Antes da implementao de ITIL, os procedimentos de segurana
utilizados eram dispersos e no padronizados, distribudos entre as
diversas linhas de servios e regies geogrficas em que esto situadas as
dependncias da organizao. A necessidade de padronizao e a
importncia de se gerenciar estes procedimentos levaram adoo de
ITIL. A organizao ainda no concluiu a instalao do gerenciamento de
segurana centralizado, sendo este distribudo de acordo com as linhas de
servio de TI da empresa, embora seus processos j apresentem certo
grau de integrao.
O gerenciamento de segurana atua de forma a balizar os processos
das demais disciplinas, mais especificamente gerenciamento de
mudanas, de incidentes, de problemas e liberao. Sempre que um novo
requisito de negcio determinado, analisado sob a tica do geren-
ciamento de segurana. Um exemplo disso: sempre que h necessidade
de mudana de software ou hardware, o gerenciamento de liberao
repassa essa necessidade ao gerenciamento de segurana, onde
especialistas verificam a melhor forma de liberar essas novas verses aos
usurios. As mudanas ento so documentadas, de forma a se
estabelecer um processo para a sua implantao em toda a organizao e,
a partir de ento, so criados os registros de mudanas delas derivados.
Os incidentes de segurana so relatados a uma central de servios,
que resolve os casos mais simples. Os demais so encaminhados s
equipes de especialistas que discutem a melhor forma para solucionar o
problema, buscando minimizar o impacto sobre os usurios.
A organizao possui mtricas especficas para se determinar rapida-
mente o impacto de incidentes de segurana, que levam em considerao
o tempo de parada, a criticidade do sistema, o nmero de usurios
afetados etc. O clculo deste impacto varia de acordo com a linha de
servios de TI (no jargo da organizao, a expresso linha de servios
significa o conjunto de servios prestados a uma de suas reas).
Desde o momento em que um incidente comunicado, este
registrado em um sistema prprio, o que tambm ocorre com todas as
providncias tomadas at que a ocorrncia esteja solucionada e validada
pelo usurio para seu encerramento (anlise end-to-end). Depois de
encerrado seu tratamento, o incidente continua registrado no sistema,
pois com essa informao so definidos possveis pontos de melhoria nos
processos e geradas mtricas de desempenho da rea de TI para a
organizao.
A organizao procura evitar incidentes de segurana tomando medi-
das pr-ativas de verificao de segurana nos procedimentos adotados

Revista Eletrnica de Sistemas de Informao, v. 8, n. 2, artigo 4 13
no ambiente, o que envolve verificar se esses procedimentos podem, de
alguma forma, constituir ameaa organizao. Os incidentes tambm
so evitados por meio da constante atualizao dos sistemas operacionais,
antivrus e demais ferramentas de software, de acordo com o estabelecido
pelos seus fornecedores. Reativamente, a organizao se utiliza de lies
aprendidas com incidentes passados, tomando as devidas medidas para
que no voltem a ocorrer.
Na organizao, os requisitos de segurana so aplicados por meio de
planos de segurana, que variam de acordo com a linha de servios de TI.
Esses planos agregam valor aos servios prestados pela rea de TI da
organizao, pois por meio deles se assegura que os usurios de uma
determinada linha recebam um servio padronizado e que tenham a
compreenso de como utilizar seus recursos da melhor forma.
Os planos so vistos na prtica como regulamentaes de uso de
ativos de TI, normas internas para gerenciamento do ambiente, programas
de conscientizao de funcionrios para as polticas da organizao e at
mesmo como regras para a aplicao de sanes para os infratores.
Para criar os planos de segurana, os gerentes de TI de uma determi-
nada linha de servios partem de uma necessidade pontual para a
segurana dos ativos de TI, verificando junto s equipes responsveis os
meios, tecnolgicos ou no, que possam ser empregados para esse fim.
Essas mesmas equipes ajudam a avaliar o impacto dessas medidas no
ambiente e, concluda a anlise, colocam as medidas em prtica. Depois
de o plano ser colocado em prtica, ele revisado periodicamente para
que se possa avaliar sua eficcia e, caso necessrio, so propostas mu-
danas com a finalidade de melhor atender s necessidades do negcio.
Dentre essas equipes de apoio, pode-se ressaltar as equipes das
prestadoras de servios como conselheiras em tecnologia e as equipes de
recursos humanos e da gerncia das reas interessadas como conselhei-
ros no tecnolgicos.
Os planos contm as medidas a serem adotadas, o que se espera com
sua adoo, a forma de medio da sua eficcia e quem responsvel por
prover essas mtricas. O ambiente auditado externa e internamente ao
menos uma vez por ano, sendo que alguns sistemas mais crticos so
auditados mais frequentemente.
A organizao no possui uma rea especfica para o gerenciamento
de risco, deixando aos gerentes de TI a responsabilidade pelos riscos de
suas respectivas linhas de servio, o que torna a organizao de alguma
maneira ciente dos riscos a que est sujeita. A postura da organizao
perante os riscos , de certa forma, conservadora, preferindo evitar riscos
sempre que possvel, embora essa postura mude de acordo com a linha de
servios de TI.
Como no existe o gerenciamento de risco formal, no existe um
registro dos riscos de TI, este sendo substitudo pela base de dados de
incidentes em uso pela organizao, de onde so retiradas informaes
para a preveno de incidentes futuros.
14 Revista Eletrnica de Sistemas de Informao, v. 8, n. 2, artigo 4
Com a inexistncia do registro de riscos, a anlise de riscos tambm
ocorre de forma relativamente informal, baseando-se quase que totalmen-
te na vivncia dos prestadores de servio mais experientes, que conhe-
cem o ambiente de forma a antecipar as possveis ameaas facilmente.
5 55 5 CONSIDERAES CONSIDERAES CONSIDERAES CONSIDERAES FINAIS FINAIS FINAIS FINAIS
Apresentados os procedimentos adotados pela organizao, conclui-
se agora com uma comparao entre estes e os processos de segurana
recomendados por ITIL.
Verifica-se que a rea de TI da organizao realmente leva em
considerao os objetivos do negcio para definir como melhor utilizar
seus recursos. Esse alinhamento entre TI e o negcio confirmado pela
percepo dos entrevistados no sentido de que a alta administrao tem
confiana nas informaes geradas pela rea atravs dos processos ITIL.
Percebe-se que a ITIL serve de sustentao para os processos de
segurana utilizados pela organizao, embora diferenas entre o prescri-
to e o adotado no mbito do gerenciamento de segurana sejam notadas.
Dentre essas diferenas, destacam-se a falta de papis mais claros para a
gerncia de segurana e a descentralizao dos processos de gerencia-
mento de segurana, que resultam em polticas no totalmente padroniza-
das.
No que se refere ao processo de elaborao de planos de segurana,
conclui-se que a organizao adota algumas das prticas ITIL, pois nota-se
o envolvimento consciente de seus membros durante o desenvolvimento
destes planos, bem como a retroalimentao do processo com o intuito de
incrementar sua qualidade.
Com relao ao gerenciamento de riscos, fica claro que h ainda
muito a se fazer para que os riscos sejam enfrentados de forma eficiente,
embora essa necessidade seja aplacada em parte pelos processos do
gerenciamento de segurana.
Pode-se concluir tambm que o ambiente estudado no est total-
mente de acordo com o proposto por ITIL, que em teoria foi a base de sua
estruturao. Os envolvidos tm a percepo de que as necessidades do
negcio so atendidas, embora a situao ainda possa ser melhorada.
Para melhoria, sugere-se que o processo de gerenciamento de segu-
rana na organizao seja centralizado e formalizado, assumindo os pode-
res e responsabilidades necessrios a um gerenciamento de segurana
eficiente.
Ainda necessrio um gerenciamento de risco formal, estabelecendo
responsabilidades e delegando autoridade suficiente para que se possa
lidar com os riscos de forma mais eficaz, pois somente com esta formali-
zao a organizao poder compreender e lidar adequadamente com os
riscos a que est sujeita.

Revista Eletrnica de Sistemas de Informao, v. 8, n. 2, artigo 4 15
Para trabalhos futuros a respeito do gerenciamento de segurana em
ITIL, sugere-se um estudo comparativo entre as verses 2 (antiga) e 3
(atual), com foco nas vantagens da nova verso sobre a antiga, bem como
em eventuais dificuldades para a migrao para a verso 3. Acredita-se
que esse estudo possa gerar conhecimentos teis aos que venham a atuar
em processo de migrao da verso 2 para a verso 3.
REFER REFER REFER REFERNCIAS NCIAS NCIAS NCIAS
BISHOP, Matt. What is computer security? IEEE Security & Privacy, Los
Alamitos, v. 1, n. 1, p. 67-69, Jan./Feb. 2003.
BLOEM, Jaap; VAN DOORN, Menno; MITTAL, Piyush. Making IT Governance
work in a Sarbanes-Oxley world. .. . Hoboken: John Wiley & Sons, 2006.
KERZNER, Harold. Project Management: a systems approach to planning,
scheduling, and controlling. Hoboken: John Wiley & Sons, 2003.
MALHOTRA, Naresh K. Pesquisa de marketing: uma orientao aplicada.
Porto Alegre: Bookman, 2008.
MATTAR, Fauze N. Pesquisa de marketing. So Paulo: Atlas, 2001.
MILES, Matthew B. Qualitative data as an attractive nuisance: the problem
of analysis. Administrative Science Quarterly, Ithaca, v. 24, n. 4, p. 590-
601, Dec. 1979.
MILES, Matthew B; HUBERMAN, ,, , A. Michael. Qualitative data analysis: an
expanded sourcebook. Thousand Oaks: Sage, 1994.
OGC. . . . ITIL Security Management. Londres: The Stationary Office, v. 1.0, 2004.
RUDD, Colin. An introductory overview of ITIL. Webbs Court (UK): iTSMF,
2004. Disponvel em http://www.paradigm-itsm.com/documents/ITIL
_Overview_Book-itSMF.pdf. Acesso em: 27/06/2008.
SCHNEIER, Bruce. Segurana.com: segredos e mentiras sobre a proteo
na vida digital. Rio de Janeiro: Campus, 2001.
SELLTIZ, Claire; WRINGHTSMAN, Lawrence S.; COOK, Stuart. Mtodos de
pesquisa nas relaes sociais: delineamento de pesquisa. So Paulo: EPU,
1987.
TIPTON, Harold F.; KRAUSE, Micki. Information Security Management
Handbook. 6. ed., vol. 2. Boca Raton: Auerbach, 2008.
WEILL, Peter; ROSS, Jeanne W. Governana de TI: tecnologia da
informao. So Paulo: Makron Books, 2006.
WINKLER, Ira. Zen and the art of information security. Rockland: Syngress,
2007.
YIN, Robert.K. Estudo de caso planejamento e mtodos. Porto Alegre:
Bookman, 2005.