ITIL v3

O Information Technology Infrastructure Library (ITIL) é uma biblioteca de melhores práticas para o gerenciamento de serviços de Tecnologia da Informação (TI). Sua estrutura é reconhecida, internacionalmente, como o padrão de boas práticas para gerir os serviços de TI de uma organização (GEHRMANN, 2015) com uma enorme gama de benefícios que incluem: “redução de custos, aumento de receita, menos interrupções, a melhoria das relações públicas, melhoria da produtividade, maior satisfação do cliente, melhor utilização das competências e experiência, e assim por diante” (ZHANG et al., 2009, p. 682).

O ITIL fornece uma abrangente, consistente e coerente melhoria em estrutura prática para a gestão de serviços de TI e processos relacionados, promovendo uma abordagem de alta qualidade para alcançar a eficácia empresarial e eficiência na gestão de serviços de TI. Destina-se a apoiar, mas não dita os processos de negócios de uma organização (ITGI, 2008;

37

GEHRMANN, 2015). O ITIL “é a abordagem mais amplamente aceita para o gerenciamento de serviços de TI no mundo” (LARROCHA, 2010, p. 907).

Por se tratar de uma biblioteca que contém um conjunto de diretivas e melhores práticas, o ITIL descreve todos os processos necessários para promover o suporte adequado à utilização e ao gerenciamento de TI em diversas áreas.

Segundo Breternitz et al. (2010); Larrocha (2010) e Taylor (2011), o gerenciamento dos serviços de TI é contemplado pelo ITIL em cinco publicações principais que descrevem os princípios fundamentais do gerenciamento de serviços de TI e fornecem uma visão de alto nível, cada uma possuindo um conjunto de funções (FONTES, 2012), a saber: Service Strategy (Estratégia de Serviços), Service Design (Desenho de Serviços), Service Transition (Transição de serviços), Service Operation (Operação de serviços) e Continual Service Improvement (Melhoria contínua de serviço).

Na publicação Continual Service Improvement, o ITIL enfatiza a importância da melhoria contínua do ciclo “Planejar, Fazer, Verificar e Agir” dos processos já mencionados, como parte importante dos serviços prestados aos clientes e usuários (ver Figura 5). A PoSIC é contemplada nessa ciclo, nas atividades de planejamento, execução, alteração e manutenção, em serviço contínuo. As ações de cada um dos 5 processos devem estar otimizadas para alcançar eficiência e eficácia das atividades e serviços, atendendo sempre a visão do negócio (TAYLOR, 2008).

A segurança da informação aparece no ITIL como uma função do Service Design e a PoSIC aparece como um elemento importante na função de Gerenciamento de Segurança da Informação. Segundo Sheikhpour e Modiri (2012); Fontes (2012, p. 68), o “objetivo do gerenciamento de segurança da informação é alinhar a segurança de TI com a segurança do negócio e garantir que a segurança da informação esteja efetivamente gerenciada em todos os serviços e atividade do Gerenciamento de Serviços”. Taylor (2011) ainda considera que:

A segurança deve ser equilibrada em profundidade, com justificáveis controles implementados para assegurar que a política de segurança da informação seja aplicada e que os serviços de TI sejam contínuos, dentro dos parâmetros da confidencialidade, integridade e disponibilidade (Taylor, 2011, p. 144).

38 Figura 5. Ciclo de vida de serviços ITIL.

Fonte: ITIL Service Design (TAYLOR, 2011).

O ITIL tem apresentado uma postura, concernente ao Gerenciamento de Segurança da Informação, em garantir que uma PoSIC seja produzida, mantida e reforçada continuamente, cobrindo todo o controle de todos os sistemas e serviços de TI. Dessa forma, o processo de gerenciamento de segurança da informação do Service Design, segundo Taylor (2007), contempla as seguintes ações relacionadas à PoSIC:

 Produção, manutenção, distribuição e melhoria de uma política de segurança da informação e das demais políticas complementares;

 Elaboração de um conjunto de controles que suportem a política de segurança da informação;

 Gerenciamento dos riscos associados aos acessos a serviços, informações e sistemas (TAYLOR, 2007, p. 141).

O próprio documento do Service Design trata e detalha a PoSIC como uma atividade de grande importância na Gestão de Segurança da Informação. Entretanto, quando estabelecido que a segurança da informação deve ser orientada e acompanhada por uma PoSIC, Fontes (2012) e Taylor (2011) dizem que, o próprio ITIL em relação à produção, análise e revisão de uma política global de segurança da informação, deve essa ser apoiada pela existência de outras políticas específicas, abrangendo todas as áreas de segurança e satisfazendo as necessidades do negócio, sendo essas:

 Política de controle de acesso;

 Política de controle de senha;

 Política de uso de e-mail;

 Política de internet;

 Política de uso de antivírus;

39

 Política de classificação de documentos;

 Política de acesso remoto;

 Política de acesso a serviço de TI por fornecedores;

 Política de inventário de bens.

Entretanto, para que a PoSIC se torne um documento global com valor gerencial para a segurança da informação, o ITIL traz algumas considerações que devem ser seguidas para seu sucesso dentro da organização, tais como:

 Deve definir os objetivos da organização em matéria de segurança da informação;

 Abranger todas as áreas de segurança da organização;

 Ter o total apoio da alta administração, dos executivos de TI e dos executivos de negócio para a sua implantação;

 Estabelecer uma estrutura dentro da organização para preparar, aprovar, treinar e executar;

 Deverá estar amplamente disponível para todos os clientes e usuários da organização;

 O seu cumprimento deve ser referido em todas as SLRs, SLAs, contratos e acordos;

 Deve ter base legal;

 Deve ser revista anualmente (TAYLOR, 2008, p. 142).

A Política de Segurança da Informação aparece no ITIL como um elemento de suma importância na função de gerenciamento da segurança da informação (ver Figura 6), assegurando que os aspectos de segurança, no que diz respeito aos serviços e a todas as atividades de gerenciamento dos serviços, sejam adequadamente geridos e controlados de acordo com as necessidades do negócio e dos riscos.

Conforme apresentado na Figura 6, os processos de gerenciamento de segurança da informação, desenvolvidos em conjunto com os métodos, ferramentas e técnicas, devem garantir que tecnologias, produtos e serviços estejam assegurados na PoSIC, sendo essa bem difundida, possibilitando o alcance dos objetivos de negócio de forma eficaz em todas as atividades de gerenciamento de serviços.

40 Figura 6. Processo de Gerenciamento de Segurança da Informação em conjunto com a PoSIC.

Fonte: ITIL Service design (TAYLOR, 2008).

O gerenciamento de serviços tem se tornado um fator de grande importância para o sucesso ou fracasso das organizações (LARROCHA, 2010), porém, em um ambiente que os serviços de TI têm se tornado fator preponderante para ofertar um atendimento de qualidade e produzir bens de forma adequada, torna-se de vital importância adotar ferramentas que garantam essa qualidade (BRETERNITZ et al., 2010). Uma dessas ferramentas é justamente o ITIL, o qual possui um módulo que trata o gerenciamento de segurança da informação, tendo esse módulo o processo de implantação da PoSIC, o qual traz por objetivo alinhar as metas e objetivos da TI aos objetivos e missão da instituição.