Partie II : Lorsque les interactions de classe deviennent un objet de recherche : questions de
6.1 Le contexte des échanges
6.2.3 Le co-texte diachronique ou l’histoire interactionnelle commune du groupe
e Seguran¸ca da informa¸c˜ao com as normas
BS-7799, ISO 17799 e ISO 27001
A integra¸c˜ao entre modelos de gest˜ao de TI, como o COBIT, e servi¸cos em TI como o ITIL aplicado com foco em seguran¸ca da informa¸c˜ao que possui os obje- tivos de controle detalhados para gerenciamento de seguran¸ca.
Os objetivos de controle relacionados `as melhores pr´aticas para seguran¸ca de- ver˜ao ser identificados no modelo COBIT. A avalia¸c˜ao em n´ıveis de maturidade do COBIT para cada objetivo de controle se integrar´a com as normas de segu- ran¸ca como ISO 17799 e ISO 27001 que possuem a capacidade de obten¸c˜ao de um processo cont´ınuo de melhoria da qualidade da seguran¸ca.
Os objetivos propostos pelo COBIT dever˜ao ser mapeados e atribu´ıdos um valor, conforme recomendado pelas normas de seguran¸ca aqui tratadas. Por esse motivo um mapeamento completo da infra-estrutura de TI da organiza¸c˜ao ´e t˜ao importante.
O modelo macro da integra¸c˜ao ´e mostrado na tabela 3.1, onde ´e proposta a infra-estrutura para cria¸c˜ao de controles e recomenda¸c˜oes para cria¸c˜ao de um sistema de gest˜ao de risco.
Tabela 3.1: Integra¸c˜ao entre os modelos COBIT, ITIL e normas de seguran¸ca da informa¸c˜ao
Operacional T´atico Estrat´egico
Controles ISO 17799, COBIT:
Entrega e suporte.
Aquisi¸c˜ao e imple- menta¸c˜ao
ISO 17799, COBIT: En- trega e suporte
ISO 17799, An´alise de risco, COBIT: Audi- toria, monitoramento, planejamento e orga- niza¸c˜ao
Pessoas ITIL: Suporte a
Servi¸cos
ITIL: Entrega de
Servi¸cos
COBIT: Auditoria e
Monitoramento
Processos ITIL: Suporte a
Servi¸cos
ITIL: Entrega de
Servi¸cos
COBIT: Auditoria e
Monitoramento Tecnologia Ferramentas de Geren-
ciamento (invent´ario)
Ferramentas de Geren- ciamento (invent´ario), Ferramentas para testes de vulnerabilidade, Fer- ramentas para an´alise de logs
Ferramentas automati- zadas para an´alise de Risco. Ferramentas au- tomatizadas para a ex- tra¸c˜ao de conhecimento.
O relacionamento entre modelos COBIT e ITIL e a norma de seguran¸ca uti- lizados em um modelo de Governan¸ca com foco em seguran¸ca [7] ´e mostrado na tabela 3.2, onde os objetivos de controle do modelo COBIT s˜ao correlacionados com as normas de seguran¸ca, e al´em disso, s˜ao mostrados os objetivos de controle em referˆencia ao ITIL.
Tabela 3.2: Relacionamento entre os modelos ITIL e COBIT e a normas de seguran¸ca para gest˜ao de risco
N´ıvel Objetivos de Controle do COBIT Referˆencia
ISO 17799
Referˆencia ITIL
Estrat´egico PO - Planejamento e Organiza¸c˜ao
PO1-Definir um Plano Estrat´egico de TI Cap. 6.1 PO2-Definir a Arquitetura da Informa¸c˜ao Cap. 6.1.2 PO3-Determinar a Dire¸c˜ao Tecnol´ogica Cap. 5 PO9-Avaliar e gerenciar riscos de TI Cap. 4.1 e
6.2 Operacional
e T´atico
AI - Aquisi¸c˜ao e Implementa¸c˜ao
AI1-Identificar Solu¸c˜oes Automatizadas Cap. 6.1.4 X AI2-Adquirir e Manter Software Aplica-
tivo
Cap. 12 X
AI3-Adquirir e Manter a Infra-estrutura Tecnol´ogica
Cap. 14.1.4 X AI4-Desenvolver e Manter Procedimentos Cap. 5 X DS - Entrega e Suporte
DS3: Gerˆencia de performance e capa- cidade; DS4-Garantir Continuidade dos Servi¸cos
Cap. 14 X
DS5-Garantir Seguran¸ca dos Sistemas Cap. 10.8.5 X
DS7-Treinamentos a usu´arios Cap. 8.2.2 X
DS10-Gerenciar de problemas e Incidentes Cap. 13 X
DS11-Gerenciar Dados Cap. 15.1.4 X
DS12-Gerˆencia de ambientes (Seguran¸ca f´ısica)
Cap. 9 X
Estrat´egico M-Monitoramento
M1-Monitorar os Processos Cap. 10.10
M2-Avaliar a Adequa¸c˜ao do Controle In- terno
Cap. 12.2.2 M3-Obter certifica¸c˜ao Independente Cap. 10.3.2 M4-Providenciar Auditoria Independente Cap 10.10.1
Este modelo n˜ao contempla todos os controles, pois o foco ´e a cria¸c˜ao de infra-estrutura para uma gest˜ao de risco.
Cap´ıtulo 4
Gest˜ao de Ativos
Segundo a norma ABNT NBR ISO/IEC 17799 de 2005, o item gest˜ao de ativos foca a responsabilidade pelos mesmos, ou seja, todos os ativos da organiza¸c˜ao devem ser identificados e atribu´ıdas responsabilidades sobre a sua manuten¸c˜ao baseada em controles.
´
E conveniente que os ativos identificados sejam documentados e a eles atribu´ıdos uma grande importˆancia.
Para uma gest˜ao de risco mais eficiente, deve-se partir do princ´ıpio de que se conhece toda a infra-estrutura tecnol´ogica. Existem diversas maneiras conhecidas para se obter essa informa¸c˜ao:
• Atrav´es de pesquisas manuais de descoberta na rede;
• Utilizando-se de entrevistas com respons´aveis diretos pela infra-estrutura; • Visitando todos os pontos de conex˜ao;
• Catalogando por invent´ario todos os componentes da rede; • Automatizando o processo de identifica¸c˜ao e invent´ario.
O processo de gest˜ao de risco ´e continuo e deve ser sempre reavaliado em busca de inconsistˆencias. Pode-se dividir o processo de condu¸c˜ao de uma an´alise de risco em seis partes (Figura 4.1):
1. Planejamento e estrat´egia: planejar a¸c˜oes e criar estrat´egias de avalia¸c˜ao 2. Identifica¸c˜ao: criar procedimentos para uma correta identifica¸c˜ao dos riscos; 3. Qualifica¸c˜ao: introduzir uma qualifica¸c˜ao decorrente de uma vulnerabili-
dade;
5. Impactos e respostas: criar procedimentos para se determinar o impacto sujeito e qual resposta dever´a ser utilizada;
6. Monitoramento e Controle: determinar procedimentos para um constante acompanhamento para a¸c˜oes.
Figura 4.1: Processos Gest˜ao de Riscos [54]
Desses pontos aqui descritos pode-se ter uma id´eia que mesmo em redes de pe- queno/m´edio porte (at´e 1000 m´aquinas) seria vi´avel efetuar um dos itens acima. Infelizmente no momento que terminar de se coletar a ´ultima informa¸c˜ao e con- seq¨uentemente iniciar o processo de c´alculo de risco, toda a an´alise estar´a baseada no passado, ou seja, a an´alise de risco n˜ao ter´a a mesma eficiˆencia, e a cada minuto que se passa, menos eficiente estar´a. Com isso pode ocorrer uma falsa sensa¸c˜ao de seguran¸ca.