• Aucun résultat trouvé

Le co-texte diachronique ou l’histoire interactionnelle commune du groupe

Partie II : Lorsque les interactions de classe deviennent un objet de recherche : questions de

6.1 Le contexte des échanges

6.2.3 Le co-texte diachronique ou l’histoire interactionnelle commune du groupe

e Seguran¸ca da informa¸c˜ao com as normas

BS-7799, ISO 17799 e ISO 27001

A integra¸c˜ao entre modelos de gest˜ao de TI, como o COBIT, e servi¸cos em TI como o ITIL aplicado com foco em seguran¸ca da informa¸c˜ao que possui os obje- tivos de controle detalhados para gerenciamento de seguran¸ca.

Os objetivos de controle relacionados `as melhores pr´aticas para seguran¸ca de- ver˜ao ser identificados no modelo COBIT. A avalia¸c˜ao em n´ıveis de maturidade do COBIT para cada objetivo de controle se integrar´a com as normas de segu- ran¸ca como ISO 17799 e ISO 27001 que possuem a capacidade de obten¸c˜ao de um processo cont´ınuo de melhoria da qualidade da seguran¸ca.

Os objetivos propostos pelo COBIT dever˜ao ser mapeados e atribu´ıdos um valor, conforme recomendado pelas normas de seguran¸ca aqui tratadas. Por esse motivo um mapeamento completo da infra-estrutura de TI da organiza¸c˜ao ´e t˜ao importante.

O modelo macro da integra¸c˜ao ´e mostrado na tabela 3.1, onde ´e proposta a infra-estrutura para cria¸c˜ao de controles e recomenda¸c˜oes para cria¸c˜ao de um sistema de gest˜ao de risco.

Tabela 3.1: Integra¸c˜ao entre os modelos COBIT, ITIL e normas de seguran¸ca da informa¸c˜ao

Operacional T´atico Estrat´egico

Controles ISO 17799, COBIT:

Entrega e suporte.

Aquisi¸c˜ao e imple- menta¸c˜ao

ISO 17799, COBIT: En- trega e suporte

ISO 17799, An´alise de risco, COBIT: Audi- toria, monitoramento, planejamento e orga- niza¸c˜ao

Pessoas ITIL: Suporte a

Servi¸cos

ITIL: Entrega de

Servi¸cos

COBIT: Auditoria e

Monitoramento

Processos ITIL: Suporte a

Servi¸cos

ITIL: Entrega de

Servi¸cos

COBIT: Auditoria e

Monitoramento Tecnologia Ferramentas de Geren-

ciamento (invent´ario)

Ferramentas de Geren- ciamento (invent´ario), Ferramentas para testes de vulnerabilidade, Fer- ramentas para an´alise de logs

Ferramentas automati- zadas para an´alise de Risco. Ferramentas au- tomatizadas para a ex- tra¸c˜ao de conhecimento.

O relacionamento entre modelos COBIT e ITIL e a norma de seguran¸ca uti- lizados em um modelo de Governan¸ca com foco em seguran¸ca [7] ´e mostrado na tabela 3.2, onde os objetivos de controle do modelo COBIT s˜ao correlacionados com as normas de seguran¸ca, e al´em disso, s˜ao mostrados os objetivos de controle em referˆencia ao ITIL.

Tabela 3.2: Relacionamento entre os modelos ITIL e COBIT e a normas de seguran¸ca para gest˜ao de risco

N´ıvel Objetivos de Controle do COBIT Referˆencia

ISO 17799

Referˆencia ITIL

Estrat´egico PO - Planejamento e Organiza¸c˜ao

PO1-Definir um Plano Estrat´egico de TI Cap. 6.1 PO2-Definir a Arquitetura da Informa¸c˜ao Cap. 6.1.2 PO3-Determinar a Dire¸c˜ao Tecnol´ogica Cap. 5 PO9-Avaliar e gerenciar riscos de TI Cap. 4.1 e

6.2 Operacional

e T´atico

AI - Aquisi¸c˜ao e Implementa¸c˜ao

AI1-Identificar Solu¸c˜oes Automatizadas Cap. 6.1.4 X AI2-Adquirir e Manter Software Aplica-

tivo

Cap. 12 X

AI3-Adquirir e Manter a Infra-estrutura Tecnol´ogica

Cap. 14.1.4 X AI4-Desenvolver e Manter Procedimentos Cap. 5 X DS - Entrega e Suporte

DS3: Gerˆencia de performance e capa- cidade; DS4-Garantir Continuidade dos Servi¸cos

Cap. 14 X

DS5-Garantir Seguran¸ca dos Sistemas Cap. 10.8.5 X

DS7-Treinamentos a usu´arios Cap. 8.2.2 X

DS10-Gerenciar de problemas e Incidentes Cap. 13 X

DS11-Gerenciar Dados Cap. 15.1.4 X

DS12-Gerˆencia de ambientes (Seguran¸ca f´ısica)

Cap. 9 X

Estrat´egico M-Monitoramento

M1-Monitorar os Processos Cap. 10.10

M2-Avaliar a Adequa¸c˜ao do Controle In- terno

Cap. 12.2.2 M3-Obter certifica¸c˜ao Independente Cap. 10.3.2 M4-Providenciar Auditoria Independente Cap 10.10.1

Este modelo n˜ao contempla todos os controles, pois o foco ´e a cria¸c˜ao de infra-estrutura para uma gest˜ao de risco.

Cap´ıtulo 4

Gest˜ao de Ativos

Segundo a norma ABNT NBR ISO/IEC 17799 de 2005, o item gest˜ao de ativos foca a responsabilidade pelos mesmos, ou seja, todos os ativos da organiza¸c˜ao devem ser identificados e atribu´ıdas responsabilidades sobre a sua manuten¸c˜ao baseada em controles.

´

E conveniente que os ativos identificados sejam documentados e a eles atribu´ıdos uma grande importˆancia.

Para uma gest˜ao de risco mais eficiente, deve-se partir do princ´ıpio de que se conhece toda a infra-estrutura tecnol´ogica. Existem diversas maneiras conhecidas para se obter essa informa¸c˜ao:

• Atrav´es de pesquisas manuais de descoberta na rede;

• Utilizando-se de entrevistas com respons´aveis diretos pela infra-estrutura; • Visitando todos os pontos de conex˜ao;

• Catalogando por invent´ario todos os componentes da rede; • Automatizando o processo de identifica¸c˜ao e invent´ario.

O processo de gest˜ao de risco ´e continuo e deve ser sempre reavaliado em busca de inconsistˆencias. Pode-se dividir o processo de condu¸c˜ao de uma an´alise de risco em seis partes (Figura 4.1):

1. Planejamento e estrat´egia: planejar a¸c˜oes e criar estrat´egias de avalia¸c˜ao 2. Identifica¸c˜ao: criar procedimentos para uma correta identifica¸c˜ao dos riscos; 3. Qualifica¸c˜ao: introduzir uma qualifica¸c˜ao decorrente de uma vulnerabili-

dade;

5. Impactos e respostas: criar procedimentos para se determinar o impacto sujeito e qual resposta dever´a ser utilizada;

6. Monitoramento e Controle: determinar procedimentos para um constante acompanhamento para a¸c˜oes.

Figura 4.1: Processos Gest˜ao de Riscos [54]

Desses pontos aqui descritos pode-se ter uma id´eia que mesmo em redes de pe- queno/m´edio porte (at´e 1000 m´aquinas) seria vi´avel efetuar um dos itens acima. Infelizmente no momento que terminar de se coletar a ´ultima informa¸c˜ao e con- seq¨uentemente iniciar o processo de c´alculo de risco, toda a an´alise estar´a baseada no passado, ou seja, a an´alise de risco n˜ao ter´a a mesma eficiˆencia, e a cada minuto que se passa, menos eficiente estar´a. Com isso pode ocorrer uma falsa sensa¸c˜ao de seguran¸ca.