SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO (SGSI) UTILIZANDO O ITIL COMO FRAMEWORK

Resumo:

A implantação de um SGSI (Sistema de Gestão de Segurança da Informação) é uma tarefa complexa e utilizaremos um framework como o ITIL (Information Technology Infrastructure Library) para gerenciar os serviços e processos relacionados no qual iremos trazer uma abordagem orientada e estruturada nas boas práticas em que iremos explorar as principais preocupações e demandas utilizando o ITIL como framework base.

Introdução:

O uso de um framework como o ITIL pode fornecer diretrizes e melhores práticas para implementação de controles de segurança eficazes. Atualmente a segurança cibernética é um aspecto crucial e muito discutido visando a proteção dos ativos digitais e garantir a integridade, confidencialidade e disponibilidade das informações no qual um SGSI pode colaborar fornecendo uma visão sistemática em que teremos uma abordagem no ITIL destacando os principais processos e exemplos de como ele pode ser aplicado dentro de uma organização.

O que é SGSI?

SGSI é a sigla para Sistema de Gestão de Segurança da Informação. É uma abordagem estratégica e sistemática para gerenciar e proteger as informações sensíveis e críticas de uma organização. O principal objetivo de um SGSI é estabelecer um conjunto de políticas, processos, procedimentos e controles para garantir a confidencialidade, integridade e disponibilidade das informações, bem como para protegê-las contra ameaças internas e externas.

O que é ITIL?

O ITIL é um conjunto de melhores práticas globalmente reconhecido para a gestão de serviços de TI. Ele oferece uma abordagem estruturada e abrangente para o planejamento, implementação, entrega e suporte de serviços de TI. O ITIL fornece orientações e diretrizes para diversos processos de gerenciamento, como gerenciamento de incidentes, gerenciamento de problemas, gerenciamento de mudanças, gerenciamento de liberação, entre outros. Esses processos são projetados para melhorar a eficiência, a eficácia e a qualidade dos serviços de TI em uma organização.

O ITIL pode colaborar com a segurança da informação

O framework pode fornecer diretrizes para melhorar a segurança e colaborar com SGSI, a seguir demonstraremos como pode gerenciar os serviços e processos relacionados.

1.   Gerenciamento de incidentes:

O ITIL define processos para o gerenciamento de incidentes, que podem ser adaptados para lidar com incidentes de segurança. Isso inclui a definição de fluxos de trabalho para o registro, classificação, investigação e resolução de incidentes de segurança. A colaboração entre o gerenciamento de incidentes e a segurança da informação permite uma resposta rápida e eficaz a incidentes de segurança, minimizando o impacto e a interrupção nos serviços.

A.   Registro de Incidente: Esse seria o primeiro passo no qual envolve estabelecer um processo para que os incidentes sejam relatados, seja por meio de uma central de serviços, um sistema de ticket onde deve ser registrado de forma clara e completa, incluindo as informações como descrição, data e hora no qual irá contribuir para o SLA medindo o tempo de resposta e tratamento.

Exemplo: Um usuário relata que seu e-mail foi comprometido no qual são enviadas mensagens em seu nome. O incidente neste caso deverá ser registrado em um sistema definido para tratamento de incidentes, no qual neste processo deverá detalhar e inserir todas as informações relevantes.

B.   Classificação de um Incidente de Segurança: Definimos conforme critério estabelecido a sua gravidade e impacto em uma escala de prioridade como alta, média e baixa e assim alocar os recursos adequados para tratar o incidente.

Exemplo: Incidente no qual ocorre a violação de dados de clientes da empresa no qual sua prioridade seria alta e já um em que um único computador foi infectado por um malware pode ser classificado como média prioridade com isso conseguimos definir os recursos necessários e priorizar pela criticidade.

C.  Investigação: E necessário entender a causa raiz, extensão e quais foram os impactos no qual irá envolve rum trabalho de análise buscando todas as evidências e logs para investigação.

Exemplo: Um ataque de phishing em que a equipe deverá analisar e identificar a origem do ataque e avaliar o impacto.

D.  Resolução de Incidentes de segurança: Com base na investigação será tomada medidas em que envolve aplicar correções, remoção de malware, redefinição de senha ou bloqueio imediato do usuário, minimizar impacto nos sistemas corporativos.

Exemplo: Aqui entra os processos para entender se foi causado por vulnerabilidade em software em computadores, servidores no qual pode ter faltado algum patch de correção no qual deverá aplicar e garantir que foi eliminado este tipo de incidente em segurança.

Ao final de todo o tratamento no gerenciamento de incidentes deve-se elaborar um relatório e trazer métricas no qual demonstrará a classificação (Prioridade), recorrência, tipo de incidente e os resultados da investigação com isso você estabelece o gerenciamento eficaz de incidentes conforme as boas práticas do framework ITIL.

2.   Gerenciamento de Problemas:

O gerenciamento de problemas no ITIL busca identificar e resolver as causas raiz dos problemas recorrentes. No contexto da segurança da informação, o gerenciamento de problemas pode ajudar a identificar vulnerabilidades e falhas de segurança que podem levar a incidentes de segurança. Ele permite a implementação de medidas corretivas para prevenir a recorrência desses problemas, fortalecendo a postura de segurança da organização.

A.   Identificação de Vulnerabilidades em Sistemas e Aplicativos: Aqui a   equipe de segurança irá trabalhar na identificação de problemas de vulnerabilidades recorrentes, ou seja, irá verificar falhas de projetos ou implementação que permitem acessos não autorizados.

Exemplo: Um banco de dados foi identificado pelas técnicas de verificação em que possui repetidamente problemas de segurança, resultando em acessos não autorizados e vazamento de dados. A equipe de gerenciamento de problemas foi acionada para investigar a causa raiz dessas vulnerabilidades recorrente, no qual chegam na causa raiz em que o software na versão utilizada possui vulnerabilidade não corrigida para tal solução como medida corretiva foi recomendado pela equipe uma atualização urgente para versão mais recente em que tinha já sido corrigida esta vulnerabilidade conhecida.

Podemos também destacar um outro exemplo em que o gerenciamento de problemas pode atuar na identificação e ajudar na melhoria, este um exemplo simples, mas que ajuda a fortalecer com aplicação de medidas no que visa fortalecer o SGSI utilizando o ITIL como framework, segue:

Exemplo: Identificação de utilização de senhas frágeis em contas de usuários da organização no qual a equipe de incidentes identificou um padrão repetitivo na utilização de senhas em que pode comprometer e haver um acesso não autorizado. A equipe atua na identificação após uma análise identificam que a política de senhas não estava sendo aplicada corretamente e com isso como medida corretiva aplicaram uma política mais rigorosa exigindo senhas mais fortes, alteração periódica de senhas e até uma autenticação de dois fatores para usuários classificados como críticos.

O gerenciamento de problemas do ITIL desde que utilizado de forma correta para um SGSI permite identificar e resolver problemas como de vulnerabilidades e falhas de segurança. Os exemplos demonstrados nos ajudam a ter uma visão da atuação das equipes de segurança da informação e a de gerenciamento de problemas na qual trabalham em prevenir e implementar medidas corretivas afim de reduzir os riscos de incidentes com isso temos a equipe atuando de forma proativa e sistemática em resolução e gerenciamento de problemas.

3.   Gerenciamento de Mudanças:

O gerenciamento de mudanças no ITIL é responsável por avaliar, planejar e implementar alterações nos serviços de TI. No contexto da segurança da informação, o gerenciamento de mudanças desempenha um papel crucial para garantir que as alterações implementadas não comprometam a segurança dos sistemas. Ele envolve a análise de riscos, a realização de testes de segurança e a obtenção de aprovações adequadas antes de implantar as mudanças, reduzindo assim os riscos de segurança.

Exemplo: Temos um firewall no qual precisamos realizar sua atualização, porém temos identificado diversas vulnerabilidades conhecidas e devemos atuar para que não haja o comprometimento da rede e dos dados da organização, para essa atualização precisamos que seja realizado com segurança e o framework ITIL pode nos ajudar nesse processo com o gerenciamento de mudanças.

A.   Avaliação de Riscos: Identificar possíveis ameaças e impactos associados à atualização do firewall, impacto potencial caso a vulnerabilidade seja explorada. Com base nessa avaliação, é atribuído um nível de risco a essa mudança específica.

B.   Planejamento da Mudança: Com base nos resultados da avaliação de riscos, a equipe de gerenciamento de mudanças cria um plano detalhado para implementar a atualização do firewall. Esse plano inclui etapas específicas para minimizar os riscos associados à mudança, bem como um cronograma para a implementação.

C.  Testes de Segurança: Antes de implantar a atualização do firewall, a equipe de segurança da informação realiza testes de segurança abrangentes no novo software. Isso envolve a execução de testes de penetração e testes de vulnerabilidade para identificar e corrigir quaisquer problemas de segurança antes da implementação.

D.  Revisão e Aprovações: O plano de mudança, juntamente com os resultados dos testes de segurança, é revisado pela equipe de gerenciamento de mudanças e pela equipe de segurança da informação. Uma vez que todas as medidas corretivas necessárias foram aplicadas e os riscos reduzidos a um nível aceitável, o plano é submetido para aprovação pelos principais stakeholders, que podem incluir a alta administração e outras partes interessadas relevantes.

E.   Implementação Controlada: Com todas as aprovações obtidas, a implementação do novo firewall é realizada de forma controlada e supervisionada pela equipe de gerenciamento de mudanças e pela equipe de segurança da informação. Durante a implementação, são tomadas precauções para minimizar qualquer impacto negativo nos serviços e sistemas em produção.

F.   Monitoramento e Avaliação: Após a implementação, a equipe de segurança da informação continua monitorando o novo firewall para garantir que ele esteja funcionando corretamente e sem problemas de segurança. Qualquer anomalia ou incidente relacionado ao novo firewall é tratado prontamente pela equipe de gerenciamento de incidentes e segurança.

O exemplo aqui citado traz a abordagem do gerenciamento de mudanças como essencial visando garantir as alterações realizadas para que não comprometam um SGSI mas que também garanta a disponibilidade ou minimize os impactos dos serviços da organização, todo o processo é passado por aprovações de forma controlada e testada repetidamente se for preciso para que na mudança toda a equipe seja capaz de contornar ou realizar medidas alternativas para redução dos riscos devemos nos apoiar num modelo de framework como o ITIL para poder aplicar os direcionamentos que nos traz visando garantir a continuidade segura dos serviços.

4.   Gerenciamento de Liberação:

O gerenciamento de liberação no ITIL trata do planejamento, programação e controle da implantação de novos serviços ou atualizações de serviços existentes. No contexto da segurança da informação, o gerenciamento de liberação desempenha um papel importante para garantir uma implantação segura e controlada de sistemas e aplicativos. Isso inclui a realização de testes de segurança, a revisão de configurações e a obtenção de aprovações adequadas antes de implementar uma nova liberação.

A.   Liberação de Atualizações de Segurança: A equipe de tratamento de incidentes irá verificar análise de vulnerabilidades, testes de compatibilidade, correção de problemas identificados e obter aprovação dos responsáveis da área identificada.

Exemplo: A implantação de um patch de correção de vulnerabilidades nos servidores da empresa no qual devemos nos atentar na análise de quais servidores serão compatíveis, possíveis problemas identificados podendo ser hardware ou no próprio sistema operacional, como corrigir as incompatibilidades e vulnerabilidades.

B.   Implementação de Novos Serviços com Controles de Segurança: Aqui consiste na verificação na implantação de novos serviços, ou seja, a equipe deverá ser capaz de identificar se o sistema atende o padrão de segurança da empresa já estabelecido afim de garantir que os controles de segurança estejam adequados nessa nova implementação.

Exemplo: Implementação de um novo serviço para o controle de gerenciamento de acesso no qual deseja melhorar a segurança de recursos e dados, aqui a equipe de gerenciamento de liberação irá revisar as configurações e garantir que sejam adequados para implementação, ou seja, ele deve atender os padrões de segurança da empresa antes de ser liberado para o uso.

C.  Liberação Gradual para Redução de Riscos: Temos aqui um gerenciamento de liberação no qual consiste em testes de implementação de um patch de correção por exemplo, atualização de um sistema operacional, porém nesta fase identificamos que é liberado para um grupo selecionado ou ambiente antes de ser aplicado para a rede corporativa inteira.

Exemplo: Podemos citar a liberação de atualização do Windows no qual temos um servidor de WSUS (Servidor responsável por aplicar os updates dentro de uma rede corporativa) através dele pode ser selecionado o grupo que irá receber essa nova atualização de computadores ou servidores, não havendo nenhuma identificação a liberação é realizada gradualmente partindo para outros computadores e servidores até que seja concluído por total no ambiente.

D.  Revisão Pós-Implantação e Monitoramento Contínuo: essa revisão, são analisados os logs e dados de monitoramento para garantir que a implantação tenha sido bem-sucedida e que não haja anomalias ou atividades suspeitas. O monitoramento contínuo é mantido para garantir que não ocorram vulnerabilidades ou falhas de segurança após a liberação.

Exemplo: Quando temos a implementação de um sistema operacional em uma empresa a equipe de segurança fica responsável por acompanhar os patchs de correção deste sistema escolhido e deve realizar o monitoramento continuo através de logs ou softwares de gerenciamento de segurança da informação que ajudam nesta tarefa fazendo o monitoramento continuo e revisões para que sejam corrigidas as vulnerabilidades.

Podemos observar como o gerenciamento de liberação no contexto da segurança da informação pode garantir que novos serviços ou atualizações sejam implementados de forma segura e controlada, protegendo os ativos de informação e reduzindo os riscos de segurança para a organização.

5.   Gerenciamento de Configuração e Ativos:

O gerenciamento de configuração e ativos no ITIL envolve a identificação, controle e manutenção de ativos de TI. No contexto da segurança da informação, o gerenciamento de configuração e ativos desempenha um papel crítico na proteção dos ativos de informação. Ele ajuda a manter um inventário atualizado de hardware e software, definir configurações seguras e implementar controles de acesso apropriados para proteger os ativos contra ameaças internas e externas.

A.   Inventário de Hardware e Software: No contexto da segurança da informação, essa informação é essencial para detectar qualquer dispositivo não autorizado ou software não aprovado, o que pode representar uma ameaça à segurança dos sistemas.

Exemplo: Utilização de um software de controle de inventário para acompanhar a equipe de gerenciamento de configuração e ativos no qual eles possam obter dados de hardware e software com isso garante que todos os ativos de TI sejam identificados e gerenciados corretamente conforme política de segurança da informação da empresa. Esse tipo de inventário inclui servidores, computadores, laptops, dispositivos móveis, roteadores, switches e outros equipamentos de rede, bem como todos os softwares instalados em cada dispositivo. Manter esse inventário atualizado é uma tarefa difícil para as organizações no qual temos que atuar continuamente apoiando-se no framework como ITIL conseguimos obter métricas e modelos para definição de dashboard para acompanhamento.

B.   Configurações Seguras: Ajuda a reduzir significativamente o risco de exploração de vulnerabilidades e garantir a integridade e a confidencialidade dos dados.

Exemplo: Aplicar patches de segurança, configurar firewalls, definir políticas de senhas fortes, desativar serviços não utilizados, entre outras práticas recomendadas de segurança com isso ajudar a reduzir os riscos.

C.  Ciclo de vida do ativo: É um processo contínuo que abrange a gestão de um ativo desde sua aquisição até o seu descarte ou desativação. Esse ciclo visa garantir que o ativo seja devidamente protegido, utilizado de forma eficiente, mantido atualizado e, quando necessário, retirado de forma segura.

Exemplo: A aquisição de um novo servidor para hospedar um aplicativo crítico. O servidor é registrado no inventário de ativos de segurança, e suas especificações técnicas, data de aquisição e informações de fornecedor são documentadas.

D.  Gerenciamento de Ativos de Software: Podemos dizer que é um processo crítico para garantir que todos os softwares utilizados na organização sejam licenciados corretamente, atualizados regularmente, e que atendam aos padrões de segurança e conformidade.

Exemplo: A equipe de segurança da informação realiza auditorias periódicas para garantir que todas as licenças de software estejam em conformidade e que não haja uso não autorizado de aplicativos.

O gerenciamento de configuração e ativos no contexto da segurança da informação desempenha um papel crítico na proteção dos ativos de informação da organização. Ao identificar, controlar e manter todos os ativos de TI, definir configurações seguras e implementar controles de acesso adequados, a equipe de segurança da informação pode garantir a integridade, confidencialidade e disponibilidade dos dados, reduzindo os riscos de ameaças internas e externas.

6.   Gerenciamento de Fornecedores:

O gerenciamento de fornecedores no ITIL envolve o relacionamento e a coordenação com fornecedores externos. No contexto da segurança da informação, é importante avaliar e monitorar os fornecedores em relação às práticas de segurança. Isso inclui a definição de requisitos de segurança nos contratos, a realização de auditorias de segurança e a garantia de que os fornecedores estejam em conformidade com as políticas e padrões de segurança da organização.

A.   Requisitos de Segurança em Contratos: Ao estabelecer contratos com fornecedores externos que tenham acesso a dados sensíveis ou sistemas da organização, a equipe de segurança da informação deve definir cláusulas específicas relacionadas à segurança da informação. Isso inclui a exigência de conformidade com padrões de segurança, proteção de dados, medidas de controle de acesso, notificação de violações de segurança, entre outros.

Exemplo: Em um contrato com um provedor de serviços em nuvem que irá hospedar aplicativos e dados da organização, a equipe de segurança da informação inclui cláusulas que exigem a implementação de práticas de segurança, como criptografia de dados em trânsito e em repouso, autenticação de dois fatores e conformidade com as regulamentações de proteção de dados aplicáveis.

B.   Auditorias de Segurança: A equipe de segurança da informação pode realizar auditorias de segurança periódicas nos fornecedores externos para avaliar o nível de conformidade com as políticas e padrões de segurança da organização. Essas auditorias podem ser realizadas tanto internamente quanto com a contratação de empresas especializadas em auditoria de segurança.

Exemplo: Um fornecedor que fornece software personalizado para a organização é auditado anualmente pela equipe de segurança da informação para garantir que ele esteja seguindo as melhores práticas de desenvolvimento seguro e que não existam vulnerabilidades críticas no software entregue.

C.  Plano de Continuidade de Negócios e Recuperação de Desastres: A equipe de segurança da informação deve garantir que os fornecedores tenham um plano de continuidade de negócios e recuperação de desastres robusto em vigor. Isso é importante para garantir que, em caso de falhas ou desastres, o fornecedor seja capaz de manter a continuidade dos serviços sem comprometer a segurança da informação da organização.

Exemplo: A equipe de segurança da informação revisa o plano de continuidade de negócios de um fornecedor que hospeda um sistema de missão crítica da organização para garantir que ele tenha medidas adequadas para lidar com interrupções de serviços e proteger os dados da organização em situações de emergência.

Ao aplicar esses exemplos de gerenciamento de fornecedores, a equipe de segurança da informação pode garantir que os fornecedores externos estejam aderindo aos padrões de segurança da organização e que a colaboração com esses fornecedores seja segura e protegida contra riscos de segurança. Isso é essencial para proteger os ativos de informação da organização e garantir a confiança e a integridade dos serviços terceirizados.

Considerações Finais

A implantação do ITIL como framework para um Sistema de Gestão de Segurança da Informação (SGSI) pode proporcionar uma série de benefícios e diretrizes para melhorar a segurança organizacional. Foram apresentados exemplos de como cada um dos processos do ITIL pode colaborar com a segurança da informação.

Em conclusão, a aplicação do ITIL como framework para um SGSI permite que a equipe de segurança da informação trabalhe de forma mais estruturada, eficiente e colaborativa. Ao seguir as diretrizes do ITIL, a organização pode fortalecer sua postura de segurança, reduzir riscos e garantir a proteção adequada de seus ativos de informação. Além disso, o ITIL proporciona um conjunto de melhores práticas para lidar com incidentes, problemas, mudanças e fornecedores, permitindo que a organização alcance seus objetivos de segurança com maior eficácia. Portanto, a adoção do ITIL como framework é uma abordagem recomendada para aprimorar a segurança da informação em qualquer organização.

REFERÊNCIAS

GERENCIAMENTO de incidente ITIL: passo a passo + dicas. Zendesk, 20 de abr. de 2023. Disponível em: <https://www.zendesk.com.br/blog/gerenciamento-de-incidente-itil/>. Acesso em: 19 de jul. de 2023.

QUERINO, Lucas. 5 Valiosas dicas para aprimorar a segurança cibernética de sua empresa com o gerenciamento ITIL. Blogac, 24 de mar. de 2023. Disponível em: < https://blogac.me/5-valiosas-dicas-para-aprimorar-a-seguranca-cibernetica-de-sua-empresa-com-o-gerenciamento-itil/>. Acesso em: 19 de jul. de 2023.

COMO identificar vulnerabilidades digitais e proteger o seu negócio?. Idwall, 27 de out. de 2021. Disponível em: <https://blog.idwall.co/como-identificar-vulnerabilidades-digitais/>. Acesso em: 23 de jul. de 2023.

RECOMENDAÇÕES de políticas de senhas para senhas do Microsoft 365. Microsoft, 15 de jun. de 2023. Disponível em: <https://learn.microsoft.com/pt-br/microsoft-365/admin/misc/password-policy-recommendations?view=o365-worldwide>. Acesso em: 23 de jul. de 2023.

POR QUE as empresas precisam de uma política de senhas corporativas?. Penso, 22 de set. de 2020. Disponível em: <https://www.penso.com.br/por-que-as-empresas-precisam-de-uma-politica-de-senhas-corporativas/>. Acesso em 23 de jul. de 2023.

GESTÃO de Mudanças com ITIL – Como implementar usando as melhores práticas. Cervello. Disponível em: <https://cervello.com.br/gestao-de-mudancas/>. Acesso em 23 de jul. de 2023.

RODRIGUES, Tainã. 6 passos para implementar um Gerenciamento de Mudanças que funciona – Introdução. Blogac, 7 de jul. de 2016. Disponível em: <https://blogac.me/6-passos-para-implementar-um-gerenciamento-de-mudancas-que-funciona-introducao/>. Acesso em 23 de jul. de 2023.

DOROW, Emerson. ITIL: Gerenciamento de Liberação. Profissionaisti, 16 de jul. de 2009. Disponível em: < https://www.profissionaisti.com.br/itil-gerenciamento-de-liberacao>. Acesso em 24 de jul. de 2023.

PRÁTICAS recomendadas do Windows Server Update Services. Microsoft, 17 de jul. de 2023. Disponível em: < https://learn.microsoft.com/pt-br/troubleshoot/mem/configmgr/update-management/windows-server-update-services-best-practices>. Acesso em 24 de jul. de 2023.O que é o gerenciamento de continuidade de serviços de TI?. Atlassian. Disponível em: <https://www.atlassian.com/br/itsm/incident-management/itscm>. Acesso em 24 de jul. de 2023.

GERENCIAMENTO da Configuração e Ativos de Serviço: o processo “camarada” da ITIL. Gaea. Disponível em: <https://gaea.com.br/gerenciamento-da-configuracao-e-ativos-de-servico-o-processo-camarada-da-itil/>. Acesso em 24 de jul. de 2023.

CONHEÇA as 7 melhores práticas de gerenciamento de ativos de TI. ManageEngine. Disponível em: < https://www.manageengine.com/br/service-desk/it-asset-management/>. Acesso em 24 de jul. de 2023.

AUDITORIA de segurança: como funciona e por que é importante?. It-eam. Disponível em: < https://it-eam.com/auditoria-de-seguranca/>. Acesso em 24 de jul. de 2023.

ADAPTE-SE e responda a riscos com um plano de continuidade de negócios (BCP). IBM, 25 de nov. de 2020. Disponível em: < https://it-eam.com/auditoria-de-seguranca/>. Acesso em 24 de jul. de 2023.

Steinberg, Joseph. Cibersegurança para Leigos. Editora Alta Books, 2020.