Os standards de auditoria da segurança informática (cont)

Segurança informática em auditoria

6.7. ITIL [32]

Foi produzido pelo Office of Government Commerce (OGC) um serviço com autonomia funcional inserido no Ministério das Finanças do Reino Unido que reporta ao Chief Secretary to the Treasury.

O ITIL é um conjunto de boas práticas em gestão de TI, desenvolvido pelo OGC e sustentado em publicações, certificados de qualificação e por um grupo de utilizadores internacionais.

Pretende apoiar as organizações no desenvolvimento de um framework para ajudar gestores de outsourcing a controlar a qualidade e os custos. O ITIL destina-se a fornecedores de serviços de TI, directores de TI e CIOS (Chief Information Officers), gestores, clientes e utilizadores finais.

Os seus promotores dizem que o ITIL oferece uma aproximação sistemática e profissional à gestão das TI que permite reduzir custos, melhorar os serviços de TI devido ao uso das melhores práticas nos processos, melhorar a satisfação dos clientes, orientar, estandardizar e melhorar a produtividade entre outras vantagens.

A aplicação deste standard a todos os processos internos de uma organização obriga a combinar diferentes tipos de informação, desde o inventário da infraestrutura, o impacto das ocorrências tecnológicas nos serviços e processos de negócio, até à reiteração de ocorrências associadas a um determinado componente. O ITIL suporta a maior parte dos processos tratados no COBIT. Distribui-se por oito documentos principais:

Serviços e apoio

Serviços de disponibilização

Planeamento de implantação da gestão do serviço

Gestão de aplicações

Gestão de infra-estruturas de TIC

Gestão da segurança

Gestão dos activos de software

Perspectiva de negócio: A abordagem dos sistemas de informação na disponibilização de serviços ao negócio

Estão previstos três níveis de certificação profissional no esquema do ITIL:

Foundation Certificate - Certificado em Fundamentos de Gestão de Serviços TI. Oferece um nível basilar de conhecimento em gestão TI e é destinado a todos os profissionais que pretendem estar familiarizados com as melhores práticas ITIL. Teste de uma hora realizado em papel ou via Web, consistindo em quarenta perguntas com resposta de escolha múltipla. Não requer qualquer certificação prévia;

Practitioner's Certificate - Certificado de Praticantes em Gestão de Serviços de TI. Destinado a todos os profissionais com responsabilidades pelo desenho de processos relativos à gestão de TI. O exame consiste em dois testes de três horas. Os examinandos devem já possuir o Certificado em Fundamentos de Gestão de Serviços TI;

Manager's Certificate - Certificado de Gestores em Gestão de Serviços de TI. Destina-se aos profissionais que gerem as TI. Certificado de Gestores em Gestão de Serviços de TI. O exame consiste em dois testes de três horas. Os examinandos devem já possuir o Certificado em Fundamentos de Gestão de Serviços TI.

A certificação ITIL, tal como noutros standards garante que os seus detentores são tecnicamente qualificados para usar as melhores práticas ITIL. A certificação é atribuída por um grupo de certificação constituído por representantes do próprio OGC, do itSMF e vários institutos examinadores. Actualmente, os institutos que oferecem formação profissional são:

ISEB (The Information Systems Examination Board), uma subsidiária da British Computer Society;

ISEB ITIL Service Management training;
ISEB ITIL Infrastructure Management training;

EXIN - the Examination Institute for Information Science in the Netherlands;

EXIN accredited trainers.

O OGC trabalhou em ligação com o BSI (British Standard Institute) e itSMF (IT Service Management Forum) [33] na elaboração da sua documentação de modo a que o BSI Management Overview (PD0005), BS15000-1 (especificações para gestão de serviços), BS15000-2 (código de prática para a gestão de serviços) e os documentos ITIL façam parte de uma estrutura lógica. O documento BSI Management Overview serve como uma introdução de gestão aos guias detalhados ITIL [34].

O BS15000 consiste em duas partes:

BS15000-1 com 10 secções: âmbito, termos e definições, requisitos para um sistema de gestão, plano e implantação do serviço de gestão, planeamento e implantação de novos serviços ou serviços modificados, processos de disponibilização de serviços, processos de relacionamento, processos de resolução, processos de controlo e processos de desafectação;

BS15000-2 oferece assistência às organizações que esperam ser auditadas contra o standard BS15000-1 ou planeiam melhorar os serviços.