Cobit 5 em Português!

A Isaca disponibilizou no fim de Outubro o download do Framework Cobit 5 em Português.

Acesse o site da Isaca, realize o seu cadastro e faça o download.

http://www.isaca.org/COBIT/Pages/COBIT-5-Portuguese.aspx

Abs

Luiz

Compreendendo a ITIL® a partir de uma perspectiva nada convencional: um show de rock!

A ITIL® traz uma série de boas práticas de gerenciamento, organizadas para cobrir todo o ciclo de vida de um serviço, focando em cinco fases:

• Estratégia de Serviço: É a fase de concepção do serviço. A pergunta mais simples que poderia ser feita neste momento é: “O que sua organização quer ser?”.
• Desenho do Serviço: Nesta fase, a estratégia do serviço começa a tomar forma. Tudo o que é necessário para os requisitos do serviço vai para o papel. É hora de planejar como a organização vai se transformar no que foi proposto durante a estratégia!
• Transição do Serviço: Mãos na massa! Neste momento é preciso garantir que tudo o que foi desenhado na fase anterior se torne, de fato, um serviço disponível (ou “consumível”), com o mínimo de riscos/impacto.
• Operação do Serviço: Só os fortes sobrevivem a esta fase. Uma vez disponibilizado o serviço, agora é momento de garantir que ele funcione de acordo com o que foi previsto na estratégia, com o mínimo de interrupções, e com o tratamento adequado para os imprevistos.
• Melhoria Continuada do Serviço: Sempre há o que melhorar. Nesta fase há uma preocupação em garantir que todo o ciclo de vida do serviço passe por uma avaliação criteriosa, e lições sejam aprendidas (em qualquer das fases).

Ok, mas qual é a relação da ITIL® com um show de rock?

Tendo como verdade a ideia de que um show de rock é uma das ofertas disponíveis em um serviço de entretenimento, promovido por empresas de eventos (os provedores de serviço) ao público em geral (os clientes do serviço), vamos ao seguinte cenário:

Imagine o custo total do espetáculo de uma banda mundialmente conhecida. As toneladas de equipamentos, a logística e a enorme quantidade de profissionais envolvidos. A responsabilidade por garantir a satisfação de 50, 100, 200 mil pessoas que pagam para ver o melhor espetáculo possível ao vivo, em um tempo relativamente curto (de 1 a 3 horas). Apesar de um pouco específicos, estes desafios podem ser identificados em quaisquer outros serviços vistos no dia a dia, sejam eles de TI ou não.

Há algum tempo atrás, a banda U2 adotou uma forma diferente de se apresentar, em um palco de 360 graus. Toda essa inovação faz parte de uma estratégia definida para introduzir um novo conceito, uma nova experiência para o público. E sabemos que funcionou muito bem.

Provavelmente foram necessários muitos meses de estudo, cálculos, envolvimento de engenheiros de som, arquitetos, especialistas em efeitos visuais, etc. Além disso, considerar quantidade máxima de público por show, valores de ingressos, limitações de locais em que este show poderia ser instalado, segurança, etc. Tudo isso para desenhar como esta nova abordagem do espetáculo poderia ser viabilizada ao público.

Você já deve ter visto aqueles profissionais que vivem correndo de um lado para o outro, montando e testando os equipamentos das bandas ou artistas antes de um show, trocando os instrumentos em questões de segundos, arrastando cabos de lá pra cá, e quando ocorre algum imprevisto, atua na linha de frente na tentativa de resolvê-lo o mais rápido possível.

Outro exemplo: cada equipamento, desde a ordem de ligação, configuração de parâmetros e informações relevantes dos equipamentos como voltagem, modelo, etc. devem ser controlados minuciosamente para que o timbre característico do artista permaneça sempre o mesmo. Provavelmente, o artista deve sempre ser consultado, e aprovar quaisquer mudanças em seus equipamentos, avaliando o impacto que elas podem trazer em uma performance ao vivo.

E se tudo der errado? Qual é o plano caso ocorra um desastre e tudo pare de funcionar?

Pra finalizar, tudo isso deve estar explícito nos contratos milionários fechados com os organizadores do evento, juntamente com os níveis de serviço esperados (duração do show, músicas a serem tocadas, etc).

Apenas neste pequeno cenário, já foram citados ao menos 5 processos de gerenciamento de serviços sugeridos pela ITIL®.

Fonte: ITSM na Prática

Abs

Luiz

ITIL em pequenas organizações: estratégia de serviços

Vídeo da Palestra Virtual ministrada via Hangout sobre a adoção dos processos da Estratégia de Serviços da ITIL em pequenas empresas

Gravação em vídeo dos Hangouts dos dias 10/04/2014 e 17/04/2014 em parceria com a PMG Academy

Caros amigos do Portal GSTI, 
agradecemos a todos que estiveram presentes em mais uma semana de Hangouts!

A seguir, disponibilizamos os dois vídeos das palestras realizadas para este 

ITIL em pequenas empresas

tema: ITIL em pequenas organizações – parte 01: Estratégia de Serviços de TI. O material utilizado durante o evento também está disponível para download. 

Sobre os organizadores e palestrante

Este evento é mais um resultado de uma parceria entre o Portal GSTI e a PMG.

Agradecemos a toda a equipe da PMG que sempre nos oferece apoio e suporte, garantindo a realização dos eventos que temos conduzido juntos.

Perfil do palestrante:

• Fernando Palma

Sobre o Hangout

Descrição: nesta palestra, Fernando Palma sugere como adaptar os processos da etapa de estratégia de serviços de TI da ITIL ao contexto de uma pequena empresa. Para tanto, demonstra o passo a passo da adoção simplificada dos processos de: Gestão do Portfólio de Serviços, Gestão da Demanda e Gerenciamento Financeiro.

 

A duração da palestra é de aproximadamente 02 horas e + 01 hora para perguntas. Total: 03 horas. 

ITIL em pequenas empresas: estratégia de serviços 10/04/2014

Fonte: Portal GSTI

Abs

Luiz

 

05 maneiras diferentes de aplicar ITIL

 

Dica do Portal GSTI

Abs

Luiz

Transição, Mudanças e Conhecimento na ITIL

Muitas empresas desassociam a gestão do conhecimento e a gestão de mudanças. Isso é porque o estudo da transição de serviços tem sido um pouco relegado ultimamente. Eu considero o livro mais difícil da ITIL® porque envolve muitas interfaces entre processos e também porque exige de quem estuda a matéria mais experiência FORA da área de serviços. Sim, caro leitor, você precisa entender que o mundo é mais do que sua central de serviços!

Quando pensamos na nossa base de dados de erros conhecidos, por exemplo, colocamos tudo que queremos registrar em nossa operação dentro dela. Mas não é assim que funciona. Você não pode pegar a base de dados que utiliza na gestão de problemas e de incidentes, onde estão as soluções de contorno para erros conhecidos e até o passo-a-passo do atendimento ao usuário, e jogar tudo lá dentro. Você pode ter um software para gestar informações e conhecimento tanto da gestão de problemas e incidentes, mas este softwareprecisa te dar ferramentas de controle de acesso adequadas. Percebe como tudo se relaciona? A gestão de problemas, dos incidentes, a gestão dos acessos e também do conhecimento. Quem trabalha solucionando os problemas tem um acesso diferente de quem trabalha como analista de primeiro nível, por exemplo. Acho que você já entendeu o recado, certo? Fique sempre atento ao relacionamento entre os processos.

Além destes exemplos aí de cima, temos também o portfólio de serviços, onde estão serviços ainda em desenvolvimento (ou na “pipeline”), que podem vir a entrar em operação, os serviços em operação e aqueles que foram desativados. Este portfólio também é gerido e tem informações importantes para o provedor de serviços e para o cliente. Aquilo que o cliente vê é diferente do que o provedor de serviços e seus colaboradores visualizam, e estas informações estão divididas em camadas diferentes. A questão é: como tudo isso se relaciona? Pelo sistema de gestão de conhecimento. É preciso ter uma ferramenta ou pelo menos uma abordagem definida para trabalhar com tudo que temos e para fazer com que estes dados, informações e conhecimento trabalhem a favor da nossa organização.

E por que estudamos a gestão de conhecimento na transição de serviços? Porque precisamos ter o conhecimento como um farol. Estabelecer uma linha de base para mudanças depende do que sabemos a respeito da nossa operação e isso está lá, no nosso sistema de gestão de conhecimento.

Além disto, temos que ter em mente que uma daquelas matérias que está além da gestão do serviços é a gestão de projetos. Pensamos em transição de serviços e temos que sempre pensar em um projeto se esta transição envolver mudanças sérias e impactos relevantes para o negócio. Não estamos falando em alterações de senha, então não se confunda. Muita gente apela e diz que uma coisa é uma coisa e outra coisa é outra coisa, gestão de serviços não se confunde com gestão de projetos. Já tem um tempo que estou tentando te mostrar, caro leitor, justamente o contrário: ambas as matérias são lados distintos de uma mesma moeda!

Fonte: Portal GSTI

Abs

Luiz

ITIL e Gestão de Projetos

Uma discussão muito comum quando falamos sobre ITIL é a respeito da distinção entre gestão de serviços e de projetos. A maior parte das pessoas salta e diz que a diferença entre o PMPe o ITIL Expert é justamente esta, um é para serviços e outros para projetos. É verdade, mas eles estão mais próximos do que você imagina!

É verdade que um PMP é um gerente de projetos certificado. Também é verdade que um ITIL Expert é um gestor de serviços devidamente certificado. Isso não significa, todavia, que são certificações excludentes ou que um ITIL Expert não fará gestão de projetos.

Quando estudamos transição de serviços, por exemplo, é fundamental entender que uma mudança é muitas vezes regida por um plano de projeto.

Isso porque uma mudança pode ser uma alteração de senha, mas também pode ser a mudança de um serviço. Se quisermos alterar uma característica complexa em um software e isto for feito internamente e esta alteração resultar na alteração de um serviço, uma série de requerimentos terão de ser cumpridos. Fazendo uma recapitulação básica das melhores práticas veremos que para fazer esta alteração precisaremos de uma justificativa baseada em um caso de negócio. Este caso de negócio deverá conter uma análise da demanda daquele serviço que justifique a alteração nas funcionalidades do software em questão e assim por diante. Estes artefatos e estudos estão dentro da ITIL, mas e na hora de por a mão na massa e alterar o software? Quem vai gerir esta alteração? Onde está o plano para a alteração e o plano que embasa e análise financeira da gestão estratégica dos serviços? No fim das contas, a alteração será melhor gerida desde o princípio se nos utilizarmos das boas práticas de gestão de projetos.

Ser ITIL Expert ou PMP, por si só, já é um grande diferencial. Conforme o mercado se torna mais competitivo, os mais fortes prevalecem e quem vai ficar na ponta são os melhor preparados.

Se você quer trabalhar com a adoção de ITIL, então é relevante ser PMP e ITIL Expert. Cada passo a ser dado na direção da maturidade em uma organização no que diz respeito à gestão de serviços deve ser orientado por um plano de projeto. Em outro artigo falarei mais sobre acertificação Prince2.

Infelizmente, o Brasil é um país muito pouco evoluído em termos de gestão e se você quer ser reconhecido por analistas de recursos humanos e headhunters precisa ter certificações que eles reconheçam. A certificação ITIL Expert ainda é, acreditem, pouco reconhecida. Um Prince2 Professional terá muito menos chances no nosso mercado do que um PMP.

Fonte: Portal GSTI

Abs

Luiz

Sua Empresa Não Está Interessada em ITIL? Confira Estas Dicas!

Muitas empresas acham que “estão bem como estão” e não querem nem saber de adotarmelhores práticas nem de mudanças. Este tipo de organização me deixa triste, porque é uma organização que põe em risco sua própria existência e o trabalho de seus colaboradores. Não interessa se a empresa vai sobreviver ou não, o que interessa é que algumas pessoas não são acomodadas e gostam de melhorar. Alguns tem o perfil “melhoria contínua” enquanto outros são simplesmente acomodados.

Se sua empresa ainda não trabalha com ITIL, mas tem o que é preciso para evoluir, então você precisa buscar formas de implantar (ou implementar, em outro artigo discutiremos a questão) as melhores práticas. Algumas coisas são mais importantes que outras, então fiz uma lista para ajudar você a conseguir o tão famoso “buy-in” da sua equipe e da alta direção.

Como conseguir apoio da direção e dos colaboradores?

Quando eu era Gestor de Produtos Corporativos em uma grande distribuidora de TI eu tinha muita dificuldade em oferecer treinamentos porque, pela lei, treinamentos fora do horário de trabalho devem ser oferecidos e pagos como hora extra. O diretor não queria pagar hora extra e a equipe não queria ficar até mais tarde estudando sem receber qualquer adicional. Isso já era um problema enorme por si só, então imagine como trabalhar com ITIL se não tivermos público para ensinar a base nem apoio da alta direção? A solução estava no meio termo. O diretor da empresa aceitou pagar por cursos EAD, que eram realmente em conta se calculado o investimento em relação ao pagamento de horas extras. Os funcionários, bom, nem todos quiseram fazer o curso – o que me permitiu filtrar os interessados e criar um grupo de interesse e de implementação. Você alia os interesses da gestão, apresentando os benefícios, e encontra aqueles profissionais dedicados para formar seu primeiro grupo de “pontas de lança”. É um belo primeiro passo!

Mapeie Processos

Muitos acham que dar o curso de ITIL Foundation e depois pagar a prova de certificação é o primeiro passo. ERRADO! O primeiro passo é ter alguns processos já mapeados, mesmo que eles tenham evoluído até então de forma orgânica, e fazer com que todos os envolvidos saibam que aqueles processos existem e que estão sendo tratados como tal. É importante deixar claro para a equipe de analistas, por exemplo, que a gestão operacional é formada por um conjunto de processos e que o trabalho deles é planejado com base nestes processos. Eles precisam entender os processos, seus papéis e atividades em cada um deles. Isso vai fazer com que a equipe entenda o que é um processo e o que realmente é esperado de cada um dos profissionais.

Pode parecer óbvio, mas se eu for hoje em 10 empresas distintas e perguntar como funciona o processo de requisição de serviço muitos não vão nem saber o que é isso – sendo que é o processo mais comum em uma central de serviços.

Já tem alguns processos mapeados? Chegou a hora de estudar!

Então você já mapeou os processos, já fez com que todos soubessem exatamente o que tinham de fazer e que existia alguém no comando e que este comando era organizado e planejado. Os diretores da empresa estão prontos para investir algum dinheiro, mesmo não sendo muito. Você tem uma ideia de quem pode abraçar a causa ITIL e está na hora de investir. O que fazer? Faça, como sugerido na primeira dica, o investimento nas pessoas certas e não gaste com quem não vai dar retorno. Pegue tudo que puder e invista em quem vai defender a causa. Ensine e certifique estes embaixadores das melhores práticas e forme seu grupo de combate. Lembre-se: Alexandre O Grande conquistou o mundo com um punhado de soldados e estratégias geniais. O segredo está no plano mais do que no contingente!

Fonte: Portal GSTI

Abs

Luiz

05 princípios do gerenciamento de disponibilidade da ITIL

Grande parte dos departamentos de TI ainda não se comporta com foco de sua gestão voltada para o serviço, e esta limitação impacta na abordagem inadequada de processos como o gerenciamento de disponibilidade.

O resultado é que ainda gerenciamos componentes de forma isolada do serviço, indicadores por departamentos em vez de processos, visão interna onde deveria estar expressa a necessidade do cliente (externa).

Em cenários como estes, é comum encontrarmos o nível de disponibilidade sendo calculado e reportado com ajuda de métodos como “a capacidade de executar um ping no servidor XYZ”.

Podemos admitir, claro, que tal servidor pode representar sim uma função vital para um determinado serviço, mas existem muitos outros fatores que também podem afeta-lo, todos os quais têm impacto na experiência do usuário: esta sim, a que realmente importa e deve ser medida e reportada.

Sem querer transformar este artigo em um discurso crítico, proponho uma desdramatização do cenário através de uma interpretação do que a ITIL denomina de Princípios do Gerenciamento da Disponibilidade. Eles podem nos ajudar a reconhecer o processo em sua abordagem adequada para o cliente do serviço.

A ênfase dos 05 princípios a seguir é – simplesmente – compreender e atender às necessidades do negócio e clientes, através da gestão da disponibilidade dos serviços de TI. Faço breves comentários sobre cada um deles.

05 Princípios que devem sustentar a correta abordagem da gestão da disponibilidade de serviços de TI:

Princípio 01 – A disponibilidade do serviço de TI está no cerne de satisfação do cliente e do usuário.

Segundo as boas práticas, a disponibilidade é o centro das atenções quando se trata da expectativa e cumprimento das necessidades. Uma vez não cumprida, a expectativa não pode ser atendida. É a base da satisfação para a área de negócio.

Princípio 02 – Quando o serviço não está disponível, ainda é possível obter a satisfação do cliente e do usuário.

Não há forma melhor de explicar este princípio senão citar o exemplo que a ITIL descreve desde a versão 02 (Service Delivery): um cliente que teve seu serviço interrompido por 30 minutos de forma planejada e comunicada, com certeza estará mais satisfeito do que outro cliente que teve o serviço interrompido por 30 segundos, porém de forma inesperada.

Princípio 03 – A disponibilidade do serviço é tão boa quanto a nível de disponibilidade do componente “mais sensível” deste serviço.

Basta que um dos componentes do serviço tenha um nível inadequado de confiabilidade, sustentabilidade ou resiliência para que o serviço como um todo apresente um nível também inadequado de disponibilidade. Caso este fato pareça estranho para você, talvez a definição de Ponto Único de Falha o ajude.

Princípio 04- Gerenciamento da Disponibilidade é um processo tanto proativo como reativo

Gerenciar disponibilidade dos serviços não é monitorar a rede. Planejamento da disponibilidade e uso de técnicas proativas são necessários, tanto quanto atividades e técnicas reativas para a gestão adequada deste processo.

Princípio 05 – Os custos de lidar com disponibilidade tardiamente são muito superiores aos incorridos na concepção do serviço.

Em outras palavras, reagir sempre custará mais caro do que ser proativo. Quem acompanhou meu artigo sobre Função Vital do Negócio(FVN) na prática chegou a mesma conclusão ao comparar o custo da proatividade e reatividade no Gerenciamento de Continuidade.

Quem trabalha com gestão da qualidade ou correlatos, pode me ajudar a falar dos custos de reagir quando comparados ao de pro agir, com muitos outros exemplos.

Além disso, devemos lembrar que um serviço que desenvolve má reputação, naturalmente criará dificuldades para reverter sua imagem perante o cliente, não é mesmo?

Como podemos verificar, os princípios da disponibilidade nos remetem reflexões relevantes. Para o amigo que chegou até aqui, espero que o artigo o tenha ajudado a tirar conclusões, praticar algo, ou pelo menos tenha dado vontade de mostrar para o coordenador de infra estrutura do seu departamento de TI.

Fonte: Portal GSTI

Abs

Luiz

As normas da família ISO 27000

Normas ISO 27000

ISO/IEC 27000: visão geral/introdução à família ISO 27000. É uma norma interessante sobretudo para marinheiros de primeira viagem na gestão da segurança da informação. Inclui um glossário de termos que ajuda, inclusive, a quem está se preparando paracertificação profissional ISO 27002 Foundation.

ISO/IEC 27001: a norma que define os requisitos para um Sistema de Gestão da Segurança da Informação (SGSI).

O SGSI é descrito como um sistema parte do sistema de gestão global da organização, com base em uma abordagem de risco do negócio, para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar a segurança da informação. O SGSI inclui estrutura organizacional, políticas, atividades de planejamento, responsabilidades, práticas, procedimentos, processos e recursos. A publicação é muito conhecida entre estudantes deconcursos de TI.

A ISO 27001: é a principal norma que uma organização deve utilizar como base para obter a certificação empresarial em gestão da segurança da informação. Por isso, é conhecida como a única norma internacional auditável que define os requisitos para um Sistema de Gestão de Segurança da Informação (SGSI).

ISO/IEC 27002: é um código de práticas com um conjunto completo de controles que auxiliam aplicação do Sistema de Gestão da Segurança da Informação.

É recomendável que a norma seja utilizada em conjunto com a ISO 27001, mas pode ser também consultada de forma independente com fins de adoção das boas práticas.

Outro fato curioso é que esta é a única norma em gestão da segurança para qual existem certificações profissionais, do centro de exames Exin. Caso deseje saber um pouco mais, consulte o nosso guia para certificação ISO 27002.

ISO/IEC 27003: uma das minhas prediletas e curiosamente s menos conhecida entre as 05 primeiras normas desta família. A ISO 27003 contém um conjunto de diretrizes para a implementação do SGSI. Enquanto a 27001 disponibiliza apenas requisitos, aqui obtemos uma orientação detalhada.

ISO/IEC 27004: defini métricas de medição para a gestão da segurança da informação. Pode ser uma importante aliada no momento de definir-se metas de níveis de serviço para a segurança da informação, ou mesmo executar o check e act do SGSI.

ISO/IEC 27005: cobre a gestão de riscos segurança da informação. Grande parte do escopo da ISO 27005 pode ser interpretada como a sessão 4 da norma ISO 27001 detalhada na perspectiva dos riscos.

ISO/IEC 27006: defini requisitos para organizações que trabalham com auditoria e certificação de sistemas de gestão de segurança da informação. Em outras palavras, os requisitos na perspectiva da empresa auditando o seu cliente, para validar um SGSI.

ISO/IEC 27007: aborda diretrizes para guiar a auditoria do sistema de gestão da segurança da informação. Ela deve ser usada junto com a ISO 27006 assim como a ISO 27002 deve ser usada em conjunto com a ISO 27001.

ISO/IEC 27008: esta norma complementa a ISO 27007 ao concentrar-se na auditoria dos controles em segurança da informação (que estão dispostos na ISO 27002), enquanto a 27007 concentra-se na auditoria dos requisitos a do SGSI (definidos na 27001).

ISO/IEC 27009: norma apoia a industrias específicas pretendem trabalhar orientadas às normas ISO 27000.

ISO/IEC 27010: aborda um guia para a comunicação em gestão da segurança da informação tanto no escopo da organização como fora dela (sobretudo para entre empresas do mesmo setor). Perceba que o objetivo não é delimitar controles de segurança para a informação e sim prover auxílio para quem deseja evoluir com as práticas através de contatos e network entre partes de um mesmo segmento de mercado que buscam aprimorar a gestão da segurança da informação.

Pessoalmente, tenho pouca intimidade com esta norma, assim como muitas citadas deste ponto em diante. Entretanto, uma das questões mais interessante que observei ao ter um primeiro contato com esta, é o fato de orientar a como compartilhar informações que precisam ser acessadas por outras empresas ou órgãos governamentais mesmo sendo classificadas como sigilosas.

ISO/IEC 27011: guia de gestão da segurança da informação para empresas de telecomunicações.

ISO 27012: no histórico da ISO, esta norma foi proposta para gestão da segurança da informação em organizações da administração pública, mas foi cancelada. No site oficial da ISO ela hoje não está entre as normas publicadas oficialmente.

Existem informações também de uma nova proposta com a numeração ISO 27012 o padrão específico da indústria de finanças, mas este papel acabou sendo assumido pela ISO 27015, descrita adiante.

ISO/IEC 27013: trata-se de um guia para implementar a ISO 27001 em uma organização de forma integrada com a ISO 20000 (norma que atribui os requisitos para gestão de serviços de tecnologia da informação). Interessante, sim?

ISO/IEC 27014: técnicas para governança da segurança da informação. Este objetivo é buscado pro tal norma através de uma especificação de como avaliar, dirigir, controlar e comunicar todas as práticas internas da empresa relacionadas a segurança da informação, de forma que sejam compreendidas e estejam alinhadas com necessidades da área de negócio
_____________________________________________________________________
Observação: as próximas 02 normas estabelecem diretrizes e controles para segmentos específicos do mercado, e isso volta a ocorrer na ISO 27099. Algumas delas ainda estão em elaboração.
_____________________________________________________________________
ISO/IEC 27015: aborda a gestão da segurança da informação para serviços financeiros. Pode ser interpretada como uma norma que fornece controles e diretrizes complementares a ISO 27002 para empresas e departamentos deste segmento.

ISO/IEC 27016: o mesmo raciocínio da 27015, só que para o setor de economia.
_____________________________________________________________________
Observação:  perceba que a partir da próxima norma, o foco muda para tópicos específicos em tecnologia da informação.
_____________________________________________________________________

ISO/IEC 27017: controles específicos para cloud computing.

ISO/IEC 27018: cobre especificamente a privacidade (PII – Personally Identifiable Information) para serviços em cloud computing. Como podemos interpretar, é uma norma que complementa a ISO 27017.

ISO 27019: controles específicos para industria de energia.
_____________________________________________________________________
Observação: não estranhe o fato de saltarmos para a ISO 27031. As normas numeradas entre 27020 e 2030 não estão publicadas ou já estão publicadas para temas que não dizem respeito a gestão da segurança da Informação. A ISO 27020, por exemplo, é “aplicável a suportes e tubos para uso em aparelhos ortodônticos fixos”, enquanto a 27027 “especifica as definições, os requisitos de desempenho e métodos para determinar o desempenho de controladores de potência (remotas) de estado sólido para uso em sistemas de energia elétrica do setor aeroespacial.”
_____________________________________________________________________
ISO 27031: propõe um guia de princípios/conceitos por trás do papel da segurança da informação para TIC no sentido de garantir a continuidade dos negócios. Inclui diretrizes de mensuração do nível de proteção da organização para a gestão da continuidade na ótica da tecnologia e comunicação.

ISO 27032: aborda “Cybersecurity”. Está em sua definição a preservação da confidencialidade, integridade e disponibilidade da informação em “Cyberspace“.

ISO 27033-1: esta é uma das 06 partes da norma 27033. O conjunto de normas 27033-1 a 27033-6 são derivadas das 05 partes da norma de segurança em redes: ISO/IEC 18028. A ISO 27033-1 trata sobre a introdução e conceitos gerais para segurança em redes.

ISO 27033-2: guia para o planejamento, desenho, implementação e documentação da segurança em redes.

ISO 27033-3: tem o objetivo de definir os riscos específicos, técnicas de projetos e controles relacionados a segurança em redes.

ISO 27033-4: propõe uma visão geral e requisitos para identificação e análise de ameaças para a segurança da informação relacionadas a gateways de segurança da informação que compõem a arquitetura de segurança em redes.

ISO 27033-5: protegendo a comunicação entre redes usando Virtual Private Networks (VPNs).

ISO 27033-6: define riscos, técnicas de projeto e desenho e controles específicos para asegurança da informação em redes sem fio e rádio.

ISO 27034-1:  segurança da informação em aplicações – parte 01. Nesta primeira parte, é definida e abordada uma introdução e conceitos. As partes 02 a 06 encontram-se em desenvolvimento, mas já é possível obter informações sobre elas, conforme descrições a seguir.

ISO 27034-2:  segurança da informação em aplicações – parte 02. A segunda parte trata sobre a organização normativa para segurança em aplicações.

ISO 27034-3: guia para o processo de gestão da segurança em aplicações.

ISO 27034-4: validação de requisitos de segurança em aplicações.

ISO 27034-5: Protocolos e estrutura de dados de controle de segurança de aplicativos.

ISO 27034-6: guia de segurança da informação para aplicações específicas.
_____________________________________________________________________
Comentários: as próximas normas especificam em maiores detalhes muitas das seções da norma ISO 27002
_____________________________________________________________________
ISO 27035: guia detalhado para a gestão de incidentes de segurança da informação, cobrindo o processo de mapeamento de eventos, incidentes e vulnerabilidades em de segurança.

Inclui guias para declaração de uma política de gestão de incidentes de segurança, divisão das responsabilidades envolvidas, entre outros aspectos relevantes para quem adota as boas práticas se gestão da segurança.

ISO 27036: segurança da informação para o relacionamento com fornecedores. Oferece orientações sobre a avaliação e tratamento de riscos de segurança da informaçãoenvolvidos na aquisição de informações ou produtos relacionados com as TIC (Tecnologia de Informação e Comunicação) de outras organizações.
_____________________________________________________________________
Comentários: as duas próximas normas (ISO 27037 e ISO 27038) tratam sobre segurança forense, e este tema volta a ser citado nas normas ISO 27041 e ISO 27042“. Já as ISO 27038 e ISO 27039 tratam sobre ferramentas que automatizam atividades para SI.
_____________________________________________________________________
ISO 27037: orientações para a identificação, coleta, aquisição e preservação de evidências forenses digitais. Esta norma está focada na manutenção da integridade destas evidências. Sem dúvidas, uma das normas mais relevantes para profissionais que seguem ou pretendem seguir carreira de perito forense (caso não tenha intimidade com este tema, consulte publicações no Portal como estas 04 vídeo aulas de Segurança Forense, este vídeo sobre análise de malware em forense computacional, ou este ebook gratuito sobre Análise Forense.

ISO 27038: especificação para redação digital. Uma norma qual considero bem interessante por conta do seu grau de especifidade: trata sobre requisitos para a redação e compartilhamento da informação digital de forma adequada, seja ela publicada internamente na organização ou a partes externas.

ISO 27039: sistemas detecção de intrusos: um guia para seleção, contratação, desenho, operação e administração de sistemas IDS (Intrusion Detection Systems).

ISO 27040: aspectos de segurança da informação para sistemas e infraestrutura de storage.

ISO 27041: regula sobre a conformidade para métodos de investigação de evidências digitais, sendo mais uma norma entre as disponíveis para análise forense computacional / segurança forense.

ISO 27042: mais uma entre as normas forenses, sendo que esta prevê diretrizes para a análise e interpretação de evidências digitais. Existem especulações de que todas estas normas forenses sejam re-estruturadas, no futuro, em uma norma com diversas partes assim como está definida a ISO 27034.

ISO 27043: princípios e processo de investigação de incidentes da segurança da informação. Esta é mais uma norma voltada exclusivamente para gestão de incidentes de segurança, assim como a ISO 27035.

ISO 27044: diretrizes específicas para o Gerenciamento de Eventos de Segurança da Informação (SIEM).

ISO 27099: gerenciamento de segurança da informação para a área de saúde.

Para saber mais sobre cada uma destas normas, basta consultá-las no site oficial daISO (International Organization for Standardization).

Diversas outras normas desta família estão em fase de estudos e/ou sendo propostas, afinal podemos notar que diversas outras áreas de negócio ainda não são contempladas, assim como assuntos específicos na estrutura de segurança da informação e sessões específicas da norma 27002.

Fonte: Portal GSTI

Abs

Luiz

Exin – Free Exam Retake!

Essa notícia é para aqueles que só reclamam que a Microsoft tem a famosa segunda chance.

A Exin está com essa promoção agora, onde, marcando o exame, e utilizando o Voucher, você pode refazer o exame caso seja reprovado! Até 31 de Dezembro de 2013!

 

Clique aqui e solicite seu voucher!

Sorte!

Abs

Luiz