Análise de como a aplicação do ITIL poderia ter minimizado ou reduzido os impactos dessa falha
Por: beatrizalvarenga • 1/7/2018 • Trabalho acadêmico • 1.048 Palavras (5 Páginas) • 277 Visualizações
TRABALHO FINAL DE ITIL: Apresentação real de um caso de falha de TI e análise de como a aplicação do ITIL poderia ter minimizado ou reduzido os impactos dessa falha.
1. Introdução
O presente trabalho apresenta o caso de falha de TI ocorrido na empresa Movida Aluguel de Carros, empresa brasileira que presta serviço de aluguel de carros em 2018. Apresenta também uma análise hipotética do que poderia ter sido feito em cada uma das etapas do Ciclo de Vida, com seus respectivos processos, para minimizar ou reduzir o impacto gerado com a aplicação do ITIL.
2. Apresentação do caso Movida
No dia 12 de março de 2018, a TecMundo, site destinado a divulgar informações sobre celulares, jogos, eletrônicos, software, TV, internet e hadware recebeu uma denúncia grave de falha de segurança que deixou expostos dados pessoais de 2 milhões de clientes da locadora de veículos Movida. O responsável pela descoberta foi o desenvolvedor de softwares Jhonata Menezes dos Santos, que entrou em contato com a TecMundo e enviou capturas de telas com os dados de alguns clientes. Santos afirmou que acessar os dados não é difícil e pode ser feito por meio de dois procedimentos relativamente simples. As imagens mostraram dados pessoais dos clientes, como nome completo, endereço, números de telefone e CPF e ainda informações sobre a Carteira de Habilitação, como número e validade. Um dos prints enviados enviado na denúncia é de Renato Horta Franklin, diretor-presidente da Movida desde 2015.
[pic 1]
3. Processos e funções no ciclo de vida de acordo com o ITIL
[pic 2]
4. Análise dos processos
Estratégia de Serviço | Esta etapa do ciclo de vida do serviço de TI apenas menciona a gestão da Segurança da Informação, mas não realiza uma abordagem com foco no tema.Vale destacar o papel da definição do valor do serviço pela gestão do portfólio de serviços e gerenciamento da expectativa com o apoio da gestão de relacionamento com o negócio, através de definições de requisitos gerais para os serviços que impactam os critérios de segurança. |
Gerenciamento da Disponibilidade | Atividades proativas do gerenciamento da disponibilidade contribuem para o cumprimento deste que é um dos requisitos de segurança da informação: a disponibilidade. O plano da disponibilidade traz proteção à informação, garantindo que níveis de disponibilidade adequados serão entregues para serviços de TI. Vale ressaltar que o processo de gestão da disponibilidade cita explicitamente requisitos de segurança como atributos a serem definidos durante a fase de planejamento. |
Gerenciamento da Continuidade para Serviços de TI | O gerenciamento da continuidade é fator crítico de sucesso para proteção da informação. Continuidade e segurança são temas relacionados entre si. |
Gerenciamento da Segurança da Informação para TI | O processo responsável por garantir que a confidencialidade, integridade e disponibilidade dos ativos, informações, dados e serviços de TI de uma organização correspondam às necessidades acordadas do negócio. O gerenciamento de segurança da informação suporta a segurança do negócio e tem um escopo mais amplo que aquele do provedor de serviço de TI, e inclui o tratamento de papel, do acesso predial, chamadas telefônicas, etc., para toda a organização. |
Gerenciamento de Fornecedores | Processo de gestão de fornecedores deve ser utilizado para aplicar as cláusulas para terceiros que abrangem requisitos de segurança da informação definidos para os serviços entregues internamente. Políticas de gestão de fornecedores devem oferecer tais orientações, principalmente para fornecedores de desenvolvimento de software. No caso Movida, a falha pode ter partido de um mal uso das informações do clientes por parte de uma fábrica de software, por exemplo. |
Gerenciamento de Nível de Serviços | Boas práticas de gerenciamento de nível de serviços são essenciais para definir, acordar, entregar, monitorar, reportar e melhorar continuamente os níveis de serviço, abrangendo metas, regras e acordos para disponibilidade, confidencialidade e integridade da informação. |
Gerenciamento de Liberação e Gerenciamento de Mudanças | Requisitos de segurança devem ser contemplados em especificações de sistemas assim como em projetos de Infraestrutura. Riscos da segurança da informação serão entradas em "riscos da liberação e implantação", no processo de liberação, assim como serão considerados na gestão de mudanças. |
Gerenciamento de Incidentes | Modelos de incidentes devem contemplar incidentes da segurança da informação dentro do processo de gestão de incidentes, para que exista uma gestão adequada dos incidentes de segurança. |
Gerenciamento de Acesso | Aplica regras de acesso definidas a partir das atividades de planejamento dos processos de gerenciamento da segurança da informação e gerenciamento da disponibilidade. |
Melhoria Contínua de Serviços de TI | Melhorias para o processo de gestão da segurança da informação, para interseções entre processos que abrangem segurança, Gestão de Riscos e para os requisitos de segurança contemplados em serviços de TI. |
...