OUTROSTRABALHOSEM:

www.projetoderedes.com.br

Trabalho de Conclus ao de Curso

Mateus de Paula Marques

Governanc a de TIC utilizando IT IL R V 3 e COBIT

Londrina 2010

Agradecimentos
Aos meus pais, pela oportunidade de realizar este curso. Ao professor Mario, por me aceitar como orientando. Aos meus amigos Nat alia e Ricardo (Dizus), pela ajuda que me proporcionaram durante a revis ao deste trabalho. Aos integrantes do Grupo de Estudos de Redes, pelo trabalho desempenhado ao longo deste ano. o. A todos os integrantes do curso de Ci encia da Computac a

Os meus gametas se agrupam no meu som. Z e Ramalho

Resumo
o das melhores pr o e Comunicac o A crescente adoc a aticas de Tecnologia da Informac a a es e resultado da necessidade de gerenciar sua qualidade e conabilidade (TIC) nas organizac o nos neg ocios, a m de responder ao grande n umero de requisitos regulat orios e contratuais existentes. Neste contexto, surgiram as pr aticas de Governanc a e Gerenciamento de Servic os de TIC, que s ao abordadas neste trabalho atrav es de um alinhamento realizado entre os R R frameworks ITIL e COBIT . O primeiro, apresenta um conjunto de melhores pr aticas para o Gerenciamento de Servic os de TIC, e o segundo, para a Governanc a de TIC. Ambos o destas t s ao as ferramentas mundialmente mais aceitas para a aplicac a ecnicas e, se forem corretamente utilizadas, podem fazer com que a TIC deixe de ser apenas um setor de apoio para o, tornando-se um ativo de grande valor estat a organizac a egico. A partir disso, este trabalho tem o objetivo de realizar um alinhamento entre esses dois frameworks, objetivando apontar a ec acia do ITIL R em atender os requisitos de processo do COBIT R , no que tange o Gerenciamento de Servic os de TIC. Palavras-chaves: Servic os de TIC. TIC, ITIL R , COBIT R , Governanc a de TIC, Gerenciamento de

Abstract
The growing adoption of Information Technology and Communication (ITC) best pratices on the organizations has been caused by the need to manage its quality and reliability in business, responding to the great number of contratual and regulamentory requirements. At this context, the ITC Governance and Service Management pratices arise and are addressed by this work through an proposed aligniment of the ITIL R and COBIT R frameworks. The rst one, brings up a set of best pratices for the ITC Service Management, while the second, a set of control objectives for ITC Governance. Both are the worldwide most accepted tools to the application of this pratices, and if correctly set, they can provide the ITC as a strategic asset for the organization. So, this work looks to present an aligniment between both frameworks, in order to show precisely the effectiveness of the ITIL R in regard with the COBITs R requirements. Keywords: ITC, ITIL R , COBIT R , ITC Governance, ITC Service Management.

Sum ario

Lista de Siglas e Abreviaturas Lista de Figuras Lista de Tabelas o Introduc a 1 Governanc a de TIC 1.1 1.2 1.3 2 Governanc a Corporativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . Governanc a Corporativa e Governanc a de TIC . . . . . . . . . . . . . . . . . reas de atuac o . . . . . . . . . . . . . . . . A Governanc a de TIC e as suas a a p. 15 p. 17 p. 17 p. 18 p. 19 p. 23 p. 24 p. 26 p. 26 p. 26 p. 28 p. 28 p. 29

COBIT R 4.1 2.1 2.2 2.3 Os Dom nios do COBIT R . . . . . . . . . . . . . . . . . . . . . . . . . . . Os Processos do COBIT R . . . . . . . . . . . . . . . . . . . . . . . . . . . o . . . . . . . . . . . . . . . . . . . . . . . . . . Planejamento e Organizac a 2.3.1 2.3.2 2.3.3 2.3.4 2.3.5 2.3.6 2.3.7 Objetivos de Controle . . . . . . . . . . . . . . . . . . . . . . . . . PO1 - Denir um Plano Estrat egico de TIC . . . . . . . . . . . . . . o . . . . . . . . . . . . . . PO2 - Denir a Arquitetura da Informac a o Tecnol PO3 - Determinar a Direc a ogica . . . . . . . . . . . . . . .

o e os Relacionamentos p. 29 PO4 - Denir os Processos de TIC, a Organizac a PO5 - Gerenciar o Investimento . . . . . . . . . . . . . . . . . . . . o do Gerenciamento . . . . . PO6 - Comunicar o Objetivo e a Direc a p. 29 p. 29

2.3.8 2.3.9

PO7 - Gerenciar Recursos Humanos de TIC . . . . . . . . . . . . . . PO8 - Gerenciar a Qualidade . . . . . . . . . . . . . . . . . . . . . .

p. 30 p. 30 p. 30 p. 30 p. 30 p. 31 p. 33 p. 34 p. 34 p. 34 p. 34 p. 34 p. 35 p. 35 p. 35 p. 39 p. 39 p. 39 p. 40 p. 40 p. 40 p. 40 p. 41 p. 41 p. 41 p. 41

2.3.10 PO9 - Avaliar e Gerenciar os Riscos de TIC . . . . . . . . . . . . . . 2.3.11 PO10 - Gerenciar Projetos . . . . . . . . . . . . . . . . . . . . . . . 2.4 o e Implementac o . . . . . . . . . . . . . . . . . . . . . . . . . . . Aquisic a a 2.4.1 2.4.2 2.4.3 2.4.4 2.4.5 2.4.6 2.4.7 2.4.8 2.5 Objetivos de Controle . . . . . . . . . . . . . . . . . . . . . . . . . es Automatizadas . . . . . . . . . . . . . . . AI1 - Identicar Soluc o AI2 - Adquirir e Manter o Software Aplicativo . . . . . . . . . . . . AI3 - Adquirir e Manter a Infra-estrutura Tecnol ogica . . . . . . . . o e o Uso . . . . . . . . . . . . . . . . . . AI4 - Habilitar a Operac a AI5 - Adquirir Recursos de TIC . . . . . . . . . . . . . . . . . . . . AI6 - Gerenciar Mudanc as . . . . . . . . . . . . . . . . . . . . . . . es e Mudanc AI7 - Instalar e Credenciar Soluc o as . . . . . . . . . . .

Entrega e Suporte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.5.1 2.5.2 2.5.3 2.5.4 2.5.5 2.5.6 2.5.7 2.5.8 2.5.9 Objetivos de Controle (Control Objectives) . . . . . . . . . . . . . . DS1 - Denir e Gerenciar N veis de Servic o . . . . . . . . . . . . . . DS2 - Gerenciar Servic os de Terceiros . . . . . . . . . . . . . . . . . DS3 - Gerenciar a Performance e a Capacidade . . . . . . . . . . . . DS4 - Garantir a Continuidade dos Servic os . . . . . . . . . . . . . . DS5 - Garantir a Seguranc a dos Sistemas . . . . . . . . . . . . . . . DS6 - Identicar e Alocar Custos . . . . . . . . . . . . . . . . . . . DS7 - Educar e Treinar Usu arios . . . . . . . . . . . . . . . . . . . . DS8 - Gerenciar a Central de Servic os e os Incidentes . . . . . . . .

o . . . . . . . . . . . . . . . . . . . . 2.5.10 DS9 - Gerenciar a Congurac a 2.5.11 DS10 - Gerenciar Problemas . . . . . . . . . . . . . . . . . . . . . . 2.5.12 DS11 - Gerenciar Dados . . . . . . . . . . . . . . . . . . . . . . . .

2.5.13 DS12 - Gerenciar o Ambiente F sico . . . . . . . . . . . . . . . . . . es . . . . . . . . . . . . . . . . . . . . . . 2.5.14 DS13 - Gerenciar Operac o 2.6 o . . . . . . . . . . . . . . . . . . . . . . . . . . . Monitoramento e Avaliac a 2.6.1 2.6.2 2.6.3 2.6.4 2.6.5 3 ITIL R V3 3.1 3.2 3.3 o de Servic Denic a o: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o do Valor do Servic Composic a o: . . . . . . . . . . . . . . . . . . . . . . . O Ciclo de Vida do ITIL R . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.3.1 3.3.2 3.3.3 3.3.4 3.3.5 3.4 Estrat egia de Servic o . . . . . . . . . . . . . . . . . . . . . . . . . . Desenho de Servic o . . . . . . . . . . . . . . . . . . . . . . . . . . . o de Servic Transic a o . . . . . . . . . . . . . . . . . . . . . . . . . . o de Servic Operac a o . . . . . . . . . . . . . . . . . . . . . . . . . . Melhoria de Servic o Continuada . . . . . . . . . . . . . . . . . . . . Objetivos de Controle . . . . . . . . . . . . . . . . . . . . . . . . . ME1 - Monitorar e Avaliar a Performance de TIC . . . . . . . . . . . ME2 - Monitorar e Avaliar o Controle Interno . . . . . . . . . . . . . ME3 - Assegurar a Conformidade com Requisitos Externos . . . . . ME4 - Prover Governanc a de TIC . . . . . . . . . . . . . . . . . . .

p. 41 p. 42 p. 42 p. 42 p. 43 p. 43 p. 43 p. 43 p. 44 p. 44 p. 44 p. 45 p. 45 p. 45 p. 45 p. 46 p. 46 p. 47 p. 47 p. 47 p. 48 p. 49 p. 52 p. 52 p. 54 p. 55

Processos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.4.1 3.4.2 3.4.3 3.4.4 3.4.5 3.4.6 3.4.7 3.4.8 Gerenciamento do Portfolio de Servic o . . . . . . . . . . . . . . . . Gerenciamento da Demanda . . . . . . . . . . . . . . . . . . . . . . Gerenciamento Financeiro . . . . . . . . . . . . . . . . . . . . . . . Gerenciamento de N vel de Servic o . . . . . . . . . . . . . . . . . . Gerenciamento de Cat alogo de Servic o . . . . . . . . . . . . . . . . Gerenciamento da Disponibilidade . . . . . . . . . . . . . . . . . . . Gerenciamento da Capacidade . . . . . . . . . . . . . . . . . . . . . o . . . . . . . . . . . . . Gerenciamento de Seguranc a da Informac a

3.4.9

Gerenciamento da Continuidade de Servic o de TIC . . . . . . . . . .

p. 56 p. 58 p. 59 p. 63 p. 66 p. 67 p. 70 p. 71 p. 71 p. 73 p. 77 p. 78 p. 78 p. 79 p. 79 p. 80 p. 81 p. 81 p. 82 p. 82 p. 83 p. 83 p. 84 p. 84 p. 85 p. 85

3.4.10 Gerenciamento de Fornecedor . . . . . . . . . . . . . . . . . . . . . 3.4.11 Gerenciamento de Mudanc a . . . . . . . . . . . . . . . . . . . . . . o e de Ativo de Servic 3.4.12 Gerenciamento da Congurac a o - SACM . . . o e Implantac o . . . . . . . . . . . . . . 3.4.13 Gerenciamento de Liberac a a 3.4.14 Gerenciamento de Incidentes . . . . . . . . . . . . . . . . . . . . . . 3.4.15 Gerenciamento de Eventos . . . . . . . . . . . . . . . . . . . . . . . o . . . . . . . . . . . . . . . . . . . . . . 3.4.16 Cumprimento de Requisic a 3.4.17 Gerenciamento de Problema . . . . . . . . . . . . . . . . . . . . . . 3.4.18 Gerenciamento de Acesso . . . . . . . . . . . . . . . . . . . . . . . 3.4.19 Processo de Melhoria dos Sete Passos . . . . . . . . . . . . . . . . . 3.5 es . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Func o 3.5.1 3.5.2 3.5.3 3.5.4 4 Central de Servic os . . . . . . . . . . . . . . . . . . . . . . . . . . . Gerenciamento T ecnico . . . . . . . . . . . . . . . . . . . . . . . . es de TIC . . . . . . . . . . . . . . . . . Gerenciamento de Operac o o . . . . . . . . . . . . . . . . . . . . . . Gerenciamento de Aplicac a

ITIL R V3 x COBIT R 4.1 4.1 A Estrat egia de Servic os e o COBIT R . . . . . . . . . . . . . . . . . . . . . 4.1.1 4.1.2 4.1.3 4.2 O Gerenciamento Financeiro e o COBIT R . . . . . . . . . . . . . . O Gerenciamento da Demanda e o COBIT R . . . . . . . . . . . . . O Gerenciamento do Portf olio de Servic o e o COBIT R . . . . . . .

O Desenho de Servic o e o COBIT R . . . . . . . . . . . . . . . . . . . . . . 4.2.1 4.2.2 4.2.3 4.2.4 O Gerenciamento do Cat alogo de Servic os e o COBIT R . . . . . . . O Gerenciamento de N vel de Servic o e o COBIT R . . . . . . . . .

O Gerenciamento da Capacidade e o COBIT R . . . . . . . . . . . . O Gerenciamento da Disponibilidade e o COBIT R . . . . . . . . . .

4.2.5 4.2.6 4.2.7 4.2.8 4.2.9

o e o COBIT R . . . . . O Gerenciamento da Seguranc a da Informac a O Gerenciamento de Fornecedores e o COBIT R . . . . . . . . . . . O Gerenciamento da Continuidade do Servic o de TI e o COBIT R . . O Gerenciamento da Mudanc a e o COBIT R . . . . . . . . . . . . .

p. 86 p. 86 p. 86 p. 87

o e de Ativo de Servic O Gerenciamento da Congurac a o e o COBIT R p. 87 p. 87

o e Implantac o e o COBIT R . . . . . 4.2.10 O Gerenciamento de Liberac a a 4.2.11 O Sistema de Gerenciamento do Conhecimento de Servic o e o COBIT R . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.3 o de Servic A Operac a o e o COBIT R 4.3.1 4.3.2 4.3.3 4.3.4 4.3.5 4.4 . . . . . . . . . . . . . . . . . . . . .

p. 88 p. 88 p. 88 p. 89 p. 89 p. 90 p. 90 p. 90 p. 91 p. 95 p. 96

O Gerenciamento de Eventos e o COBIT R . . . . . . . . . . . . . . o e o COBIT R . . . . . . . . . . . . . O Cumprimento de Requisic a O Gerenciamento de Incidentes e o COBIT R . . . . . . . . . . . . . O Gerenciamento de Problemas e o COBIT R . . . . . . . . . . . . . O Gerenciamento de Acesso e o COBIT R . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

A Melhoria de Servic o Continuada e o COBIT R 4.4.1

O Processo de Melhoria dos Sete Passos e o COBIT R . . . . . . . .

Conclus ao Refer encias Bibliogr acas

Lista de Siglas e Abreviaturas

AI Acquire and Implement AM Avaliability Management BIA Business Impact Assessment BSC Balanced Scorecard CAB Change Advisory Board CICA Canadian Istitute of Chartered Accountants CM Crisis Management CMDB Conguration Management Database CMIS Capacity Management Information System CMMI-DEV Capability Maturity Model Integration for Development COBIT Control Objectives for IT and Related Technologies COSO Comitee of Sponsoring Organizations of the treadway Comissions CSF Critical Success Factor DML Denitive Media Library DOS Denial of Service DS Deliver and Support DTI Departament of Trade and Industry ECAB Emergency Change Advisory Board ISACA Information Systems Audit and Control Association ISM Information Security Management

ISMS Information Security Management System ISO International Organization for Standardization ITCG Information Technology Control Guidelines ITGI Information Technology Governance Institute ITIL Information Technology Infraestructure Library ITSCM Information Technology Service Continuity Management KPI Key Performance Indicator ME Monitor and Evaluate MTBF Mean Time Between Failures MTRS Mean Time to Restore Service MTBSI Mean Time Between Service Incidents NIST National Institute of Standards and Technology OECD Organization for Economic Cooperation and Development OLA Operational Level Agreement PDCA Plan, Do, Chek and Act PMBOK Project Management Body of Knowledge PO Plan and Organize RDM Release and Deployment Management RFC Request For Change ROI Return Over Investiment SCC Security Code of Conduct SCDB Supplier Contract Database SCM Service Catalogue Management SIP Service Improvement Plan

SKMS Service Knowledge Management System SLA Service Level Agreement SLM Service Level Management SLR Service Level Requirement SLT Service Level Target SM Supplier Management SMART Specica, Measurable, Achievable, Results Oriented and Time Specic SOR Statement of Requirements TCO Total Cost of Ownership o e Comunicac o TIC Tecnologia da Informac a a UC Underpinning Contract VBF Vital Business Function VOI Value of Investiment

Lista de Figuras
1.1 2.1 2.2 o da Governanc Areas de atuac a a de TIC. . . . . . . . . . . . . . . . . . . . . Os Dom nios do COBIT R . . . . . . . . . . . . . . . . . . . . . . . . . . . . Os processos do COBIT R divididos entre os quatro dom nios. . . . . . . . . p. 19 p. 24 p. 26

Lista de Tabelas
4.1 Alinhamento entre os frameworks ITIL R e COBIT R . . . . . . . . . . . . . p. 91

15

Introduc a o
No setor corporativo, vem se tornando cada vez mais frequente o reconhecimento de que o e o recurso estrat o deve a informac a egico mais importante que qualquer tipo de organizac a o, an o e distribuic o da informac o dentro de gerenciar. A chave para a colec a alise, produc a a a o e a qualidade dos servic o e Comunicac o uma organizac a os de Tecnologia da Informac a a essencial reconhecer que os servic (TIC) que suportam os neg ocios. E os de TIC s ao ativos es devem investir estrat egicos e organizacionais muito importantes, de forma que as organizac o n veis de recursos apropriados no suporte, na entrega e no gerenciamento desses servic os, e principalmente nas tecnologias que os suportam. No entanto, estes conceitos s ao, de certa es [6]. forma, negligenciados ou apenas supercialmente tratados dentro de muitas organizac o Os principais desaos dos Gerentes de Neg ocios e de TIC atualmente s ao: o planejamento estrat egico do neg ocio de TIC, alinhar o setor de TIC ao setor de neg ocios (existe uma grande ` comunicac o dessas partes), implementar uma t lacuna no que tange a a ecnica para obter melhoria o, mensurar a efetividade e a eci cont nua nos servic os prestados pela organizac a encia da o, otimizar os Custos Totais de Propriedade1 (TCO - Total Cost of Ownership), organizac a dentre outros [19]. Esses desaos s ao importantes para coordenar e trabalhar em parceria com o neg ocio, e tamb em para entregar alta qualidade de servic os de TIC. Tal objetivo pode ser alcanc ado quando se adota uma caracter stica orientada ao neg ocio e ao cliente, para entregar melhores servic os com menores custos. Neste cen ario, a Governanc a de TIC surge com o objetivo de resolver os problemas do setor, ligando os seus desaos com uma estrutura de controle e, desta forma, determinando como eles podem ser melhor gerenciados. Essa estrutura dene as raz oes pelas quais governar necess preciso realizar para obter efetividade [2]. e ario, e o que e O Gerenciamento de Servic os originou-se de empresas de servic os tradicionais, como por o de caracter exemplo companhias a ereas, hot eis, empresas de telefonia, etc. A adoc a sticas es de TIC contribui para um aumento signicativo desta orientadas a servic o pelas organizac o o contribuiu para o aumento do n es pr atica. A popularidade da terceirizac a umero de organizac o prestadoras de servic o. Isso, por sua vez, fortaleceu ainda mais a pr atica do Gerenciamento de Servic os, e ao mesmo tempo, imp os maiores desaos a ele [8]. Neste trabalho ser ao estudados os frameworks COBIT R e ITIL R utilizados para Governanc a
` compra de uma estimativa nanceira com o objetivo de avaliar os custos diretos e indiretos relacionados a um produto.
1E

16

e Gerenciamento de Servic os de TIC, respectivamente. No cap tulo 2 ser ao apresentados conceitos b asicos sobre Governanc a de TIC, o seu funcionamento e, nalmente, como ela se relaciona com a Governanc a Corporativa. No cap tulo 3 e 4 s ao detalhados os processos dos R R frameworks COBIT e ITIL , respectivamente. E por m, no cap tulo 5 ser a apresentado R R um alinhamento entre os processos do ITIL e do COBIT , uma vis ao precisa para a Governac a de TIC no que tange o Gerenciamento de Servic os, relacionando a supercialidade R dos processos do COBIT , com o aprofundamento dos processos do ITIL R .

17

Governanc a de TIC

o (ITGI - Information Segundo o Instituto de Governanc a de Tecnologia da Informac a a capacidade da organizac Technology Governance Institute), a Governanc a de TIC e a o em controlar o planejamento e a implementac a egia de TIC, e dar direc a o da estrat o de novos rumos e investimentos a m de atingir vantagem competitiva para a companhia [3]. A partir disso, podemos interpret a-la como uma atividade de n vel gerencial, que clarica a es e nalmente, facilita autoridade para tomadas de decis ao, determina a responsabilidade de ac o o do desempenho. na medic a Desta forma, considerando a import ancia da TIC para atividades do setor, a Governanc a de TIC n ao pode ser tratada em um escopo diferente da Governanc a Corporativa.

1.1

Governanc a Corporativa

o conjunto de processos, costumes, pol A Governanc a Corporativa e ticas e leis que ditam o e controlada. Ela tamb a maneira na qual uma organizac a em inclui os relacionamentos entre o e os v arios interessados envolvidos no neg ocio, e os objetivos para os quais a organizac a governada [20]. garantir a responsabilidade de indiv Um conceito importante deste tema e duos na o. Um assunto relacionado foca no impacto que um sistema de Governanc organizac a a o, com grande e nfase no bem Corporativa pode causar na eci encia econ omica da organizac a estar dos interessados no neg ocio. Por m, a Governanc a Corporativa deve cuidar de quest oes como assegurar o Return Over Investiment (ROI), controlar os gestores, e nalmente, garantir que o dinheiro investido n ao seja o. expropriado ou aplicado a projetos que estejam fora dos objetivos da organizac a

18

1.2

Governanc a Corporativa e Governanc a de TIC

Tendo em vista que atualmente a TIC est a envolvida em praticamente todos os processos de o de informac es, a Governanc neg ocios que envolvam a manipulac a o a de TIC e a Gorvernanc a Corporativa n ao podem ser tratadas em escopos separados. Isso torna-se evidente atrav es da an alise de v arios fatores, como segue: A Governanc a de TIC integra e institucionaliza melhores formas de planejar e organizar, adquirir e implementar, entregar e suportar, e nalmente, monitorar e avaliar a performance de TIC. [3] o sistema pelo qual as entidades s A Governanc a Corporativa e ao dirigidas e controladas, assim, ela dirige e congura a Governanc a de TIC. Ao mesmo tempo, a Governanc a es por de TIC fornece dados cr ticos para planos estrat egicos, inuenciando nas opc o o. [3] oportunidades estrat egicas delimitadas pela organizac a totalmente Vale ressaltar o fato de que, atualmente, a Governanc a Corporativa e impratic avel sem a Governanc a de TIC. Quest oes como a garantia do ROI, a integridade de capital e, principalmente, o controle de gest ao n ao podem ser tratadas sem que hajam es con imposs medic o aveis. Muitos autores ainda reforc am o fato de que e vel governar es, por sua vez, depende o que n ao se pode medir. A conabilidade dessas medic o integralmente da qualidade dos produtos de TIC (software, hardware, recursos humanos) totalmente pertinente concluir que o Controle, uma respons aveis por elas. A partir disso e garantido sem que das propriedades mais importantes da Governanc a Corporativa, n ao e exista uma s olida Governanc a de TIC. ` s necessidades do setor de neg Para atender a ocios, a Governanc a de TIC dene estruturas de controle a m de nortear suas atividades. S ao elas: Foco no Neg ocio: Prover foco no neg ocio para permitir o alinhamento entre os objetivos de neg ocio e de TIC. [3] o a Processo: Estabelecer orientac Orientac a a o a processos para denir o escopo e a extens ao da cobertura, com uma estrutura denida que permita f acil navegac a o dos conte udos. [3] Aceitabilidade Geral: Ser geralmente aceitas por serem coerentes com as boas pr aticas e normas independente de tecnologias espec cas. [3]

19

Linguagem Comum: Fornecer uma linguagem comum com um conjunto de termos e denic o ao geralmente compreens veis por todos os stakeholders1 . [3] es que s Requerimentos Regulat orios: Ajudam a satisfazer os requisitos regulat orios por serem coerentes com as normas geralmente aceitas de Governanc a Corporativa, e com os controles de TIC esperados pelas autoridades reguladoras e auditores externos. [3] Esses fatores sob uma ger encia provida das devidas compet encias comportamentais, s ao completamente capazes de garantir as quest oes apontadas pela Governanc a Corporativa [2]. Esta, por sua vez, possui o Comittee of Sponsoring Organizations of the Treadway Commissions (COSO) como estrutura de controle amplamente aceita para governar e gerenciar riscos [20], ja a Governanc a de TIC possui o Control Objectives for Information and related R Technology (COBIT ) como estrutura de controle amplamente aceita para suas atividades [18].

1.3

reas de atuac o A Governanc a de TIC e as suas a a

Segundo o ITGI, a Governanc a de TIC a m de garantir que o setor obtenha os resultados reas, devido ao grande n almejados pela Governanc a Corporativa, atua em 6 grandes a umero de es relacionadas, s diferentes aplicac o ao elas: [4]

o da Governanc Figura 1.1: Areas de atuac a a de TIC.

a toda e qualquer parte interessada que deve estar de acordo com as pr aticas de governanc a executadas pela empresa. [18]
1 Refere-se

20

Gerenciamento de Servic os: um conjunto de capacidades organizacionais especiaO Gerenciamento de Servic os e lizadas em prover valor aos clientes na forma de servic os. Essas habilidades tomam es e processos para gerenciar servic a forma de func o os sob um ciclo de vida, com es em estrat o, operac o e melhoria cont especializac o egia, desenho, transic a a nua. As o em desempenhar habilidades representam a capacidade e a compet encia da organizac a suas atividades. O ato de transformar recursos em servic os valiosos est a no n ucleo o de servic do gerenciamento de servic os, e sem essas habilidades, uma organizac a os e meramente um conjunto de recursos que tem baixo valor para os clientes. rea objetiva utilizar um conjunto de melhores pr Assim, esta a aticas para o Gerenciamento de Servic os, a m de obter maior utilidade e garantia nos servic os prestados. O ITIL R e o padr o framework mais amplamente adotado, e a ISO/IEC 20000 e ao formal e universal o de organizac es fazem uso do Gerenciamento de Servic para auditoria e certicac a o o. [8] es: Desenvolvimento de Aplicac o es pode ser denido como o desenvolvimento de software O Desenvolvimento de Aplicac o a partir de um projeto estruturado. Atrav es do Capability Maturity Model Integration for R rea de atuac o objetiva obter melhoria de qualidade Development (CMMI-DEV ), esta a a no desenvolvimento de software. O CMMI-DEV R consiste em um conjunto de melhores pr aticas que enderec am atividades de desenvolvimento aplicadas a produtos e servic os. Ele encaminha pr aticas que o at o. cobrem o ciclo de vida dos produtos desde a sua concepc a e a entrega e manutenc a [5] o: Seguranc a da Informac a rea de interesse tem a func o de manter o valor dos dados para a organizac o, Esta a a a o garantindo a conabilidade, integridade e disponibilidade destes. A ISO/IEC 27001 e es que implementam esta atividade. padr ao internacional que certica as organizac o uma especicac o para Sistemas de Gerenciamento da O padr ao ISO/IEC 27001 e a o (ISMS), que tem como principal objetivo fornecer um modelo Seguranc a da Informac a es da organizac o, uma abordagem para gerenciar efetivamente a seguranc a das informac o a que em muitos casos, pode ser considerada a partir de uma decis ao estrat egica. Al em uma atividade que deve levar em considerac o fatores disso, implementar um ISMS e a como as necessidades, objetivos, processos empregados, requisitos de seguranc a e at eo o. [1] tamanho da organizac a o Por m, visando manter os n veis atingidos, este padr ao aplica o modelo PDCA (sec a 3.4.18) para estruturar os processos, e assim reetir aos princ pios estabelecidos no Organization for Economic Co-operation and Development (OECD).

21

Gest ao de Projetos: ` s atividades da A Gest ao de Projetos visa aplicar um conjunto de boas pr aticas a o a m de atender as necessidades dos stakeholders com relac o aos projetos. organizac a a Esses projetos, por sua vez, devem ser subdivididos em v arias fases, a m de proporcionar uma maneira mais simples de controle, al em de facilitar o desenvolvimento de atividades es que est o. em conjunto com as operac o ao ocorrendo na organizac a rea de atuac o deve manter foco em planejar, organizar, assegurar e Desta forma, esta a a gerenciar recursos a m de alcanc ar com sucesso os objetivos de determinados projetos. o conjunto de boas pr O Project Management Body of Knowledge (PMBOK R ) e aticas mais aceito para este m. [10] Planejamento de TIC: O Planejamento de TIC, ou Planejamento Estrat egico de TIC deve proporcionar melhores rea, reduc o de custos, melhoria de produtividade direcionamentos nos investimentos da a a o de soluc es de TI, e nalmente, agilidade e melhor tempo de e qualidade na adoc a o ` s mudanc o, tudo isso com o resposta a as no contexto onde est a inserida a organizac a o dos usu objetivo de aumentar a satisfac a arios (clientes) de TIC. Sendo assim, este e considerado uma disciplina que preocupa-se em manter o planejamento de processos para investimentos e tomadas de decis oes, para que estes tornem-se mais r apidos, ex veis e a metodologia de medic o e completamente alinhados. O Balanced Scorecard (BSC) e a gest ao de desempenho mais utilizada para essas tarefas. um sistema de planejamento desenvolvido com o objetivo de adicionar medidas O BSC e mbito nanceiro a ` s m de performance fora do a etricas nanceiras tradicionais, a m de o ao desempenho da organizac o. fornecer aos executivos uma vis ao balanceada em relac a a ` sua utilizac o, ele e aplicado a func es que abrangem desde a simples medic o Quanto a a o a de performance at e os complexos sistemas de planejamento estrat egico. Por m, o BSC apresenta um framework que al em de fornecer medidas de performance, ajuda os planejadores a identicar o que deve ser feito e medido, fazendo com que os executivos realizem suas estrat egias com sucesso. [7] o. Sistema de Qualidade: Objetiva garantir a qualidade dos servic os/produtos da organizac a es que implementam com efetividade o seu A ISO/IEC 9000 certica as organizac o o conjunto de pr conjunto de requisitos. O Six Sigma e aticas mais utilizado como es estrat egia gerencial neste contexto, a m de promover mudanc as nas organizac o objetivando a melhoria cont nua. o dos processos, visando O Six Sigma tem como princ pio reduzir continuamente a variac a o de defeitos ou falhas nos resultados (produtos ou servic a eliminac a os) obtidos. Sendo nfase no controle de qualidade bem como na an o de assim, para manter sua e alise e soluc a

22

problemas, ele faz uso intenso do ciclo PDCA (ou ciclo de Deming), que tem foco direto na melhoria cont nua. [9] aplicado em sistemas de gest O Ciclo de Deming, por sua vez, e ao com o objetivo de atingir resultados espec cos, mantendo e melhorando metas especicadas. Este extremamente importante para que a organizac o n mantenimento e a ao volte no tempo, o a ` s melhorias obtidas. com relac a o conjunto de normas e Por m, no que tange os Sistemas de Qualidade, a ISO e vel por qualquer t ecnicas que estabelecem um modelo de gest ao de qualidade alcanc a o, independentemente do ramo em que ela se encontre. Esta fam tipo de organizac a lia de normas estabelece requisitos que tem como objetivo nal oferecer maior produtividade e ` s organizac es perante o mercado. credibilidade a o

23

COBIT R 4.1

O framework COBIT R foi criado na d ecada de 90 pelo Information System Audit and R Control Association (ISACA ), possui uma estrutura baseada em indicadores de performance a m de monitorar o quanto o setor de TIC est a agregando valores ao neg ocio. Ele foca basicamente em tr es n veis distintos. Primeiramente os gerentes de TIC, que possuem a responsabilidade de avaliar riscos e controlar investimentos; os usu arios, que atrav es de suas compet encias comportamentais e t ecnicas, devem assegurar a qualidade dos servic os prestados o e avaliar o a clientes, sejam eles internos ou externos; e nalmente os auditores, cuja func a o. [4] trabalho do setor de TIC e trabalhar no controle interno da organizac a Existe um grande n umero de modelos para controle apenas de TIC, como por exemplo: SCC (Security Code of Conduct - C odigo de Seguranc a de Conduta) do DTI (Departament of Trade and Industry - Departamento de Com ercio e Ind ustria) na Inglaterra. ITCG (Information Tecnology Control Guidelines - Diretrizes para o Controle da o) do CICA (Canadian Institute of Chartered Accountants Tecnologia da Informac a Instituto Canadense de Contabilidade) no Canada. Manual da Seguranc a (Security Handbook) do NIST (National Institute of Standards and Technology - Instituto Nacional de Seguranc a e Tecnologia) nos EUA. No entanto, estes modelos de controle s ao muito espec cos, e n ao fornecem um m etodo us avel e compreens vel sobre TIC, ou seja, n ao h a suporte de processos de neg ocio. O prop osito R criar uma ponte para eliminar este gap, fornecendo um framework que e do COBIT e especicamente ligado aos objetivos de neg ocio, enquanto foca o setor de TIC. [2] o e pesquisar, desenvolver, Desta forma, a miss ao do COBIT R dentro de uma organizac a publicar e promover um framework de Governanc a de TIC orientado ao neg ocio, baseado em controle, dirigido por m etricas e internacionalmente aceito que garanta que o setor de TIC obtenha os resultados esperados pela Governanc a Corporativa. [4]

24

2.1

Os Dom nios do COBIT R

O COBIT R dene suas atividades em trinta e quatro processos divididos em quatro reas de responsabilidade do setor de TIC, s dom nios que mapeiam as a ao eles:

Figura 2.1: Os Dom nios do COBIT R . o: Planejamento e Organizac a Este dom nio deve cuidar dos assuntos do setor de uma perspectiva estrat egica, avaliando oportunidades nas quais o setor de TIC pode obter maior desempenho, e assim ajudar o alcance seus objetivos. Al para que a organizac a em disso, quest oes como ger encia de riscos, investimentos, recursos humanos e qualidade devem ser tratados neste dom nio, a m de concretizar as metas por ele estabelecidas. [4] o e Implementac o: Aquisic a a es de TIC no processo de neg Este dom nio deve integrar todas as soluc o ocio, a m es devem de desenvolver as estrat egias denidas pelo setor. Para isso, essas soluc o ser desenvolvidas ou adquiridas, e por m implementadas no ambiente. Toda e qualquer mudanc a realizada no ambiente tamb em deve ser tratada por este dom nio, uma vez que essas mudanc as devem ser desenvolvidas a partir da mesma perspectiva es. [4] de desenvolvimento utilizada novas soluc o Entrega e Suporte: es Este dom nio deve abordar todos os aspectos relativos a entrega e suporte de soluc o es geradas por aplicac es, a m de garantir que as de TIC, al em de analisar informac o o es estejam oferecendo a seguranc soluc o a, a performance e a continuidade necess arias. [4]

25

o e Avaliac o: Monitorac a a Este dom nio deve consolidar a governanc a de TIC dentro do setor, atrav es de t ecnicas de nele que todas as informac o. E es necess monitoramento e avaliac a o arias s ao colocadas em uma linguagem comum, para que a governanc a corporativa possa utilizar o setor de o. [4] TIC como um ativo estrat egico da organizac a Os processos s ao os objetivos de controle que prov eem um conjunto de alto n vel de requerimento a ser considerado pelo gerenciamento. Os Controles por sua vez, s ao denidos como pol ticas, procedimentos, pr aticas e estruturas organizacionais designadas a garantir que os objetivos de neg ocio ser ao alcanc ados e que eventos indesej aveis ser ao evitados ou detectados e corrigidos. A estrutura de controle do COBIT R prove uma refer encia em modelo operacional e linguagem comum para toda a TIC envolvida com o neg ocio, medindo e monitorando o o eciente com os provedores de desempenho e efetivamente estabelecendo uma comunicac a servic os e integrando as melhores pr aticas de gerenciamento, levando a responsabilidade e a o de contas sobre os riscos e objetivos envolvidos. prestac a

26

2.2

Os Processos do COBIT R

realizada como segue: A divis ao dos processos do COBIT R e

Figura 2.2: Os processos do COBIT R divididos entre os quatro dom nios. Neste cap tulo ser ao apresentados os processos do COBIT R , bem como os seus objetivos de controle.

2.3

o Planejamento e Organizac a

Os processos deste dom nio ajudam a identicar maneiras nas quais o setor de TIC pode contribuir para o alcance dos objetivos do neg ocio, o alinhamento do setor com a estrat egia da o sobre os objetivos do setor e a identicac o empresa, a compreens ao do pessoal da organizac a a e gerenciamento dos riscos relacionados ao setor. [3]

2.3.1

Objetivos de Controle

o 1. A TIC como parte dos Planos de Curto e Longo Prazo da Organizac a respons A alta ger encia e avel por desenvolver e implementar Planos de Curto e Longo o. Neste contexto, ela Prazo a m de preencher os objetivos e as miss oes da organizac a deve certicar que as caracter sticas do setor de TIC bem como as oportunidades s ao o. Esses planos devem ser adequadamente avaliadas e reetidas nos planos da organizac a

27

desenvolvidos para ajudar a certicar que o uso dos ativos do setor est a de acordo com as o. [2] estrat egias da organizac a 2. Plano de TIC de Longo Prazo Os chefes do Gerenciamento de TIC e dos Processos de Neg ocio s ao respons aveis por desenvolver regularmente os Planos de TIC de Longo Prazo suportando a busca o. A abordagem do planejamento deve incluir pelos objetivos almejados pela organizac a es de stakeholders internos e externos mecanismos para solicitar determinadas informac o relacionados aos planos estrat egicos de TIC. Assim, o gerenciamento deve implementar processos de planejamento de longo prazo, adotar uma abordagem estruturada e denir uma estrutura de planejamento padr ao. [2] 3. Planejamento de TIC de Longo Prazo - Abordagem e Estrutura Os chefes do Gerenciamento de TIC e dos Processos de Neg ocio devem estabelecer e aplicar uma abordagem estruturada envolvendo os Processos de Planejamento de Longo Prazo. Isso deve resultar em um plano de alta qualidade que cobre todas as quest oes b asicas como o que, quem, como, quando e por que de cada atividade. O processo o os resultados da avaliac o de de planejamento de TIC deve levar em considerac a a riscos. Aspectos que precisam ser considerados e adequadamente encaminhados durante o processo de planejamento incluem o modelo organizacional e as mudanc as a ele o geogr o tecnol realizadas, distribuic a aca, evoluc a ogica, custos, requerimentos legais, requerimentos de terceiros no mercado, etc. Os benef cios das escolhas realizadas devem ser claramente identicados. Os planejamentos de curto e longo prazo do setor de TIC devem incorporar Key Performance Indicators (KPIs1 ), e o plano deve referir-se a outros o e o Plano de Gerenciamento de planos, tais como o Plano de Qualidade da Organizac a o. [2] Risco da Informac a 4. Mudanc as nos Planos de TIC de Longo Prazo Os chefes do Gerenciamento de TIC e dos Processos de Neg ocio devem certicar que um o de modicar o Plano de TIC de Longo Prazo de maneira precisa processo est a em posic a o e nas mudanc a m de acomodar as mudanc as no Plano de Longo Prazo da Organizac a as es de TIC. O Gerenciamento deve estabelecer uma pol das condic o tica requerendo que os planos de TIC sejam desenvolvidos e mantidos. [2] o de TIC 5. Planejamento de Curto Prazo para a Func a Os chefes do Gerenciamento de TIC e dos Processos de Neg ocio devem certicar que o plano de longo prazo do setor esteja regularmente traduzido em planos de curto prazo. es de TIC sejam Estes, por sua vez, devem certicar que recursos apropriados de func o
KPIs (Indicadores-Chave de Desempenho) s ao m etricas utilizadas para medir o desempenho de processos es. [13] e soluc o
1 Os

28

alocados de uma forma consistente com o plano de longo prazo. Os planos de curto prazo devem ser reavaliados periodicamente e alterados conforme necess ario em resposta as ` s condic es de TIC. Os estudos de viabilidade de performance mudanc as de neg ocio e a o o dos planos de curto prazo seja adequadamente iniciada. devem certicar que a execuc a [2] o de Planos de TIC 6. Comunicac a O Gerenciamento deve certicar que os planos de TIC sejam apresentados aos donos dos ` s outras partes relevantes de toda a organizac o. [2] processos de neg ocio, bem como a a o dos Planos de TIC 7. Monitoramento e Avaliac a O Gerenciamento deve estabelecer processos a m de solicitar feedback dos respons aveis o a ` qualidade e utilidade dos planos. O feedback pelos processos de neg ocio com relac a obtido deve ser avaliado e considerado nos planejamentos futuros. [2] o dos Sistemas Existentes 8. Avaliac a Antes de desenvolver ou mudar o plano estrat egico de longo prazo, o Gerenciamento de o existentes com relac o ao grau de automac o TIC deve avaliar os sistemas de informac a a a de neg ocio, funcionalidade, estabilidade, complexidade, custo, forc as e fraquezas a m de determinar o quanto esses sistemas suportam os requerimentos de neg ocio da o. [2] organizac a

2.3.2

PO1 - Denir um Plano Estrat egico de TIC

o Este processo deve cuidar para que os stakeholders tenham total compreens ao com relac a es do setor, uma vez que eles, juntamente com a func o de TIC, as oportunidades e limitac o a o. Al s ao os respons aveis pelo sucesso dos projetos da organizac a em disso, dentro do escopo o da performance e a desmisticac o dos investimentos do plano estrat egico est a a avaliac a a necess arios ao setor. O Gerenciamento de Portf olio e do Gerenciamento do Valor de TIC s ao o dessas tarefas. Por m, a estrat atividades extremamente importantes para a realizac a egia de o e de tarefas, ambos neg ocio deve ser reetida nos portifolios e extendida pelos planos de ac a compreendidos e aceitos pelo neg ocio e pela TIC. [4]

2.3.3

o PO2 - Denir a Arquitetura da Informac a

Este processo visa melhorar a qualidade das tomadas de decis ao, garantindo a cona es apresentadas. Isto e poss bilidade das informac o vel quando se gerencia o conhecimento o, a do servic o, habilitando assim o racionamento de recursos de sistemas de informac a m de obedecer as estrat egias do neg ocio. Este processo tamb em requisita o aumento da

29

o pela seguranc o compartilhada responsabilizac a a dos dados, bem como o controle da informac a es. [4] atrav es de aplicac o

2.3.4

o Tecnol PO3 - Determinar a Direc a ogica

` capacidade tecnol Este processo visa proporcionar uma vis ao real relacionada a ogica es, atrav em termos de soluc o es de um plano de infra-estrutura tecnol ogica. Este plano deve ser regularmente atualizado, habilitando assim a economia de escala2 , e melhorando a es. [4] interoperabilidade das plataformas e aplicac o

2.3.5

o e os RelacionaPO4 - Denir os Processos de TIC, a Organizac a mentos

Este processo requer um framework de processos de TIC que garanta transpar encia e ` organizac o. Al controle a a em disso, deve ser estabelecido um comit e estrat egico a m de se criar um Conselho Supervisor de TIC, juntamente com um ou mais comit es direcionadores o dos recursos de acordo com as necessidades, bem como os onde se determine a priorizac a relacionamentos entre a TIC e os neg ocios. [4]

2.3.6

PO5 - Gerenciar o Investimento

estabelecido e mantido para gerenciar programas de investimento de TIC. Um framework e Os stakeholders s ao consultados para identicar e controlar os custos totais e os benef cios no es corretivas onde for necess contexto dos planos estrat egicos, e tamb em para iniciar ac o ario. [4]

2.3.7

o do Gerenciamento PO6 - Comunicar o Objetivo e a Direc a

o dentro da organizac o, Este processo visa o desenvolvimento de um sistema de comunicac a a a m de disseminar a miss ao, os objetivos, as pol ticas e os procedimentos aprovados e o e importante para que se alcance os objetivos suportados pelo gerenciamento. Esta comunicac a o compreenda os riscos do neg do setor, uma vez que ela certica que a organizac a ocio e da TIC. Desta forma, obtem-se a garantia de que todos os objetivos ser ao cumpridos atendendo leis e regulamentos relevantes. [4]
aquela que organiza o processo produtivo de maneira que se alcance a m axima de escala e o dos fatores produtivos envolvidos no processo, procurando como resultado baixos custos de produc o e utilizac a a o incremento de bens e servic os. [20]
2 Economia

30

2.3.8

PO7 - Gerenciar Recursos Humanos de TIC

Dada a import ancia das pessoas como recursos estrat egicos, bem como a depend encia o a motivac o e compet da governanc a em relac a a encia delas, este processo visa gerenciar os o de performance e recursos humanos a m de garantir recrutamento, treinamento, avaliac a o ao pessoal de TIC. [4] promoc a

2.3.9

PO8 - Gerenciar a Qualidade

Este processo deve manter foco no cliente atrav es de um sistema de gerenciamendo da qualidade, que deve fornecer requerimentos de qualidade claros e bem denidos. Esses requerimentos, por sua vez, devem ser declarados em indicadores quantic aveis e obt veis. Por m, deve ser obtida a melhoria cont nua atrav es de procedimentos como o monitoramento o sobre desvios, e principalmente na comunicac o de resultados aos gradual, a an alise e ac a a stakeholders, com o objetivo de garantir que o setor est a agregando valor ao neg ocio. [4]

2.3.10

PO9 - Avaliar e Gerenciar os Riscos de TIC

o de um framework para avaliac o e ger Este processo foca na criac a a encia de riscos, a m o, para de identiciar e avaliar qualquer possibilidade de impacto nos objetivos da organizac a o a m de minimizar os riscos residuais a um n nalmente, adotar estrat egias de contabilizac a vel aceit avel. Finalmente, os resultados dessas atividades devem ser disponibilizados em termos nanceiros aos stakeholders, mantendo o requisito b asico de linguagem comum estabelecido R pelo COBIT . [4]

2.3.11

PO10 - Gerenciar Projetos

O PO10 estabelece um framework para o gerenciamento de todos os projetos e programas o e coordenac o de todos os projetos. Ele de TIC. O framework certica a correta priorizac a a o de recursos, denic o de prestac es, aprovac o de tambem inclui um plano mestre, atribuic a a o a usu arios, uma abordagem gradual para a entrega, um plano formal de teste, e a revis ao de p os o depois da instalac o para certicar o gerenciamento de riscos do projeto e a implementac a a entrega de valor ao neg ocio. [4]

2.4

o e Implementac o a Aquisic a

es adquiridas ou implementadas de forma interativa com O setor de TIC deve gerar soluc o os processos de neg ocio. Isso envolve tamb em as mudanc as dos sistemas a m de garantir que

31

es. Os processos deste dom estes operem com o menor n umero poss vel de interrupc o nio v ao o e implementac o de soluc es dentro da organizac o, fazendo com que o cuidar da aquisic a a o a o, para nalmente, poder setor seja capaz de discerni-las completamente em qualquer situac a mais interessante em cada momento. [3] decidir concerteza qual e

2.4.1

Objetivos de Controle

etodos de Projeto 1. M o deve garantir que A metodologia do ciclo de vida de desenvolvimento da organizac a es procedimentos e t ecnicas apropriados sejam aplicados, a m de criar as especicac o es para cada novo projeto de desenvolvimento de sistema, e vericar se essas especicac o est ao de acordo com os requerimentos do usu ario. [2] 2. Maiores Mudanc as nos Sistemas Existentes O gerenciamento deve garantir que no caso de maiores mudanc as nos sistemas existentes, um processo de desenvolvimento similar seja observado, como no caso de desenvolvimento de novos sistemas. [2] o de Projetos 3. Aprovac a es de projeto para Os respons aveis pelo ciclo de vida devem requerer que as especicac o o de software sejam revisadas e aprovadas todo tipo de desenvolvimento ou modicac a pelo gerenciamento, usu arios afetados e executivos, quando necess ario. [2] o de Requerimentos de Arquivo e Documentac o 4. Denic a a A equipe deve garantir que um procedimento apropriado seja aplicado para denir e o documentar o formato de arquivo para cada projeto de desenvolvimento ou modicac a de sistema. Tal procedimento deve garantir que as regras do dicion ario de dados sejam respeitadas3 . [2] es de Programa 5. Especicac o o deve requerer que A metodologia do ciclo de vida de desenvolvimento da organizac a es de programas escritas detalhadamente sejam preparadas para cada projeto especicac o o de sistema. A metodologia deve, al de desenvolvimento ou modicac a em disso, es do programa concordam com as especicac es do desenho certicar que as especicac o o do sistema. [2] 6. Fonte de Coleta de Dados de Projeto
dicion ario de dados pode ser denido como um conjunto de todos os elementos de dados pertinentes a um sistema.
3O

32

necess o e obtenc o de dados E ario requerer que mecanismos adequados para a colec a a sejam especicados para cada projeto. [2] o de Requerimentos de Entrada e Documentac o 7. Denic a a Os respons aveis pelo setor devem requerer que mecanismos adequados existam, para o de dados para cada projeto. [2] denir e documentar os requerimentos de obtenc a o de Interfaces 8. Denic a A ger encia deve certicar-se que todas as interfaces sejam apropriadamente especicadas, projetadas e documentadas. [2] 9. Interface Usu ario-M aquina Todo projeto deve realizar o desenvolvimento de uma interface entre o usu ario e a m aquina que seja auto-documentada e f acil de usar. [2] o dos Requisitos de Processamento e Documentac o 10. Denic a a Os respons aveis pela equipe de desenvolvimento devem requerer que mecanismos adequados existam para denir e documentar os requisitos de processamento para cada projeto. [2] o dos Requisitos de Sa o 11. Denic a da e Documentac a Os respons aveis pela equipe de desenvolvimento devem requerer que mecanismos adequados existam para denir e documentar os requerimentos de sa da para cada projeto. [2] 12. Controlabilidade o deve requerer meO ciclo de vida de desenvolvimento de sistemas da organizac a canismos adequados para assegurar que o controle interno, e os requerimentos de o seguranc a sejam especicados para cada projeto de desenvolvimento ou modicac a o. Al de sistema de informac a em disso, a metodologia deve garantir que os sistemas o sejam projetados de uma forma que garanta a precis o de de informac a ao e autorizac a o da sensibilidade deve ser entradas, processamento e sa das, dentre outros. Uma avaliac a o do sistema. Os aspectos b realizada no in cio do desenvolvimento ou modicac a asicos de seguranc a e controle interno de um sistema a ser desenvolvido ou modicado devem ser avaliados em sincronia com o projeto conceitual deste, a m de integrar conceitos de seguranc a no projeto, t ao cedo quanto for poss vel. [2] 13. Disponibilidade como Fator Chave de Projeto Os respons aveis pelo desenvolvimento devem garantir que a disponibilidade seja considerada nos projetos de sistemas o quanto antes for poss vel. A disponibilidade deve

33

o e na ser analisada e, se necess ario, aumentada atrav es de melhorias na manutenc a seguranc a. [2] 14. Provis oes de Integridade de TIC em Softwares Aplicativos o deve estabelecer procedimentos que certiquem, onde for aplic A organizac a avel, que os aplicativos contenham provis oes que rotineiramente veriquem as tarefas realizadas o da pelo software para ajudar a certicar a integridade dos dados, e fornecer a restaurac a integridade atrav es da revers ao ou outros meios. [2] 15. Teste de Softwares Aplicativos o, testes de integrac o, testes de sistema e testes de Testes unit arios, testes de aplicac a a carga e estesse devem ser realizados de acordo com o plano de testes bem como os padr oes o ser aceita pelo usu de teste estabelecidos, antes da aplicac a ario. Medidas adequadas o de informac es importantes devem ser conduzidas a m de prevenir a divulgac a o utilizadas durante o teste. [2] 16. Refer encia de Usu arios e Materiais de Suporte o deve garantir que refer A organizac a encias de usu ario adequadas e manuais de suporte o de sejam preparados como parte de todo projeto de desenvolvimento ou modicac a sistema. [2] o de Projeto de Sistema 17. Reavaliac a o deve garantir que o projeto do sistema seja reavaliado sempre que A organizac a signicantes discrep ancias t ecnicas ou l ogicas ocorram durante o seu desenvolvimento o. [2] ou manutenc a

2.4.2

es Automatizadas AI1 - Identicar Soluc o

respons Este processo e avel por avaliar se as necessidades apresentadas no ambiente es ou func es, atendem aos requisitos de neg de TIC, sejam elas de novas aplicac o o ocio de forma eciente. Al em disso, devem ser feitas an alises de risco e de custo-benef cio, para vi o necess nalmente, decidir se e avel produzir ou comprar a soluc a aria. Se for selecionada es sobre fontes alternativas, levando em considerac o a compra, devem ser feitas considerac o a ` a performance e a efetividade de custo dessas fontes, al em de outros fatores relevantes a o. Tudo isso a m de reduzir os custos para adquirir e implementar soluc es, de organizac a o uma forma que n ao coloque em risco os objetivos do neg ocio. [4]

34

2.4.3

AI2 - Adquirir e Manter o Software Aplicativo

respons es Este processo e avel por manter o projeto e os requisitos de seguranc a das aplicac o es devem ser disponibilizadas em de acordo com os padr oes estabelecidos. Essas aplicac o o suporte suas sincronia com os requisitos de neg ocio, a m de permitir que a organizac a es de neg es corretas. [4] operac o ocio com soluc o

2.4.4

AI3 - Adquirir e Manter a Infra-estrutura Tecnol ogica

Este processo dene procedimentos direcionados a manter a infra-estrutura tecnol ogica de acordo com as estrat egias acordadas, adquirindo, implementando e atualizando tudo o que for relacionado a ela, a m de garantir a exist encia de um s olido suporte tecnol ogico para as es e processos de neg aplicac o ocio. [4]

2.4.5

o e o Uso AI4 - Habilitar a Operac a

Este processo visa garantir que todos os novos sistemas sejam utilizados da melhor forma poss vel, fazendo com que os usu arios conhec am todos os recusos disponibilizados. Para isso, o e os manuais de devem ser realizados treinamentos, bem como desenvolvidas a documentac a cada sistema. [4]

2.4.6

AI5 - Adquirir Recursos de TIC

Este processo deve garantir que todos os recursos de TIC necess arios para atender as necessidades do neg ocio estejam dispon veis a tempo, e principalmente com custos reduzidos. Esses recursos incluem pessoas, hardware, software e servic os, que devem ser adquiridos o atrav es de procedimentos pr e-denidos, selecionando vendedores e elaborando a congurac a dos regimes contratuais. [4]

2.4.7

AI6 - Gerenciar Mudanc as

Este processo deve garantir uma ger encia de mudanc as efetiva, a m de assegurar que o sejam mitigados todos os riscos que possam impactar negativamente no ambiente de produc a poss e resolvidos. Isso e vel quando se possui controle sobre todos os tipos de mudanc as realizadas no ambiente, fazendo com que elas sejam registradas, avaliadas e autorizadas antes o. Al necess o aos resultados planejados, da sua realizac a em disso, e aria uma revis ao com relac a o dessas mudanc logo ap os a implementac a as. [4]

35

2.4.8

es e Mudanc AI7 - Instalar e Credenciar Soluc o as

o, Este processo deve testar os novos sistemas antes de promov e-los ao ambiente de produc a a m de garantir que eles estejam de acordo com as expectativas e os resultados acordados. Esses testes devem ser feitos em ambientes dedicados e com dados relevantes, aplicando es de mitigac o. Por m, deve ser desenvolvida uma revis o. [4] instruc o a ao de p os implementac a

2.5

Entrega e Suporte

Este dom nio est a preocupado com a entrega dos servic os solicitados, que inclui o gerenciamento da seguranc a e continuidade, suporte de servic o para os usu arios, e o gerenciamento de dados e de facilidades operacionais. Ele tipicamente trata de quest oes como, por exemplo, o o dos custos de alinhamento da entrega de servic os com as prioridades do neg ocio, a otimizac a o. [3] TIC, o uso produtivo e seguro dos sistemas de TIC e a seguranc a da informac a

2.5.1

Objetivos de Controle (Control Objectives)

Garantir a Seguranc a dos Sistemas 1. Gerenciar Medidas de Seguranc a A seguranc a de TIC deve ser gerenciada de forma que as medidas de seguranc a estejam de acordo com os requerimentos de neg ocio, e isso inclui: [2] es da avaliac o de riscos aos planos de seguranc Traduzir as informac o a a de TIC; Implementar o plano de seguranc a de TIC; Atualizar o plano de seguranc a de TIC com o objetivo de reetir as mudanc as na o do setor; congurac a es de mudanc Avaliar o impacto das requisic o a na seguranc a de TIC; o do plano de seguranc Monitorar a implementac a a de TIC; Alinhar os procedimentos de seguranc a de TIC com outras pol ticas e procedimentos. o, Autenticac o e Acesso 2. Identicac a a O acesso l ogico e o uso dos recursos computacionais de TIC devem ser restringidos pela o de mecanismos de identicac o, autenticac o e autorizac o adequados, implementac a a a a fazendo o link entre usu arios e recursos atrav es de regras de acesso. Tais mecanismos devem proibir pessoal n ao-autorizado, minimizar a necessidade de usu arios autorizados

36

utilizarem m ultiplos logins. Al em disso, devem haver procedimentos que mantenham a o e acesso (ex: trocas peri efetividade dos mecanismos de autenticac a odicas de senhas). [2] 3. Seguranc a no Acesso Online de Dados Em um ambiente online, o gerenciamento de TIC deve implementar procedimentos em sinergia com as pol ticas de seguranc a que fornec am controle de seguranc a de acesso baseada nas necessidades individuais demonstradas de visualizar, adcionar, alterar ou deletar dados. [2] 4. Gerenciamento de Contas de Usu ario es realizadas a tempo O gerenciamento deve estabelecer procedimentos para garantir ac o de requisitar, estabelecer, caracterizar, suspender e encerrar contas de usu ario. Um o formal delineando os dados e garantindo os privil procedimento de aprovac a egios de acesso deve ser inclu do. A seguranc a de acesso de terceiros deve ser denida o contratualmente e enderec ar requerimentos n ao divulgados. Regimes de subcontratac a devem enderec ar os riscos, controles de seguranc a e procedimentos para sistemas de o no contrato entre as partes. [2] informac a 5. Revis ao de Gerenciamento de Contas de Usu ario necess E ario que o gerenciamento possua um processo de controle com o objetivo de rever o peri e conrmar os direitos de acesso periodicamente. A comparac a odica de recursos es registradas deve ser realizada a m e ajudar a reduzir o risco de com responsabilizac o o n erros, fraude, uso incorreto ou alterac a ao autorizada. [2] 6. Controle do Usu ario sobre as Contas Os usu arios devem poder controlar as atividades de suas pr oprias contas. Mecanismos ` disposic o a m de permiti-los a vigiar as atividades normais, informativos devem estar a a bem como de ser alertado sobre atividades incomuns em um curto espac o de tempo. [2] o de Seguranc 7. Fiscalizac a a o da seguranc A administrac a a de TIC deve certicar que suas atividades sejam devi o de violac o de seguranc damente registradas, e qualquer indicac a a a iminente deve ser reportada imediatamente a todos os interessados (interna e exernamente) e atendidas a tempo. [2] o de Dados 8. Classicac a o de todos O gerenciamento deve implementar procedimentos que garantam a classicac a os dados em termos de sensibilidade, por uma decis ao formal e expl cita do dono da o, de acordo com o esquema de classicac o de dados. Mesmo os dados informac a a

37

o devem requerer uma decis que n ao necessitem de protec a ao formal para que sejam o e o compartilhamento dos diferenciados. Os donos devem determinar a disposic a dados, bem como se e quando os programas e arquivos devem ser mantidos, arquivados o dos donos e a disposic o dos dados deve ser mantida. ou deletados. A aprovac a a o da informac o, baseada Pol ticas devem ser denidas a m de suportar a reclassicac a a es de mudanc o deve incluir crit nas sensibizac o as. O esquema de classicac a erios para o entre organizac es, enderec ` legislac o gerenciar trocas de informac a o ando a seguranc a a a relevante. [2] o Central e Gerenciamento de Direitos de Acesso 9. Identicac a o de certicar que a identicac o e os direitos de acesso Os controles est ao em posic a a dos usu arios bem como a identidade do sistema sejam estabelecidos e gerenciados de nica e central, a m e obter consist uma maneira u encia e eci encia no controle de acesso global. [2] o e de Atividades de Seguranc 10. Relat orios de Violac a a o de seguranc es e as atividades de A administrac a a de TIC deve garantir que as violac o seguranc a sejam registradas, reportadas, revisadas e apropriadamente escaladas em uma base regular a m e identicar e resolver incidentes envolvendo atividades n ao autoriza es respons das. As informac o aveis pelo acesso l ogico aos recursos computacionais devem ser baseadas na hierarquia de privil egio ou de necessidade de conhecimento. [2] 11. Tratamento de Incidentes O gerenciamento deve estabelecer um mecanismo de tratamento de incidentes, capaz de enderec ar os incidentes de seguranc a, e fornecendo assim uma plataforma com per cia o r e equipada com facilidades de comunicac a apidas e seguras. Os procedimentos e as responsabilidades do gerenciamento de incidentes deve ser estabelecido para certicar uma resposta apropriada, efetiva e r apida aos incidentes de seguranc a. [2] 12. Recredenciamento necess E ario que o gerenciamento garanta o recredenciamento peri odico da seguranc a, o do risco a m de atualizar o n vel de seguranc a formalmente aprovado e a aceitac a residual. [2] 13. Conanc a da Contraparte A pol tica organizacional deve garantir que pr aticas de controle sejam implementadas es eletr a m de vericar a autenticidade da contraparte fornecendo instruc o onicas ou es. Isto pode ser implementado atrav transac o es de trocas senha con aveis, s mbolos ou chaves criptografadas. [2]

38

o de Transac es 14. Autorizac a o extremamente necess E ario que a pol tica organizacional certique que, onde necess ario, es e estabelecer sejam implementados controles a m de prover autenticidade de transac o a validade de uma identidade reivindicada ao sistema. Isto requer o uso de t ecnicas de es. [2] criptograa para acessar e vericar transac o 15. N ao-repudio es n A pol tica organizacional deve garantir que as transac o ao possam ser danicadas o por qualquer parte, e que sejam implementados controles para prover a n ao-repudiac a o das transac es. Isso pode de origem ou destino, provando a submiss ao e a recepc a o 4 ser implementado atrav es de assinaturas digitais e timestamping , dentre outros, com o relevantes requisitos regulat pol ticas apropriadas que levem em considerac a orios. [2] 16. Caminho Con avel Uma garantia de que os dados transacionais sejam trocados apenas sob um caminho es con avel deve ser oferecida pela po tica organizacional. O conjunto de informac o sens veis inclui desde dados do gerenciamento da seguranc a at e chaves criptografadas. o con Para alcanc ar este objetivo, canais de comunicac a aveis devem ser estabelecidos, utilizando criptograa entre usu arios, entre usu arios e sistemas, e nalmente, entre sistemas. [2] o de Func es de Seguranc 17. Protec a o a ` seguranc Todo software e hardware relacionado a a deve ser protegido a todo tempo contra o e divulgac o de chaves secretas a m e manter sua integridade. Ademais, adulterac a a es devem ser discretos com relac o ao seu projeto de seguranc as organizac o a a, mas n ao devem embasar sua seguranc a em manter esse projeto secreto. [2] 18. Gerenciamento de Chaves Criptografadas O gerenciamento deve denir e implementar protocolos e procedimentos capazes de o de chaves contra qualquer modicac o n garantir a protec a a ao-autorizada. Se uma comprometida, o gerenciamento deve certicar-se de que essa informac o chave e a o de seja disseminada a toda e qualquer parte interessada, atrav es de listas de anulac a certicado ou mecanismos similares. [2] o, Detecc o e Correc o de Software Malicioso 19. Prevenc a a a o aos softwares maliciosos tais como v Com relac a rus e trojans, o gerenciamento deve estabelecer um framework de medidas de controle preventivas, detectivas e corretivas,
uma t o para registrar de ou Trusted Timestamping e ecnica utilizada em sistemas de informac a o e modicac o de um dado documento. [16] forma con avel (que ningu em possa alterar) os momentos de criac a a
4 Timestamping

39

com efetividade de resposta a ocorr encias e relat orios. O neg ocio e o gerenciamento de o, TIC devem garantir que esses procedimentos sejam estabelecidos atrav es da organizac a o deste tipo de problema. [2] a m de proteger seus sistemas de informac a 20. Arquiteturas de Firewall e Conex oes com Redes Publicas Se a conex ao com a internet ou qualquer outra rede p ublica existir, rewalls adequados o contra ataques Denial of Service (DOS) devem ser operados a m de oferecer protec a acesso n ao autorizado a recursos internos, e al em disso, controlar todo o uxo de o ou infra-estrutura, em ambas as direc es. [2] gerenciamento de aplicac a o o do Valor Eletr 21. Protec a onico O gerenciamento deve primar pela integridade continuada de todos os cart oes ou meca o ou armazenamento de informac es nismos f sicos similares utilizados para autenticac a o o as facilidades relacionadas, os dispositivos, os valiosas, levando em considerac a o utilizados. [2] empregados e os m etodos de validac a

2.5.2

DS1 - Denir e Gerenciar N veis de Servic o

Este processo deve denir e gerenciar os n veis de servic o, a m de garantir que todas o e o cliente as metas e requistos de servic os estabelecidos nos acordos entre a organizac a sejam cumpridos. Para isso, devem ser elaborados acordos intra-organizacionais e contratos, es de suporte aos servic objetivando garantir a qualidade das soluc o os prestados pelo setor de ` s outras a reas de neg o, e TIC, de forma que os acordos aplicam-se a ocio dentro da organizac a os contratos aos fornecedores externos. [4]

2.5.3

DS2 - Gerenciar Servic os de Terceiros

o de pap Este processo, atrav es da denic a eis, responsabilidades e expectativas nos contratos, deve garantir que todos os servic os terceirizados estejam de acordo com os requisitos necess do neg ocio. Al em disso, e ario que esses servic os sejam monitorados, buscando sempre a garantia de que os servic os prestados n ao ser ao prejudicados por requisitos dependentes de poss fontes externas. Com isso, e vel minimizar os riscos de neg ocio associados a fornecedores improdutivos. [4]

2.5.4

DS3 - Gerenciar a Performance e a Capacidade

Este processo objetiva garantir que a o setor de TIC tenha capacidade de suportar os futuros objetivos do neg ocio, garantindo performance e disponibilidade aos servic os. Para

40

isso, s ao necess arias previs oes de necessidades baseadas em carga de trabalho, armazenamento e requisitos de conting encia. Por m, vale ressaltar que o sucesso destes objetivos depende diretamente da qualidade da ger encia de demanda. [4]

2.5.5

DS4 - Garantir a Continuidade dos Servic os

es de Este processo deve garantir que os servic os de TIC nos principais processos e func o o, e na imin neg ocio tenham a m nima probabilidade poss vel de sofrer uma interrupc a encia desta, que eles sejam sucientemente resilientes, a m de garantir a continuidade do neg ocio. 5 alcanc vel atrav o de t Isso e a es da aplicac a ecnicas como o offsite backup , e principalmente, o. [4] fornecendo um treinamento peri odico relativo ao plano de continuidade da organizac a

2.5.6

DS5 - Garantir a Seguranc a dos Sistemas

o de Este processo deve proteger todos os ativos de TIC, objetivando a minimizac a impactos no neg ocio causados por poss veis incidentes ou vulnerabilidades de seguranc a. Para es de problemas periodicamente, isso, devem ser realizados monitoramentos, testes e correc o eliminando assim todas as fraquezas ou incidentes de seguranc a. [4]

2.5.7

DS6 - Identicar e Alocar Custos

o de capturar, armazenar e reportar Este processo deve desenvolver um sistema com a func a os custos de TIC aos usu arios, a m de ajudar os executivos a tomar decis oes mais precisas necess o precisa e uma modelagem dos sobre o uso dos servic os. Para isso e aria uma avaliac a o de custos mais razo custos de TIC, al em de um acordo que busque uma alocac a avel com os usu arios do neg ocio. [4]

2.5.8

DS7 - Educar e Treinar Usu arios

Este processo visa aumentar o uso efetivo das tecnologias, bem como dos recursos inerentes a elas, a m de diminuir o n umero de erros de usu arios, aumentar a produtividade necess e o cumprimento de medidas de seguranc a. Para isso, e ario que as necessidades de treinamento de cada grupo sejam identicadas, para que nalmente, seja desenvolvido um programa de treinamento efetivo. [4]
5 O offsite backup ou vaulting e a estrat o principal. egia de armazenar dados cr ticos para fora de sua localizac a muito utilizada por exemplo nos Planos de Continuidade de Neg Esta estrat egia e ocio.

41

2.5.9

DS8 - Gerenciar a Central de Servic os e os Incidentes

Este processo deve cuidar para que todos os incidentes sejam resolvidos com o menor es ofertadas pela organizac o. tempo poss vel, aumentando assim a sustentabilidade das soluc o a Tal objetivo pode ser alcanc ado atrav es de uma Central de Servic os bem elaborada, com es atrav credibilidade suciente para que todos os clientes solicitem manutenc o es dela. Um processo de Gerenciamento de Incidentes bem estruturado, por m, far a com que todos o conhecida sejam atendidos com o menor tempo poss os incidentes de soluc a vel. Essas atividades aumentam a produtividade dos usu arios, al em de gerar conhecimento para posteriores descobertas de causas ra z (problemas). [4]

2.5.10

o DS9 - Gerenciar a Congurac a

es de hardware e software da Este processo deve garantir a integridade das congurac o o. Para isso s organizac a ao necess arias atividades como o estabelecimento de baselines, a o das informac es de congurac o e a atualizac o do reposit o, vericac a o a a orio de congurac a conforme for necess ario. Tudo isso a m de aumentar a disponibilidade dos sistemas, e eliminar es relativas a produtividade de usu restric o arios. [4]

2.5.11

DS10 - Gerenciar Problemas

Este processo deve cuidar para que todas as causas ra z de incidentes sejam identicadas e eliminadas (atrav es de mudanc as), a m de reduzir custos, maximizar a disponibilidade do sistema e melhorar os n veis de servic o, o que contribui diretamente para a melhoria do conforto o do cliente. [4] e da satisfac a

2.5.12

DS11 - Gerenciar Dados

o de dados, Este processo deve gerenciar a biblioteca de m dia, o backup e a recuperac a identicando os seus requisitos e denindo procedimentos para atend e-los, a m de ajudar a til. [4] garantir a qualidade e a disponibilidade de dados em tempo u

2.5.13

DS12 - Gerenciar o Ambiente F sico

es de neg Este processo tem como principal objetivo reduzir as interrupc o ocio ocasionadas por danos em computadores ou pessoas, aumentando assim a produtividade do setor. Isso poss e vel quando o ambiente disp oe de facilidades f sicas, com requisitos bem denidos e atendidos, e nalmente, quando se gerencia o acesso f sico ao local. [4]

42

2.5.14

es DS13 - Gerenciar Operac o

o, monitorar a performance da infra-estrutura Este processo deve denir pol ticas de operac a es preventivas de hardware, a m de manter a integridade dos dados, e realizar manutenc o es de TIC. [4] reduzindo assim os atrazos de neg ocio e os custos das operac o

2.6

o Monitoramento e Avaliac a

Todo processo de TIC deve ser regularmente avaliado para que sua qualidade e o cumprimento dos requisitos de controle sejam v alidos no decorrer do tempo. Este dom nio abre as portas do setor para o gerenciamento de performance, monitoramento de controle interno, cumprimento regular de requisitos e, nalmente, a governanc a. Tipicamente, s ao avaliadas o de problemas em tempo h quest oes como a detec a abil atrav es de medidas de performance, a garantia da eci encia e efetividade do controle interno e o alinhamento com os objetivos do neg ocio. [3]

2.6.1

Objetivos de Controle

1. Coletar Dados de Monitoramento Para a TIC e o processo de controle interno, o gerenciamento deve garantir que os KPIs relevantes de fontes internas ou externas sejam bem denidos, e que os dados por ` essas eles fornecidos sejam coletados para que se possa criar os relat orios relativos a es. Os controles devem focar-se em validar a integridade desses KPIs. [2] informac o 2. Avaliar a Performance es de TIC devem ser medidos (KPIs ou CSFs) pelo Os servic os a ser entregues pelas func o es das func es de TIC gerenciamento e comparados com os n veis almejados. Avaliac o o devem ser realizadas em uma base cont nua. [2] o do Cliente 3. Avaliar a Satisfac a o do cliente com relac o Em intervalos regulares, o gerenciamento deve medir a satisfac a a es de TIC, a m de identicar deci aos servic os entregues pelas func o encias nos n veis de servic o, e assim estabelecer objetivos de melhoria. [2] 4. Relat orios de Gerenciamento Relat orios de gerenciamento devem ser fornecidos para que os executivos possam revisar o com relac o aos objetivos relacionados. Esses e avaliar o progresso da organizac a a relat orios devem incluir as extens oes que os objetivos planejados devem alcanc ar, os

43

resultados obtidos, as metas de performance alcanc adas e os riscos mitigados. Ap os a es apropriadas de gerenciamento devem ser iniciadas e controladas. [2] revis ao, ac o

2.6.2

ME1 - Monitorar e Avaliar a Performance de TIC

Este processo deve monitorar o ambiente a m de garantir a integridade do trabalho es e pol o. realizado, para que este esteja de acordo com o conjunto de direc o ticas da organizac a Os monitoramentos devem ser realizados atrav es de KPIs relevantes, relat orios de performance o direta sobre os desvios identicados. [4] sistem aticos e da atuac a

2.6.3

ME2 - Monitorar e Avaliar o Controle Interno

Este processo deve denir um programa de controle interno para o setor de TIC, a m de es efetivas e ecientes, bem como o cumprimento de todas as regulamentac es garantir operac o o aplic aveis. O programa, por sua vez, requer um processo de monitoramento que inclui os es de controle, das auto-avaliac es e das revis resultados da excec o o oes de terceiros. [4]

2.6.4

ME3 - Assegurar a Conformidade com Requisitos Externos

Este processo visa estabelecer um procedimento de revis ao a m de garantir que os es requisitos de conformidade estejam de acordo com os requisitos contratuais. Isso envolve ac o como identicar os requisitos de conformidade e avaliar os respons aveis, para que nalmente o entre os relat possa ser realizada uma integrac a orios de conformidade do setor de TIC com o neg ocio. [4]

2.6.5

ME4 - Prover Governanc a de TIC

o de estruturas orgaEstabelecer um framework de governanc a efetivo requer a denic a nizacionais, processos, lideranc a, pap eis e responsabilidades para que se possa garantir que os tima, com custos reduzidos investimentos no setor de TIC estejam sendo utilizados de maneira o e, principalmente, de acordo com as estrat egias do neg ocio. [4]

44

ITIL R V3

A Biblioteca ITIL R V3 foi criada na d ecada de oitenta pelo governo brit anico a partir de poca, com o objetivo de se criar um padr pr aticas utilizadas por empresas de sucesso na e ao para o gerenciamento de servic os de TIC. Essa biblioteca cresceu muito ao longo dos anos, e nos dias de hoje se tornou o framework mais aceito para o gerenciamento de servic os de TIC no mundo. Para falar sobre este framework, s ao necess arios alguns conceitos apresentados a seguir:

3.1

o de Servic Denic a o:

Um servic o e uma maneira de entregar valor ao cliente facilitando os resultados que ele quer atinjir sem a posse dos custos e riscos espec cos. [13] Os resultados, por sua vez, s ao poss veis a partir do desepenho de tarefas, e limitados es. Resumidamente, os servic por algumas restric o os facilitam os resultados reforc ando a es. Alguns servic performance dessas tarefas e reduzindo o conjunto de restric o os podem ser o de uma tarefa. a pr opria realizac a

3.2

o do Valor do Servic Composic a o:

composto por sua utilidade ou Partindo da perspectiva do cliente, o valor de um servic o e aptid ao para o prop osito (tness for purpose) e garantia, ou aptid ao para o uso (tness for use). comprovada quando este provoca melhorias na performance de A utilidade do servic o e es para que essas tarefas tenham alguma tarefa, ou ainda quando se reduz o conjunto de restric o tima. uma performance o comprovada a partir da continuidade e seguranc A garantia do servic o e a que ele apresenta. o de Caracter sticas e desaos que distinguem os servic os de outros sistemas de criac a valor (Ex: Agricultura) [13]

45

dicil medir o valor que ele possui. Natureza intang vel da sa da (retorno) do servic o - E es e documen Demanda estreitamente embutida nos ativos do cliente - Usu arios, aplicac o o de servic tos geram demanda e estimulam a produc a o. Alto n vel de contato entre produtores e consumidores de servic o. Natureza perec vel da sa da (retorno) e da capacidade do servic o. Existe a necessidade de manter o cliente com a certeza de que o servic o vai continuar a ser prestado com qualidade consistente. es tecnol Os modelos de neg ocio inovadores juntamente com as inovac o ogicas v em es mais amenas, logo, contribuindo ao longo dos anos com o desao de tornar estas restric o es n pode-se dizer que atualmente essas restric o ao s ao caracter sticas universais.

3.3

O Ciclo de Vida do ITIL R

Atualmente na vers ao 3, a ITIL R trabalha encima de um ciclo de vida de 5 (cinco) es, pap etapas, onde cada uma cont em um livro que descreve seus processos, func o eis e recursos necess arios. S ao eles:

3.3.1

Estrat egia de Servic o

a parte do ciclo de vida onde o setor de TIC vai se integrar com o setor de neg E ocios, o de suas atividades do com o objetivo de evitar a falta de recursos e de tempo para a realizac a poss cotidiano. Isso e vel quando se tem conhecimento da demanda dos clientes, do pipelining de servic os do cat alogo e tamb em dos recursos dispon veis ao setor de TIC. [13]

3.3.2

Desenho de Servic o

a fase do ciclo de vida onde o servic E o ser a projetado de acordo com os dados levantados na o dos acordos fase estrat egica, considerando a demanda dos clientes desse servic o, a elaborac a de n vel de servic o, acordo de n vel operacional e contratos. Al em disso, nesta etapa s ao feitas es que ser outras in umeras considerac o ao detalhadas no nal deste trabalho. [15]

3.3.3

o de Servic Transic a o

o de servic Tendo o servic o j a desenvolvido, a etapa de transic a o cuida da tarefa de coloc a o, sem afetar os demais servic lo em produc a os existentes j a em funcionameto. Esta etapa

46

o, pode ser necess considera que para colocar um servic o em produc a aria uma mudanc a na estrutura atual do setor de TIC. Por sua vez, essas mudanc as devem ser totalmente planejadas, j a que elas s ao uma das maiores causas de downtimes em setores de TIC na maioria dos casos registrados por empresas do mundo todo. [14]

3.3.4

o de Servic Operac a o

onde ocorrem os incidentes, o. E Esta fase pode ser considerada o cotidiano da organizac a es de servic o tem a problemas, solicitac o o, retiradas de servic o, etc. Nesta fase a organizac a responsabilidade de coordenar e conduzir as atividades e processos requeridos, para entregar e gerenciar servic os nos n veis acordados com usu arios e clientes do neg ocio. [11]

3.3.5

Melhoria de Servic o Continuada

uma das mais importantes do ciclo, onde os gerentes devem estabelecer um Esta fase e o e feedback, encontrando oportunidades de melhoria dentro de c rculo cont nuo de monitorac a todas as outras fases do ciclo de vida do servic o. Entre os principais resultados obtidos aqui o aos servic est a o aumento do aprendizado/conhecimento dos gerentes em relac a os, permitindo ` s necessidades do neg um maior alinhamento do setor de TIC a ocio, no que tange a qualidade, custos e prazos. [12] O Gerenciamento de Servic os se interresa em mais do que apenas entregar servic os. Ele assume um conjunto de pr aticas que envolvem o servic o desde o nascimento da necessidade at e o, envolvendo etapas importantes para o valor do servic a sua entrega como soluc a o, como por o de contratos (com terceiros) que ir exemplo, a elaborac a ao inuenciar na qualidade do servic o prestado. [17] As entradas (Inputs) para o gerenciamento de servic os s ao os recursos e as capacidades que representam as caracter sticas do provedor de servic o. As sa das s ao os servic os, que por sua vez, entregam valor aos clientes ou usu arios. uma caracter O gerenciamento de servic o efetivo e stica estrat egica do provedor de servic o, e lhe fornece a habilidade de lidar com o n ucleo do neg ocio, fazendo com que ele entregue servic os que agreguem valor ao cliente, tornando mais f acil o caminho para que este atinja com facilidade os objetivos almejados.

47

3.4

Processos

Um processo e um conjunto de atividades cordenadas combinando e implementando recursos e capacidades com o objetivo de produzir um resultado, que direta ou indiretamente, cria valor para um cliente externo ou stakeholder. [13] Processos da Fase Estrat egia de Servic o

3.4.1

Gerenciamento do Portfolio de Servic o

estabelecer uma base O objetivo do processo de Gerenciamento de Portifolio de Servic o e de decis ao no direcionamento de estrat egias e gerenciamento de investimentos em servic o. E deste processo a responsabilidade de cuidar do pipeline de servic os, do cat alogo de servic os e tamb em da lista de servic os retirados. [13] O portifolio de servic os possui todos os servic os que est ao sendo prestados, independente o no ciclo de vida. de sua localizac a Fazem parte do pipeline de servic os os servic os que est ao em vista da empresa (espac os de o ou at mercado), os que est ao sendo projetados, em transic a e na fase de melhoria. o, operac o ou sendo Fazem parte do cat alogo de servic os os servic os que est ao em transic a a retirados.

3.4.2

Gerenciamento da Demanda

entender os padr O objetivo do processo de Gerenciamento da Demanda e oes de atividade do Neg ocio e inuenciar a demanda do Cliente por servic os e a provis ao de capacidade para atender estas demandas. [13] O aumento da demanda nos processos de neg ocio, aumenta de forma n ao linear as 1 necessidades dos servic os de TIC e os 4 Ps . es mais importantes do Gerenciamento da Demanda e na elaborac o Uma das contribuic o a o. O plano de capacidade tem como principal objetivo a do plano de capacidade da organizac a o de problemas futuros na organizac o. prevenc a a N ao conhecer a demanda de um cliente implica diretamente em desperdic ar recursos se a capacidade estimada for al em da necess aria, ou ainda, na impossibilidade de atender o neg ocio, se a capacidade estimada for menor que a necess aria. Ambos v ao resultar no desperd cio de
ao: Pessoas, Processos, Produtos (tecnologias, ferramentas e servic os) e Parceiros (fabricantes, 4 Ps s fornecedores)
1 Os

48

dinheiro. muito importante tamb E em que o setor de TIC seja capaz de inuenciar a demanda dos o do uso de recursos entre outros outros setores. Isso pode ser poss vel atrav es da contabilizac a o pode, por exemplo, ajudar a diferenciar e a descobrir as a reas de setores. Essa contabilizac a neg ocio mais ecientes.

3.4.3

Gerenciamento Financeiro

prover ao neg ` TIC a O objetivo do processo de Gerenciamento Financeiro e ocio e a o, em termos nanceiros, do valor dos Servic quanticac a os de TIC, do valor dos ativos que o da previs sustentam o provisionamento destes servic os e a qualicac a ao operacional nanceira (orc amento). [13] Dentre os principais conceitos dentro deste processo, destacam-se: o de produzir valor ao longo do ciclo de vida do An alise de Investimento: Tem a func a servic o, a partir do valor recebido e dos custos incorridos. Isto prover a modelos anal ticos e conhecimento para levantar o valor esperado e/ou o retorno de uma determinada o, programa ou projeto de uma maneira padronizada. iniciativa, soluc a o sub-processo respons o: E Contabilizac a avel por identicar custos atuais da entrega o de servic os de TIC, comparando-os com os custos previstos e gerenciando a variac a do orc amento. Isto vai alterar a din amica e visibilidade do Gerenciamento de Servic o, o da Estrat permitindo um maior n vel de desenvolvimento e execuc a egia de Servic o. o dos custos associados a cada servic Este sub-processo ainda far a a contabilizac a o. Esses custos podem ser relacionados a: Hardware Software Pessoal o Acomodac a Transfer encia E nalmente, podem ser classicados como: Custo Operacional e de Capital Custo Direto (tem parcela denida por servic o. Ex: m ao-de-obra) e Indireto (depende de um crit erio de rateio. Ex: Aluguel). Custo xo e vari avel Unidades de Custo

49

Cobranc a: As atividades deste processo s ao divididas entre 3 centros, s ao eles: o, que objetiva simplesmente alocar os custos. Centro de Contabilizac a o, que objetiva alocar e dividir esses custos em partes Centro de Recuperac a proporcionais. Centro de Lucro - Objetiva dar autonomia suciente para operar como uma entidade de neg ocio separada, mas com os objetivos de neg ocio estabelecidos pela o. Organizac a uma ferramenta de planejamento e suporte a ` decis Caso de Neg ocio (business case): e ao o de Neg que projeta as prov aveis consequ encias de uma ac a ocio. O uso dessa ferramenta se mostra extremamente eciente durante o ciclo de estrat egia do servic o. Processos da Fase Desenho de Servic o

3.4.4

Gerenciamento de N vel de Servic o

O Processo de Gerenciamento de N vel de Servic o (SLM - Service Level Management) e a interface entre o setor de TIC e a Area de Neg ocio, pois converte os requisitos de neg ocio em Metas de N vel de Servic o que dever ao ser atendidas pelo setor. Seu principal objetivo negociar, denir e documentar os acordos e metas apropriadas para os servic e os de TIC juntamente com o representante do Neg ocio. [15] Este processo tamb em dene maneiras para que seja feito um monitoramento com o objetivo de produzir relat orios relativos a capacidade do provedor de entregar o servic o de TIC no n vel acordado. Resumidamente, ele entende a necessidade do neg ocio e prepara o setor de TIC para fornecer o servic o. um dos principais respons O SLM e aveis por gerar dados para os sistemas de Gerencia o e do Conhecimento, pois vai coletar direto da fonte os dados relativos mento da Congurac a ` outras a reas de negocio (dentro da organizac o), a outras organizac es aos servic os prestados a a o e tamb em os dados relativos a servic os adquiridos (terceirizados). es: Conceitos e Denic o Requisito de N vel de Servic o (SLR - Service Level Requirement) o Baseados nos objetivos do Neg ocio, os SLR s ao utilizados para fazer a negociac a das Metas de N vel de Servic o. Resumidamente, um SLR pode ser denido como um requisito do cliente para aspectos relativos a entrega de um Servic o de TIC. Meta de N vel de Servic o (SLT - Service Level Targets)

50

um compromisso, baseado nas SLR, que vai ser documentado em um Acordo Uma SLT e atrav de N vel de Servic o. Os termos deste acordo ser ao um conjunto de SLTs, ou seja, e es o destas que ser da medic a a poss vel concluir se um provedor realizou ou nao o servic o es que foi contratado, realizando todas as tarefas ou ainda eliminando todas as restric o acordadas. Por este motivo, as SLT devem ser declaradas em formato SMART (Specic, Measurable, Achiievable, Results Oriented and Time Specifc - Espec co, Mensur avel, base Realiz avel, Relevante e em Tempo). Uma forma de se obter este resultado e a-las em Indicadores de Desempenho. o de Requisitos (SOR - Statement Of Requirements) Denic a Um documento que descreve todas as funcionalidades e requisitos necess arios a um servic o, seja ele novo ou mudado. Acordo de N vel de Servic o (SLA - Service Level Agreement) O Acordo de N vel de Servic o visa garantir a disponibilidade do servic o de TIC para o Processo de Neg ocio (cliente). Nele est ao contidas as SLT, que seguindo as SLR, especicam as responsabilidades do Provedor de Servic o de TIC e do Cliente. Um SLA pode ser classicado em tr es diferentes tipos, a saber: SLA baseado em Servic o um SLA escrito para cobrir um tipo espec E co de servic o, para todos os clientes que contratarem aquele servic o. Por exemplo, um provedor de internet que escreve um SLA para cada plano (servic o) que ele visa fornecer, e todos os clientes que adiquirirem um mesmo plano v ao assinar um mesmo SLA. SLA baseado em Cliente um SLA escrito especicamente para um determinado cliente, abrangendo todos E os servic os que ele adiquirir. SLA Multi-N vel es que adotam estruturas multi-nivel para SLAs, criando uma Exitem organizac o feito um SLA de n hierarquia de acordos. Primeiramente e vel corporativo, contendo es necess o de qualquer acordo a ser utilizado pela informac o arias para a elaborac a o. Em seguida, e elaborado um SLA a n organizac a vel de cliente, que vai cobrir todos os assuntos relevantes para um grupo de clientes ou unidades de neg ocio, independentemente dos servic os. Acordo de N vel Operacional (OLA - Operational Level Agreement) Os Acordos de N vel Operacional s ao utilizados para suportar a entrega de servic os reas de neg o. Neste acordados entre a ocio que se encontram dentro da mesma organizac a caso, este acordo seria entre o setor de TIC e qualquer outro setor da empresa. O OLA tem

51

por objetivo denir os produtos e/ou servic os providos e as responsabilidades de ambas as partes. Contrato de Apoio (UC - Underpinning Contract) Os Contratos de Apoio s ao utilizados para denir, de forma legal, as metas e responsabilidades necess arias para se adquirir bens ou servic os de um terceiro, a m de atender uma ou mais SLTs acordadas em um SLA. Al em desses conceitos, s ao apresentadas atividades que precisam ser desempenhadas para que o SLM seja realizado com sucesso. Essas atividades s ao listadas como segue: o, negociac o, documentac o e acordo dos requisitos para o Realizar a determinac a a a servic o, seja ele novo ou alterado, nos SLR. Gerenciar esses SLR nos SLA, atrav es do Ciclo de Vida do Servic o. Monitorar e comparar, atrav es de KPIs, o desempenho do servic o com as SLTs acordadas em todos os SLAs. o do cliente, visando agir para melhor Sempre medir a satisfac a a-la. Gerar relat orios dos servic os. Revisar os servic os acordados e estimular a melhoria dos mesmos atrav es de um Plano um conjunto de ac es de melhoria priorizadas, de Melhorias do Servic o (SIP). Um SIP e o que engloba todos os servic os e processos. es. Manter procedimentos ecientes em registrar e solucionar todas as reclamac o Dos pap eis tang veis a este processo, vale citar o Gerente de N vel de Servic o (Service Level o respons Manager), que e avel por garantir que os objetivos do SLM sejam atingidos. o deste processo surgem alguns desaos, como por exemplo: Por m, para a realizac a o dos representantes legais do cliente, ou seja, com quem devem Realizar a identicac a ser feitos os acordos. o com o Neg Melhorar o relacionamento e comunicac a ocio e Clientes. Garantir metas mensur aveis e espec cas para todos os servic os. es de melhorias sempre a um custo Garantir pr o-atividade a m de obter implementac o justic avel. O fato de o SLM ser considerado a interface entre o a TIC e os Neg ocios, faz dele um dos processos mais importantes e complexos deste framework.

52

3.4.5

Gerenciamento de Cat alogo de Servic o

O Processo de Gerenciamento de Cat alogo de Servic o (SCM - Service Catalogue Mana es contidas dentro do Cat gement) tem como principal objetivo gerenciar as informac o alogo de Servic o. Isso inclui compromissos como, por exemplo, garantir que todos os detalhes relativos o ou operac o estejam corretamente ajustados. [15] aos servic os na fase de transic a a uma base de dados ou documento que possui O Cat alogo de Servic o (Service Catalogue) e es sobre todos os servic informac o os de TIC que est ao sendo prestados, ou prontos para entrar o. Ele faz parte do Portif em produc a olio de Servic o, especicamente, deve ser usado pela o no suporte a ` venda e entrega de servic organizac a os. No que tange ao servic o, o cat alogo deve es sobre os relacionamentos Servic possuir informac o o x Processo de Neg ocio e Servic o x Recursos T ecnicos, que geram e suportam o servic o, respectivamente, a m de gerar o de outros processos (ex: SLM, Gerenciamento da conhecimentos necess arios para a execuc a o). Congurac a Para descrever o relacionamento entre o Servic o e o Processo de Neg ocio, existe o Cat alogo de Servic o de Neg ocio (Business Service Catalogue), que cont em detalhes de todos os servic os entregues ao cliente, incluindo os relacionamentos com as Unidades e Processos de Neg ocio a vis que dependem desses servic os. Resumidamente, ele e ao do cliente sobre o Cat alogo de Servic o. Quanto ao relacionamento entre o Servic o e os Recursos T ecnicos que o suportam, existe o Cat alogo de Servic o T ecnico (Technical Service Catalogue), que cont em detalhes de todos servic os, incluindo os relacionamentos com recursos t ecnicos - servic os de suporte, servic os o - necess compartilhados, componentes e itens de congurac a arios para suportar a provis ao do servic o ao neg ocio. Estes detalhes devem complementar o Cat alogo de Servic o do Neg ocio, e n ao fazem parte da vis ao do cliente. importante descrever o Gerente Dentre os poss veis pap eis denidos para este processo, e do Cat alogo de Servic o (Service Catalogue Manager), que tem a responsabilidade de manter o o Cat alogo de Servic o. Isso inclui tarefas como a de garantir que os servic os em operac a o estejam registrados no cat o, e por m, garantir que essas e em transic a alogo, sem excec a es estejam sincronizadas com o Portif informac o olio de Servic o.

3.4.6

Gerenciamento da Disponibilidade

o O Processo de Gerenciamento da Disponibilidade apresenta-se importante para a denic a de prioridades nos processos da fase operacional, especicamente nos processos de Gerenciamento de Incidentes e Gerenciamento de Problemas. Al em destes, o processo de Gerenciamento o tamb de Mudanc as na fase de transic a em utiliza grande parte dos dados gerados por este. [15]

53

o de produzir (e manter) um Plano de Disponibilidade O principal objetivo deste processo e preciso e atualizado, sempre dependendo das necessidades de neg ocio, sejam elas atuais ou futuras. E necess ario tamb em que a disponibilidade do servic o sempre atenda ou exceda todas as metas acordadas. Este processo, atrav es de atividades denidas como Reativas e Pr o-ativas, contempla aspectos como a disponibilidade do servic o e do componente. Al em da Disponibilidade (Avaliability) outras medidas d ao apoio a este processo, como a Conabilidade (Reliability), Sustentabilidade (Maintainability) e a Ociosidade(Serviceability). A Disponibilidade, em poucas palavras, pode ser denida como a medida do quanto um o realiza suas func es quando requeridas. Essa medida e Servic o ou item de congurac a o determinada pela Conabilidade, Sustentabilidade, Ociosidade, Desempenho e Segurac a. O feito de forma percentual, baseado no per c alculo da Disponibilidade geralmente e odo acordado o do servic es. de disponibilizac a o e suas respectivas interrupc o Disponibilidade =
(AST DT )100 AST

denida como o tempo m A Conabilidade e aximo em que o servic o ca dispon vel sem o. Geralmente, sua medida e feita atrav interrupc a es do Tempo M edio entre Falhas (MTBF Mean Time Between Failures) e do Tempo M edio entre Incidentes de Servic o (MTBSI - Mean Time Between Service Incidents). A Sustentabilidade pode ser denida como uma medida do qu ao r apido um Item de o ou Servic Congurac a o de TIC pode ser recuperado para o trabalho normal ap os uma falha, e frequentemente medida como o Tempo M e edio para Recuperar Servic o (MTRS - Mean Time to Restore Service). a capacidade de um terceiro cumprir os termos do seu Contrato. Este A Ociosidade e contrato deve incluir os n veis acordados de Conabilidade, Sustentabilidade e Disponibilidade o. para cada item de congurac a o de Func o de Neg Um conceito importante para este processo e a ocio Vital (VBF - Vital o de um Processo de Neg cr Business Function), uma func a ocio que e tica para o sucesso do mesmo. Este conceito apresenta-se importante em v arios outros processos, como o de Gerenciamento da Continuidade de Neg ocio e o Gerenciamento da Continuidade de Servic o de TIC. o do gerenciamento da Disponibilidade pode ser aprePor m, o Sistema de Informac a sentado como uma base de dados que cont em todos os dados deste processo, usualmente es f armazenados em m ultiplas localizac o sicas. nico papel a ser apresentado e o de Gerente de Disponibilidade (Availability Manager), Ou

54

que tem a responsabilidade de garantir que os objetivos deste processo sejam atingidos, certicando que todos os servic os prestados estejam entregando os n veis de disponibilidade acordados nos SLAs.

3.4.7

Gerenciamento da Capacidade

O Processo de Gerenciamento da Capacidade (Capacity Management) tem como principal reas de TIC a custos justic objetivo a tarefa de garantir que exista capacidade em todas as a aveis para antender as necessidades do Neg ocio acordadas, atuais e futuras, em tempo h abil. Este objetivo deve ser alcanc ado atrav es da divis ao de responsabilidades entre sub-processos, a m de obter maior precis ao partindo de uma abordagem modularizada. [15] Os sub-processos s ao: Gerenciamento da Capacidade de Neg ocio um subO Gerenciamento da Capacidade de Neg ocio (Business Capacity Management) e processo que traduz as necessidades e planos do neg ocio em termos de requisitos para o servic o e infra-estrutura de TIC, garantindo que os futuros requisitos de neg ocio para os servic os de TIC sejam quanticados, projetados, planejados e implementados em tempo h abil. Resumidamente, este sub-processo vai fazer com que o servic o que est a sendo desenvolvido e o setor de TIC rea de neg estejam preparados para suprir as poss veis futuras necessidades da a ocio relacionada. Gerenciamento da Capacidade de Servic o O Gerenciamento da Capacidade de Servic o (Service Capacity Management) mant em foco no gerenciamento, controle e previs ao do desempenho e capacidade m-a-m dos servic os em o, garantindo que o desempenho de todos os servic produc a os, que s ao detalhados nos SLA e SLR, sejam monitorados e medidos e que os dados coletados sejam registrados, analisados e reportados. Gerenciamento da Capacidade de Componente O Gerenciamento da Capacidade de Componente (Component Capacity Management) tem como principal objetivo o gerenciamento, controle e previs ao do desempenho individual de todos os componentes tecnol ogicos de TIC, garantindo que todos estes componentes sejam monitorados e medidos, e que os dados coletados sejam registrados e reportados.

55

o do Gerenciamento da Capacidade Sistema de Informac a o do Gerenciamento da Capacidade (CMIS - Capacity Management O Sistema de Informac a uma base de dados que suporta o processo de Gerenciamento da Information System) e armazenada em m es f Capacidade. Essa base geralmente e ultiplas localizac o sicas, atendendo aos princ pios do processo de Gerenciamento da Continuidade do Servic o de TIC. o Gerente de Capacidade (Capacity ManaUm papel muito importante para este processo e ger), que tem a responsabilidade de garantir o atendimento dos objetivos do Gerenciamento da Capacidade. Pode-se citar como exemplo a miss ao de garantir que os recursos de TIC tenham capacidade de atender os objetivos do n vel de servic o, e que o uso da capacidade existente seja sempre otimizado. Al em disso, este papel deve determinar os requisitos de capacidade de todos os novos servic os, prever requisitos de capacidades futuros a partir de um banco de dados hist orico (ou qualquer outro meio poss vel), manter a validade do Plano de Capacidade o das SLTs contidas nos SLA. e, nalmente, comparar os dados de desempenho em func a

3.4.8

o Gerenciamento de Seguranc a da Informac a

o (Information O prop osito do processo de Gerenciamento da Seguranc a da Informac a fornecer um foco para todos os aspectos relativos a seguranc Security Management - ISM) e a o, e garantir que esses aspectos sejam efetivamente gerenciados. [15] Para de TIC na organizac a es, a seguranc realizada quando os seguintes objetivos s muitas organizac o a s oe ao alcanc ados: Disponibilidade: o deve estar dispon A informac a vel e utiliz avel quando for requerido, e os sistemas que a disponibilizam devem ser capazes de resistir a ataques e recuperar-se de (ou prevenir) falhas. Condenciabilidade: o pode ser observada somente por aqueles que tem o direito de conhec A informac a e-la. Integridade: o deve estar completa, correta e protegida contra modicac es n A informac a o ao autorizadas. Todos esses aspectos devem ser priorizados no contexto do neg ocio e dos processos de neg ocio, uma vez que o gerenciamento s o pode denir a seguranc a dentro do contexto das necessidades do neg ocio e dos riscos a ele relacionados.

56

o O Sistema de Gerenciamento da Seguranc a da Informac a o (Information Security ManaO Sistema de Gerenciamento da Seguranc a da Informac a uma estrutura que prov gement System - ISMS) e e uma base para o desenvolvimento de um o com efetividade de custo, e que ao mesmo tempo suporte programa de seguranc a da informac a os objetivos do neg ocio. [15] es que s O sistema mant em todas as informac o ao requeridas pelo ISM em um banco de dados, incluindo todos os controles de seguranc a, riscos, brechas identicadas e relat orios es da Pol necess aros para suportar e manter as informac o tica de Seguranc a e do pr oprio ISMS. o padr es podem procurar A ISO 27001 e ao de seguranc a formal no qual as organizac o o independentemente de seu ISMS, que tamb o da a certicac a em pode garantir a obtenc a o se desenvolvido e utilizado dentro do modelo de boas pr certicac a aticas pregado pela ITIL R . O Gerente de Seguranc a O Gerente de Seguranc a tem a responsabilidade de garantir o atendimento dos objetivos do processo em quest ao. Este conjunto de responsabilidades inclui: o e o compromisso apropriados da alta ger Assegurar a autorizac a encia de neg ocios o das Pol o, atrav es do desenvolvimento e manutenc a ticas de Seguranc a da Informac a al em de um conjunto de pol ticas espec cas de suporte. o a m de comunicar as partes apropria Publicar as Pol ticas de Seguranc a da Informac a das. Executar em conjunto com os processos de AM e ITSCM a An alise e o Gerenciamento de Risco.

3.4.9

Gerenciamento da Continuidade de Servic o de TIC

O processo de Gerenciamento da Continuidade de Servic o de TIC (IT Service Continuity Management - ITSCM) tem o objetivo de dar suporte ao processo de Gerenciamento da Continuidade de Neg ocios1 , a m de garantir a retomada das atividades dos recursos t ecnicos de TIC e de servic o requeridos no tempo acordado com o neg ocio. Os recursos t ecnicos de TIC o, Redes, Telecomunicac es, e quaisquer outros equipamentos incluem Sistemas de Computac a o ou programas que suportem o neg ocio. [15]
Gerenciamento da Continuidade de Neg ocios (Business Continuity Management - BCM) baseia-se em o com o objetivo de identicar e preservar os servic um conjunto de estrat egias e planos de ac a os essenciais da o, para que situac es imprevis es mais organizac a o veis (como por exemplo um inc endio) n ao destruam as informac o importantes da mesma.
1O

57

respons Resumidamente, o ITSCM e avel por gerenciar os riscos que podem afetar os servic os de TIC, garantindo que o provedor possa fornecer sempre servic os com o menor risco altamente recomend poss vel. Para isso, e avel que ele seja planejado com o objetivo de suportar o Gerenciamento da Continuidade de Neg ocio. Plano de Continuidade do Servic o de TIC O Plano de Continuidade de Servic o de TIC basicamente dene os passos requeridos na o de um ou mais servic o dos recuperac a os de TIC. Para isso, deve ser realizada a identicac a o do plano, as pessoas envolvidas, as comunicac es gatilhos necess arios, tais como a invocac a o e tudo o que for necess ario para que este procedimento seja bem sucedido. Vale ressaltar que este plano deve fazer parte integrante do Plano de Continuidade de Neg ocios. An alise de Impacto de Neg ocio O prop osito da An alise de Impacto de Neg ocio (Business Impact Assessment - BIA) e quanticar o impacto referente a perda de um servic o para o neg ocio, identicando os servic os o, que por sua vez, ser mais importantes para a Organizac a ao os principais insumos para a o da estrat denic a egia de continuidade. Gerenciamento de Crise o subprocesso respons O Gerenciamento de Crise (Crisis Management - CM) e avel es maiores na continuidade do neg pelo gerenciamento das implicac o ocio. No conjunto de responsabilidades da equipe do CM est ao: O relacionamento com a m dia; Manter a conanc a dos investidores no neg ocio; Decidir o momento correto de invocar os planos de continuidade de neg ocio. Gerente de Continuidade de Servic os de TIC respons O gerente do ITSCM e avel por garantir que os objetivos do processo sejam alcanc ados. Dentre as atividades sob sua responsabilidade destacam-se: o da An A execuc a alise de Impacto nos Neg ocios, para todo e qualquer servic o, seja ele novo ou j a existente;

58

Implementar e manter o processo de Gerenciamento da Continuidade de Servic o de TIC, em conformidade com os requisitos gerais do Gerenciamento da Continuidade do es dos Servic Neg ocio e representar, dentro deste, as func o os de TIC; Avaliar as quest oes de continuidade de servic o em potencial e invocar o Plano de Continuidade de Servic o, se necess ario; o; Gerenciar o Plano de Continuidade de Servic o enquanto estiver em operac a o de teste de TIC, incluindo teste do Plano de Continuidade, Manter uma programac a alinhado aos requisitos de neg ocio e sempre ap os uma mudanc a num neg ocio importante.

3.4.10

Gerenciamento de Fornecedor

O processo de Gerenciamento de Fornecedor (Supplier Management - SM) deve cuidar basicamente do n vel de servic o, bem como monitorar os fornecedores no que tange as es legais, nanceiras, e o prec cobrado no mercado, a m de condic o o relacionado ao que e garantir o valor do investimento realizado. [15] Base de Dados de Fornecedor e Contrato uma A Base de Dados de Fornecedor e Contrato (Supplier Contract Database - SCDB) e base de dados ou documento devidamente estruturado utilizado para gerenciar os contratos dos fornecedores atrav es do seu ciclo de vida. Contem ainda atributos-chave de todos os contratos com os fornecedores e devem ser parte do SKMS. Gerente de Fornecedores respons O Gerente de Fornecedores e avel por garantir que os objetivos do processo sejam alcanc ados. Dentre o seu conjunto de responsabilidades podemos destacar: o e revis Manutenc a ao de uma SCDB; Revis ao e An alise de Risco de todos os fornecedores e Contratos de uma forma regular; Monitorar, reportar e rever o desempenho do fornecedor contra os objetivos, identicando es apropriadas e garantir que essas ac es sejam implementadas. melhorias, ac o o o de Servic Processos da Fase Transic a o o dos processos desta fase, s es Para a apresentac a ao necess arios alguns conceitos e denic o apresentados a seguir:

59

es Conceitos e Denic o Sistema de Gerenciamento do Conhecimento de Servic o O Sistema de Gerenciamento do Conhecimento de Servic o (Service Knowledge Manage um conjunto de ferramentas e bases de dados utilizados para gerenciar ment System - SKMS) e es relativos aos servic o conhecimento e as informac o os prestados pelo setor. Incluidos na sua arquitetura est ao o SCM, SCDB, ISMS, bem como quaisquer outras ferramentas ou bases de es relacionadas ao conhecimento adquirido pela organizac o dados que armazenem informac o a o de servic na prestac a os. [15] o do SKMS e armazenar, gerenciar, atualizar e apresentar todas as informac es que A func a o um provedor de Servic os de TIC precisa para gerenciar o Ciclo de Vida dos servic os. Modelo V o modelo que dene crit o para requerimentos estabelecidos de acordo E erios de aceitac a o com a fase de desenvolvimento do servic o, relacionando os diferentes n veis de congurac a o, teste e validac o de acordo com a Especicac o dos Requisitos de Servic para a construc a a a o, detalhados no Desenho de Servic o.

3.4.11

Gerenciamento de Mudanc a

O processo de Gerenciamento de Mudanc a tem a responsabilidade de garantir o regis o, autorizac o, priorizac o, planejamento, teste, tro das mudanc as, bem como sua avaliac a a a importante dizer que o, documentac o e revis implementac a a ao de uma maneira controlada. E o dos mesmos, ou seja, o este processo apenas avalia esses fatores para conrmar a realizac a Gerenciamento de Mudanc a apenas aprova. es nos ativos de servic Dentro do escopo dessas mudanc as est ao as alterac o o e itens de o por todo o ciclo de vida do servic o dena as congurac a o. E importante que a organizac a mudanc as que se encontram fora do escopo deste processo, pois dessa forma, as mudanc as com impactos signicativamente mais amplos do que as mudanc as de servic o2 , e as mudanc as de 3 n vel operacional podem ser separadas por n veis de equipe, habilidades ou qualquer outro o. [15] fator que torne este processo sucientemente eciente para a organizac a Este processo, por sua vez, deve ser planejado em conjunto com os processos SACM e RDM.
2 Mudanc as 3 Reparo

organizacionais que devam gerar mudanc as nos servic os a impressoras ou a outros componentes rotineiros do servic o

60

Tipos de Mudanc as o e o funcionamento deste A ITIL R classica as mudanc as a m de facilitar a organizac a processo. Dentre os tipos denitos est ao: [8] Mudanc a Normal: uma mudanc E a complexa, que apresenta riscos desconhecidos e segue procedimentos es de trabalho n o de um ou instruc o ao padronizados, como por exemplo, a implementac a sistema nanceiro. Mudanc as desse tipo devem ser registradas e rastreadas utilizando-se o mecanismo das Request For Change (RFC).4 Mudanc a Emergencial: uma mudanc E a que deve ser implementada o mais r apido poss vel, como por exemplo a o de um Incidente grave atrav o de um pacote de seguranc soluc a es da implementac a a. Normalmente o processo de Gerenciamento de Mudanc as possui procedimentos espec cos para tratar este tipo de mudanc a. Mudanc a Padr ao (ou Mudanc a Simples): uma mudanc E a pr e-aprovada pelo processo, possuindo assim um custo previsto e aprovado, e o risco avaliado. Os procedimentos inerentes a essas mudanc as s ao pr e o superior. Por m, e importante lembrar que estabelecidos e j a passaram por uma avaliac a o. algumas mudanc as padr ao s ao disparadas pelo processo de Cumprimento de Requisic a Comit e Consultivo de Mudanc as um organismo que existe para suportar a autorizac o das mudanc E a as e auxiliar o Gerente o e priorizac o das mesmas. Os membros escolhidos para compor de Mudanc as na avaliac a a o CAB devem ser capazes de garantir que todas as mudanc as dentro do seu escopo sejam adequadamente avaliadas sob o ponto de vista t ecnico e de neg ocio. Comit e Consultivo de Mudanc a Emergencial um sub-conjunto do Comit E e Consultivo de Mudanc a, que avalia e auxilia o Gerente de o. Os Mudanc as a decidir sobre as mudanc as emergenciais de alto impacto para a organizac a membros deste comit e podem ser convocados no momento em que a reuni ao deve acontecer em o da natureza da mudanc func a a emergencial.
4A

uma maneira formal utilizada para realizar pedidos formais para a realizac o de uma mudanc RFC e a a.

61

Os 7 Rs do Gerenciamento de Mudanc a es, S ao as quest oes que devem ser respondidas para todas as mudanc as. Sem estas informac o o de impacto n a avaliac a ao poder a ser completada e o balanceamento entre riscos e benef cios da o mudanc a n ao poder a ser compreendido. Se os 7 Rs n ao forem considerados, a implementac a pode resultar em uma mudanc a que n ao entrega todos os benef cios esperados para o neg ocio, ou ainda, pode entregar resultados indesejados. S ao eles: Quem requisitou a mudanc a? a raz Qual e ao para a mudanc a? o retorno requerido da mudanc Qual e a? Quais s ao os riscos envolvidos na mudanc a? Quais s ao os recursos envolvidos na mudanc a? o respons o, teste e implementac o da mudanc Quem e avel pela construc a a a? o relacionamento entre esta mudanc Qual e a e outras? Atividades O processo de Gerenciamento de Mudanc a possui v arias atividades, citadas a seguir: Criar e registrar a RFC: iniciada por uma requisic o, e todas as RFCs devem ser registradas A mudanc a e a recomendado que esses registros sejam feitos por meio de uma e identicadas. E ferrramenta de Gerenciamento de Servic o. o de Mudanc Rever a Requisic a a: es, barrando assim submiss Esta atividade deve ltrar as requisic o oes incompletas, o inadequada, sem necess o orc por exemplo, descric a aria aprovac a ament aria. Essas submiss oes devem, por sua vez, ser retornadas aos emissores. Estimar e Avaliar a Mudanc a: o da mudanc Dividida em v arias etapas, a estimativa e avaliac a a deve ser feita primei o de Risco, que mede a possibilidade de risco para o ramente atrav es da Categorizac a neg ocio de qualquer mudanc a, onde esta, por sua vez, precisa ser considerada antes da o de qualquer mudanc autorizac a a.

62

o de prioridades se faz necess Tendo a primeira etapa sido conclu da, a designac a aria, a o das mudanc m de denir uma ordem cronol ogica (escalonamento) para a execuc a as. o do escalonamento de mudanc o do planejamento e Com a denic a as, a realizac a o do conjunto vai assegurar que n programac a ao haja nenhuma ambig uidade sobre quais importante desenvolver um Plano de tarefas est ao inclu das no processo, e ainda assim, e o5 , antes que a mudanc Remediac a a seja executada, para enderec ar uma falha na mudanc a o. ou na liberac a Autorizar a Mudanc a: o formal, fornecida por uma autoridade Cada mudanc a deve receber uma autorizac a o pode ser competente, que pode ser uma pessoa ou um grupo de pessoas. Essa autorizac a classicada em n veis, que por sua vez, devem ser julgados pelo tipo, tamanho ou risco da mudanc a. o da Mudanc Coordenar a implementac a a: O processo de Gerenciamento de Mudanc a tem a responsabilidade de assegurar que as importante ter em vista que o. E mudanc as sejam executadas conforme sua programac a um papel de coordenac o, enquanto a execuc o real ser este e a a a de responsabilidade de outros (por exemplo, os t ecnicos de hardware executar ao mudanc as de hardware). Revisar e fechar o registro de mudanc a: necess o Por m, e aria uma revis ao de mudanc a (por exemplo, Revis ao de P os-Implementac a o dos - PIR) deve ser realizada a m de conrmar o sucesso da mudanc a, a satisfac a o de poss stackholders e a prevenc a veis efeitos colaterais. Indicadores-Chave de Desempenho - KPIs o e Suporte Os Knowledge Performance Indicators (KPIs) para o Planejamento de Transic a incluem: O n umero de mudanc as implementadas com sucesso.6 o da diferenc Reduc a a entre escopo, qualidade, custo e tempo atuais e previstos. o no n Reduc a umero de mudanc as n ao autorizadas. o da quantidade de requisic es de mudanc Reduc a o as acumuladas.
o deve ser utilizado para casos em que a mudanc irrevers Plano de Remediac a a a ser realizada e vel. Ele pode, na maioria das vezes, requerer uma revis ao da pr opria mudanc a no evento da falha, ou ainda ser bastante o do Plano de Continuidade da Organizac o. severo, a ponto de requerer a invocac a a 6 S ao as mudanc as que alcanc am os resultados acordados em termos de custo, qualidade, escopo, e escalonamento de mudanc as.
5O

63

o do n Reduc a umero de mudanc as com falhas. Pap eis Gerente de Mudanc as: As principais responsabilidades do Gerente de Mudanc as s ao: Receber, registrar, determinar prioridade e rejeitar RFCs impratic aveis; Planejar as reuni oes do CAB; Convocar e presidir reuni oes com o CAB e o ECAB; Autorizar mudanc as ap os as reuni oes; Publicar programas de mudanc as, via Central de Servic o; Rever mudanc as implementadas; Fechar RFCs; Produzir relat orios gerenciais; Comit e Consultivo de Mudanc as - CAB: obrigac o do comit o do Gerente de E a e participar das reuni oes conforme convocac a o, autorizac o e Mudanc as; Apoiar o Gerente de Mudanc as nas atividades de avaliac a a o de mudanc priorizac a as; Comit e Consultivo de Mudanc a Emergencial - ECAB: o nas reuni Este comit e tem como principal responsabilidade a participac a oes emergen o do Gerente de Mudanc ciais conforme convocac a as, bem como o apoio ao mesmo, nas o, autorizac o e priorizac o de mudanc atividades de avaliac a a a as.

3.4.12

o e de Ativo de Servic Gerenciamento da Congurac a o - SACM

denir e controlar os componentes (ativos) de servic O objetivo do SACM e os e infra o sobre o hist estrutura, a m de manter com precis ao a informac a orico, o estado corrente e planejado dos mesmos. Neste conjunto de componentes encontram-se vers oes, baselines, e o. [15] tudo que possa ser considerado item de congurac a o O Modelo de Congurac a o dos servic O SACM fornece um modelo de congurac a os, dos ativos e da infra-estrutura, o. Este modelo, por sua vez, e registrando os relacionamentos entre os itens de Congurac a utilizado em todos os processos do Ciclo de Vida.

64

o Item de Congurac a chamado de item de congurac o qualquer componente que precisa ser gerenciado para E a o as informac es garantir a entrega de um Servic o de TIC. Assim, para todo item de congurac a o relacionadas devem ser registradas no CMS, e o n vel de detalhamento varia de acordo com a import ancia do componente. Bibliotecas Seguras uma colec o de softwares ou Itens de Congurac o documentados Uma biblioteca segura e a a restrito. As com tipos e estados conhecidos. O acesso aos itens, em uma biblioteca segura, e o dos componentes durante todo o Ciclo de Vida bibliotecas s ao usadas para controle e liberac a do Servic o. o Sistema de Gerenciamento da Congurac a um sistema respons es sobre os itens de Congurac o O CMS e avel por manter informac o a respons requeridos na entrega de um Servic o de TIC, incluindo seus relacionamentos. E avel por es manter os relacionamentos entre todos os componentes do servic o e quaisquer documentac o es. de incidentes, problemas, erros conhecidos, mudanc as e liberac o No n vel de dados, o CMS pode requerer dados de v arios CMDBs f sicos, os quais, juntos, ser ao plugados no CMS, assim como as Bibliotecas de M dia Denitivas. Dep ositos Seguros um local apropriado para armazenar os ativos de TIC. Possui um Um Dep osito Seguro e papel importante na provis ao da seguranc a e continuidade, mantendo con avel o acesso aos equipamentos com a qualidade conhecida. Sobressalentes Denitivos uma a rea para atendimento local, separada do Dep E osito Seguro onde deve ser mantido um estoque de sobressalentes de hardware. Esses conjuntos de Sobressalentes podem ser utilizados o de incidentes ou necessidade de capacidade adicional. Uma vez utilizados na recuperac a temporariamente, retornam ao estoque ou s ao substitu dos.

65

o - (Baseline) Linha Base de Congurac a a congurac o de um servic E a o, produto ou infra-estrutura formalmente revisada e acordada, que desde ent ao serve como base para outras atividades, e que pode ser alterada somente por meio de procedimentos formais de mudanc a. Quadro Instant aneo - (Snapshot) uma imagem do estado atual de um item de congurac o ou de um ambiente, E a registrado no Sistema geralmente capturada por uma ferramenta de descoberta. Este quadro e o e permanece como um registro de hist de Gerenciamento da Congurac a orico. Pap eis Gerente de Ativo de Servic o: O Gerente de Ativo de Servic o dene pol ticas e padr oes para o gerenciamento de ativos, garantindo a eci encia e efetividade dos Sistemas respons aveis por eles. o: Gerente de Congurac a o implementa pol O Gerente de Congurac a ticas e padr oes para o Gerenciamento de o do Sistema de Gerenciamento da Congurac o, bibliotecas Ativo, planeja a populac a a o interna do centrais, ferramentas, c odigos e dados comuns, al em de garantir a manutenc a CMS. o: Analista de Congurac a o cria procedimentos de registro de ICs, controle e privil O Analista de Congurac a egios o, al de acesso para o Gerenciamento de Ativo e da Congurac a em de monitorar o e relat problemas e manter o banco de dados para colec a orio de m etricas. o Administrador/Bibliotec ario de Congurac a o guardi E ao de todas as c opias mestras do software, dos recursos, de CIs, dos ativos o registrados com os processos de Gerenciamento de Ativo e da e da documentac a o. Dentre as suas responsabilidades principais encontram-se o controle do Congurac a o, armazenamento e retirada de todos os CIs suportados, al recebimento, identicac a em es sobre o status dos CIs. de fornecer informac o Administrador do CMS e ferramentas o e recoAvalia ferramentas propriet arias de Gerenciamento de Ativos e Congurac a respons menda aquelas que melhor atendam os requisitos orc ament arios e t ecnicos. E avel

66

tamb em por customizar diretamente ou indiretamente as ferramentas propret arias para o, em termos de produzir ambientes ecazes de Gerenciamento de Ativos e Congurac a o de relat bases de dados, de bibliotecas de software, de workow e de gerac a orio. o Comit e de Controle de Congurac a necess o Este comit ee ario para assegurar que as pol ticas do Gerenciamento de Congurac a o estejam empregadas durante todo o Ciclo de Vida do Servic o e com considerac a espec ca para cada aspecto do servic o completo. Denir e controlar as linhas de base o de servic um dos seus principais objetivos, a m de garantir que eles da congurac a o e apresentem os requisitos estabelecidos no Desenho de Servic o.

3.4.13

o e Implantac o Gerenciamento de Liberac a a

o e Implantac o objetiva construir, testar e entregar a O Gerenciamento de Liberac a a capacidade de prover os servic os especicados pelo Desenho de Servic o e que atender a os requisitos dos interessados (stakeholders). [15] o Unidade de Liberac a o descreve a porc o de um servic Uma Unidade de Liberac a a o ou infra-estrutura de TIC que liberada de acordo com a pol o da Organizac o. e tica de liberac a a o e Implantac o Modelos de Liberac a a o e distribuic o Na fase de Desenho de Servic o s ao denidos os modelos de liberac a a mais adequados, que incluem abordagem, mecanismos, processos, procedimentos e recursos o em tempo h requeridos para construir e distribuir a liberac a abil e dentro do orc amento. Biblioteca de M dia Denitiva A Biblioteca de M dia Denitiva - (Denitive Media Library - DML) uma ou mais o localidades nas quais as vers oes de todos os Softwares aprovados, licenc as e documentac a o) s (Itens de Congurac a ao seguramente armazenados. Todos os softwares da DML est ao o e sob o controle dos processos de Gerenciamento da Mudanc a e Gerenciamento de Liberac a o e s o. Por m, somente Implantac a ao registrados no Sistema de Gerenciamento da Congurac a es. os softwares vindos da DML ser ao aceitos para uso em liberac o

67

Pap eis o e Implantac o Gerente de Liberac a a respons o, congurac o e teste de todo o E avel pelo planejamento, desenho, construc a a o para a entrega ou para a mudanc software e ferramenta para criar o pacote de liberac a a de um servic o designado. o de Liberac o Gerente de Empacotamento e Construc a a o da liberac o nal, isto e , conhecimento, informac o, hardEstabelecer a congurac a a a o. ware, software, infra-estrutura, construir e testar a entrega nal de liberac a o Grupo de Distribuic a o do servic o e Entrega f sica nal da implementac a o, coordenando a documentac a o de liberac o, incluindo treinamento, cliente e Gerenciamento de Servic comunicac a a o. o de Servic Processos da Fase Operac a o

3.4.14

Gerenciamento de Incidentes

o da O processo de Gerenciamento de Incidentes tem como meta prim aria a restaurac a 7 o normal do servic operac a o o mais r apido poss vel e minimizar o impacto adverso nas es do neg operac o ocio. [11] o de contorno, mas n Este processo tem autonomia para aplicar uma soluc a ao para denir o denitiva pois esta deve ser denida pela Ger uma soluc a encia de Mudanc a. a otimizac o de recursos nanceiros obtida atrav Outro fato importante e a es deste processo, uma vez que as pessoas que trabalham nessas tarefas s ao menos custosas do que as do conselho do Gerenciamento de Problema. importante tamb E em que o Service Desk possua credibilidade suciente para que todos os es atrav clientes solicitem manutenc o es do mesmo, fazendo com que as estat sticas geradas pelo Gerenciamento de Incidentes sejam reais. es Conceitos e Denic o Incidente uma interrupc o n o na qualidade de um Servic Um incidente e a ao planejada ou reduc a o de o que ainda n TIC. A falha de um Item de Congurac a ao afetou o Servic o de TIC poder a gerar um incidente.
7A

o Normal do servic denida como a operac o dentro dos limites estabelecidos nos SLA. Operac a o e a

68

Impacto a medida do efeito de um incidente, problema ou mudanc E a nos processos de Neg ocios. sempre baseado em como os n O impacto e veis de servic o ser ao afetados. Urg encia uma medida de qu E ao longo ser a o tempo at e que um Incidente, Problema ou Mudanc a tenha um impacto signicativo para o Neg ocio. Prioridade uma categoria utilizada para identicar a import E ancia relativa de um Incidente, utilizada Problema ou Mudanc a. A prioridade deve ser baseada no Impacto e Urg encia e e o das respectivas ac es. para identicar os tempos requeridos para a realizac a o o de Contorno Soluc a a reduc o ou eliminac o do impacto de um Incidente ou Problema no qual a resoluc o E a a a es, no caso em que os incidentes n completa ainda n ao est a dispon vel. Essas soluc o ao possuem registros de problemas associados devem ser documentadas nos registros de ltimo, as Soluc es de Contorno para problemas devem ser documentadas incidentes. Por u o nos registros de Erros Conhecidos. o e escalonamento Prazos para execuc a o precisam ser acordados para todos os est Prazos de execuc a agios de tratamento de incidentes (que ir ao diferir de acordo com a prioridade do incidente) baseados nos o previstos em SLA, OLA e UC. objetivos de resoluc a Modelo de Incidente uma forma de pr Um Modelo de Incidente e e-denir os passos que devem ser seguidos para tratar um incidente. Para isto, ferramentas de suporte podem ser utilizadas como meio de gerenciamento do processo requerido. Esses modelos devem denir os passos o, a serem executados em ordem cronol ogica, responsabilidades, tempos de execuc a o de evid procedimentos de escalonamento e gerac a encias, a m de garantir que todas as medidas cab veis sejam tomadas. Incidente Grave a maneira como s E ao classicados incidentes que provocam alto impacto sobre o neg ocio. Esses inicidentes requerem procedimentos espec cos, menor prazo de o e maior urg o do que constitui um incidente grave precisa ser execuc a encia. A denic a o de incidente. acordada e mapeada no mecanismo de priorizac a

69

Atividades Este processo prev e um conjunto de atividades a m de gerenciar com eci encia os o. S incidentes ocorridos dentro da organizac a ao elas: Identicar Incidente Registrar Incidente Categorizar Incidente Priorizar Incidente Diagnosticar Inicialmente Escalonar Incidente Investigar e Diagnosticar Resolver e Recuperar Fechar Incidente uma tarefa chave para cumprir os SLAs com eci Gerenciar os incidentes e encia e baixo custo. Indicadores-Chave de Desempenho o Os KPIs devem ser utilizados a m de avaliar os resultados obtidos atrav es da execuc a o da melhoria deste processo. Al em disso, eles s ao de extrema import ancia na elaborac a cont nua. Quantidade total de incidentes. o dos incidentes em cada est Avaliac a agoio. Quantidade de incidentes abertos e n ao resolvidos. N umero e porcentagem dos incidentes principais. o ou contorno, quebrado por c Tempo M edio decorrido para conseguir a resoluc a odigo de impacto. Porcentagem de incidentes manuseados dentro do tempo de resposta acordado.

70

Pap eis Gerente de incidentes Dentre as responsabilidades deste papel, podemos citar a de desenvolver e manter todas as etapas deste processo, desta forma, garantindo a eci encia e efetividade do processo es gerenciais, desenvolvier e manter de Gerenciamento de Incidente. Produzir informac o Sistemas de Gerenciamento de Incidente, e gerenciar incidentes graves. Suporte de Primeiro N vel de extrema import Este papel e ancia, pois resolve incidentes de baixa complexidade em primeira inst ancia, reduzindo assim a sobrecarga sobre os t ecnicos respons aveis por incidentes de maior import ancia. Desaos a chave do sucesso para o Gerenciamento de Incidentes. Uma boa Central de Servic o e

3.4.15

Gerenciamento de Eventos

um processo focado na gerac o e detecc o de noticac es O Gerenciamento de Eventos e a a o signicativas a respeito do estado da infra-estrutura e Servic os de TIC. O conceito de o, muitas vezes confundido com o Gerenciamento de Eventos, pode ser exemmonitorac a plicado por ferramentas que monitoram o estado de um dispositivo para garantir que ele esteja operando dentro dos limites aceit aveis, mesmo que aquele dispositivo n ao esteja gerando eventos. [11] uma mudanc Um evento e a de estado que tem signicado para o gerenciamento de um Item o ou Servic de Congurac a o de TIC. Este termo tamb em pode ser utilizado para identicar um o criado por qualquer Servic o ou ferramenta alerta ou noticac a o de TIC, Item de Congurac a o. Eventos, tipicamente requerem prossionais de Operac o de TIC na tomada de Monitorac a a de decis oes e frequentemente requerem a abertura e registro de Incidentes. Tipos de Eventos Os eventos devem ser classicados, a m de facilitar a an alise dos mesmos. Os tipos mais o de eventos s comuns utilizados na classicac a ao: o regular (Informational); Eventos que signicam uma operac a Ex: Login de um usu ario.

71

o (Excpeption); Eventos que signicam uma excec a Ex: Consumo de banda al em do comum por uma m aquina da rede. o n es (Warning); Eventos que signicam uma operac a ao usual, por em n ao s ao excec o Ex: Consumo de mem oria acima do esperado por um breve espac o de tempo. Pap eis usual existir um Gerente de Eventos, uma vez que as atividades deste processo N ao e normalmente s ao desempenhadas por software e dispositivos de monitoramento.

3.4.16

o Cumprimento de Requisic a

Os objetivos deste processo envolvem o fornecimento de um canal para os usu arios o pr solicitarem e receberem servic os-padr ao, onde para os quais existe uma aprovac a e-denida o. Al o geral, reclamac o ou e processo de qualicac a em disso, dar assist encia com informac a a coment arios, distribuir componentes de servic os (ex: Licenc as de Software), e prover qualquer o que de alguma forma seja necess tipo de informac a aria para estes. [11] es Conceitos e Denic o o de Servic Requisic a o o de usu es, aconselhamento, mudanc Uma requisic a ario por informac o a padr ao ou acesso es s a um Servic o de TIC. Essas requisic o ao geralmente tratadas pela Central de Servic o e n ao requerem a submiss ao de uma RFC. es Modelos de Requisic o es de Servic Requisic o o ocorrem frequentemente e requerem seu atendimento atrav es de uma maneira consistente, de forma a atender os n veis de servic o acordados. Para dar assist encia es, muitas Organizac es criam Modelos de Requisic es pr a essas solicitac o o o e-denidos, os quais o por parte do processo de Gerenciamento tipicamente incluem alguma forma de pr e-aprovac a de Mudanc a).

3.4.17

Gerenciamento de Problema

previnir a ocorr O principal objetivo deste processo e encia de problemas e dos incidentes es s resultantes, bem como eliminar a recorr encia de incidentes. essas duas ac o ao classicadas

72

importante que o impacto pela ITIL R como Pr o-ativas e Reativas, respectivamente. Ademais, e dos incidentes que n ao podem ser previnidos seja minimizado. [11] es Conceitos e Denic o Problema a causa n Um problema e ao conhecida de um ou mais Incidentes. Essa causa n ao e criado e o processo Gerenciamento de conhecida no momento que o registro do problema e respons es adicionais. problema e avel pelas investigac o Erro Conhecido um problema que possui a sua causa-raiz identicada e uma soluc o de contorno E a documentada. Erros conhecidos s ao criados e gerenciados atrav es de seu ciclo de vida pelo Gerenciamento de Problema. Modelos de Problemas nicos e devem receber tratamento individual, por Muitos problemas s ao u em alguns incidentes podem ocorrer novamente devido a problemas n ao identicados. Este conceito e similar ao conceito de Modelos de incidentes j a descritos no processo de Gerenciamento de Incidente. Base de Dados de Erros Conhecidos permitir o armazenamento de conhecimentos pr O prop osito dessa base de dados e evios a respeito de incidentes e problemas (e como eles foram superados), possibilitando diagn ostico o r e resoluc a apidos, caso voltem a ocorrer. O Registro de Erro Conhecido deve reter todos os detalhes da falha ocorrida e seus respectivos sintomas, juntamente com detalhes de qualquer o de contorno ou ac o de resoluc o que venha a ser realizada para solucionar incidentes soluc a a a ou problemas. Pap eis Gerente de Problemas As responsabilidades deste papel incluem: o de problemas, para garantir r Contato constante com os grupos de resoluc a apida o dentro dos objetivos dos Acordos de N resoluc a vel de Servic o. o do Banco de Dados de Erros Conhecidos. Proprieade e protec a

73

Respons avel pela inclus ao de todos os erros conhecidos no Banco de Dados de Erros Conhecidos e algoritmos de pesquisa. Fechhamento formal de todos os registros de problema. Contato com fornecedores e contratados, para garantir que os terceiros cumpram com es contratuais, no que diz respeito a resoluc o de problemas. suas obrigac o a ` s Revis Arranjar, executar, documentar todas as atividades relacionadas a oes de Problemas Graves. es de Problemas Grupos de Soluc o S ao os grupos t ecnicos de suporte (interno ou de provedores) coordenados pelo Gerente de Problemas.

3.4.18

Gerenciamento de Acesso

garantir aos usu O objetivo deste processo e arios autorizados o direito de usar um servic o, ` execuc o enquanto impede tal acesso aos usu arios n ao autorizados. O processo corresponde a a es denidas nos processos de Gerenciamento de Seguranc de pol ticas e ac o a e Gerenciamento da Disponibilidade. [11] es Conceitos e Denic o Acesso: permitido a Refere-se ao n vel e extens ao da funcionalidade de um servic o ou dado que e um usu ario utilizar. Identidade o sobre o usu Refere-se a informac a ario, que o distingue dos demais e que demonstra sua o dentro da Organizac o. Por denic o, a identidade de um usu exclusiva. situac a a a ario e Direitos ou Privil egios o denida, que determina o acesso a ser oferecido ao usu Referem-se a regulamentac a ario para um servic o ou grupo de servic os. Os direitos t picos (ou n veis de acesso) incluem leitura, o, execuc o, alterac o e remoc o. gravac a a a a Servic os ou Grupo de Servic os Usu arios n ao usam somente um servic o e usu arios que executam um conjunto de atividades similares podem usar um conjunto similar de servic os. Ao inv es de providenciar acesso

74

mais eciente conceder a um grupo de usu individual para cada servic o, e arios o acesso completo aos servic os que eles est ao habilitados a usar. Servic os de Diret orio utilizada para gerenciar o acesso e Refere-se a um tipo espec co de ferramenta que e direitos dos usu arios. Processos da Fase Meloria de Servic o Continuada es: Conceitos e Denic o o e Gerenciamento [18] Premissas soobre Medic a imposs E vel gerenciar o que n ao se pode controlar. imposs E vel controlar o que n ao se pode medir. imposs E vel medir o que n ao se pode denir. Plano de Melhoria de Servic o Um plano formal para implementar melhoria em um processo ou servic o de TIC, relacionado com o SLM. Retorno do Investimento - ROI o lucro Uma medida do benef cio esperado de um investimento. No senso mais simples e l quido de um investimento dividido pelo valor l quido dos ativos investidos. Valor do Investimento - VOI Uma medida do benef cio esperado de um investimento. O VOI considera benef cios nanceiros e benef cios intang veis. Gerenciamento de Conhecimento Esta atividade possui um papel central na Melhoria Cont nua do Servic o. Considerando feita uma an os dados gerados atrav es dos processos nas fases anteriores, e alise a m e gerar o, que por sua vez, vai gerar conhecimento sobre a organizac o. informac a a Princ pios e Modelos-Chave Modelo PDCA O ciclo Plan, Do, Check, Act (Planejar, Executar, Conferir e Atuar), possui o na busca de alta qualidade, aumento de produtividade e uma uma signicativa contribuic a

75

o competitiva. W. Edwards Deming e bastante conhecido por esta losoa de melhor posic a o que objetiva evitar que se gerenciamento. Ap os estes est agios existe uma fase de consolidac a ` situac o original. retorne a a A ITIL R prega que este ciclo deve ser efetuado continuamente, a m e manter o n vel de o mais detalhada das ac es s maturidade alcanc ado. Uma descric a o ao apresentadas a seguir: es para Planejar Estabelecer metas para melhoria, incluindo a an alise de gap e denic o o com a impementac o de medidas para garantir que os benef sua eliminac a a cios sejam alcanc ados. Executar Desenvolver e implementar um projeto para eliminar os gaps. o a ` s medidas de sucesso Vericar Determinar se um gap ainda existe em relac a estabelecidas na fase do Plano. Este gap pode ser considerado toler avel se o desempenho atual est a dentro dos limites de performance permitidos. o processo de decis Atuar E ao para determinar se h a mais atividades requeridas para eliminar gaps remanescentes. Decis oes do Projeto nesse est agio s ao a entrada para a pr oxima etapa do ciclo de vida. Modelo de Melhoria de Servic o Continuada Muitas oportunidades de melhoria de servic os podem ser sumarizadas em seis etapas: Adotar uma vis ao compreendendo os objetivos de alto n vel do Neg ocio. A vis ao deve ainhar as estrat egias de TIC e do Neg ocio. o atual em termos do Neg o, das pessoas, do processo Avaliar a situac a ocio, da Organizac a e da tecnologia. Compreender e denir um acordo sobre as prioridades para melhoria, baseado nos princ pios denidos na vis ao. Detalhar o Plano de Melhoria do Servic o (SIP) para alcanc ar uma mehor qualidade na o dos processos de Gerenciamento dos Servic entrega de servic os pela impementac a os de TIC. Vericar quais medidas e m etricas sao aplicadas para garantir que os marcos sejam alcanc ados, para que os processos estejam em conformidade e que os objetivos e prioridades do Neg ocio sejam atendidos pelos n veis de servic o estabelecidos. O processo deve garantir que o impulso para a mehoria da qualidade seja mantido, o. assegurando-se que mudanc as se tornem parte da cultura da organizac a

76

Valor para o Neg ocio Basicamente, existem 4 raz oes pelas quais s ao realizados monitora es. S mentos e medic o ao elas: Validar: Vaidar decis oes pr evias. Direcionar: Direcionar um conjunto de atividades sequenciais para atingir um objetivo. es. Justicar: Justicar, com uma evid encia ou prova, sobre a necessidade de ac o es corretivas. Intervir: Identicar ac o uma marca inicial estabelecida para Linha de Base - Baseline Uma Linha de Base e o posterior. S comparac a ao utilizadas para estabelecer um ponto inicial e determinar se um processo ou servic o precisa de melhoria. Existe, para todas elas, a import ancia de o, reconhecida e aceita atrav o. Linhas de Base s documentac a es da Organizac a ao utilizadas tamb em para medir a efetividade de um SIP. Tipos de M etricas es, como por M etricas de Tecnologia S ao metricas associadas a componentes ou aplicac o exemplo, disponibilidade e desempenho. M etricas de Processo S ao m etricas que determinam a sa ude do processo. Essas m etricas s ao representadas na forma de Fatores Cr ticos de Sucesso, KPIs e m etricas de atividade relativas a um processo. M etricas de Servic o As m etricas de servic o s ao simplesmente os resutados apresentados por este, m-a-m. Elas s ao compostas por m etricas de processos, que por sua vez, s ao o. capazes de fornecer valores tang veis de avaliac a KPIs A ITIL R recomenda que nos est agios preliminares de um programa de Melhoria Cont nua do Servic o somente dois ou tr es KPIs para cada CSF sejam denidos, monitorados e reportados. Depois de um decorrer de tempo, esses indicadores podem realizar mudanc as, baseadas no que importante para o neg e ocio e no gerenciamento de TIC. A partir disso, o pr oximo passo e identicar as m etricas e medidas requeridas para computar cada KPI, seja ele quantitativo ou qualitativo8 .
8O

tipo do KPI est a diretamente relacionado com a CSF. Por exemplo:

Melhorar a qualidade do Servic o de TIC. Reduzir custos de TIC.

77

3.4.19

Processo de Melhoria dos Sete Passos

fundamentada em medic es, Este processo foi desenvolvido sob o conceito de que a CSI e o descrito objetivando reduzir gaps. [12] Desta forma, o Processo de Melhoria dos Sete Passos e a seguir: 1. Denir o que deve ser medido. Os processos das fases de Estrat egia e Desenho de Servic o devem identicar o que deve ser medido. 2. Denir o que pode ser medido o dos requisitos Relaciona as atividades de CSI dos objetivos almejados pela identicac a o de do novo n vel de servic o do neg ocio, as capacidades de TIC (identicadas na Transic a Servic o) e os orc amentos dispon veis. O processo de CSI pode conduzir a an alise de gap para identicar as oportunidades para melhoria respondendo a quest ao de como chegar ao objetivo almejado. 3. Coletar os dados Os dados s ao reunidos baseados em metas e objetivos identicados, de forma a responder adequadamente se o setor chegou ao ponto que os l deres queriam. Os dados s ao coletados o de Servic na Operac a os. 4. Processar os dados Os dados s ao processados em alinhamento com os CSFs e os KPIs especicados. Uma vez que os dados tenham sido racionalizados, a an alise pode ser inicada. 5. Analisar os dados o identicando gaps de servic Nesta fase os dados se tornam informac a o, tend encias e impacto do neg ocio. o 6. Apresentar e usar da informac a a apresentac o e informac o de um quadro exato dos resultados e esforc E a a os de melhoria aos principais interessados (stakeholders), dando a capacidade de responder se os objetivos ser ao alcanc ados, por exemplo. o de ac o corretiva 7. Implementac a a
Os itens citados anteriormente s ao CFSs. O primeiro resultaria em um KPI qualitativo, como por exemplo, o dos clientes em relac o ao tratamento de incidentes. aumentar em uma determinada porcentagem a satisfac a a O segundo, por sua vez, resultaria em um KPI quantitativo, como por exemplo, reduzir em uma determinada porcentagem os custos no tratamento de incidentes em impressoras.

78

es que necessitam ser implementadas para melhorar o servic S ao as ac o o, sendo comu o. A partir desta etapa, a Organizac o estabelece nicadas e explicadas para a Organizac a a uma nova linha de base e o ciclo recomec a. usado para otimizar, melhorar e corrigir os servic O conhecimento adquirido e os. o do Gerenciamento do N Integrac a vel de Servic o com a Melhoria de Servic o Continuada o do SLM e um princ A adoc a pio-chave da CSI. O SLM suporta o Processo de Melhoria o, reportando os dos Sete Passos determinando o que medir, denindo requisitos de monitorac a n veis e servic os alcanc ados. rea de neg Essas medidas s ao poss veis uma vez que o SLM trabalha com a a ocio para compreender novos requisitos de servic o ou mudanc as em servic os existentes. Isso, por sua vez, gera entradas para as atividades de CSI e ajuda a priorizar projetos de melhoria. Pap eis Gerente de Melhoria de Servic o Continuada o respons E avel pelo sucesso de todas as atividades do CSI. Suas amplas responsabilidades requerem compet encia e que um alto n vel de autoridade9 lhe seja concedido.

3.5
3.5.1

es Func o
Central de Servic os

uma das principais func es utilizadas pela ITIL R . Ela serve como A Central de Servic os e o meio de contato para os usu arios dos servic os fornecidos a m de resolver problemas, efetuar es de servic es, e at es de requisic o os, pedir informac o e para algumas categorias de requisic o mudanc a [11]. es tipos mais utilizados de Central de Servic os: Segundo a ITIL R , existem tr Central de Servic os Local: implementada para atender necessidades e cada unidade A Central de Servic os Local e o, de modo que s de neg ocio dentro da organizac a ao criadas v arias centrais, uma para cada unidade. Esse tipo de abordagem deve ser usado somente quando h a necessidades
uma vez que um gerente deste processo sem autoridade n ao conseguiria manter a disciplina necess aria para a melhoria cont nua.
9 Importante para que as compet encias comportamentais sejam efetivas,

79

espec cas em cada unidade de neg ocio, fazendo com que o atendimento seja facilitado incomum que o custo pois a equipe de suporte j a esta implementada no local. E operacional para este tipo de abordagem seja maior, pois ser a montada uma estrutura rea de neg o. (software/hardware) para cada a ocio dentro da organizac a Central de Servic os Centralizadas: A Central de Servic os Centralizada deve atender todas as areas de neg ocio dentro o. Isso ocasiona na reduc o de custos e na otimizac o na utilizac o e da organizac a a a a gerenciamento dos recursos. Central de Servic os Virtual: No caso de empresas multinacionais, a Central de Servic os Virtual pode ser uma boa o, pois ela n o geogr denido opc a ao precisa de uma localizac a aca denida. Apenas e um ponto central de contato (telefone/web), e a partir disso o usu ario comunica-se com a central que fala seu idioma, ou que funciona no hor ario que ele necessita.

3.5.2

Gerenciamento T ecnico

o e manutenc o da infra-estrutura Tem o objetivo de apoiar o planejamento, implementac a a t ecnica para suportar os Processos de Neg ocio, atrav es de topologias t ecnicas resilientes, o adequada do conhecimento t es, e utilizac a ecnico para manter a infra-estrutura em condic o por m, o pronto uso deste conhecimento a m e diagnosticar rapidamente qualquer falha que venha a ocorrer. [11] As equipes devem ser agrupadas de acordo com seu conhecimento t ecnico determinado pela tecnologia a ser gerenciada, por exemplo, equipes de Mainframe, Servidores, Storage e Rede.

3.5.3

es de TIC Gerenciamento de Operac o

o do status quo10 para atingir a estabilidade das atividades Objetiva a manutenc a e processos do dia-a-dia. Para isso, realiza constante an alise e melhoria a m e obter o de custos, com a manutenc o da estabilidade, baseada aperfeic oamento dos servic os e reduc a a em padr oes de desempenho denidos durante a fase de Desenho de Servic o. [11]
10 E

uma express ao latina que designa o estado atual das coisas, seja em que momento for.

80

3.5.4

o Gerenciamento de Aplicac a

o de suportar os processos de neg o funcional dos Tem a func a ocio ajudando na identicac a o e ent o, operac o e melhoria destas. requerimentos de aplicac a ao apoiar o desenho, transic a a [11]

81

ITIL R V3 x COBIT R 4.1

o das melhores pr A crescente adoc a aticas para Governanc a e Gerenciamento de Servic os de TI apresentadas nos cap tulos anteriores, s ao fruto da necessidade do setor de gerenciar a qualidade e a conabilidade dos seus neg ocios, e desta forma, ser capaz de responder ao grande n umero de requisitos regulamentadores e contratuais da atualidade. No entanto, existe ` implementac o destas pr um grande risco relacionado a a aticas, uma vez que se elas forem tratadas como um guia puramente t ecnico, elas podem tornar-se custosas e desfocadas. Para que sejam mais efetivas, as melhores pr aticas devem ser aplicadas dentro do contexto do neg ocio, ` organizac o. mantendo o foco onde o seu uso pode fornecer maiores benef cios a a Neste cap tulo ser a apresentado o alinhamento entre os frameworks COBIT R e ITIL R . O um framework de controle global, e desta forma, primeiro, apesar de ser orientado a processos e apresenta apenas o que deve ser feito para se obter uma Governanc a de TI efetiva, e n ao como isso deve ser feito. O segundo, dene melhores pr aticas para o gerenciamento de servic os de TI atrav es de processos com passos detalhados, ao inv es de denir um framework de controle global. Assim, este alinhamento objetiva proporcionar uma vis ao precisa para a Governac a de TI no que tange o Gerenciamento de Servic os, relacionando a supercialidade dos processos e objetivos de controle do COBIT R , com o aprofundamento dos processos do ITIL R .

4.1

A Estrat egia de Servic os e o COBIT R

Os fundamentos da Estrat egia de Servic os apresentados pelo primeiro livro da biblioteca R ITIL tratam de quest oes como, por exemplo, a tomada da estrat egia como uma perspectiva1 , processo do COBIT R relacionado o2 , um plano3 e nalmente, um padr uma posic a ao4 . O PO1 e
o. A perspectiva um conjunto regente de crenc as e valores compartilhados por toda a organizac a o global na qual o provedor de servic congura a direc a os se move a m de alcanc ar seus objetivos, e construir sua anatomia de performance. 2 A estrat o e interpretada como um diferencial na mente dos consumidores. Isto egia tomada como uma posic a o de valor normalmente signica competir no mesmo espac o que as outras empresas do ramo, com uma proposic a atrativa ao cliente. diferenciada que e 3E um modo de agir, indo de um ponto a outro, dentro de um cen ario competitivo. Frequentemente referenciado o modo de ac o deliberado, trac como estrat egia pretendida, e a ando um caminho atrav es dos objetivos estrat egicos. 4 Os padr oes est ao embutidos na maneira em que o provedor faz neg ocio.
1 Dene-se

82

o de um plano estrat a esses fundamentos, uma vez que ele requer a denic a egico de TI que traduza os requisitos de neg ocio em ofertas de servic o, para que, nalmente, esses servic os sejam entregues de uma forma transparente e efetiva.

4.1.1

O Gerenciamento Financeiro e o COBIT R

O processo de Gerenciamento Financeiro de TI, respons avel por quanticar o valor dos servic os em termos nanceiros, pode ser utilizado para atender os seguintes requisitos apresentados pelos processos do COBIT R : 1. PO1: O Gerenciamento do Valor de TI; 2. PO5: O Framework de Gerenciamento Financeiro; o e a modelagem de custo. 3. DS6: A contabilizac a o Todos esses requisitos s ao trabalhados pelo processo de Gerenciamento Financeiro (sec a atendido pela An 3.4.3). O Gerenciamento do Valor de TI e alise de Investimento, que tem a o de produzir valor ao longo do ciclo de vida do servic func a o a partir da quantia recebida, bem o e a como dos riscos incorridos. O framework de Gerenciamento Finaiceiro, a contabilizac a o, cobranc modelagem de custo, s ao atendidos pelos sub-processos: contabilizac a a, e caso de o do orc neg ocio, que devem gerenciar a variac a amento, alocar e distribuir custos, e dar suporte ` s decis a oes, respectivamente.

4.1.2

O Gerenciamento da Demanda e o COBIT R

O processo de Gerenciamento da Demanda ?? objetiva inuenciar a chegada de demanda o, a m de facilitar as tarefas do processo de Gerenciamento da Capacidade. Desta na organizac a forma, ele pode atender aos seguintes requisitos apresentados pelos processos do COBIT R : 1. PO1: O Plano Estrat egico de TI; 2. PO8: O Foco no Cliente atrav es do Gerenciamento da Qualidade; o dos N 3. DS1: A denic a veis de Servic o. Os requisitos 1 e 2 s ao parcialmente atendidos. O primeiro, deve utilizar a demanda como fortemente utilizado para que um ativo estrat egico que pode ser inuenciado, e o segundo, e se possa analis a-la precisamente. Em ambos os casos, o n vel de relacionamento entre esses requisitos e o processo vai depender do tipo de estrat egia tomada pela ger encia. O requisito

83

altamente inuenciado pelo Gerenciamento da Demanda. Essa inu dada pelo fato 3e encia e o dos n o, que por sua vez, de a denic a veis de servic o depender da capacidade da organizac a depende da demanda proporcionada. Desta forma, o Gerenciamento da Demanda vai inuenciar o dos n indiretamente na denic a veis de servic o.

4.1.3

O Gerenciamento do Portf olio de Servic o e o COBIT R

O processo de Gerenciamento do Portf olio de Servic o descreve os servic os de um provedor na perspectiva de valor de neg ocio. Assim, ele pode atender aos seguintes requisitos apresentados pelos processos do COBIT R : 1. PO1: O Gerenciamento de Portf olio; 2. PO4: Priorizar os recursos, de acordo com a necessidade; 3. PO5: O Gerenciamento de Investimento; 4. DS1: Denir e Gerenciar n veis de servic o; o dos Servic o aos custos. 5. DS6: A Denic a os com relac a o 3.4.1, o processo de Gerenciamento do Portf Como visto na sec a olio de Servic o atende a apenas inuenciado por este todos os requisitos apresentados anteriormente exceto o 4, que e 5 ` vis o a todos processo . Os requisitos 2, 3 e 5 s ao poss veis devido a ao abrangente com relac a os servic os prestados dentro deste processo. o entre a demanda e a capacidade da organizac o, Esta inu encia acontece a partir da relac a a o entre a capacidade e o gerenciamento de n e da relac a vel de servic o. A demanda dene a capacidade, da qual os n veis de servic o dependem. Assim, este processo pode inuenciar os n veis de servic o a m de favorecer os servic os que possuirem maior demanda ou valor comercial, por exemplo. Por m, foi vericado que a fase de Estrat egia de Servic o do ITIL R possui forte o, e tamb relacionamento com os processos do dom no de Planejamento e Organizac a em de R Entrega e Suporte do COBIT citados anteriormente.

4.2

O Desenho de Servic o e o COBIT R

produzir o desenho de processos que O objetivo da fase de Desenho de Servic o do ITIL R e atendam as necessidades de neg ocio, e que possam ser operados e melhorados em ambientes
es que utilizam v exemplo, nas organizac o arios n veis de acordos e contratos, os servic os ja nascem diretamente ligados aos n veis de servic o
5 Por

84

seguros. Os requisitos dos processos PO4 e DS1 do COBIT R est ao diretamente relacionados o e o gerenciamento de a estes objetivos, pela necessidade de denir os processos da organizac a n veis de servic o, respectivamente.

4.2.1

O Gerenciamento do Cat alogo de Servic os e o COBIT R

Este processo deve criar e manter o cat alogo de servic os, garantindo que este contenha es precisas e atualizadas. Desta forma, este processo e capaz de atender aos seguintes informac o requisitos apresentados pelos processos do COBIT R : 1. PO4: Um framework de processos de TI que garanta transpar encia e controle; o dos servic 2. DS1: A denic a os. o 3.4.5, o processo de Gerenciamento do Cat Como visto na sec a alogo de Servic os atende completamente os requisitos apresentados. Quanto ao requisito n umero um, gerenciar o cat alogo garante transpar encia e controle no que tange servic os de TI.

4.2.2

O Gerenciamento de N vel de Servic o e o COBIT R

Este processo negocia e documenta metas de servic o apropriadas com o neg ocio, e a o a performance atrav partir disso, gera relat orios com relac a es do monitoramento. Assim, este capaz de atender aos seguintes requisitos apresentados pelos processos do COBIT R : processo e 1. PO4: Denir os relacionamentos entre o setor de neg ocios e o de TI; 2. PO8: Obter melhoria cont nua de processos; 3. AI5: Gerenciar os contratos com fornecedores; 4. DS1: Gerenciar os n veis de servic o; 5. DS2: Gerenciar servic os de terceiros; 6. ME1: Obter dados atrav es de monitoramento, e avaliar a performance. Esses requisitos, com excess ao do requisito numero dois, s ao totalmente atendidos pelo o 3.4.4. O requisito processo de Gerenciamento de N vel de Servic os apresentado na sec a parcialmente atendido, uma vez que este processo apenas gera informac es para n umero dois e o que, na fase de melhoria cont nua, este requisito seja totalmente atendido.

85

atendido a partir dos Acordos de N O requisito n umero 1 e vel de Servic o, os n umeros 3 e 5 atendido por todo o processo, uma vez que atrav es dos contratos estabelecidos, e o n umero 6 e necess e ario monitorar as atividades realizadas a m e garantir que elas est ao de acordo com os termos acordados.

4.2.3

O Gerenciamento da Capacidade e o COBIT R

reas Este processo deve garantir que uma capacidade de custo justicado exista em todas as a do setor de TI, para que assim, seja poss vel alcanc ar as metas de neg ocio acordadas dentro de capaz de atender aos seguintes um limite de tempo aceit avel. Desta forma, este processo e requisitos apresentados pelos processos do COBIT R : o tecnol 1. PO3: Denir uma direc a ogica para suportar o neg ocio; 2. AI1: Denir e manter os requisitos funcionais de neg ocio; 3. DS3: Gerenciar a performance e a capacidade; es de TI. 4. DS13: Reduzir os atrazos de neg ocio e os custos de operac o Como visto em 3.4.7, todos esses requisitos s ao atendidos pelo processo de Gerenciamento o tecnol da Capacidade. No requisito n umero 1, a direc a ogicas s ao as tecnologias de infraestrutura que ir ao suportar o neg ocio.

4.2.4

O Gerenciamento da Disponibilidade e o COBIT R

O Gerenciamento da Disponibilidade deve fazer com que todos os servic os atinjam as SLTs capaz de atender aos seguintes requisitos apresentados a um custo justic avel. Assim, ele e pelos processos do COBIT R : 1. DS3: Manter a disponibilidade dos recursos; 2. DS4: Garantir continuidade, sustentabilidade e a conabilidade dos servic os. Ambos os requisitos s ao completamente atendidos pelo processo, conforme foi vericado o 3.4.6. na sec a

86

4.2.5

o e o COBIT R O Gerenciamento da Seguranc a da Informac a

Este processo alinha a seguranc a de TI com a seguranc a do neg ocio, garantindo uma ger encia efetiva de todos os servic os e, ao mesmo tempo, atendendo aos padr oes determinados es de atender aos seguintes requisitos: pela ISO 27001. Assim, este processo tem plenas condic o o e disponibilizac o dos recursos de infra-estrutura; 1. AI3: Protec a a 2. DS5: Gerenciar a seguranc a de TI e denir um programa de seguranc a. Como visto em 3.4.8, ambos os requisitos s ao atendidos completamente.

4.2.6

O Gerenciamento de Fornecedores e o COBIT R

Este processo gerencia os fornecedores e os servic os a eles terceirizados, a m de garantir o capaz de atender ROI e a qualidade dos servic os de TI ao neg ocio. Desta forma, este processo e R os seguintes requisitos de processos do COBIT : 1. AI5: Gerenciar contratos com fornecedores; 2. DS2: Monitorar a performance dos fornecedores. Ambos os requisitos s ao completamente atendidos pelo processo, conforme foi vericado o 3.4.10. na sec a

4.2.7

O Gerenciamento da Continuidade do Servic o de TI e o COBIT R

O processo de Gerenciamento da Continuidade do Servic o de TI suporta a continuidade do neg ocio com o objetivo de garantir a sustentabilidade dos servic os de TI. Assim, este processo capaz de atender os seguintes requisitos de processos do COBIT R : e 1. PO9: Estabelecer um framework para o gerenciamento de riscos; 2. AI1: Apresentar um relat orio de an alise de riscos; 3. DS4: Gerenciar a Continuidade dos Servic os. o 3.4.9, todos esses requisitos s Como visto na sec a ao completamente atendidos por este processo.

87

4.2.8

O Gerenciamento da Mudanc a e o COBIT R

Este processo deve maximizar as chances de sucesso das mudanc as realizadas no setor de capaz TI, e ao mesmo tempo, minimizar os riscos inerentes a elas. Desta forma, este processo e R de atender o seguinte requisito de processo do COBIT : 1. AI6: Gerenciar Mudanc as. completamente atendido pelo processo de Gerenciamento de Mudanc O requisito acima e as, o 3.4.11. cujos detalhes foram apresentados na sec a

4.2.9

o e de Ativo de Servic O Gerenciamento da Congurac a o e o R COBIT

Este processo suporta o controle e o gerenciamento de ativos de servic o. Desta forma, este R capaz de atender ao seguinte requisito de processo do COBIT : processo e o. 1. DS9: Gerenciar a Congurac a realizado com efetividade pelo processo, que e O gerenciamento requisitado acima e o 3.4.12. detalhado na sec a

4.2.10

o e Implantac o e o COBIT R O Gerenciamento de Liberac a a

Este processo responsabiliza-se por construir, testar e entregar a capacidade de prover os capaz de atender servic os, que atender a os requisitos dos stakeholders. Assim, este processo e R aos seguintes requisitos de processo do COBIT : 1. PO8: Um sistema de gerenciamento da qualidade. 2. AI3: Um ambiente de tesde de viabilidade. o a novos sistemas. 3. AI4: Disseminar todas as formas de conhecimento com relac a es, oferecer um ambiente de teste e realizar revis 4. AI7: Instalar e credenciar soluc o oes de o. p os-implementac a parcialmente atendido, uma vez que este processo n O requisito n umero um e ao dene um sistema de gerenciamento de qualidade, apenas garante que toda a estrutura de suporte ao servic o seja implantada da melhor maneira poss vel, reduzindo assim a probabiliade de downtimes inesperados. Todos os outros requisitos s ao completamente atendidos pelo processo, apresentado em detalhes na sec o 3.4.13. que e a

88

4.2.11

O Sistema de Gerenciamento do Conhecimento de Servic o e o R COBIT

o respons es importantes da TI sejam Este sistema e avel por garantir que todas as informac o registradas e disponibilizadas, a m de dar suporte a tomadas de decis ao. Sendo assim, ele e capaz de atender aos seguintes requisitos de processos do COBIT R : es da organizac o. 1. PO2: Uma arquitetura de informac o a 2. PO5: Gerenciar o investimento. 3. AI4: Transferir conhecimento para os gerentes do neg ocio, a equipe de suporte e os usu arios. 4. AI6: Informar os gerentes do neg ocio sobre os resultados das mudanc as. es. 5. AI7: Informar os gerentes do neg ocio sobre os resutados da implantac o Todos os requisitos apresentados s ao completamente atendidos pelo sistema, conforme o 3.4.10. Para que que clara a soluc o do requisito n visto na sec a a umero dois, vale ressaltar es relevantes ao gerenciamento de novamente que este sistema apresenta todas as informac o poss servic os de TI. Sendo assim, a partir dele e vel e totalmente pratic avel que todos os o necess investidores avaliem o ROI, bem como qualquer informac a aria para que se possa gerenciar os investimentos no setor.

4.3

o de Servic A Operac a o e o COBIT R

respons es e processos Esta fase do ciclo de vida do ITIL R e avel pelo andamento das func o do setor atrav es do ciclo de vida. Os processos PO4 e DS13 do cobit est ao diretamente ligados ` essas atividades, uma vez que eles apresentam como principais requisitos um framework de a es, respectivamente. processos de TI, e o gerenciamento de operac o

4.3.1

O Gerenciamento de Eventos e o COBIT R

o da infra-estrutura de TI e dos servic Com o objetivo de avaliar a situac a os, este processo o normal, monitora todos os eventos que ocorrerem dentro da TI como parte de uma operac a es de excec o. Desta forma, este processo e capaz de atender al em de detectar e escalar condic o a R aos seguintes requisitos de processos do COBIT : 1. DS3: Gerenciar a performance e a capacidade.

89

2. DS8: Gerenciar a Central de Servic os e os incidentes. es de TI. 3. DS13: Gerenciar as operac o Uma vez que este processo apenas gera registros e alertas relativos a eventos na infra o 3.4.15), conclui-se que os requisitos apresentados anteriormente s estrutura de TI (sec a ao parcialmente atendidos. Isto porque ele n ao dene procedimentos para realizar os requisitos um, dois e tr es, apenas gera os dados necess arios para essas atividades.

4.3.2

o e o COBIT R O Cumprimento de Requisic a

o gerencia as requisic es comuns da operac o, O processo de Cumprimento de Requisic a o a capaz de atender aos seguintes sejam elas de usu arios ou clientes. Desta forma, este processo e requisitos de processos do COBIT R : 1. AI6: Gerenciar Mudanc as. o. 2. AI7: Revis ao p os-implementac a Os requisitos acima s ao apenas atendidos, uma vez que o processo dene procedimentos o com os usu apenas para o estabelecimento de um canal de comunicac a arios e clientes, o 3.4.16. Assim, atrav poss conforme foi apresentado na sec a es deste canal e vel avaliar o es e a satisfac o do cliente quanto a elas, al resultado de mudanc as e implantac o a em de ser um o. dos principais meios para se encontrar erros de implementac a

4.3.3

O Gerenciamento de Incidentes e o COBIT R

Este processo concentra-se em restaurar os servic os interrompidos o mais r apido poss vel, capaz de atender aos seguintes a m e minimizar o impacto no neg ocio. Sendo assim, ele e requisitos de processos do COBIT R : 1. DS8: Gerenciar a Central de Sevic os e os incidentes. uma func o (sec o 3.5.1) que e Considerando que para o ITIL R a Central de Servic os e a a o de servic totalmente atendido pelo gerenciada pela fase de operac a os, o requisito apresentado e detalhado na sec o 3.4.14. processo, que e a

90

4.3.4

O Gerenciamento de Problemas e o COBIT R

respons O processo de Gerenciamento de Problemas e avel por encontrar causas ra z de incidentes e eventos, e trabalhar pr o-ativamente a m de reduzir futuros problemas e incidentes. capaz de atender aos seguintes requisitos de processos do Desta forma, este processo e R COBIT : es. 1. AI2: Garantir a seguranc a e a disponibilidade das aplicac o 2. AI4: Transferir conhecimento para as equipes de suporte. 3. DS10: Gerenciar problemas. Todos os requisitos apresentados anteriormente s ao completamente atendidos pelo pro detalhado na sec o 3.4.17. Vale ressaltar que o requisito n atendido cesso, que e a umero um e pelo fato de este processo ser aplicado a qualquer tipo de problema, inclusive de seguranc a. Quando se descobre um problema s ao realizados determinados procedimentos a m de ` s equipes de suporte, elimin a-lo. Estas atividades, por sua vez, disseminam conhecimento a atendendo assim o requisito n umero 2.

4.3.5

O Gerenciamento de Acesso e o COBIT R

Este processo deve cuidar para que apenas usu arios autorizados tenham acesso aos sistemas o. Assim sendo, este proceso e capaz de atender ao seguinte requisito de processo da organizac a do COBIT R : 1. DS5: Gerenciamento de contas de usu ario. totalmente atendido pelo processo, que e detalhado na O requisito apresentado acima e o 3.4.18. sec a

4.4

A Melhoria de Servic o Continuada e o COBIT R

A fase de Melhoria de Servic o Continuada do ITIL R deve desempenhar atividades visando melhorar a eci encia, maximizar a efetividade e otimizar os custos inerentes aos servic os de TI. o processo do COBIT R diretamente ligado a esta fase, uma vez que um dos seus O PO8 e obter a melhoria cont principais requisitos e nua de TI.

91

4.4.1

O Processo de Melhoria dos Sete Passos e o COBIT R

fundamentada em medic es, Este processo fundamenta-se no conceito de que a CSI e o objetivando reduzir as lacunas constantemente encontradas entre os objetivos de neg ocio e capaz de atender os seguintes requisitos de processos do de TI. Desta forma, este processo e R COBIT : 1. PO8: Implementar melhoria cont nua. 2. ME1: Monitorar e avaliar a performance de TI. 3. ME2: Monitorar e avaliar o controle interno. 4. ME3: Assegurar a conformidade com os requisitos externos. detaTodos os requisitos apresentados anteriormente s ao atendidos pelo processo, que e o 3.4.19. lhado na sec a Os processos ou requisitos do COBIT R que n ao foram discriminados neste cap tulo n ao est ao relacionados ao Gerenciamento de Servic os, e desta forma, devem ser alinhados aos reas de governanc apresentada uma tabela contendo frameworks das outras a a. A seguir, e todos os relacionamentos apresentados at e o momento, objetivando proporcionar uma vis ao mais pr atica do alinhamento realizado. O campo de relacionamento encontrado nos processos do ITIL dene, como segue: A: Atende ao requisito do processo apresentado. AP: Atende Parcialmente ao requisito do processo apresentado. I: Inuencia o requisito do processo apresentado. Tabela 4.1: Alinhamento entre os frameworks ITIL R e COBIT R . ITIL R Processo Gerenciamento Financeiro Relac. Processo A A A PO1 PO5 DS6 COBIT R Requisito O Gerenciamento do Valor de TI; Um Framework de Gerenciamento Financeiro; o e a modelagem de A contabilizac a custo.

92

Gerenciamento da Demanda

AP AP I

PO1 PO8 DS1 PO1 PO4 PO5 DS1 DS6 PO4

O Plano Estrat egico de TI; O Foco no Cliente atrav es do Gerenciamento da Qualidade; o dos N A denic a veis de Servic o. O Gerenciamento de Portf olio; Priorizar os recursos, de acordo com a necessidade; O Gerenciamento de Investimento. Denir e Gerenciar N veis de Servic o; o dos servic A denic a os com o aos custos. relac a Um framework de processos de TI que garanta transpar encia e controle; o dos servic A denic a os. Denir os relacionamentos entre o setor de neg ocios e o de TI; Obter melhoria cont nua de processos; Gerenciar os contratos com fornecedores; Gerenciar os n veis de servic o; Gerenciar servic os de terceiros; Obter dados atrav es de monitoramento, e avaliar a performance. o tecnol Denir uma direc a ogica para suportar o neg ocio; Denir e manter os requisitos funcionais de neg ocio; Gerenciar a performance e a capacidade; Reduzir os atrasos de neg ocio e os es de TI. custos de operac o Manter a disponibilidade dos recursos;

Gerenciamento do Portf olio de Servic o

A A A I A

Gerenciamento do Cat alogo de Servic o

A A Gerenciamento de N vel de Servic o AP A A A A A Gerenciamento da Capacidade A A A Gerenciamento da Disponibilidade A

DS1 PO4 PO8 AI5 DS1 DS2 ME1 PO3 AI1 DS3 DS13 DS3

93

DS4

Garantir continuidade, sustentabilidade e a conabilidade dos servic os. o e disponibilizac o dos Protec a a recursos de infra-estrutura; Gerenciar a seguranc a de TI e denir um programa de seguranc a; Gerenciar contratos com fornecedores; Monitorar a performance dos fornecedores. Estabelecer um framerowk para o gerenciamento de riscos; Apresentar um relat orio de an alise de riscos; Gerenciar a Continuidade dos servic os. Gerenciar Mudanc as. o. Gerenciar a Congurac a

Gerenciamento da Seguranc a o da Informac a

A A

AI3 DS5 AI5 DS2 PO9 AI1 DS4 AI6 DS9

Gerenciamento de Fornecedores

A A

Gerenciamento da Continuidade do Servic o de TI

A A A

Gerenciamento da Mudanc a Gerenciamento da o e de Ativo Congurac a de Servic o o Gerenciamento de Liberac a o e Implantac a

A A

AP A A

PO8 AI3 AI4

AI7

Um Sistema de Gerenciamento de Qualidade; Um ambiente de teste de viabilidade; Disseminar todas as formas de o a novos conhecimento com relac a sistemas; es, ofeInstalar e credenciar soluc o recer um ambiente de teste e reali o. zar revis oes de p os-implementac a es da Uma arquitetura de informac o o; organizac a Gerenciar o investimento; Transferir o conhecimento para os gerentes do neg ocio, a equipe de suporte e os usu arios;

A Sistema de Gerenciamento do Conhecimento de Servic o A A

PO2 PO5 AI4

94

A A AP Gerenciamento de Eventos AP AP o Cumprimento de Requisic a Gerenciamento de Incidentes A A A A A Gerenciamento de Problemas (cont.) Gerenciamento de Acesso A A A A A A

AI6 AI7 DS3 DS8 DS13 AI6 AI7 DS8 AI2 AI4 DS10 DS5 PO8 ME1 ME2 ME3

Informar os gerentes do neg ocio sobre os resultados das mudanc as; Informar os gerentes do neg ocio so es. bre os resultados das implantac o Gerenciar a performance e a capacidade; Gerenciar a Central de Servic os e os incidentes; es de TI. Gerenciar as operac o Gerenciar Mudanc as; o. Revis ao de p os-implementac a Gerenciar a Central de Servic os e os incidentes. Garantir a seguranc a e a disponibi es; lidade das aplicac o Transferir conhecimento para as equipes de suporte; Gerenciar Problemas. Gerenciamento Usu ario. de Contas de

Gerenciamento de Problemas

Processo de Melhoria dos Sete Passos

Implementar melhoria cont nua; Monitorar e avaliar a performance de TI; Monitorar e avaliar o controle interno; Assegurar a conformidade com os requisitos externos;

95

Conclus ao
` import o como recurso estrat o de TIC tornouDevido a ancia da informac a egico, a aplicac a es. Desta se um ponto central na estrat egia e nos processos de neg ocio de v arias organizac o es precisam adquirir conhecimento sobre os riscos e forma, para obter sucesso essas organizac o es de TIC em todos os n restric o veis dentro da empresa, objetivando um controle efetivo desses recursos. Para tais necessidades, o COBIT R apresenta-se como o framework de controle e seguranc a de TIC mundialmente mais aceito, sendo capaz de habilitar a Governanc a de TIC o e, assim, fazer com que esta fac es de maneira o tima, para a organizac a a uso de suas informac o o de custos e alinhamento das func es de TIC a `s com melhoria cont nua de processos, reduc a o necessidades do neg ocio. o de servic Neste mesmo cen ario, a prestac a os surge como uma atividade de extrema ` sua popularidade no a mbito de TIC. Atualmente, muitas import ancia econ omica, devido a es extremamente importantes que, direta ou indiretamente, inuempresas terceirizam soluc o ` intangibilidade do valor dos enciam fortemente os resultados dos seus neg ocios. Devido a ` grande concorr servic os prestados e a encia do setor, os fornecedores desses servic os devem ` s soluc es que entregam aplicar esforc os consider aveis a m de garantir utilidade e garantia a o aos clientes. Para atender a essas e outras necessidades, a biblioteca ITIL R dene um ciclo de vida de servic os, bem como um conjunto de processos a m de garantir o valor dos servic os prestados. A m de atender as necessidades apresentadas, foi desenvolvida neste trabalho uma abordagem para o alinhamento entre esses dois frameworks, referenciando cada processo do ITIL R aos requisitos do COBIT R que por eles fossem atendidos ou inuenciados. Dos trinta e quatro processos do COBIT R , vinte e seis apresentam pelo menos um requisito relacionado ao Gerenciamento de Servic os de TIC. O COBIT R , que pode ser utilizado no mais alto n vel de Governanc a de TIC, dene v arios requisitos quanto ao Gerenciamento de Servic os que, por o 4). sua vez, s ao completamente atendidos pelo ITIL R (sec a o de padr o de bons A adoc a oes e melhores pr aticas permite uma r apida implementac a o de novas abordagens para procedimentos, evitando assim os atrasos causados pela criac a classicada por muitos prossionais da a rea como tratar assuntos conhecidos, pr atica que e reinventar a roda. Por m, a abordagem apresentada neste trabalho deve ser de grande ` s organizac es prestadoras de servic valia a o o de TIC, uma vez que elas precisam gerenciar suas es e, ao mesmo tempo, fazer com que o cliente perceba valor nos servic informac o os por elas

96

prestados.

97

Refer encias Bibliogr acas

[1] Alan Calder. Implementing Information Security based on ISO 27001/ISO 27002. Van Haren Publishing, 2009. [2] Christopher Fox and Paul Zonneveld. IT Control Objectives for Sarbanes-Oxley, volume 2. IT Governance Institute, 2006. [3] Erik Guldentops, Roger Debreceny, Steven de Haes, Roger Lux, John Mitchell, Ed ODonnel, Scott Summers, and Wim Van Grembergen. Cobit Students Book. IT Governance Institute, 2004. [4] IT Governance Institute. COBIT 4.1. ITGI, 2007. [5] Ralf Kneuper. CMMI: Improving Software and Systems Development Process Using Capability Maturity Model Integration (CMMI-DEV). Roocky Nook, 2009. [6] Kloesteboer L. Implementing itil v3 conguration management. IBM Press, 2008. [7] Paul R. Niven. Balanced Scorecard Step-by-Step: Maximizing Performance and Maintaining Results. Wiley, 2006. [8] Alex D. Paul. Itil Heroes Handbook: Itil For Those Who DonT Have The Time. CreateSpace, Paramount, CA, 2009. [9] Thomas Pyzdek and Paul Keller. The Six Sigma Handbook. McGraw-Hill Professional, 2009. [10] Cynthia Snyder Stackpole. A Project Managers Book of Forms: A Companion to the PMBOK Guide. Wiley, 2009. [11] Sharon Taylor, David Cannon, and David Wheeldon. ITIL Version 3 - Service Operation, volume 4. OGC - Ofce of Government Commerce, 2007. [12] Sharon Taylor, Gary Case, and George Spalding. ITIL Version 3 - Service Improvement, volume 5. OGC - Ofce of Government Commerce, 2007. [13] Sharon Taylor, Majid Iqbal, and Michael Nieves. ITIL Version 3 - Service Strategy, volume 1. OGC - Ofce of Government Commerce, 2007. [14] Sharon Taylor, Shirley Lacy, and Ivor MacFarlane. ITIL Version 3 - Service Transition, volume 3. OGC - Ofce of Government Commerce, 2007. [15] Sharon Taylor, Vernon Lloyd, and Colin Rudd. ITIL Version 3 - Service Design, volume 2. OGC - Ofce of Government Commerce, 2007.

98

[16] Masashi Une and Masashi Une. The security evaluation of time stamping schemes: The present situation and studies. In IMES Discussion Papers Series 2001-E-18, pages 100 8630, 2001. [17] Bom J V. Foundations of it service management base on itil v3. Van Haren Publishing for itSMF, 2006. [18] Peter Weil and Jeanne W. Ross. IT Governance - How Top Performers Manage IT Decision Rights for Superior Results, volume 1. Harvard Business Press, 2004. [19] P. Williams. Optimizing Returns From IT-related Business Investments, volume 5. ISACA, 2005. [20] Alvares E., Giacometti C., and Gusso E. Governanc a Corporativa: Um modelo brasileiro. Elsevier, 2008.