Você está na página 1de 10

UEMS

CERTIFICAO ISO PARA EMPRESAS DE TI

Alexsander Farinha RGM:27670 1 Ano de Sistemas de Informao

Abril/2013

ISO/IEC 20000
A ISO/IEC 20000 a primeira norma editada pela ISO (International Organization for Standardization) que versa sobre gerenciamento de servios de TI (Tecnologia da Informao). A ISO 20000 um conjunto que define as melhores prticas de gerenciamento de servios de TI. O seu desenvolvimento foi baseado na BS 15000 (British Standard) e tem a inteno de ser completamente compatvel com o ITIL (Information Technology Infrastructure Library). A sua primeira edio ocorreu em Dezembro de 2005. Essa norma tem como escopo definir requisitos para o correto gerenciamento de uma empresa prestadora de servios de TI, garantindo a entrega aos clientes de servios de qualidade. So requisitos da norma definio de polticas, objetivos, procedimentos e processos de gerenciamento para assegurar a qualidade efetividade na prestao de servios de TI. Os processos da ISO/IEC 20000 so os seguintes:

processos de planejamento e implementao; processos de entrega de servios; processos de relacionamento; processos de soluo, liberao e controle.

A ISO/IEC 20000 adota a metodologia conhecida como Plan-Do-Check-Act PDCA para os processos de planejamento e implementao de servios, que consiste de quatro tarefas bsicas.

Plan planejar: estabelece os objetivos e processos necessrios para entrega dos servios com qualidade. Do fazer: implementa os processos estabelecidos no plano. Check avaliar ou checar: monitora e estabelece mtricas para os processos visando confirmar se eles esto sendo executados com qualidade. Act agir: toma aes que visam melhoria contnua dos processos e dos resultados gerados por estes.

A primeira atividade de processos de entrega de servios est na elaborao de acordos de nveis de servio que so realizados entre as reas solicitantes e a rea de gesto de servios de TI. A exemplo do Service Delivery (Servio de Entrega) do ITIL, citado em captulos anteriores, os processos de entrega de servios na ISO/IEC 20000 tratam ainda das atividades de emisso e da distribuio de relatrios acerca da disponibilidade e continuidade de servios, oramento e contabilidade de custos e gerenciamento da capacidade. Os processos de relacionamento na ISO/IEC 20000 tratam do relacionamento entre o prestador de servios de TI e seus clientes, inclusive a identificao das necessidades dos clientes e o gerenciamento de mudanas dessas necessidades. Inclui ainda atendimento de reclamaes e processo de escalao de problemas urgentes, caso no sejam resolvidos pelo processo comum. Tambm deve-se obter feedback do cliente por meio da medio do seu nvel de satisfao. Os processos de soluo, liberao e controle na ISO/IEC 20000 tratam de: atividades de tratamento; incidentes e problemas; gerenciamento de configuraes; gerenciamento de mudanas e de gerenciamento de liberaes. vlido ressaltar que a ISO/IEC 20000 a primeira norma mundial, especificamente focada para o Gerenciamento de Servios de TI. Ela no formaliza a incluso das prticas da ITIL, embora esteja descrito na norma um conjunto de processos de gerenciamento que esto alinhados com os processos definidos dentro dos livros do ITIL.

A certificao ISO/IEC 20000 fornece uma base para prover que uma organizao tenha implementado os processos de gerenciamento de servios e utiliza-os de forma consistente dentro da organizao. O seu propsito promover a adoo de um processo integrado para entregar servios que satisfaam os requisitos do negcio e do cliente. Para isso, ele introduz uma cultura de servios e prov as metodologias para entregar servios que atendam aos requisitos de negcio definidos e s prioridades de um "modo gerencivel. Alm disso, ele enfatiza processos para apoiar a qualidade real de fornecimento, ajudando as organizaes a gerar receita ou a ter um custo efetivo via um gerenciamento de servio profissional. Vejamos, a seguir, outras caractersticas de organizaes que adotam a norma ISO 20000 como modelo de Gesto de Servios em Tecnologia da Informao.

Ajudar os provedores de servios a determinar uma conformidade com as melhores prticas. Transformar departamentos focados em tecnologia, em departamentos focados em servios. Melhorar a confiabilidade e disponibilidade dos sistemas. Prover uma base para acordos em nvel de servios. Fornecer o ganho em marketing e vantagem competitiva.

A ISO 20000 particularmente importante para organizaes de setores industriais em que a qualidade dos servios de TI essencial para o sucesso empresarial. Tambm relevante para organizaes que fornecem servios geridos e subcontratao de servios de TI ajudando a atender conformidades regulatrias. Ela foi desenvolvida para estar alinhada com a famlia ISO 9001 & ISO/IEC 27001. Para as organizaes que no procuram certificao, a norma pode ser utilizada como guia para melhorar os seus processos de TI e reduzir os custos. Normalmente, o clima da equipe melhora ao trabalhar em um ambiente controlado pela norma ISO/IEC 20000.

ISO 27001
O que a norma ISO 27001? A norma ISO 27001 o padro e a referncia Internacional para a gesto da Segurana da Informao, assim como a ISO 9001 a referncia Internacional para a certificao de gesto em Qualidade. A norma ISO 27001 tem vindo, de forma continuada, a ser melhorada ao longo dos anos e deriva de um conjunto anterior de normas, nomeadamente a BS7799-2 e a BS7799 (British Standards). A sua origem remota na realidade a um documento publicado em 1992 por um departamento do governo Britnico que estabelecia um cdigo de prticas relativas gesto da Segurana da Informao. Ao longo dos anos, milhares de profissionais contriburam com o seu know-how e experincia para o estabelecimento de um Standard estvel e maduro, mas que certamente continuar a evoluir ao longo dos tempos. A norma tem como principio geral a adoo pela organizao de um conjunto de requisitos, processos e controles com o objetivo de mitigarem e gerirem adequadamente o risco da organizao. Milhes de entidades no mundo utilizam as prticas documentadas no Standard e usufruem dos benefcios da sua adoo, sendo que, as entidades que assim o desejem podem tambm certificarem-se, demonstrando assim de forma idnea que cumprem os requisitos e os processos constantes na norma. Determinadas organizaes, obrigam a que os seus fornecedores ou parceiros detenham certificaes, nomeadamente a ISO 27001, como garante do cumprimento dos princpios estabelecidos pela mesma, providenciando assim aos seus clientes e parceiros um nvel extra de conforto no que concerne Segurana da Informao. As organizaes que adotam e se certificam nesta norma, atribuem especial importncia proteo da informao e demonstram-no atravs da certificao na mesma. Para que serve? A adopo da norma ISO 27001 serve para que as organizaes adoptem um modelo adequado de estabelecimento, implementao, operao, monitorizao, reviso e gesto de um Sistema de Gesto de Segurana da Informao. Este sistema de Gesto de Segurana da Informao , de acordo com os princpios da norma ISO 27001, um modelo holstico de abordagem Segurana e independente de marcas e fabricantes tecnolgicos. holstico porque acaba por ser uma abordagem 360 Segurana da Informao, tratando de mltiplos temas tais como as Telecomunicaes, Segurana Aplicacional, proteco do meio fsico, recursos humanos, continuidade de negcio, Licenciamento, etc. independente de fabricantes porque se destina ao estabelecimento de processos e procedimentos que depois podem ser materializados realidade de cada organizao de forma diferente e com a especificidade de cada ambiente tecnolgico e organizacional.

Em que consiste? A norma padro (Standard) ISO 27001 composta por duas componentes relativamente distintas: - A primeira componente, onde so definidas as regras e os requisitos de cumprimento da norma. Nesta componente, so endereados os aspectos explcitos no seguinte diagrama:

Requisitos ISO 27001 - A segunda componente da norma, denominada de ANEXO A e na realidade composta por um conjunto de controles que as organizaes devem adotar, em diferentes temas:

Quais os benefcios para quem a adota? Independentemente das empresas se certificarem ou no, a adoo das prticas de gesto documentadas na norma, representa um conjunto de benefcios, nomeadamente: 1. Demonstra um compromisso dos Executivos da Organizao para com a segurana da informao. 2. Aumenta a fiabilidade e a segurana da informao e dos sistemas, em termos de confidencialidade, disponibilidade e integridade. 3. Garante a realizao de investimentos mais eficientes e orientados ao risco, ao invs de investimento apenas baseados em tendncias. 4. Incrementa os nveis de sensibilidade, participao e motivao dos colaboradores da Organizao para com a Segurana da Informao. 5. Identifica e enderea de forma continuada a oportunidade para melhorias, sendo um processo em contnua melhoria. 6. Aumenta a confiana e satisfao dos clientes e parceiros, providenciando um maior potencial para realizao de mais negcios. 7. A implementao dos controlos provenientes da norma e da anlise de risco, melhora o desempenho operacional das organizaes. 8. Dotar a organizao de um sistema de controlo da gesto, incrementando a eficcia da organizao.

Quais os benefcios para os clientes, fornecedores ou parceiros? As entidades "pares" de uma entidade certificada em ISO 27001, nomeadamente os seus clientes, fornecedores e parceiros, tambm obtm benefcios na interao com a organizao certificada. Uma das grandes preocupaes da atualidade efetivamente a confiana no tratamento adequado da informao sensvel da sua organizao. A implementao da norma ISO 27001 providencia um elevado compromisso com a proteo da informao, o que representa um nvel considervel de conforto para as organizaes que interagem com a entidade certificada. Assim, os clientes, parceiros e fornecedores desta entidade sabem que a informao da sua organizao ser tratada de acordo com elevados padres de gesto e proteo ao nvel da Segurana da Informao, j que a empresa certificada foi auditada por uma entidade externa e idnea. Quanto tempo demora a preparao da certificao? A preparao da certificao requer a implementao e adoo dos requisitos, polticas, procedimentos, controles e prticas requeridas pela norma ISO 27001, ajustadas ao mbito e realidade tecnolgica e organizacional de cada entidade que a resolva adotar e certificar-se. Assim, o tempo de implementao do sistema, varia de acordo com a realidade, maturidade e dimenso de cada organizao, mas considera-se razovel estabelecer como tempo mdio o perodo entre seis meses e um ano.

ISO/IEC 9126
Modelo de Qualidade de Software A qualidade de um sistema de software pode ser entendida de diversas formas e utilizando diferentes abordagens. A norma ISO/IEC 9126, ou conjunto de normas que tratam deste assunto no mbito da ISO, estabelece um modelo de qualidade com os seguintes componentes:

Processo de desenvolvimento, cuja qualidade afeta a qualidade do produto de software gerado e influenciado pela natureza do produto desenvolvido; Produto, compreendendo os atributos de qualidade do produto (sistema) de software. Estes atributos de qualidade podem ser divididos entre atributos internos e externos. Estes se diferenciam pela forma como so aferidos (interna ou externamente ao produto de software) e em conjunto compem a qualidade do produto de software em si; Qualidade em uso que consiste na aferio da qualidade do software em cada contexto especfico de usurio. Esta , tambm, a qualidade percebida pelo usurio.

Modelo de Qualidade da Norma ISO 9126

A norma 9126 se foca na qualidade do produto de software, propondo Atributos de Qualidade, distribudos em seis caractersticas principais, com cada uma delas divididas em sub-caractersticas, conforme podemos ver na figura abaixo:

No nvel mais alto temos as caractersticas de qualidade e nos quadros abaixo as suas sub-caractersticas. Cada caracterstica/sub-caracterstica compe um Atributo de Qualidade do software. Note que em todas as caractersticas temos uma sub-categoria com o nome de Conformidade. A conformidade utilizada para avaliar o quanto o software obedece aos requisitos de legislao e todo o tipo de padronizao ou normalizao aplicvel ao contexto.

Funcionalidade A capacidade de um software prover funcionalidades que satisfaam o usurio em suas necessidades declaradas e implcitas, dentro de um determinado contexto de uso. Suas sub-caractersticas so:
Adequao, que mede o quanto o conjunto de funcionalidades adequado s necessidades do usurio; Acurcia (ou preciso) representa a capacidade do software de fornecer resultados precisos ou com a preciso dentro do que foi acordado/solicitado; Interoperabilidade que trata da maneira como o software interage com outro(s) sistema(s) especificados; Segurana mede a capacidade do sistema de proteger as informaes do usurio e fornec-las apenas (e sempre) s pessoas autorizada ,,, Segurana tambem pode estar dirigida em, processar gerar e armazenar as informaes.

Confiabilidade O produto se mantm no nvel de desempenho nas condies estabelecidas. Suas sub-caractersticas so:

Maturidade, entendida como sendo a capacidade do software em evitar falhas decorrentes de defeitos no software; Tolerncia a Falhas representando a capacidade do software em manter o funcionamento adequado mesmo quando ocorrem defeitos nele ou nas suas interfaces externas; Recuperabilidade que foca na capacidade de um software se recuperar aps uma falha, restabelecendo seus nveis de desempenho e recuperando os seus dados;

Usabilidade A capacidade do produto de software ser compreendido, seu funcionamento aprendido, ser operado e ser atraente ao usurio. Note que este conceito bastante abrangente e se aplica mesmo a programas que no possuem uma interface para o usurio final. Por exemplo, um programa batch executado por uma ferramenta de programao de processos tambm pode ser avaliado quanto a sua usabilidade, no que diz respeito a ser facilmente compreendido, aprendido, etc. Alm disto, a operao de um sistema uma interface Humano-Computador (ver IHC) sujeita s avaliaes de usabilidade. Suas sub-caractersticas so:
Inteligibilidade que representa a facilidade com que o usurio pode compreender as suas funcionalidades e avaliar se o mesmo pode ser usado para satisfazer as suas necessidades especficas; Apreensibilidade identifica a facilidade de aprendizado do sistema para os seus potenciais usurios; Operacionalidade como o produto facilita a sua operao por parte do usurio, incluindo a maneira como ele tolera erros de operao;

Atratividade envolve caractersticas que possam atrair um potencial usurio para o sistema, o que pode incluir desde a adequao das informaes prestadas para o usurio at os requintes visuais utilizados na sua interface grfica;

Eficincia O tempo de execuo e os recursos envolvidos so compatveis com o nvel de desempenho do software. Suas sub-caractersticas so:
Comportamento em Relao ao Tempo que avalia se os tempos de resposta (ou de processamento) esto dentro das especificaes; Utilizao de Recursos que mede tanto os recursos consumidos quanto a capacidade do sistema em utilizar os recursos disponveis;

Manutenibilidade A capacidade (ou facilidade) do produto de software ser modificado, incluindo tanto as melhorias ou extenses de funcionalidade quanto as correes de defeitos, falhas ou erros. Suas sub-caractersticas so:

Analisabilidade identifica a facilidade em se diagnosticar eventuais problemas e identificar as causas das deficincias ou falhas; Modificabilidade caracteriza a facilidade com que o comportamento do software pode ser modificado; Estabilidade avalia a capacidade do software de evitar efeitos colaterais decorrentes de modificaes introduzidas; Testabilidade representa a capacidade de se testar o sistema modificado, tanto quanto as novas funcionalidades quanto as no afetadas diretamente pela modificao;

Portabilidade A capacidade do sistema ser transferido de um ambiente para outro. Como "ambiente", devemos considerar todo os fatores de adaptao, tais como diferentes condies de infra-estrutura (sistemas operacionais, verses de bancos de dados, etc.), diferentes tipos e recursos de hardware (tal como aproveitar um nmero maior de processadores ou memria). Alm destes, fatores como idioma ou a facilidade para se criar ambientes de testes devem ser considerados como caractersticas de portabilidade. Suas sub-caractersticas so:

Adaptabilidade, representando a capacidade do software se a adaptar a diferentes ambientes sem a necessidade de aes adicionais (configuraes); Capacidade para ser Instalado identifica a facilidade com que pode se instalar o sistema em um novo ambiente;

Coexistncia mede o quo facilmente um software convive com outros instalados no mesmo ambiente; Capacidade para Substituir representa a capacidade que o sistema tem de substituir outro sistema especificado, em um contexto de uso e ambiente especficos. Este atributo interage tanto com adaptabilidade quanto com a capacidade para ser instalado;