CENTRO ESTADUAL DE EDUCAÇÃO TECNOLÓGICA PAULA SOUZA

FACULDADE DE TECNOLOGIA DE INDAIATUBA

CURSO SUPERIOR EM REDES DE COMPUTADORES

DANIEL AUGUSTO ALMEIDA GUIMARÃES

Gerenciamento de acesso baseado nas boas práticas do ITIL – Um

estudo sobre a autenticação por múltiplos fatores.

INDAIATUBA/SP
2016
CENTRO ESTADUAL DE EDUCAÇÃO TECNOLÓGICA PAULA SOUZA

FACULDADE DE TECNOLOGIA DE INDAIATUBA

DANIEL AUGUSTO ALMEIDA GUIMARÃES

Gerenciamento de acesso baseado nas boas práticas do ITIL – Um

estudo sobre a autenticação por múltiplos fatores.

Trabalho de Graduação apresentado por

Daniel Augusto Almeida Guimarães como
pré-requisito para a conclusão do Curso
Superior de Tecnologia em Redes de
Computadores de Indaiatuba, sob orientação
do Prof. Msc.Lincon Moreira Peretto.

INDAIATUBA/SP
2016
 Sumário
INTRODUÇÃO.................................................................................................................3
Cronograma...................................................................................................................4
Organização dos capítulos.............................................................................................5
1. Revisão da literatura......................................................................................................6
1.1 Introdução ao ITIL...................................................................................................6
1.2 Operação de Serviço................................................................................................7
1.3 Gerenciamento de Incidentes...................................................................................9
Referências......................................................................................................................10
 3

LISTA DE ABREVIATURAS E SIGLAS

CCTA Central Computer and Telecommunications Agency - Agência de

Telecomunicações e Computação Central

GPL General Public License- Licença Pública Geral

ITIL Information Technology Infrastructure Library - Biblioteca de Infraestrutura de

Tecnologia da Informação

OGC Office of Government Commerce - Departamento de Comércio do Governo

RAID Redundant Array Independent Disks - Conjunto Redundante de Discos

Independentes

Service Desk – Central de Serviços

SLA Service Level Agreement – Acordo do nível de Serviço

TI Tecnologia da Informação
 4

INTRODUÇÃO

O ITIL é um conjunto de boas práticas no gerenciamento de serviços de TI,

agrupa as melhores práticas utilizadas no gerenciamento de serviços de TI de qualidade,
elaborados, estudados, testados e recomendados por órgãos Britânicos e internacionais
do setor de tecnologia. (FERNANDES E ABREU, 2014, p 227).
As boas práticas do ITIL apresentam um guia de conhecimento, como uma
solução para os problemas de gerenciamento dos serviços de Tecnologia da Informação
(TI). A necessidade por padronização dos serviços de TI, ITIL, surgiu como
instrumento de comparação, padronização e garantia de qualidade, visando sempre o
alinhamento do setor de tecnologia com as demais áreas da organização.
(MAGALHÃES E PINHEIRO, 2007, p 62).
Pesquisas apontam ITIL como o framework de gerenciamento de serviços de TI
mais utilizado no mundo, ainda, reiteram a adaptabilidade dos processos seja qual for a
empresa, em qualquer segmento de atuação. (MAGALHÃES E PINHEIRO, 2007)
Adeptos ao framework ITIL, relatam benefícios: Diminuição do custo de
operação de até 8%, Redução de 10% na quantidade de chamadas de suporte e redução
de 40% nos custos do suporte. Ainda, reitera sobre dados qualitativos, fornecidos pelo
Gartner Group: Maior satisfação do cliente, redução dos custos de treinamento, aumento
da disponibilidade dos recursos de TI, aumento da produtividade das equipes.
(FERNANDES E ABREU, 2014).
Analisando a quantidade de incidentes e solicitações de serviços ao Service
Desk, uma pesquisa feita pelo Gartner Group apontou que 30% dos chamados são
referentes a problemas com senhas ou acesso aos serviços e recursos. Em alguns casos
ultrapassam a marca de 40%, gerando até 147 dólares de custo por atendimento.
(NAKAMURA E GEUS, 2007).
Observando os dados estatísticos de atividades do Service Desk, nota-se uma
quantidade significativa de chamados envolvendo problemas com senhas, acessos
restringidos a recursos e serviços. Ainda, observa-se que ao adaptar os processos ITIL
as necessidades da organização geram-se números satisfatórios, em relação a custo da
operação e tempo utilizados no atendimento. Portanto, a proposta é realizar um estudo
sobre o processo de Gerenciamento de acesso utilizando a abordagem ITIL v3, para
avaliar os benefícios ao adaptar políticas de acesso e gestão da identidade.
 5

Em contrapartida a utilização de processos e padrões ao criar senhas,

políticas de acesso a informações, possuem benefícios e malefícios, bem como a
unificação de senhas. O conceito de autenticação e autorização é interpretado como um
processo de verificação e validação da identidade de cada usuário dos recursos e
informações. (NAKAMURA E GEUS, 2007).

Atento a isto, o objetivo do presente trabalho é analisar os benefícios da

utilização do conceito de autenticação por múltiplos fatores em sistemas, sites, redes
sociais e outros softwares presentes no cotidiano profissional e pessoal. Além analisar
as vantagens e desvantagens, utilizando indicadores de desempenho citados no processo
de gerenciamento de acesso.

Para realizar este trabalho, os procedimentos utilizados foram pesquisas

bibliográficas, através de livros, buscando embasamento teórico no conteúdo. Análise
documental de frameworks e guias de boas práticas relacionadas à gerenciamento de
serviços de TI com a abordagem ITIL. Elaboração e analise dos questionários referentes
à utilização do método de autenticação por múltiplos fatores em sistemas, sites, redes
sociais, e softwares em geral.

O presente trabalho está organizado da seguinte forma, primeiro na

Fundamentação Teórica é apresentada a revisão literária sobre o guia de boas práticas
de Gerenciamento de Serviços de Tecnologia da Informação, ITIL, no qual é necessário
para o desenvolvimento do estudo. Já nos Materiais e métodos serão introduzidas
informações sobre os conceitos de segurança da informação, focando nos conceitos de
gestão da identidade e acesso, além de exemplificar aplicações do método de
autenticação por múltiplos fatores no cotidiano.
Na terceira parte do trabalho, serão apresentados os resultados obtidos com base
na pesquisa desenvolvida, com auxílios de informações de terceiros. Após os resultados,
será feito uma argumentação sobre as vantagens e desvantagens encontradas ao adotar
conceito de autenticação por múltiplos fatores em programas de uso cotidiano
profissional e pessoal, a fim de mensurar a opinião dos usuários em tempo (praticidade),
segurança (privacidade) e organização (controle).
 6

1. Revisão da literatura

No presente capítulo são apresentados os princípios do ITIL V3, abordando o ciclo

da Operação do serviço, com ênfase no processo de Gerenciamento de Acesso,ainda
reiterando as características do Service Desk (Central de Serviços).

1.1 Introdução ao ITIL.

ITIL é o acrônimo de Information Technology Infrastructure Library, entende-se

como Biblioteca de Infraestrutura de Tecnologia da Informação. O ITIL não pode ser
considerado uma metodologia, pois “não é uma lei a ser cumprida”, é sim conjunto de
boas práticas de Gerenciamento de Serviços de TI a serem adaptadas. (FREITAS, 2010,
p. 57).
A biblioteca ITIL foi desenvolvida nos anos 80, a partir de uma solicitação do
governo britânico ao órgão prestador de serviços de Tecnologia da Informação
responsável, o CCTA (Central Computer and Telecommunications Agency), a iniciativa
do governo de exigir melhores serviços prestados e garantia de padrões, fez com que a
abordagem no gerenciamento dos recursos e serviços de TI fosse mais eficientemente
responsável. Posteriormente o CCTA foi incorporado ao OGC (Office of Government
Commerce) em abril de 2001, ficando responsável pela divulgação e desenvolvimento
da biblioteca. (FERNANDES E ABREU, 2014, p 226).
A biblioteca ITIL na sua primeira versão foi reunida em aproximadamente 40
livros, por isso o nome ‘biblioteca’, devido ao grande número de livros, abordando os
principais temas em relação ao gerenciamento dos serviços de TI. Em 2002, a biblioteca
foi atualizada e reformulada, diminuindo de 40 para 8 volumes. Posteriormente em 2004
iniciou-se os esforços na atualização para a versão 3. (MAGALHÃES e PINHEIRO,
2007, p 63).
Em maio de 2007, foi divulgada a nova versão da ITIL, constituída por 5 livros
(Estratégia do Serviço, Desenho do Serviço, Transição do Serviço, Operação do
 7

Serviço, Melhoria Contínua do Serviço),a versão 3, atribui a gerencia de processos

baseado no seu ciclo de vida, obtendo maior maturidade e entendimento dos processos.
(FERNANDES E ABREU, 2014, p 226).

Cada volume do ITIL V3, refere-se á uma fase do ciclo de vida do serviço
(MELENDEZ, 2011). Conforme a figura a seguir, os ciclos serão brevemente descritos:

Figura 1- O núcleo da ITIL, e os processos do ITIL V3.

Fonte: The Cabinet Office, 2011.

 Estratégia do Serviço: Transforma o gerenciamento do serviço em ativo

estratégico e fornece princípios aos outros ciclos.
 Desenho do Serviço: Desenvolve, modela e atende as necessidades dos
novos serviços ou altera os serviços existentes, visando medir, acompanhar e
mensurar o serviço.
 Transição do Serviço: Orienta como fazer a transição dos novos serviços,
visando minimizar o impacto das mudanças.
 8

 Operação do Serviço: Orienta e suporta o gerenciamento das atividades do

dia-a-dia, visando garantir a entrega dos serviços de forma eficiente e eficaz.
 Melhoria Continua do Serviço: Métodos e conceitos de gerenciamento da
qualidade para melhorar sistematicamente todas as fases do ciclo de vida do
serviço. Basea-se no modelo PDCA (Plan-Do-Check-Act).

Foram descritos as fases de um serviço, de acordo com as boas práticas do ITIL,

agora o foco será no ciclo da Operação do Serviço.A seguir serão introduzidas
informações sobre o ciclo da Operação do serviço bem como seus processos e funções.

1.2 Operação do Serviço

Operação do Serviço tem como objetivo, guiar a entrega e dar suporte aos
serviços garantindo o padrão de funcionamento dos processos (Gerenciamento de
Eventos, Gerenciamento de Incidentes, Cumprimento de Requisição,
Gerenciamento de Problemas, Gerenciamento de Acesso) e funções (Central de
Serviços, Gerenciamento Técnico, Gerenciamento da Operação de TI,
Gerenciamento de Aplicações) controlando as operações e atividades dentro dos níveis
de serviços estabelecidos ou aceitos. (FERNANDES E ABREU, 2014).
A seguir será apresentada uma imagem que caracteriza a entrada e saída dos
processos relacionados ao ciclo da Operação do serviço, ressaltando a importância dos
processos, posteriormente serão brevemente descritos.
 9

Figura 2 – Processos do ciclo da Operação do Serviço.

Fonte: Fernandes e Abreu (2012).

Analisando a publicação Operação do Serviço da versão 3 do ITIL, os autores

STEINBERG E ORR (2011) citam 5 processos e 4 funções, nos quais serão descritos:

 Gerenciamento de Eventos é o processo que monitora todos os eventos que

ocorrem através da Infraestrutura de TI, para que funcione normalmente e
detectem condições de exceção.
 Gerenciamento de Incidentes concentra-se em restaurar o serviço para os
usuários o mais rápido possível, a fim de minimizar o impacto nos negócios.
 Cumprimento de Requisição disponibiliza aos usuários, um ponto de
comunicação para solicitar e acompanhar os serviços, provendo informações
gerais, tais como reclamações, sugestões, comentários etc.
 Gerenciamento de Problemas envolve a análise da causa raiz para determinar
e resolver a causa de eventos e incidentes. Funcionam proativamente para
detectar e evitar futuros problemas ou incidentes, conhecidos como
diagnóstico, buscando o mais rápido possível a resolução, e a predição de
novos eventos e incidentes.
 Gerenciamento de Acesso: Este é o processo que garante aos usuários
autorizados os direitos de utilização de um serviço, e também define a
restrição do acesso de usuários não autorizados ou indevidos.
 A Central de Serviços é o ponto principal de contato para os usuários quando
há um serviço interrupto, ou, solicitações de serviço. A Central de Serviços
proporciona um ponto de comunicação com os usuários e um ponto de
coordenação para vários grupos de TI e seus processos.
 Gerenciamento Técnico fornece competências técnicas detalhadas e recursos
necessários para apoiar a operação em curso da Infraestrutura de TI. A
Gestão Técnica também desempenha um papel importante na concepção,
testes, lançamento e melhoria dos Serviços de TI.
 Gerenciamento da Operação de TI executa as atividades operacionais diárias
necessárias para gerenciar a infraestrutura de TI. Isso é feito de acordo com o
desempenho, padrões definidos durante o Desenho do Serviço.
 10

 Gerenciamento de Aplicações é responsável pela gestão de Aplicações e todo

seu ciclo de vida. A função do Gerenciamento de Aplicações é suportar e
manter as aplicações operacionais e também desempenhar um papel
importante na concepção, nos testes e melhorias que fazem parte dos
serviços de TI. A Gestão da aplicação normalmente é dividido em
departamentos com base na aplicação do portfólio da organização,
permitindo assim mais fácil especialização e foco.

Sucintamente, o Ciclo da Operação do Serviço oferece uma base para

estruturar as atividades e operações diárias que envolvem toda infraestrutura de
TI. Ao observarmos a figura 2, verificamos que os 5 processos descritos estão
encadeados ou interligados. Portanto toda ação ou atividade sobre a
infraestrutura de TI é tratada como um evento, delegando aosprocessos,
sistemas, e usuários filtrarem essas ações e informações. Em cada situação existe
uma medida a ser cumprida, exemplificando a identificação de um incidente:
Uma anomalia é detectada através do processo de gerenciamento de eventos, ele
verifica essa exceção e notifica um usuário ou registra em um sistema de
chamados. Registrado a exceção, os usuários ou sistemas programados por um
usuário definem que tipo de exceção se trata, podendo ser: Uma Mudança no
serviço, programado ou não; Ou um problema conhecido; Talvez um pedido de
um serviço específico não ofertado ou não habilitado; Ou simplesmente um
incidente, explicitando em uma redução de qualidade dos serviços oferecidos ou
uma interrupção.
Caracterizado o ciclo da Operação do Serviço e seus processos, e
compreendido a transformação de um evento em um incidente, focaremos nos
princípios do processo de Gerenciamento de Incidentes.

1.3 Gerenciamento de Incidentes

Analisando o processo de Gerenciamento de incidentes, baseado na versão três do

ITIL, é definido um "incidente" como: Uma interrupção não planejada de um serviço de
TI ou redução da qualidade de um serviço. A falha de um item de configuração que
ainda não impactou o serviço é também um incidente, por exemplo: falha de um disco a
partir de um conjunto de discos espelhados (RAID). Gerenciamento de Incidentes é o
 11

processo para lidar com todos os incidentes: falhas, dúvidas ou consultas relatadas pelos
usuários, ou automaticamente detectado e relatado por ferramentas de monitoramento
de evento. (STEINBERG E ORR, 2011).
O objetivo principal do processo de Gerenciamento de Incidentes é restaurar a
normal operação do serviço o mais rápido possível e minimizar o impacto negativo
sobre operações dos negócios, garantindo assim que os melhores níveis possíveis de
qualidade de serviço e disponibilidade são mantidos. (FERNANDES E ABREU, 2014).
Incidentes podem ser comunicados e registrados pelo pessoal técnico. Embora
ambos os incidentes e solicitações de serviços são relatados para a Central de Serviços,
isso não significa que eles são os mesmos. As solicitações de serviço não representam
uma interrupção de serviço, mas é uma forma de satisfazer as necessidades do cliente ou
usuário dos serviços de TI. (STEINBERG E ORR, 2011).Conforme a figura abaixo é
exemplificada o processo de identificação e registro de um incidente.
 12

Figura 3 - Atividades do Gerenciamento de Incidentes.

Fonte – Cestari Filho (2011, p 164).

Gerenciamento de Incidentes inclui qualquer evento que perturba, ou o que poderia

interromper um serviço. Isso inclui eventos que são comunicados diretamente por
utilizadores, através da Central de Serviços, exemplos: Falha no componente de
hardware; Erro de software; Solicitações de informações ou Requisições de serviço;
Solicitação de troca de equipamento; Mudança de senha; Criação de novos usuários;
Solicitação de suprimentos etc. (FILHO, 2011)

1.3.2 Central de Serviços

Ao entendermos o processo de Gerenciamento de Incidentes, verificamos a

importância e a correlação junto a função Central de Serviços, portanto todo suporte
inicial é feito através do registro de um incidente na Central de Serviços. A função da
Central de Serviços é escalonar os incidentes para grupos de atendimento, ou seja,
dividindo em níveis de atendimento, fazer avaliação e acompanhamento dos incidentes
e das possíveis causas informando ao processo de Gerenciamento de Problema. O
Gerenciamento de Incidente não é responsável por fazer o diagnóstico identificando a
causa raiz, apenas fornece dados ao processo de Gerenciamento de Problema, que tem
este foco. (MELENDEZ, 2011). Abaixo verificamos o fluxo de atendimento de um
incidente baseando-se nos princípios do Service Desk.
 13

Figura 4 - Fluxo de atendimento nos diversos níveis.

Fonte – Cestari Filho (2011, p 162).

Reiterando sobre a função da Central de Serviços, observamos o primeiro nível de

suporte será feito através da Central de Serviços, isso inclui o registro, a classificação, o
escalonamento entre níveis até encontrar a resolução ou solução de contorno, e encerrar
o incidente. Nos níveis de suporte acima (2 e 3), responsabilizam-se pela investigação,
diagnóstico e recuperação dos incidentes. O atendimento no segundo nível é mais
especifico literalmente, geralmente tratados por profissionais mais experientes,
exemplificando: Consultor, Analista Sênior, Gerente etc. O terceiro nível dependendo
da organização poderá ser formado pelos fornecedores de software ou hardware, já que
é um suporte incomum, recorrendo praticamente em última instância. (FILHO, 2011).
Ainda sobre escalonamento de incidentes, existem dois deles: Hierárquico exigindo
um período estipulado para resolução do incidente, não podendo ultrapassar o limite de
tempo, acordado em níveis de serviços (ANS). Dada a situação, um incidente pode ser
escalonado para um chefe ou gerente da Central de Serviços, quando precisa de uma
aprovação nos custos ou decisão, gerando impacto nos serviços e negócios. Já o
Funcional é caracterizado quando o suporte de primeiro nível não possui o
conhecimento necessário para a solução do incidente, então encaminhará aos
especialistas do próximo nível. (MELENDEZ, 2011).
Ao analisarmos o escalonamento de incidentes, verificamos que normalmente
 14

ocorre através da Central de Serviços, bem como outras etapas iniciais como (Detecção,
registro, classificação etc). Agora vamos analisar o processo Gerenciamento de Acesso
e como pode beneficiar a organização dos processos de TI.

1.3.3 Gerenciamento de Acesso

O Gerenciamento de Acesso é o processo que concede direitos aos usuários sobre a

utilização dos serviços de TI, identificando usuários autorizados e impedindo os não
autorizados de executar tais atividades. O gerenciamento de acesso pode ser conhecido
como Gerenciamento de Identidade (IAM) ou Gerenciamento de Direitos.
(STEINBERG E ORR, 2011).

O objetivo do Gerenciamento de acesso é garantir que apenas usuários autênticos

possam utilizar serviços e informações, garantindo integridade, autenticidade e
disponibilidade. O processo de Gerenciamento de acesso tem como função executar
políticas estabelecidas nos processos de Gerenciamento de Segurança da Informação e
Gerenciamento da Disponibilidade. (STEINBERG E ORR, 2010).

Ações e atividades no processo de Gerenciamento de Acesso (FILHO, 2011):

 Solicitações de acesso: Acessos são solicitados por meio de requisições de mudança

ou solicitações de serviço ao Service Desk.
 Verificação de acesso: verifica se o usuário realmente é, quem ele diz ser. Verifica-
se a legitimidade para solicitar o acesso e se o fez de maneira correta.
 Prover permissões: A concessão de atividades ou permissões de acesso a serviços e
informações, são definidos no Desenho do serviço e nos ciclos de estratégias.
 Monitoramento do status das identidades: O monitoramento do ciclo de vida da
identidade do usuário é uma atividade que verifica se o usuário não foi desligado,
realocado, promovido ou se suas permissões refletem seu status atual.
 Registro e rastreamento de acessos: monitora as atividades e ações dos usuários nos
serviços de TI.
 Remoção e restrição de permissões: A remoção dos acessos é definida por políticas
na estratégia e no desenho do serviço.

Além das atividades e políticas, o processamento de Gerenciamento de acesso

 15

utiliza índices de desempenho, para avaliar o andamento dos processos adotados.

 Número de requisições de acesso.
 Instâncias de acessos concedidos por serviço, usuário, departamento etc.
 Instâncias de acessos concedidos por direitos individuais ou departamentais.
 Número de incidentes que necessitaram iniciar os direitos de acesso.
 Número de incidentes causados por configuração de acesso incorreto.

Inicialmente verifica-se a tentativa de mitigar os incidentes e problemas

diretamente ligados aos chamados e solicitações de acesso por
departamentos, usuários, serviços. Quanto maior o número de requisições
por instância (Serviço, Departamento ou usuário), maior será a chance de
encontrar o erro atrelado a uma função, atividade ou departamento. Assim
facilita a auditoria dos processos, podendo reavaliar a estratégia e ações
durante a adoção do processo de gerenciamento de acesso.

2- Gestão da identidade e acesso (IAM).

 16

Referências

FERNANDES, A. A. ; ABREU, V. F. Implantando a governança de TI: da estratégia à

gestão dos processos e serviços. 4 ed. São Paulo: Brasport, 2014.
 17

FILHO, F. C. Gerenciamento de Serviços de TI. Rio de Janeiro: RNP/ESR, 2011.

FREITAS, M. A. dos S. Fundamentos do Gerenciamento de Serviços de TI:

preparatório para a certificação ITIL® V3 Foundation. Rio de Janeiro:Brasport, 2010.

MAGALHÃES, I. L. ; PINHEIRO, W. B. Gerenciamento de Serviços de TI na prática:

uma abordagem com base na ITIL. São Paulo: Novatec, 2007.

MELENDEZ, F. R. Service Desk Corporativo: Solução com base na ITILV3. São

Paulo: Novatec, 2011.

SALES, H. de F. Central de serviços com software livre: Estruturando uma central de

serviços com o GLPI. Edição do autor. Jaboatão dos Guararapes, 2014.

STEINBERG, A. R. ; ORR, A. .T. ITIL Service Operation (Best Management

Practices) 2011 ed.Norwich: The Stationery Office, 2011. 384 p.