ITIL

O que é o ITIL v3?

ITIL® (Information Technology Infrastructure Library) é o
framework para gerenciamento de serviços de TI (ITSM) mais
adotado mundialmente. A utilização das melhores práticas
contidas na ITIL V3 (versão atual) ajuda as organizações a
atingirem seus objetivos de negócio utilizando apropriadamente
os serviços TI.

Qual é o principal objetivo do ITIL?

O principal objetivo do ITIL é a melhoria da qualidade dos
serviços de tecnologia da informação de uma empresa, por meio
de uma gestão com foco no cliente. O trabalho será feito usando
um conjunto abrangente de processos e procedimentos de
governança, que são separados em disciplinas.

ITIL e COBIT são frameworks utilizados por profissionais da

tecnologia da informação para o gerenciamento de serviços de
TI. Juntos eles fornecem orientação o bastante para governança
e gerenciamento de serviços, sejam eles prestados internamente
ou obtidos de terceiros.

Características da ITIL

A ITIL é uma biblioteca estruturada por processos, funções e outras

habilidades requeridas para entregar e suportar serviços de TI. São as
melhores práticas mais reconhecidas a nível mundial para este segmento: o
que as organizações fazem para obter eficiência e eficácia em seus
serviços de TI

É importante notar o que significa o fato de que a ITIL é uma boa prática em
gestão de TI. Quando ler ou escutar esta expressão, basta lembrar que ao
contrário de normas e metodologias, boas práticas são simplesmente um
bom senso adquirido no mundo empresarial, e podem (na verdade devem) ser
adaptadas para cada organização para que bons resultados sejam obtidos. A
regra de boas práticas é não ter regras: você pode e deve usar como
referência para facilitar suas atividades, decisões, desenho de processos e
funções, mas não se sentir obrigado a cumprir qualquer recomendação.
A ITIL pode ser utilizada por empresas de quaisquer segmentos de negócio
que sejam suportadas por provedores de serviços de tecnologia, isso é, por
qualquer empresa, já que dificilmente uma organização atual dispensaria a
tecnologia da informação. A ITIL pode ser adaptada para empresas de
qualquer porte.

Origem da ITIL

A ITIL Foi criada pelo governo do Reino Unido a partir da década

de 80, por um departamento governamental que na época era
denominado CCTA, passou a chamar-se OGC e hoje Cabnet
Office.
Acumula desde então boas práticas para a tecnologia da
informação como um todo: como criar a estratégia, planejar,
desenvolver novos serviços, oferecer suporte e melhorá-los
continuamente. Os direitos sob a marca ITIL pertencem
atualmente a Axelos.

Vantagens da ITIL

 Conhecimento acumulado, praticado e discutido há mais de

20 anos
 A estrutura da ITIL garante proteção dos investimentos
 Oferece um esquema de certificações profissionais que são
amplamente requisitadas pelo mercado
 É uma linguagem em comum: seus termos, conceitos e
processos estão se tornando padrão de mercado
 Esquema de certificação empresarial
 Um dos objetivos implícitos da ITIL é transformar a
Tecnologia da Informação e o Gerenciamento de Serviços
numa vantagem competitiva para a empresa
  Uma vez que, geralmente, as tecnologias estão disponíveis
para todas as empresas, a vantagem competitiva para o
negócio está na habilidade de seus profissionais e/ou
fornecedores em aplicar a tecnologia
 Orientações sobre como gerar mais Valor com TI e Serviços
 Orientações para melhorar a eficiência de custos de TI
 Aplica-se a qualquer Provedor de Serviços (interno ou
externo)
 Incorpora e se integra a conceitos de outros modelos
 CMMI®, TOGAF™, Etom®, Six Sigma®, PMBOK®, PRINCE2™,
SOA, COBIT®, M_o_R®, etc.
 Conceitos de Serviço e Ciclo de Vida do Serviço removem
barreiras tradicionais entre TI e Negócio, sistemas e
infraestrutura, projetos e operação
 Oferece orientações sobre sourcing

Conceito de Gerenciamento de Serviços de TI

Para a ITIL, Gerenciamento de Serviço é um conjunto

de habilidades especializadas para prover valor aos clientes na
forma de serviços. Estas habilidades são essenciais para
coordenar de maneira eficiente e eficaz os recursos de forma a
atender as necessidades de negócio.

Habilidades:

 Pessoas competentes com Conhecimento sobre o que

fazem, como fazem e porque fazem
 Processos de trabalho bem desenhados e bem executados
 Uma Organização das pessoas e equipes de modo a facilitar
a comunicação e a interação
 Líderes capazes de realizar o Gerenciamento de todos os
recursos envolvidos.

Recursos:

 Pessoas em quantidade suficiente para a carga de trabalho

 Informações que orientem os trabalhos
 Aplicações que automatizem ou facilitem as tarefas
 Infraestrutura que suporte as aplicações e todo o ambiente
de trabalho
  Capital Financeiro, sem o qual nenhuma organização
consegue se manter em funcionamento e fazer
investimentos

Para ITIL, recursos e habilidades são considerados os Ativos de

Serviços. Para saber mais, acesse: Recursos e habilidades na
prática.

Serviço como forma de entregar valor

Para ITIL, o serviço é um meio e não um fim. Serviço é
um meio de entregar valor para os clientes facilitando os
resultados que eles desejam atingir sem que possuam
certos custos e riscos específicos.
O serviço deve ser concebido de forma alinhada com a estratégia
caso contrário será mais difícil demonstrar seu valor. O valor do
serviço está na forma como ele interage com os ativos de
negócio do Cliente. Sem conhecer esta interação é praticamente
impossível avaliar o valor do serviço.
Um Serviço gera valor para o Cliente quando interage com
os ativos de negócio (do cliente) para:

 Aumenta a performance
 Diminui a variação da performance
 Reduz as limitações

Valor do Serviço
O valor do serviço é fragmentado em duas principais variáveis
denominadas Utilidade e Garantia.

Escopo da ITIL

A Biblioteca ITIL está estruturada para oferecer as melhores

práticas em gestão de serviços de TI através da definição de
elementos como processos, funções e papéis.
Funções

 São unidades organizacionais especialistas em determinado

trabalho.
 Sob responsabilidade de um gerente funcional.
 Fazem parte do organograma da empresa
 Dão estrutura para a organização

Processos

 Processos são conjuntos coordenados de atividades com

um objetivo em comum
 É o principal objeto de estudo da biblioteca. Todos os livros
da ITIL organizam as boas práticas em processos.
 Processos visam a produzir um resultado que crie valor para
um cliente ou stakeholder.
 Gestores de processos fazem a coordenação das atividades

Papéis

 São conjuntos de responsabilidades definidas dentro de um

Processo
 Podem ser desempenhados por um indivíduo ou um grupo de
pessoas
 Uma pessoa pode acumular vários papéis

Estrutura da ITIL

A estrutura da ITIL é baseada em um ciclo de vida de serviço e

é composta por cinco etapas que oferecem as melhores práticas
através de seus processos, papéis e funções.
Ciclo de Vida do Serviço
Aplicações e infraestrutura são recursos que - juntamente com
outros recursos e habilidades - precisam ser Desenhados,
Desenvolvidos, Implantados, Mantidos e Otimizados de forma
integrada, tendo em vista o Serviço do qual fazem ou farão parte.
Sem esta abordagem, tais recursos não atingem todo seu valor
potencial.
O ciclo de vida do serviço inicia bem antes do início de qualquer
projeto e termina muito depois que a equipe de projeto (seja de
sistemas, seja de infraestrutura) entrega seu "produto". O ciclo
de vida do serviço só termina quando o serviço é retirado ou
substituído por outro serviço.
Equipes de Projeto, de Suporte e de Operação - sejam de
sistemas, sejam de infraestrutura - devem estar envolvidas
durante todas as fases, para que não haja rupturas durante o
ciclo de vida do serviço. Para saber mais, acesse: ciclo de vida
de serviço.
Cada elemento do ciclo de vida envolve um conjunto de práticas,
descritas em cada um dos livros do "núcleo" da ITIL. As
organizações devem priorizar a implantação das práticas
considerando, dentre outros fatores:

 A estratégia de negócio
 Suas necessidades
 Ganhos rápidos

As 05 etapas do ciclo de vida são:

 Estratégia de Serviços de TI
 Desenho de Serviços de TI
 Transição de Serviços de TI
 Operação de Serviços de TI
 Melhoria Contínua dos Serviços de TI


Etapa 1- Estratégia de Serviços de TI

Esta é a fase do ciclo de vida - documentada em um livro da ITIL
(Service Strategy) - que contempla as boas práticas de mercado
referentes a concepção do serviço novo ou alterado. Neste livro,
encontramos referência de como criar valor (que desdobra-se
em utilidade e garantia) através de nossos ativos de
serviços (isso é, recursos e habilidades).
O propósito da estratégia é criar valor para os Clientes através
de serviços, transformando o gerenciamento de serviços em um
ativo estratégico.
Processos da Estratégia de Serviços

 Gerenciamento Estratégico para serviços de TI

 Gerenciamento do Portfólio de Serviços de TI
 Gerenciamento Financeiro Para Serviços de TI
 Gerenciamento da Demanda
 Gerenciamento do Relacionamento com o Negócio

Etapa 2 - Desenho de Serviços de TI

Esta é a fase em que o serviço de TI é desenhado para que
cumpra seu objetivo durante todo o ciclo de vida. Tem como
principal objetivo garantir uma abordagem holística em todos os
aspectos do Desenho de Serviço: Funcional; Gerencial e
Operacional.

Processos do Desenho de Serviços

 Gerenciamento de Nível de Serviços
 Gerenciamento de Catálogo de Serviços
 Gerenciamento de Disponibilidade dos Serviços de TI
 Gerenciamento de Capacidade dos Serviços de TI
 Gerenciamento de Fornecedores
 Gerenciamento de Segurança da Tecnologia da Informação
 Gerenciamento de Continuidade dos Serviços de TI
 Coordenação do Desenho de Serviços de TI


Etapa 3 - Transição de Serviços de TI

O valor do serviço de TI é concebido na etapa Estratégia, projeto
no Desenho e será finalmente percebido, avaliado pelo usuário
e cliente na Operação de serviços, quando os efeitos no
negócio finalmente acontecerão "pra valer".
A transição visa garantir que grandes volumes de mudanças
possam ser tratadas com menor impacto, minimizando os riscos
envolvidos com implantação de novos serviços e serviços
modificados.
Processos da Transição de Serviços

 Gerenciamento de Mudanças
 Gerenciamento de Ativos e Configuração
 Gerenciamento de Liberação
 Validação e Teste de serviço
 Avaliação da Mudança
 Gerenciamento do Conhecimento
 Planejamento e Suporte a Transição

Etapa 4 - Operação de Serviços de TI

A operação de serviço coordena e desempenha as atividades e
os processos requeridos para entregar e gerenciar serviços em
níveis acordados para usuários de negócio e clientes.
A principal responsabilidade da operação é garantir a
estabilidade dos serviços de TI para que agreguem valor ao
negócio.
Processos da Operação de Serviços

 Gerenciamento de Incidentes
 Gerenciamento de Problemas
 Gerenciamento de Eventos
 Cumprimento de Requisição
 Gerenciamento de Acesso

Funções da Operação de Serviços

 Central de Serviços de TI (servicedesk)

 Gerenciamento Técnico
 Gerenciamento de Operações
 Gerenciamento de Aplicações
Etapa 5 - Melhoria Contínua dos Serviços
É uma etapa que documenta as melhores práticas requeridas
para melhorar a eficácia e a eficiência dos processos e
serviços, bem como sua relação custo-benefício.
A Melhoria Contínua tem como propósito melhorar a eficácia e a
eficiência dos processos e serviços, bem como sua relação
custo-benefício (efetividade de custo) Fornecer um método de
implementação de um programa de melhoria contínua, para que
processos e serviços possam ser definidos, implementados e
melhorados continuamente.

Escopo da Melhoria Contínua de Serviços

 Saúde da disciplina ITSM como um todo

 Contínuo alinhamento do Portfolio de Serviços com os
requisitos de negócio atuais e futuros
 Caso de Negócio (Business Case) para Retorno sobre
Investimento
 Amadurecimento dos processos de TI que suportam cada
serviço dentro do modelo ciclo de vida
 Suporte ao plano de melhoria contínua dos processos
 Como medir, interpretar e agir

Processos e Funções da ITIL 2011 (26 processos e 4

funções)

Processo é um conjunto estruturado de atividades elaborado

para alcançar um objetivo específico. Função é um grupo de
pessoas e suas ferramentas que realizam processos.

A ITIL 2011 possui os seguintes processos e funções.

Processos de Estratégia de Serviço (5)

 Gerenciamento estratégico para serviços de TI

  Gerenciamento de portfólio de serviço
 Gerenciamento financeiro
 Gerenciamento de demanda
 Gerenciamento de relacionamento de negócio

Processos de Desenho de Serviço (8)

 Coordenação do desenho
 Gerenciamento do catálogo de serviço
 Gerenciamento de nível de serviço
 Gerenciamento de disponibilidade
 Gerenciamento de capacidade
 Gerenciamento de continuidade do serviço
 Gerenciamento de segurança da informação
 Gerenciamento do fornecedor

Processos de Transição de Serviço (7)

 Planejamento e suporte da transição

 Gerenciamento da mudança
 Gerenciamento de configuração e de ativo de serviço
 Gerenciamento de liberação e implantação
 Validação e teste de serviço
 Avaliação de mudança
 Gerenciamento de conhecimento

Processos de Operação de Serviço (5)

 Gerenciamento de evento
 Gerenciamento de incidente
 Atendimento da requisição do serviço
 Gerenciamento de problema
 Gerenciamento de acesso

Processo de Melhoria Continua do Serviço (1)

Melhoria de Sete Passos

Funções de Operação de Serviço (4)

 Central de Serviço
  Gerenciamento Técnico
 Gerenciamento de operações de TI
 Gerenciamento de aplicativo

Propósitos da Operação de Serviços de TI

 Garantir a estabilidade dos serviços de TI para que

agreguem valor ao negócio.
 Garantir que serviços de TI em níveis acordados para
usuários do negócio e clientes.
 Apoiar a Melhoria Contínua de Serviço por meio da
monitoração do desempenho, análise de métricas e coleta
de dados.

Responsabilidades da Operação de Serviços de TI

 Coordenar e executar as atividades e processos

necessários para entregar e gerenciar serviços nos níveis
acordados para usuários e clientes
 Conduzir, controlar e gerenciar as operações do dia a dia
 Monitorar performance, levantar métricas e informações

Principais Processos da Operação de Serviços de TI

A seguir apresento uma descrição básica dos principais
processos desta fase do ciclo de vida do serviço, mostrando
como cada um deles contribui para que os objetivos da Operação
sejam alcançados.
A seta aponta para a etapa da Operação de Serviços no Ciclo de Vida
do Serviço da ITIL
Gerenciamento de Incidentes
O processo responsável por gerenciar o ciclo de vida de todos os
incidentes. O gerenciamento de incidente garante que a
operação normal de um serviço seja restaurada tão rapidamente
quando possível e que o impacto no negócio seja minimizado.

Gerenciamento de Problemas
O processo responsável por gerenciar o ciclo de vida de todos os
problemas. O gerenciamento de problemas previne
proativamente a ocorrência de incidentes e minimiza o impacto
dos incidentes que não podem ser evitados.

Gerenciamento de Eventos
O processo responsável por gerenciar eventos durante o seu
ciclo de vida. O gerenciamento de evento é uma das principais
atividades de operações de TI.

Cumprimento de Requisição
O processo responsável por gerenciar o ciclo de vida de todas as
requisições de serviço.

Gerenciamento de Acesso
O processo responsável por permitir que os usuários façam uso
de serviços, dados ou outros ativos de TI. O gerenciamento de
acesso ajuda a proteger a confidencialidade, a integridade e a
disponibilidade de ativos através da garantia que apenas
usuários autorizados sejam capazes de acessar ou modificar
esses ativos. O gerenciamento de acesso implementa as
políticas de gerenciamento de segurança da informação e é,
algumas vezes, chamado de gerenciamento de direitos ou
gerenciamento de identidade.

Funções da Operação de Serviços de TI

Apesar de fazerem parte do livro Service Operation (Operação de
Serviços), as funções descritas a seguir fornecem recursos para todas
as etapas do ciclo de vida. Dito de outra forma, as funções são como
sub departamentos dentro de TI onde estão alocados analistas e
técnicos especialistas que participam também de atividades que vão
da estratégia à melhoria contínua, mas principalmente
no desenho e transição de serviços.

Central de Serviços de TI (servicedesk)

A central de serviços de TI é o ponto único de contato entre o
provedor de serviço e os usuários. Uma central de serviço típica
gerencia incidentes, requisições de serviço e também a comunicação
com os usuários.

Gerenciamento Técnico
A função responsável por fornecer habilidades técnicas para o
suporte de serviços de TI e o gerenciamento de infraestrutura de
TI. O gerenciamento técnico define os papéis dos grupos de
suporte e também as ferramentas, processos e procedimentos
necessários.

Gerenciamento de Operações
A função que realiza as atividades diárias necessárias para o
gerenciamento de um ou mais serviços de TI e da infraestrutura
de TI de que eles dependem. O gerenciamento de operações de
IT inclui o controle de operações de TI e gerenciamento de
instalações.
Controle de Operações
Responsável pelo monitoramento e controle dos serviços e da
infraestrutura de TI.
Gerenciamento de Instalações
Responsável pelo gerenciamento do ambiente físico onde
a #Infraestrutura de TI está localizada. O gerenciamento de
instalações inclui todos os aspectos do gerenciamento do
ambiente físico, por exemplo, energia e refrigeração,
gerenciamento de acesso predial e monitoração ambiental.

Gerenciamento de Aplicações
 A função responsável por gerenciar aplicativos durante os seus
ciclos de vida.

COBIT

COBIT é a sigla para “Control Objectives for Information and

related Technology” e que, na prática, significa uma estrutura
capaz de fornecer governança de TI.

O COBIT tem como objetivo principal o alinhamento entre

os objetivos do negócio e os objetivos da TI, fazendo com que
a TI atenda às necessidades de negócio (requisitos de negócios)
da maneira mais eficiente possível. É um framework de
Governança de TI, serve de referência não é uma solução
pronta, precisa adaptá-lo ao negócio para atender as
necessidades e alinhar TI ao negócio, podemos utilizar os
controles necessários e não todos.

Cobit cobre 4 domínios, os quais possuem 34 processos, e

estes processos possuem 210 objetivos de controle: Planejar e
Organizar. Adquirir e Implementar. Entregar e Suportar.

Os benefícios da adoção do CobiT

 O CobiT foca na melhoria da Governança de TI das organizações
e na redução dos riscos operacionais;
 Gerencia e controla as atividades de TI;
 Proporciona um ambiente de controle responsável em garantir as
necessidades de negócio;

O papel do COBIT na governança de TI

O COBIT (Control Objectives for Information and Related

Technologies) é um conjunto de boas práticas para gestão
e governança de TI. ... O COBIT ajuda a TI a criar valor e a
manter o equilíbrio entre os benefícios, riscos de negócio e uso
de recursos.
Possui uma série de recursos que podem servir como um modelo
de referência para governança da TI e do negócio, incluindo um
sumário executivo, um framework, objetivos de
controle, mapas de auditoria, ferramentas para a sua
implementação e principalmente, um guia com técnicas de
gerenciamento.[1] Especialistas em gestão e institutos
independentes recomendam o uso do Cobit como meio para
optimizar os investimentos de TI, melhorando o retorno sobre o
investimento (ROI) percebido, fornecendo métricas para
avaliação dos resultados (Key Performance Indicators KPI, Key
Goal Indicators KGI e Critical Success Factors CSF).
O Cobit independe das plataformas adotadas nas empresas, tal
como não depende do tipo de negócio e do valor e participação
que a tecnologia da informação tem na cadeia produtiva da
empresa.

Framework e componentes
A orientação da COBIT aos negócios consiste em vincular metas
comerciais a objetivos de TI, fornecendo métricas e modelos de
maturidade para medir sua conquista e identificando as
responsabilidades associadas dos proprietários de processos
comerciais e de TI.
O foco do processo do COBIT é ilustrado por um modelo de
processo que subdivide TI em 4 domínios (Planejar e Organizar,
Adquirir e Implementar, Entregar e Suportar e Monitorar e
Avaliar) e 34 processos em linha com as áreas de
responsabilidade de planejar, construir, executar e monitorar.
Está posicionado em um nível alto e foi alinhado e harmonizado
com outros padrões de TI mais detalhados e boas práticas, tais
como COSO, ITIL, BiSL, ISO 27000, CMMI, TOGAF e PMBOK.
A COBIT atua como um integrador desses diferentes guias,
resumindo os principais objetivos em um único framework
guarda-chuva que vincula os modelos de boas práticas com os
requisitos de governança e negócios.[9] O COBIT 5 consolidou e
integrou os frameworks COBIT 4.1, Val IT 2.0 e Risk IT e atraiu
o IT Assurance Framework da ISACA (ITAF) e o Business Model
for Information Security (BMIS).
O framework e seus componentes podem, quando bem utilizados,
também contribuir para garantir a conformidade regulamentar.
Ele pode encorajar o menor gerenciamento de informações
menos importantes, melhorar a fixação de cronogramas,
aumentar a agilidade nos negócios e reduzir os custos,
melhorando o cumprimento das normas de salvaguarda de dados
e gerenciamento.

Os componentes COBIT incluem:

 Framework: organiza objetivos de governança de TI e boas

práticas por domínios e processos de TI e os conecta a
requisitos de negócios;
 Descrição do processo: modelo de processo de referência e
linguagem comum para todos na organização. Os processos
mapeiam as áreas responsáveis por planejar, construir,
executar e monitorar;
 Objetivos de controle: fornece um conjunto completo de
requisitos de alto nível a serem considerados pelo
gerenciamento para o controle efetivo de cada processo de TI;
 Diretrizes de gerenciamento: ajuda a atribuir responsabilidade,
concordar com os objetivos, medir o desempenho e ilustrar a
inter-relação com outros processos;
 Modelos de maturidade: avalia a maturidade e a capacidade
por processo e ajuda a resolver lacunas.

O cubo do Cobit
É o modelo que representa como os componentes se inter-
relacionam:

Critérios de Informação ou Requisitos de Negócio

 Efetividade: informação relevante e pertinente para o
processo de negócio, bem como entregue em tempo, de
maneira correta, consistente e utilizável.

 Eficiência: entrega da informação através do melhor uso dos

recursos, de forma mais produtiva e econômica.

 Confidencialidade: proteção das informações confidenciais a

fim de se evitar sua divulgação indevida.
 Integridade: fidedignidade e totalidade da informação, bem
como sua validade para o negócio.
 Disponibilidade: informação acessível e utilizável quando
exigida pelo negócio. Também possui relação com a
salvaguarda dos recursos necessários e sua capacidade.
 Conformidade: aderência a leis, regulamentos e obrigações
contratuais relacionadas ao negócio.
 Confiabilidade: entrega da informação apropriada para tomada
de decisão.

Recursos de TI

 Aplicações: sistemas de informação usados na organização

 Infraestrutura: tecnologia utilizada, como os equipamentos,
sistemas operacionais, redes de comunicação de dados que
processam as aplicações
 Informações: são os dados em todas as suas formas
utilizados nos sistemas de informação e usados pelos
processos de negócios
 Pessoas: as pessoas requeridas para planejar, organizar,
adquirir, entregar, dar suporte e monitorar os aplicativos,
processos e serviços de TI

Processos de TI

 Domínios
 Processos
 Atividades
Os 5 princípios básicos do Cobit 5
O modelo do COBIT 5 baseia-se em cinco princípios básicos, que
são cobertos [4] detalhadamente e incluem ampla orientação
sobre os habilitadores de governança e gestão de TI da
organização.
A família de produtos COBIT 5 é formada pelos seguintes
produtos:
COBIT 5 Habilitador Processos
COBIT 5 Habilitador Informações
Guias profissionais do COBIT 5, que incluem:
COBIT 5 Implementação
COBIT 5 para Segurança da Informação
COBIT 5 para Risco
COBIT 5 para Garantia (Assurance)
COBIT Programa de Avaliação
Um ambiente colaborativo on-line, que é disponibilizado para
apoiar o uso do COBIT 5.

1º Princípio: Atender às Necessidades das Partes Interessadas

Organizações existem para criar valor para suas Partes
interessadas mantendo o equilíbrio entre a realização de
benefícios e a otimização do risco e uso dos recursos. O COBIT 5
fornece todos os processos necessários e demais habilitadores
para apoiar a criação de valor para a organização com o uso de
TI. Como cada organização tem objetivos diferentes, o COBIT 5
pode ser personalizado de forma a adequá-lo ao seu próprio
contexto por meio da cascata de objetivos, ou seja, traduzindo
os objetivos corporativos em alto nível em objetivos de TI
específicos e gerenciáveis, mapeando-os em práticas e
processos específicos.

2º Princípio: Cobrir a Organização de Ponta a Ponta

O COBIT 5 integra a governança corporativa de TI organização à
governança corporativa.Cobre todas as funções e processos
corporativos; O COBIT 5 não se concentra somente na ‘função de
TI’, mas considera a tecnologia da informação e tecnologias
relacionadas como ativos que devem ser tratados como qualquer
outro ativo por todos na organização.Considera todos os
habilitadores de governança e gestão de TI aplicáveis em toda a
organização, de ponta a ponta, ou seja, incluindo tudo e todos -
interna e externamente - que forem considerados relevantes para
a governança e gestão das informações e de TI da organização.

3º Princípio: Aplicar um Modelo Único Integrado

Há muitas normas e boas práticas relacionadas a TI, cada qual
provê orientações para um conjunto específico de atividades de
TI. O COBIT 5 se alinha a outros padrões e modelos importantes
em um alto nível e, portanto, pode servir como o um modelo
unificado para a governança e gestão de TI da organização.

4º Princípio: Permitir uma Abordagem Holística

Governança e gestão eficiente e eficaz de TI da organização
requer uma [4]abordagem holística, levando em conta seus
diversos componentes interligados. O COBIT 5 define um
conjunto de habilitadores para apoiar a implementação de um
sistema abrangente de gestão e governança de TI da
organização. Habilitadores são geralmente definidos como
qualquer coisa que possa ajudar a atingir os objetivos
corporativos. O modelo do COBIT 5 define sete categorias de
habilitadores:

Princípios, Políticas e Modelos

Processos
Estruturas Organizacionais
Cultura, Ética e Comportamento
Informação
Serviços, Infraestrutura e Aplicativos
Pessoas, Habilidades e Competências

5º Princípio: Distinguir a Governança da Gestão

O modelo do COBIT 5 faz uma clara distinção entre governança e
gestão. Essas duas disciplinas compreendem diferentes tipos de
atividades, exigem modelos organizacionais diferenciadas e
servem a propósitos diferentes. A visão do COBIT 5 sobre esta
importante distinção entre governança e gestão é:
Governança
A governança garante que as necessidades, condições e opções
das Partes Interessadas sejam avaliadas a fim de determinar
objetivos corporativos acordados e equilibrados; definindo a
direção através de priorizações e tomadas de decisão; e
monitorando o desempenho e a conformidade com a direção e os
objetivos estabelecidos. Na maioria das organizações, a
governança geral é de responsabilidade do conselho de
administração sob a liderança do presidente. Responsabilidades
de governança específicas podem ser delegadas a modelos
organizacionais especiais no nível adequado, especialmente em
organizações complexas de grande porte.
Gestão
A gestão é responsável pelo planejamento, desenvolvimento,
execução e monitoramento das atividades em consonância com
a direção definida pelo órgão de governança a fim de atingir os
objetivos corporativos. Na maioria das organizações, a gestão é
de responsabilidade da diretoria executiva sob a liderança do
diretor executivo (CEO). Juntos, esses cinco princípios permitem
que a organização crie um modelo eficiente de governança e
gestão otimizando os investimentos em tecnologia da
informação e seu uso para o benefício das partes interessadas.

ISO2000
A ISO 20000 pode ser descrita como uma norma para avaliação
da maturidade do Sistema de Gestão de Serviços de TI, a qual
pode ser ainda usada para realizar um “health check” dos
processos de determinada organização.
Considerando que a ITIL é um conjunto de melhores
práticas provenientes dos setores público e privado que oferece
orientação ao Sistema de Gestão de TI, a ISO 20000, também
conhecida como ISO/IEC 20000, é a norma internacionalmente
aceita para tal conformidade.

A ISO 20000 principalmente consiste em duas partes: A

primeira parte é obrigatória e deve ser integralmente respeitada
e, se usada de forma pragmática, pode dar valor real a qualquer
versão de ITIL adaptada. A segunda parte pode ser utilizada
como apoio a respectiva estruturação e implementação de
Processos e Serviços.

O alinhamento entre ITIL e ISO 20000 permite mitigar um dos

problemas mais complexos que os gerentes de TI enfrentam
atualmente: conquistar o total compromisso da Direção. A ISO
20000 não só fornece os meios para certificar a conformidade de
TI, mas também ajuda a acelerar a adoção e conscientização dos
inúmeros conceitos da ITIL.

O que leva uma empresa a considerar obter esta certificação? O

principal motivo é que esta oferece uma grande vantagem
competitiva para o provedor de serviços de TI, seja ele interno
ou externo, e ainda, quando submetido a uma auditoria
independente, pode demonstrar que está em
total conformidade à norma, evidenciando seus
Documentos (Processos, Políticas, Diretrizes, Procedimentos,
Indicadores etc.) e seus Registros (Aplicações/Sistemas
internos – Incidentes, Problemas, RDM, Portfólio de Serviços,
BDGC/CMDB, ANS/SLA, ANO/OLA, CA/UC etc.).

Outros benefícios da ISO 20000 incluem: maior qualidade dos

serviços de TI, aumento dos níveis de satisfação de clientes,
melhor produtividade das equipes de TI e dos usuários/clientes,
redução de custos e foco na melhoria contínua como um todo
através da abordagem/ciclo PDCA – Plan/Do/Check/Act.
No entanto, antes de considerar serviços de um provedor que
seja certificado ISO 20000, o cliente deve estar ciente de que
esta certificação não garante que o provedor de serviços seja
totalmente capaz de fornecer serviços com altíssimos níveis de
eficiência e eficácia, uma vez que o escopo desta pode ser
limitado a uma pequena parte do Negócio, e talvez não englobe a
área em que está almejando o respectivo serviço, mas pode ter
certeza que este provedor está muito mais comprometido e
salvaguardado do que a concorrência, incluindo aspectos
de capacidade, segurança, robustez, suporte,
disponibilidade, continuidade etc.
A ISO/IEC 20000 é a primeira norma reconhecida
internacionalmente para gestão de serviços de TI. A norma é
publicada em duas partes: ISO/IEC 20000-1, que descreve os
requisitos para desenvolver e implementar um sistema de gestão
de TI e ISO/IEC 20000-2, que explica quais são as melhores
práticas para a gestão de serviços.
A norma descreve como implementar serviços de TI orientados
de acordo com os objetivos da empresa e que os apoiam, ao
invés de focar apenas em necessidades tecnológicas. Ambas as
partes da norma foram revistas para oferecer suporte à ITIL –
mostrando a você como aumentar a capacidade e o
desempenho.
A ISO/IEC 20000 adota a metodologia conhecida como Plan-Do-
Check-Act (PDCA)para os processos de planejamento e
implementação de serviços, que consiste de quatro tarefas
básicas.

 Plan – planejar: estabelece os objetivos e processos

necessários para entrega dos serviços com qualidade.
 Do – fazer: implementa os processos estabelecidos no
plano.
 Check – avaliar ou checar: monitora e estabelece métricas
para os processos visando confirmar se eles estão sendo
executados com qualidade.
 Act – agir: toma ações que visam à melhoria contínua dos
processos e dos resultados gerados por estes.

A ISO 20000 é um conjunto que define as melhores práticas de

gerenciamento de serviços de TI. O seu desenvolvimento foi
baseado na BS 15000 (British Standard) e tem a intenção de ser
completamente compatível com o ITIL (Information Technology
Infrastructure Library). Sua primeira edição ocorreu em dezembro
de 2005.
Os processos de solução, liberação e controle na ISO/IEC 20 000
tratam de:

 atividades de tratamento;
 incidentes e problemas;
 gerenciamento de configurações;
 gerenciamento de mudanças e de
 gerenciamento de liberações.

ISO 27001 – O que é e como implementar? Tudo que você precisa

saber

A implementação da ISO 27001

Existem 05 grandes etapas na implementação da ISO 27001,
que são: Contexto da Organização, Avaliação de Riscos,
Controles Operacionais, Análise de Eficácia, e, Melhoria.
Quantos softwares você têm na sua empresa? Recentemente
fizemos um levantamento aqui na Templum e para manter a
empresa rodando utilizamos 35 softwares distintos. Temos
coleta de dados desde informações simples, como os
acessos em nosso site, até informações confidenciais sérias
dos nossos clientes. E a preocupação é: o que fazemos de
forma ativa para evitar que esses dados sejam
compartilhados de forma indevida? É sobre isso esse risco
que a ISO 27001 aborda e que vamos detalhar nesse texto.

O que é a ISO 27001?

A norma ISO 27001 é uma norma internacional de gestão de
segurança da informação, que tem como principal objetivo o
atendimento de uma série de requisitos, processos e
controles, que visam gerir a segurança da informação
presentes em uma empresa.
A implementação da norma ISO 27001 busca garantir um alto
compromisso com a proteção da informação, que é uma das
principais preocupações da atualidade, oferecendo às
empresas uma referência e as melhores práticas para
identificar, analisar e implementar controles para gerenciar
riscos de segurança da informação e proteger a
confidencialidade, integridade e disponibilidade de dados
essenciais aos negócios.

Para quem é a ISO 27001?

Na prática, uma empresa com a certificação ISO
27001 garante ao mercado que se preocupa com a
disponibilidade, confidencialidade e integridade da
informação, ou seja, é uma organização em que posso oferecer
minhas informações com segurança de que estão sendo bem
geridos.

Por que estão exigindo a certificação ISO 27001?

Todos os grandes mercados organizados, como a União
Europeia criaram nos últimos anos legislações que tratam
da proteção de dados, ou seja, todas as empresas que atuam
nesse mercado precisam se adequar o mais rápido possível.
O grande X questão é que a proteção e a segurança da
informação dependem de uma série de fatores internos e
externos à organização que precisam ser gerenciados. Lembra
dos 35 softwares que falei que utilizamos aqui na Templum no
começo desse post? Então, não basta que só a minha empresa
tenha essa preocupação se esses outros softwares que
armazenam esses dados não tenham esse cuidado também.
Nesse caso todo o meu controle vai por água abaixo. É por
isso que estamos falando de uma certificação que puxa a
cadeia de fornecimento inteira.
Isso quer dizer que a ISO 27001 é uma certificação
compulsória para qualquer empresa que quer se manter
no mercado competitivo nos próximos anos.
Posso assegurar que é questão de pouco tempo para que
todos os seus clientes e fornecedores estejam exigindo essa
certificação. Então, agora é o ponto da virada para começar
a consultoria ISO 27001! Ou começa agora e já estará pronto
para a grande mudança do mercado ou então ficará para trás,
com certeza.

Quais são as etapas de implementação da ISO 27001?

Existem 05 grandes etapas na implementação da norma ISO
27001, que são:

1. Entender o Contexto da Organização

Nessa etapa vamos compreender as características e
necessidades da organização para estabelecer quais são as
políticas e objetivos internos de segurança da informação;
2. Avaliação de Riscos
Antes de tudo, a norma ISO 27001 é uma norma de gestão de
riscos e por isso nessa segunda etapa avaliamos todos os
processos internos da organização e os riscos relacionados à
segurança da informação e criamos uma classificação de
riscos para todos os pontos identificados;
3. Controles Operacionais
Nessa fase partimos para a implementação de controles
operacionais nos processos com a finalidade de controlar,
eliminar ou diminuir a classificação dos riscos identificados;
4. Análise de Eficácia
Nessa etapa seguiremos com a fiscalização e análise do
desempenho dos controles realizados para garantir a
segurança de todas as informações sensíveis da empresa.
Aqui temos a famosa e temida Auditoria Interna 😉
5. Melhoria
Na última (e primeira) etapa temos o estágio de melhoria
contínua a partir do estabelecimento da Certificação para
garantir que todos os processos estão em constante avaliação
e monitoramento dos riscos identificados e possíveis novos
controles operacionais. Por isso indico que também é a
primeira etapa de um novo PDCA que se inicia na empresa.
Na prática, o que será avaliado na empresa?
Na norma ISO 27001 está disponível o Anexo A que indica
quais são os controles internos que devem passar por
avaliação conforme as políticas e objetivos de segurança da
informação de cada empresa. Abaixo destacamos os
principais controles para análise:

 Organização Interna
 Dispositivos móveis e trabalhos remotos
 Segurança em RH
 Gestão de Ativos
 Tratamento de Mídias
 Controle de Acesso (físico e sistema)
 Criptografia
 Segurança Física
 Equipamentos
 Segurança nas Operações
 Proteção contra malware
 Copias de segurança
 Controle de software operacional
 Gestão de vulnerabilidade
 Segurança de dados
 Transferência da informação
 Segurança em desenvolvimento e suporte
 Segurança na informação da cadeia de suprimentos
 Gestão de incidentes
 Requisitos Legais

Quanto tempo em média demora a certificação?

Isso depende de algumas variáveis que deve levar em
consideração para esse cálculo, que são:
1. Equipe: quem são as pessoas que farão parte desse projeto
e o nível de conhecimento dos processos internos e do
negócio da empresa. Como é uma norma de gestão de
risco, quanto maior o conhecimento sobre a organização,
mais ágil será o processo de implementação.
2. Tempo: qual é o tempo disponível das pessoas para a
dedicação desse projeto. Aqui na Templum indicamos a
necessidade de uma dedicação diária ao projeto para que
as atividades estejam conectadas e assim diminuir a
quantidade de retrabalho.
3. Método: qual é o método escolhido para essa
implementação. Se optar pela consultoria online da
Templum, garantimos uma agilidade acima de 30% em
relação aos outros métodos, se as nossas instruções forem
seguidas à risca.

ISO 27002: Boas práticas para gestão de segurança da informação

Segurança da informação é um tema que ganhou corpo nos
últimos anos, obtendo espaço nas mídias e tornando-se
“commodity”, em empresas dos mais variados portes e
segmentos. Em contrapartida é importante frisar que a
popularização do termo SI (Segurança da Informação) foi
motivada pela elevação no número de incidentes de
segurança, ocorridos em âmbito mundial. Os transtornos
gerados por estes incidentes são variados gerando, desde
danos a imagem do negócio, vazamento de informações
críticas, podendo acarretar em perdas financeiras
substanciais.

O aumento do número de ocorrências influencia na percepção

de valor sobre investimentos em SI, e fazem com que
empresas busquem a estruturação de processos para garantir
que seus negócios estejam protegidos contra os mais variados
tipos de ameaças virtuais.

Em meio a este cenário, surgiu a norma internacional NBR

ISO/IEC 27002, que foca nas boas práticas para a gestão da
segurança da informação. Nos dias de hoje, ela é fundamental
para a consolidação de um Sistema de Gestão de Segurança
da Informação (SGSI), garantindo a continuidade e
manutenção dos processos de segurança, alinhados aos
objetivos estratégicos da organização. A seguir, conheça as
principais características da norma, bem como os benefícios
associados a sua implantação:

O que é a ISO 27002?

Em 1995, as organizações internacionais ISO (The

International Organization for Standardization) e IEC
(International Electrotechnical Commission) deram origem a
um grupo de normas que consolidam as diretrizes relacionadas
ao escopo de Segurança da Informação, sendo
representada pela série 27000. Neste grupo, encontra-se
a ISO/IEC 27002 (antigo padrão 17799:2005), norma
internacional que estabelece código de melhores práticas para
apoiar a implantação do Sistema de Gestão de Segurança da
Informação (SGSI) nas organizações.

Através do fornecimento de um guia completo de

implementação, ela descreve como os controles podem ser
estabelecidos. Estes controles, por sua vez, devem ser
escolhidos com base em uma avaliação de riscos dos ativos
mais importantes da empresa. Ao contrário do que muitos
gestores pensam, a ISO 27002 pode ser utilizada para apoiar a
implantação do SGSI em qualquer tipo de organização, pública
ou privada, de pequeno ou grande porte, com ou sem fins
lucrativos; e não apenas em empresas de tecnologia.

Quais seus objetivos?

O principal objetivo da ISO 27002 é estabelecer diretrizes e

princípios gerais para iniciar, implementar, manter e melhorar
a gestão de segurança da informação em uma organização.
Isso também inclui a seleção, a implementação e o
gerenciamento de controles, levando em conta os ambientes
de risco encontrados na empresa.

ISO 27002, benefícios para as empresas?

As vantagens proporcionadas pela certificação ISO 27002 são
representativas para as empresas, principalmente pelo fato de
serem reconhecidas mundialmente. Conheça alguns benefícios
associados a aplicação da norma:

 Melhor conscientização sobre a segurança da informação;

 Maior controle de ativos e informações sensíveis;
 Oferece uma abordagem para implantação de políticas de
controles;
 Oportunidade de identificar e corrigir pontos fracos;
 Redução do risco de responsabilidade pela não
implementação de um SGSI ou determinação de políticas
e procedimentos;
 Torna-se um diferencial competitivo para a conquista de
clientes que valorizam a certificação;
 Melhor organização com processos e mecanismos bem
desenhados e geridos;
 Promove redução de custos com a prevenção de
incidentes de segurança da informação;
 Conformidade com a legislação e outras
regulamentações.

Quais os principais itens que compõem o ISO 27002?

A parte principal da norma se encontra distribuída nas

seguintes seções, que correspondem a controles de segurança
da informação. Vale lembrar que a organização pode utilizar
essas diretrizes como base para o desenvolvimento do SGSI.
Sendo elas:

Seção 5 – Política de Segurança da Informação

Deve ser criado um documento sobre a política de segurança

da informação da empresa, que deve conter os conceitos de
segurança da informação, uma estrutura para estabelecer os
objetivos e as formas de controle, o comprometimento da
direção com a política, entre tantos outros fatores.
Seção 6 – Organização da Segurança da Informação

Para implementar a Segurança da Informação em uma

empresa, é necessário estabelecer uma estrutura para
gerencia-la da maneira adequada. Para isso, as atividades de
segurança da informação devem ser coordenadas por
representantes da organização, que devem ter
responsabilidades bem definidas e proteger as informações de
caráter sigiloso.

Seção 7 – Gestão de ativos

Ativo, segundo a norma, é qualquer coisa que tenha valor para

a organização e que precisa ser protegido. Mas para isso, os
ativos devem ser identificados e classificados, de tal forma
que um inventário possa ser estruturado e posteriormente
mantido. Além disso, eles devem seguir regras documentadas,
que definem qual o tipo de uso é permitido fazer com esses
ativos.

Seção 8 – Segurança em recursos humanos

Antes de realizar a contratação de um funcionário – ou mesmo

de fornecedores – é importante que ele seja devidamente
analisado, principalmente se for lidar com informações de
caráter sigiloso. A intenção desta seção é mitigar o risco de
roubo, fraude ou mau uso dos recursos. E quando o funcionário
estiver trabalhando na empresa, ele deverá estar ciente das
ameaças relativas à segurança da informação, bem como de
suas responsabilidades e obrigações.

Seção 9 – Segurança física e do ambiente

Os equipamentos e instalações de processamento de

informação críticas ou sensíveis devem ser mantidas em áreas
seguras, com níveis e controles de acesso apropriados,
incluindo proteção contra ameaças físicas e ambientais.

Seção 10 – Segurança das operações e comunicações

É importante que estejam definidos os procedimentos e

responsabilidades pela gestão e operação de todos os
recursos de processamento das informações. Isso inclui o
gerenciamento de serviços terceirizados, o planejamento dos
recursos dos sistemas para minimizar o risco de falhas, a
criação de procedimentos para a geração de cópias de
segurança e sua recuperação e a administração segura de
redes de comunicações.

Seção 11 – Controle de acesso

O acesso à informação, assim como aos recursos de

processamento das informações e aos processos de negócios,
deve ser controlado com base nos requisitos de negócio e na
segurança da informação. Deve ser assegurado o acesso de
usuário autorizado e prevenido o acesso não autorizado a
sistemas de informação, a fim de evitar danos a documentos e
recursos de processamento da informação que estejam ao
alcance de qualquer um.

Seção 12 – Aquisição, desenvolvimento e manutenção de

sistemas

Os requisitos de segurança de sistemas de informação devem

ser identificados e acordados antes do seu desenvolvimento
e/ou de sua implementação, para que assim possam ser
protegidos visando a manutenção de sua confidencialidade,
autenticidade ou integridade por meios criptográficos.

Seção 13 – Gestão de incidentes de segurança da

informação

Procedimentos formais de registro e escalonamento devem ser

estabelecidos, e os funcionários, fornecedores e terceiros
devem estar conscientes sobre os procedimentos para
notificação dos eventos de segurança da informação, para
assegurar que eles sejam comunicados o mais rápido possível
e corrigidos em tempo hábil.

Seção 14 – Gestão da continuidade do negócio

Planos de continuidade do negócio devem ser desenvolvidos e

implementados, visando impedir a interrupção das atividades
do negócio e assegurar que as operações essenciais sejam
rapidamente recuperadas.

Seção 15 – Conformidade

É importante evitar a violação de qualquer lei criminal ou civil,

garantindo estatutos, regulamentações ou obrigações
contratuais e de quaisquer requisitos de segurança da
informação. Caso necessário, a empresa pode contratar uma
consultoria especializada, para que verifique sua conformidade
e aderência a requisitos legais e regulamentares.

Um passo importante para a segurança da informação em

ambientes corporativos

Seguir os princípios da certificação ISO/IEC 27002 é um passo

altamente relevante, para garantir a segurança da informação
nas empresas. Neste sentido, é primordial ressaltar a
importância de empresas possuírem profissionais certificados
em seus times de segurança, dando maior respaldo ao
processo de implantação das boas práticas relacionadas a
norma, bem como a obtenção de certificação corporativa ISO
27001.