Escolar Documentos
Profissional Documentos
Cultura Documentos
Brasília
2011
Rodrigo Franco de Souza
Brasília
2011
Rodrigo Franco de Souza
Brasília
Outubro de 2011
Desenvolvido em atendimento ao plano de trabalho do Programa de
Formação de Especialistas para a Elaboração da Metodologia Brasileira
de Gestão da Segurança da Informação e Comunicações - CEGSIC
2009/2011.
© 2011 Rodrigo Franco de Souza. Qualquer parte desta publicação
pode ser reproduzida, desde que citada a fonte.
Dedico esse trabalho a meus filhos Caio Vieira, Felipe Franco e Gabriel
Franco.
Agradecimentos
Agradeço primeiramente a Deus, que me deu forças para mais uma conquista.
À minha família pelo apoio, incentivo e suporte fundamental de modo especial a
minha esposa Profª Maira Vieira Amorim Franco.
Ao meu orientador pela dedicação e profissionalismo.
A todos que contribuíram para a realização deste trabalho de modo especial a
ACME Corporation.
A dor é passageira. Desistir dura pra sempre.
Lance Armstrong.
Lista de Figuras
Figura 1: Organograma do Departamento de Gestão dos Serviços e Ambientes de TI
– DEGT ..................................................................................................................... 16
Figura 2 – Adaptação do Processo de Gestão de Incidentes ................................... 30
Figura 3 – Aderência ao processo de tratamento de incidentes................................ 47
Figura 4 – Processo de tratamento de incidentes nível 1 .......................................... 49
Figura 5 – Processo de Escalada Funcional ............................................................. 49
Figura 6 – Resultado obtido a partir da avaliação individual ..................................... 56
Lista de Tabelas
Tabela 1 – Tabela demonstrativa da reunião realizada com o CPSP para avaliação
da maturidade no Gerenciamento de Incidentes ....................................................... 34
Tabela 2 - Tabela demonstrativa da reunião realizada com o CPRJ para avaliação
da maturidade no Gerenciamento de Incidentes ....................................................... 34
Tabela 3 - Tabela demonstrativa da reunião realizada com o CPDF para avaliação
da maturidade no Gerenciamento de Incidentes ....................................................... 34
Tabela 4 – Tabela demonstrativa da reunião realizada com Departamento de
Engenharia de Processos DGEP para compreensão dos procedimentos utilizados na
elaboração de um novo processo. ............................................................................ 34
Tabela 5 – Avaliação do CPDF ................................................................................. 39
Tabela 6 – Avaliação do CPRJ.................................................................................. 41
Tabela 7 – Avaliação CPSP ...................................................................................... 43
Tabela 8 - Entrevista realizada com o DGPE. ........................................................... 48
Tabela 9 – Resultado Consolidado ........................................................................... 52
Lista de siglas e abreviaturas
SLA - Service Level Agreement - Acordo de nível de serviço
IT – Information technology
ITIL - Information Technology Infrastructure Library
Sumário
Ata de Aprovação ........................................................................................................ 3
Dedicatória .................................................................................................................. 4
Agradecimentos .......................................................................................................... 5
Sumário ..................................................................................................................... 10
Resumo ..................................................................................................................... 12
Abstract ..................................................................................................................... 13
3 Metodologia ............................................................................................................ 33
Resultados ................................................................................................................ 35
5 Discussão ............................................................................................................... 50
1 Delimitação do Problema
Desde a detecção até o fechamento de um incidente computacional, diversas
etapas são realizadas para seu devido tratamento. Ações como o registro, a
categorização e a priorização estão entre as principais atividades dentro da
metodologia de resolução de um incidente.
Uma organização deve possuir métodos bem definidos que possibilitem a
execução de rotinas de forma padronizada independente sua localização geografia.
Esse estudo compreenderá como a Acme Corporation atua frente à
ocorrência de incidentes em seu ambiente computacional.
Esta pesquisa utilizou a biblioteca de boas práticas Information Technology
Infrastructure Library - ITIL, focando a Gerência de Incidentes.
1.1 Introdução
avanço é responsável pela transição da era industrial para a era da informação onde
tudo se torna mais dinâmico”. (PINHEIRO, 2006, p.6)
As tradicionais organizações são menos flexíveis para responder rapidamente
às mudanças do mercado devido a sua estrutura hierárquica. Conseqüentemente,
tornou-se uma tendência para as novas organizações serem menos burocráticas
adotando processo de gestão compartilhado sendo assim mais flexíveis as
necessidades do mercado. A ênfase é agora nos processos horizontais, e as
decisões são concedidas cada vez mais ao pessoal de nível operacional da
organização. Os processos operacionais e táticos do Gerenciamento de Serviços em
TI dão suporte a este cenário, onde o processo move-se de um departamento para
outro. (BON, 2005).
Percebida a velocidade empregada nos processos operacionais, é
fundamental que as empresas criem mecanismos capazes de atuar pró - ativamente
minimizando a inoperância de seus serviços e sistemas. Segundo o Estudo Anual
sobre Recuperação de Desastres, encomendado pela Symantec à Applied Research
West, o prejuízo anual por cada falha de disponibilidade em um dos sistemas de
companhias de grande porte da América Latina pode chegar a um custo médio
anual de US$ 4,2 milhões por empresa. (Valor Econômico, 2010)
A Norma Complementar 05/IN01/DSIC/GSIPR, de 14 de agosto de 2009,
destaca que “nos últimos anos os órgãos públicos vêm implementando e
consolidando redes locais de computadores cada vez mais amplas, como exigência
para suportar o fluxo crescente de informações, bem como permitir que seus
funcionários acessem a rede mundial de computadores para melhor
desempenharem suas funções. Manter a segurança da informação e comunicações
de uma organização em um ambiente computacional interconectado, nos dias
atuais, é um grande desafio, que se torna mais difícil à medida que são lançados
novos produtos para a Internet e novas ferramentas de ataque são desenvolvidas”
(05/IN01/DSIC/GSIPR, 2009, p.2).
Desse modo, compreender a importância e as vulnerabilidades do negócio
são passos fundamentais para a implantação de medidas preventivas a ocorrência
de incidentes.
16
1.3.3 Escopo
Os três Centros de Processamento de Dados supracitados (Rio, São Paulo e
Brasília) serão os objetos desta pesquisa.
18
1.4 Justificativa
1.5 Hipóteses
2.2 ITIL
Service Desk tem um papel amplo e pode realizar atividades pertencentes a vários
processos, entre elas, reportar incidentes e realizar requisições de serviços.
Além dessas atividades, o Service Desk tem a obrigação de manter os
usuários informados sobre os eventos de serviços, ações e oportunidades que
podem impactar na realização de suas atividades. (OGC, 2000a)
Gerenciamento de Configuração
Está inteiramente relacionado ao controle dos meios de produção da área de
TI de uma organização. O processo de Gerenciamento de Configuração é o
responsável pela criação da base de dados de gerenciamento de configuração
(Configuration Managment Database - CMDB), a qual é constituída pelos detalhes
dos itens de configuração (Configuration Items - CIs) utilizados para os processos de
gerenciamento dos serviços de TI.
O conceito de item de configuração pode ser um componente que faz parte
ou está diretamente relacionado com a infra-estrutura de TI, podendo ser um
componente físico ou lógico, além de poder ser também composto por outros CIs.
Gerenciamento de Incidente
O processo de Gerenciamento de Incidentes tem como missão realizar o
tratamento e a resolução de todos os incidentes observados nos serviços de TI,
restaurando o serviço normal o mais rápido possível com o mínimo de interrupção,
minimizando os impactos negativos nas áreas de Negócio. Para a sua
operacionalização, ele se apóia na estrutura da Central de Serviços.
A Central de Serviços funciona como componente do aprovisionamento de
serviços de TI para a organização. Ela é o primeiro ponto de contato dos usuários
dos serviços de TI ao se depararem com algo diferente do previsto. Os dois
principais focos da Central de Serviços são o gerenciamento e a comunicação de
incidentes.
Gerenciamento de Problema
O processo de Gerenciamento de Problema tem como missão minimizar a
interrupção nos serviços de TI através da organização dos recursos para solucionar
problemas de acordo com as necessidades de negócio, prevenindo a recorrência
25
Gerenciamento de Mudança
O processo de Gerenciamento de Mudança tem a missão de assegurar que
todas as implementações e alterações na infra-estrutura de TI sejam analisadas e
planejadas para que se tenha o menor risco e impacto. (OGC, 2001a)
Isto inclui assegurar uma razão do negócio associado a cada mudança a ser
realizada, identificar os CIs envolvidos, testar o procedimento de mudança e garantir
a existência de um plano de recuperação do serviço, no caso da ocorrência de
algum imprevisto.
Gerenciamento de Liberação
O processo de Gerenciamento de Liberação é o responsável pela implementação
das mudanças no ambiente de infra-estrutura de TI, ou seja, fornece um
gerenciamento físico de softwares e hardwares. Informações sobre os componentes
de hardware e software da TI e seus relacionamentos com outros são armazenados
no CMDB. Os relacionamentos com o Gerenciamento de Mudanças e Configuração
são chaves para este processo, os três estão intimamente ligados. (OGC, 2001a).
• Estabelecimento de prioridades.
• Planejamento do crescimento dos serviços.
• Definição do custo dos serviços em conjunto com o gerenciamento
financeiro e da forma de ressarcimento destes custos.
Gerenciamento da Capacidade
O processo de Gerenciamento de Capacidade tem como propósito
disponibilizar no tempo certo, no volume adequado e no custo apropriado os
recursos de infra-estrutura de TI necessários ao atendimento das demandas do
negócio em termos de serviços de TI. Segundo OGC (2001b, p. 25), o processo de
Gerenciamento da Capacidade foi desenhado para assegurar que a capacidade da
infra-estrutura de TI esteja alinhada com as necessidades do negócio.
O processo Gerenciamento de Capacidade pode ser divido nas seguintes sub-
processos:
• Monitoração do desempenho.
• Monitoração da carga de trabalho/demanda.
• Dimensionamento da aplicação.
• Projeção de recursos.
• Projeção da demanda.
• Estabelecimento de modelos.
Gerenciamento da Disponibilidade
O processo de Gerenciamento da Disponibilidade visa definir os níveis de
disponibilidade dos diversos serviços de TI a partir dos requisitos do negócio e
aperfeiçoar a capacidade da infra-estrutura para alinhar a estas necessidades (OGC,
2001b).
O cálculo da disponibilidade é, em geral, baseado em um modelo que
considera a disponibilidade média e os impactos decorrentes dos pontos de falha
mapeados com a utilização da técnica Fault Tree Analysis (FTA).
Gerenciamento Financeiro
O processo de Gerenciamento Financeiro é responsável por determinar o
verdadeiro custo de todos os serviços de TI e demonstrá-lo de maneira que a
organização possa entendê-lo e utilizá-lo para o processo de tomada de decisão.
(OGC, 2001b)
Posteriormente, é responsável pelo estabelecimento dos mecanismos que
viabilizem a cobrança do custo dos serviços de TI de seus respectivos cliente.
2.5 ITIL v3
A terceira versão da biblioteca ITIL foi lançada em maio de 2007 e conta com
5 livros principais e 1 auxiliar. Esta nova versão trás uma evolução na biblioteca que
faz uma ligação mais forte entre suas melhores práticas e os benefícios para o
negócio. Porém estas inovações não distanciam a nova versão da anterior, pois a
ITIL v3 permite os usuários se basearem no sucesso obtido com a ITIL v2 e irem
mais adiante agora com o Gerenciamento de Serviços de TI, não sendo necessário
reinventar a roda para adotar a nova versão da biblioteca como a própria literatura
oficial comenta.
Uma das principais mudanças fica por conta do seu novo ciclo de vida, ciclo
esse que pode ser mais bem entendido em outro artigo do site, na quantidade de
livros, e também no seu visual consideravelmente mais limpo.
fase do ciclo de vida, navegando pelos princípios da nova versão, que são: As fases
do novo ciclo de vida, Governança e tomada de decisão, e também os princípios por
trás do Desenho, Desenvolvimento, Operação e Otimização de serviços (Design,
Deployment, Operation e Optimisation).
Service Strategy
Este livro sugere melhores formas de planejar e implementar práticas de
Gerenciamento de Serviços de TI sempre alinhadas com as necessidades do
negócio, tornando-se uma orientação necessária para todas as outras publicações
seguintes que terão aqui uma base para garantir que os objetivos do negócio sejam
mantidos e alcançados em todas as fases do ciclo de vida. Entre os conceitos e
orientações desta publicação você vai encontrar: Estratégias de Gerenciamento de
Serviços e Planejamento de Valor, Ligações entre as estratégias de TI e as
necessidades do negócio, Planejamento e implementação de estratégias de
serviços, entre outros.
Service Design
A criação e manutenção de processos de Gerenciamento de Serviços de TI,
Diretivas, Arquitetura e Documentação, apropriadas e inovadoras, para o desenho
de serviços de Infra-estrutura são as práticas sugeridas por este livro. Com estas
soluções é possível cumprir as exigências do negócio. Entre os conceitos e
orientações desta publicação você vai encontrar: Objetivos e elementos do Desenho
de Serviços, Modelo de Desenho de Serviços, Modelo de Custos, Análise de riscos
e benefícios, Implementação de Desenho de Serviços, Medidas e controles, e muito
mais.
Service Transition
Esta publicação oferece as instruções necessárias para migrar os serviços de
TI para um ambiente de negócios. O foco aqui está no Gerenciamento de Mudanças
e nas práticas de liberações unificadas, levando em conta os riscos, produção de
utilidades, entrega segura e garantia de uma operação estável. Entre os conceitos e
orientações desta publicação você vai encontrar: Gerenciamento de mudanças
organizacionais e culturais, Gestão do Conhecimento, Sistemas de Gestão do
29
Service Operation
As atividades de entrega e controle de processos para garantir a proteção e
estabilidade exigida pelos serviços de TI são o foco desta publicação. Assim como a
entrega e o suporte de serviços (Service Delivery e Service Support) trabalhavam
juntos na ITIL v2, aqui formam a parte principal deste livro. Entre os conceitos e
orientações aqui apresentados você vai encontrar: Gerenciamento de Aplicações,
Gerenciamento de Mudanças, Gerenciamento de Operações, Controle de processos
e funções, Práticas escaláveis, Medidas e controles.
3 Metodologia
1. Levantar referencial teórico;
2. Elaborar os questionários;
3. Aplicar os questionários;
5. Tabular as informações;
6. Analisar um Incidente;
7. Analisar os resultados.
Tabela 1 – Tabela demonstrativa da reunião realizada com o CPSP para avaliação da maturidade no
Gerenciamento de Incidentes
Tabela 2 - Tabela demonstrativa da reunião realizada com o CPRJ para avaliação da maturidade no
Gerenciamento de Incidentes
Tabela 3 - Tabela demonstrativa da reunião realizada com o CPDF para avaliação da maturidade no
Gerenciamento de Incidentes
Reunião
Data: 27/09/2011
Horário: 10h00min
Salas: Sala de reuniões do CPDF, Anexo
Assunto: Compreensão do método utilizado na elaboração de normas e procedimentos
35
Resultados
A ACME Corporation é uma empresa de TI que exerce um papel fundamental
para o Governo Federal e para o Cidadão Brasileiro com vistas à distribuição de
renda e erradicação da pobreza.
Para auxiliar na conquista desses objetivos é fundamental que os centros de
processamento da ACME estejam disponíveis sempre que requisitados, dessa forma
promover ações que garantam a disponibilidade dos sistemas é sem dúvida uma
das principais prioridades da alta direção.
Objetivando uma análise sobre as hipóteses estabelecidas foram realizadas
coletas de dados na busca por delinear o comportamento da empresa em seus três
centros de processamento durante a ocorrência de um incidente.
Dessa forma as seguintes ações foram realizadas para obtenção dos dados:
Perguntas Respostas
Pergunta 1 - Qual foi à motivação para Levantar como a empresa gerencia seus
mapeamento do processo de gerenciamento incidentes e identificar possíveis melhorias
de incidentes? visando diminuir da indisponibilidade dos
serviços.
Pergunta 2 - Quais áreas participaram da Áreas de infraestrutura, gestão de serviços e
atividade? suporte a aplicações
Pergunta 3 - Quem foi o responsável por Todos os atores do processo de incidentes
homologar o processo?
Pergunta 4 - Como se deu o primeiro teste do Acompanhamento das atividades definidas no
processo realizado? fluxo.
Pergunta 5 - Como se deu o envolvimento Participaram ativamente das reuniões de
dos centros de processamento na elaboração levantamento do processo. (Aqui na DTP
do método? fizemos para o CPRJ inicialmente e
pretendemos estender para os demais CP´s.
5 Discussão
O processo de resposta a incidentes de segurança tem fundamental
importância na mitigação dos possíveis danos causados por indisponibilidades de
serviços. A implantação dessa metodologia não é uma tarefa simples, tendo em
vista que há uma necessidade crescente de se estabelecer meios de capacitação
dos empregados para bem executarem as funções de suas competências.
Ao longo da pesquisa verificou-se um esforço incipiente da Acme Corporation
em instituir meios para que os procedimentos de gestão de TI estejam alinhados
entre os centros de processamento. Tal argumentação é sustentada pela
inexistência de extensões dos departamentos de gestão nos demais centros de
processamento bem como pela não colaboração destes na construção dos
processos.
Além do gerenciamento de incidentes, estão em fase implantação outras
disciplinas da ITIL, inclusive com processos bem definidos em relação aos centros
de processamento.
Com base nos dados obtidos pode ser concluído que o CPRJ é aderente as
boas práticas preconizadas pela ITIL apesar de não realizar em sua totalidade as
boas práticas já apresenta um nível elevado de aderência estando este acima da
referência média obtida através do somatório das nove referências que é 80,57% de
soma total mínima, estando o CPRJ com um somatório total de 83,60% de
aderência.
O CPDF totalizou 54,93% de aderência as boas práticas, ficando abaixo da
referência estabelecida nesta pesquisa. Foi possível constar que as maiores
deficiências estão concentradas nos níveis 4, 8 e 9, Integração Interna, Integração
Externa e Interface com o Cliente respectivamente.
O CPSP totalizou 30,01% de aderência as boas práticas, ficando muito abaixo
da referência estabelecida nesta pesquisa. Foi possível constar que as maiores
deficiências estão concentradas nos níveis 3 e 7 Capacidade Processual e
Informação Gerencial respectivamente.
forma 100% dos incidentes são escalados para o próximo nível. Já o CPSP escala
mais da metade dos seus incidentes, pois não possui equipe técnica suficiente para
solucionar todos os seus incidentes, já o CPDF escala uma pequena parte, pois
neste último apenas existem apenas técnicos classificados como de segundo nível,
ou seja, possuem conhecimento técnico satisfatório, porém, recebem todos os
incidentes relacionados à unidade operacional, sendo assim escalado o menor nível
possível.
ITSMF, The IT Service Managerment Forum UK- Best Practice. 2003. Self
Assessment. Disponível em: <http//www.itsmf.com/trans/sa.asp>. Acesso em 19 de
setembro de 2011.
1. Quando ocorre um incidente você procede de alguma forma com o registro dele seja
por canal telefônico, e-mail ou sistema?
( ) SIM
( ) NÃO
( ) SEM RESPOSTA
( ) SIM
( ) NÃO
( ) SEM RESPOSTA
3. A cadeia de suporte está determinada com níveis especificados para a escalada dos
incidentes?
( ) SIM
( ) NÃO
( ) SEM RESPOSTA
( ) SIM
( ) NÃO
( ) SEM RESPOSTA
( ) SIM
( ) NÃO
( ) SEM RESPOSTA
( ) SIM
( ) NÃO
( ) SEM RESPOSTA
( ) SIM
( ) NÃO
( ) SEM RESPOSTA
( ) SIM
( ) NÃO
( ) SEM RESPOSTA
9. Você soluciona incidente caso ele chegue diretamente para você por email ou telefone,
ou por qualquer outro processo que não seja o formalizado pela empresa?
( ) SIM
( ) NÃO
( ) SEM RESPOSTA
( ) SIM
( ) NÃO
( ) SEM RESPOSTA
65
Nota mínima: “Y” para todas as questões mandatórias (M); +1 para “Y” nos demais itens 0
Nível 2: Capacidade Processual
M 11. Existe um procedimento para atribuir, monitorar e comunicar o progresso dos incidentes? 0
12. A Gerência de Incidente fornece ao Service Desk ou ao cliente/usuário informações
M atualizadas sobre o progresso e o status no tratamento dos incidentes? 0
M 13. Existem procedimentos para o fechamento de incidentes? 0
14. A Gerência de Incidente fornece ao Service Desk informações gerenciais e
recomendações para a melhoria do serviço? 0
15. Os gerentes de incidente esforçam-se em reforçar os acordos de nível de serviço do
cliente com o suporte de segundo nível e com os fornecedores terceirizados? 0
16. Os gerentes de incidente coordenam a Gerência de Problema, equipe de suporte e o
gerenciamento dos serviços de TI quando um incidente mais sério acontece? 0
17. Foi produzido um estudo sobre as medidas paliativas adotadas para determinar o nível
requerido da equipe de suporte, o tipo da habilidade e os custos associados ao 0
gerenciamento do incidente?
Nota mínima: “Y” para todas as questões mandatórias (M); +1 para “Y” nos demais itens 0
Nível 2.5: Integração Interna
18. A Gerência de Incidente compara os incidentes com a base de dados de problemas e de
M erros conhecidos? 0
19. A Gerência de Incidente informa o Service Desk e a Gerência de Problema das soluções
paliativas? 0
67
20. Os incidentes que rompem o acordo de nível de serviço são identificados e a equipe de
resolução do incidente informada da ruptura? 0
Nota mínima: “Y” para todas as questões mandatórias (M); +1 para “Y” nos demais itens 0
Nível 3: Produtos
21. Os registros dos incidentes relatados são guardados (incluindo resolução e/ou solução
M paliativa)? 0
22. As Requisições de Mudanças são produzidas, se necessário, para a resolução do
M incidente? 0
23. Os registros dos incidentes resolvidos e fechados são atualizados e claramente
M comunicados ao Service Desk, clientes e demais partes? 0
24. São produzidos relatórios regulares para todas as equipes que contribuem no processo
de resolução do incidente, em relação ao status do incidente? 0
25. Uma análise do workload é produzida para ajudar a determinar os níveis das equipes? 0
26. As revisões gerenciais são mantidas para destacar uma escala detalhada dos
incidentes? 0
Nota mínima: “Y” para todas as questões mandatórias (M); +1 para “Y” nos demais itens 0
Nível 3.5: Controle de Qualidade
27. Os padrões e outros critérios de qualidade aplicados ao registro dos incidentes e a
M manipulação dos chamados são feitos de forma clara à equipe da Gerência de Incidente? 0
28. Os Acordos de Nível de Serviço estão disponíveis e são compreendidos pela Gerência
M de Incidente? 0
M 29. Are the personnel responsible for incident management suitably trained? 0
30. A empresa ajusta e revê os alvos ou objetivos da Gerência de Incidente? 0
31. Existe ferramentas apropriadas em uso para dar suporte a função da Gerência de
Incidente? 0
Nota mínima: “Y” para todas as questões mandatórias (M); +1 para “Y” nos demais itens 0
Nível 4: Informação Gerencial
32. São gerenciadas as informações referentes a análise de tendência na ocorrência e na
M definição de incidentes? 0
M 33. São gerenciadas as informações referentes aos incidentes escalonados? 0
34. São gerenciadas as informações referentes a porcentagem de incidentes atendidos
dentro do tempo de resposta acordado? 0
35. São gerenciadas as informações referentes a porcentagem de incidentes fechados pelo
Service Desk sem referência a outros níveis de suporte? 0
Nota mínima: “Y” para todas as questões mandatórias (M); + 2 para “Y” nos demais itens 0
Nível 4.5: Integração Externa
36. São realizadas reuniões regulares com o Service Desk para discutir os incidentes
M levantados, em progresso, escalados e fechados? 0
37. As relações entre o Service Desk e a Gerência de Incidente foram definidas e
M comunicadas? 0
38. A Gerência de Incidente troca informações com a Gerência de Problema a respeito de
M problemas relacionados e/ou de erros conhecidos? 0
Nota mínima: “Y” para todas as questões mandatórias (M); + 2 para “Y” nos demais itens 0
68
M 47. É monitorada a percepção de valor que o cliente tem acerca dos serviços fornecidos a 0
ele?
Nota mínima: “Y” para todas as questões mandatórias (M) 0