GR TIPS

O quinto post desta série apresenta a tradução da sessão de perguntas e respostas relativas ao livro 5 da nova versão da biblioteca ITIL

O livro “Melhoria Contínua de Serviços” da versão 3 da Biblioteca de Infraestrutura de TI (ITIL) apresenta orientações sobre como garantir que um serviço entregue o máximo de benefícios. Seguindo a um webcast ao vivo no site SearchCIO.com, Kathryn Pizzo respondeu às seguintes questões relacionadas a este livro:

Qual a diferença entre melhoria contínua de serviços (continuous service improvement) e melhoria ininterrupta de serviços (continual service improvement)?

Contínua (continuous) implica em uma forte continuidade sem nenhuma falha ou interrupção. Ininterrupta (continual), de outra forma, significa uma restrita e intata sucessão de eventos onde podem ocorrer pausas em seu ciclo. O termo ininterrupto é mais apropriado no caso de melhorias do ITIL em atividades repetitivas por natureza mas com pausas de dias ou até meses entre as etapas de melhoria.

Quem é o principal foco do livro “Melhoria Contínua de Serviços” da versão 3 do ITIL?

O livro “Melhoria contínua de serviços” é direcionado para pessoas que pretendem rever as práticas de gerenciamento dos serviços de TI atuais da organização visando identificá-las, compreendê-las e medir seus pontos fortes e fracos. Também aqueles que são responsáveis pela entrega de serviços com qualidade encontrarão grandes recursos no livro.

Até que ponto o ITIL V3 suporta a ISO 20000?

A ISO/IEC 20000 define um conjunto de requerimentos padrão e formal para a entrega de serviços gerenciados. O framework ITIL complementa e suporta a ISO 20000 provendo as melhores práticas que podem auxiliar na realização destes padrões. A nova biblioteca ITIL provê uma aproximação integrada que é requerida pela ISO/IEC 20000. Por exemplo, a fase de melhoria contínua de serviços do ITIL implementa um sistema de retorno baseado no modelo PDCA (Plan, Do, Check, Act) especificado na ISO/IEC 20000.

Este alinhamento entre o ITIL e a ISO/IEC 20000 é mais visível nas seguintes áreas:

• Gerenciamento de Nível de Serviços - Garantindo que o provedor dos serviços permaneça focado no cliente através de todas as fases de planejamento, implementação e gerenciamento continuado.
• Reporte de Serviços - produzindo relatórios de serviços buscando alcançar necessidades identificadas e requerimentos de cliente.
• Gerenciamento de Relacionamento com o Negócio - Estabelecendo e mantendo um bom relacionamento entre os provedores de serviços e os clientes baseado na compreensão dos clientes e seus direcionadores do negócio.

Ref: ITIL Continual Service Improvement book, Appendix 1

Como o framework ITIL V3 se relaciona com o CMMI (Capability Maturity Model Integration)?

O CMMI é um modelo de melhoria de processos que provê orientações para a melhoria da capacidade de gerenciamento do ciclo de vida de produtos e serviços e está focado nas práticas organizacionais requeridas. O CMMI provê um modelo do que se deve fazer mas não especifica como fazer ou quem deve fazer. O ITIL é forte em processos, e com a versão 3, ampliou sua cobertura sobre o processo de desenho de serviços. O ITIL é útil para o alcance das metas estabelecidas pelo CMMI. Por exemplo, a meta de estabelecimento de uma base de produtos de trabalhos identificados para o gerenciamento da configuração definida pelo CMMI pode ser alcançada através do Gerenciamento da Configuração e Ativos de Serviços da versão 3 do ITIL e da utilização de CMDBs.

Ref: ITIL Continual Service Improvement book, Appendix 1

Existe um mapeamento entre os novos processos da versão 3 do ITIL e o COBIT?

Ainda não. Parte do material complementar da versão 3 ainda em desenvolvimento é um documento que mapeia o ITIL v3 ao COBIT e vice-versa.

O ITIL V3 provê mais exemplos de relatórios e métricas que podem ser implementados ou seguidos?

Sim. A Tabela 4.11 do livro “Melhoria Contínua de Serviços”, por exemplo, provê alguns indicadores chave de performance (KPI’s) para diferentes processos de gerenciamento de serviços. Existem também vários templates e checklists no livro, especialmente nos apêndices de cada livro. São esperados orientações mais detalhadas e específicas da aplicação do ITIL com o lançamento de novos guias complementares pelos desenvolvedores oficiais do ITIL.

Publicado em 18/09/2007, por Kathryn Pizzo, Senior Consultant da Pultorak & Associates Ltd. em Seattle.

As organizações vêm experimentando um aumento das taxas de incidentes nas áreas de segurança, disponibilidade, performance e conformidade, com impactos significantes em seus retornos financeiros, reputação, produtividade e custos. De acordo com o Computer Security Institute e o FBI, os custos por incidentes relacionados a acessos não autorizados a informações situaram-se em torno de U$85.000,00 em média, no ano de 2006 e os custos de paradas de sistemas alcançaram dezenas de milhares de dólares por hora. Não demorará muito até que alguém reconheça que mesmo as boas práticas de Gerenciamento de Riscos de TI podem em curto espaço de tempo alcançar seus limites.

Então, como as organizações podem evoluir de uma boa para uma excelente prática de Gerenciamento de Riscos de TI? O desafio se encontra no conhecimento de seu portifólio de riscos em TI, quantificando e priorizando-os considerando o perfil de riscos da organização e desenvolvendo um efetivo programa de atividades de remediação.

Os cinco passos listados a seguir podem auxiliar as organizações na avaliação de seus níveis de riscos de TI, no desenvolvimento de programas de remediação e finalmente, construir efetivos e contínuos programas de Gerenciamento de Riscos de TI.

Passo 1 – Desenvolver a consciência dos riscos de TI
A mitigação dos riscos de TI começa com um levantamento completo, incluindo:
- estabelecimento do escopo do programa (Até que ponto a identificação dos riscos de TI é apropriada?)
- construção de um perfil de riscos para a organização baseado em suas prioridades totais
- identificação das áreas de risco da TI

Essa avaliação deve considerar também os requerimentos, capacidades e vulnerabilidades atuais da organização. Por último, esta etapa envolve a identificação e classificação de suas ameaças, vulnerabilidades e fraquezas com conseqüente associação de prioridades a estas de acordo com o risco.

Passo 2 – Quantificar os impactos aos negócios
A quantificação dos impactos aos negócios é normalmente o passo mais difícil - e o mais importante. Até que estes impactos sejam quantificados, positiva ou negativamente, a gestão da TI deve ser capaz de priorizá-los juntamente a seus pares e obter os recursos necessários à suas mitigações.

A quantificação do impacto aos negócios pode ser estabelecida de duas formas:
1) Através da priorização dos riscos baseado em seus potenciais de impacto aos negócios de acordo com o perfil de riscos da organização e a facilidade ou dificuldade de suas mitigações, medidas em tempo, recursos funcionais e investimentos.
2) Através da construção de argumentos de negócios detalhados somente para aqueles riscos identificados como de alto impacto.

Passo 3 – Desenvolvimento de soluções
Neste ponto, a organização conhece o escopo e os componentes do programa de gerenciamento de riscos de TI, seu status atual e a priorização de cada área dos riscos de TI.

O próximo passo é desenvolver um conjunto de soluções de remediação, considerando os elementos clássicos: pessoas, processos e tecnologias. Cada um com seus respectivos requerimentos, especificações, objetivos e funções.

Esta fase também inclui uma detalhada análise de custos para manter os custos e benefícios das iniciativas propostas alinhados aos objetivos organizacionais.

Passo 4 – Alinhar a TI ao valor dos negócios; implementar as soluções
A fase de implementação determina se as iniciativas voltadas à mitigação dos riscos estão satisfatoriamente implementadas considerando as pessoas, processos e tecnologias envolvidos e também considerando os objetivos de todos os interessados dentro da organização. Esta fase também requer avaliações e melhorias constantes no sentido de obter a mais eficiente mitigação considerando as diferentes prioridades associadas aos riscos. Com um sistema de métricas coerente e com capacidades de gerenciamento de performance, as organizações conseguem alcançar a etapa de obtenção da dados base, ajustes de performance e avaliação da efetividade do programa ante o cenário original.

Paso 5 – Construção e gerenciamento unificado de capacidades
Uma vez iniciada a implementação da primeira onda de soluções de risco de TI, as organizações podem instituir a elaboração de programas visando à melhoria contínua da governança de seus programas de gerenciamento de riscos de TI.

Adaptando seus esforços, suas experiências e a evolução de sua maturidade, as organizações podem evitar ou superar os desafios mais comuns da fase de implementação, como projetos reativos e ausência de progressos quantificáveis.

Embora não exista uma fórmula mágica para o gerenciamento de riscos de TI, estes processos podem auxiliar as organizações a gerenciar seus recursos efetivamente na busca por melhorias reais e duradouras ao gerenciamento de riscos, com freqüente redução da complexidade e dos custos da infraestrutura de TI.

Tradução do artigo publicado por Hon Tran no Security Response Weblog da Symantec.

O maior evento de Segurança da Informação e Gestão de Risco do Estado de Minas Gerais, reunirá em um único dia os principais players do mercado mineiro. Serão realizadas doze palestras distribuídas em duas grades simultâneas e mais um Keynote Speaker.

Maiores informações e inscrições acesse o site.

Uma rápida pesquisa no Google com os termos “Gestão de Riscos” e “Risk Management” e você terá um universo de mais de 125 milhões de páginas (um pouco mais de 2 milhões com o termo em português e 124 milhões com o termo em inglês) para tentar compreender qual é afinal, o seu conceito. Todo este vasto material revela uma disciplina que busca sempre o melhor equilíbrio entre riscos e custos e que vem sendo praticada através de décadas pelas mais variadas organizações. Ironicamente, o termo “Gestão de Riscos” somente tornou-se comumente utilizado recentemente. Tradicionalmente, costumamos associá-lo aos riscos relacionados aos ativos financeiros (seguros, créditos, taxas de câmbio, empréstimos, etc). Atualmente, este enfoque modificou-se. Passou-se a discutir e avaliar também os riscos operacionais, bastante associados à Tecnologia da Informação.

À medida em que os negócios e até mesmo seus clientes vêem crescer dia após dia sua dependência em relação à internet e aos sistemas de TI, os riscos de infraestrutura tornam-se mais visíveis e significantes. Violações ou falhas em sistemas de informação causam sérias crises de negócio - danos à reputação causados por roubo de identidade, vazamento de informações confidenciais em função de falhas de sistemas e o surgimento de restrições regulatórias em função da procura por conformidade.

Recentes manchetes em publicações de áreas diversas destacaram com grande ênfase numerosos problemas relacionados aos riscos tecnológicos: roubos de mídias de backup, processos litigiosos resultantes da produção e/ou preservação imprópria de registros eletrônicos, roubo de identidade e quebras de propriedades intelectuais.

Hoje é facilmente perceptível entender porque os quadros executivos das corporações mundiais buscam incansávelmente respostas para a pergunta: Como mitigar dramáticamente os riscos e melhorar o retorno sobre os investimentos em sistemas de informação?

Enquanto disciplina, a Gestão de Riscos de TI, é bastante nova. No passado, os riscos associados à TI estavam limitados a aspectos como segurança e continuidade dos negócios. Hoje, o conceito sobre riscos de TI evoluiu e tornou-se clara a visão de que os riscos de TI não são unidimensionais. Um completo programa de gestão de riscos de TI avalia os riscos relativos à segurança e disponibilidade de dados, disponibilidade integral e performance dos ativos de informação e a conformidade com exigências regulatórias ou legais.

Ao considerar cada uma das seguintes categorias de riscos de TI, pode-se criar para os negócios uma estrutura mais completa de combate aos riscos apresentados.

Segurança: São os riscos relativos às ameças internas ou externas que podem resultar em acessos não autorizados à alguma informação. Incluem-se aqui os riscos relativos ao vazamento de dados, privacidade de dados e fraudes. Inclui-se aqui também uma ampla gama de ameaças externas como ataque por vírus, bem como ataques bem objetivos à aplicações, usuários e informações específicas - ataque a sistemas que as pessoas confiam e utilizam diáriamente.

Disponibilidade: Trata-se do risco de uma informação apresentar-se inacessível devido a interrupções não planejadas em sistemas. As organizações têm a responsabilidade de manter seus sistemas de negócio operacionais. Como resultado, elas precisam reduzir os riscos de perda ou corrupção de dados e de indisponibilidade de aplicações. E, no caso de uma falha, os negócios devem ser recuperados em um prazo adequado.

Performance: É o risco de uma informação apresentar-se inacessível devido a limitações de escalabilidade ou gargalos relativos à comunicação de dados. Os negócios precisam garantir os requerimentos de volume e performance - mesmo durante momentos de pico. Aspectos relativos à performance devem ser identificados proativamente, antes que os usuários finais ou aplicações sejam impactados. E, para minimizar os custos, as organizações precisam otimizar seus recursos e evitar gastos desnecessários em hardware.

Conformidade: É o risco de violação de exigências regulatórias ou de falha no alcance de requerimentos de políticas internas. As empresas precisam apresentar conformidade a regulações dos mais diversos níveis (federais, estaduais) como SOX e ISO 9000. As organizações precisam preservar informações e prover um eficiente sistema de busca e recuperação de conteúdo quando requerido (principalmente em e-mails). Em adição, os empregados devem ser responsáveis pela observação das melhores práticas e políticas internas para garantir mais eficiência à operação dos negócios

O interrelacionamento entre estes tipos de riscos da TI vem aumentando significativamente. Ampliar seus conhecimentos e priorizá-los é um importante passo inicial no estabelecimento de um efetivo programa de gestão de riscos da TI.

OBS: Conheça o novo portal sobre GRC desenvolvido por mim, onde portei este e todos os outros artigos deste blog. Visite http://www.grc.net.br. 

Hoje a lista de dicas de artigos interessantes está mais variada, abordando tópicos relacionados à Gestão de Projetos, Gestão de Riscos e indicando dois excelentes blogs. Comentários, críticas e sugestões de novos artigos são sempre bem vindos.

Leitura quase diária, o blog Efetividade.net apresenta excelentes artigos sobre produtividade pessoal. Indico o artigo sobre a Lei de Parkinson que trata sobre o gerenciamento de recursos na Gestão de Projetos.

Uma ótima sugestão de inclusão em seu blogroll: o blog Securosis.com que, como o próprio autor descreve, trata-se de uma desordem mental caracterizada pelo cinismo, paranóia e a estranha compulsão de proteger objetos aleatórios. Aproveite para ler este post sobre “ameaças internas”.

Muito se discute sobre a possibilidade de aplicação de uma solução única de criptografia para todo o ambiente de TI de uma organização. Rob Newby escreve um excelente post sobre este assunto e demonstra, em parte, o porquê de algo assim não ser possível. Um outra discussão interessante também apresentada neste post é a preocupação sobre o tamanho das chaves criptográficas usadas ao invés de questões como o gerenciamento de chaves.

O quarto post desta série apresenta a tradução da sessão de perguntas e respostas relativas ao livro 4 da nova versão da biblioteca ITIL

O livro “Operação de Serviços” da versão 3 da Biblioteca de Infraestrutura de TI (ITIL) apresenta orientações sobre como sua organização pode gerenciar com sucesso um serviço através do seu ciclo de vida de produção. Seguindo a um webcast ao vivo no site SearchCIO.com, Don Cox respondeu às seguintes questões relacionadas a este livro:

Quais são os conceitos introduzidos na versão 3 da Operação de Serviços do ITIL?

Existem diversos novos processos e funções introduzidos na Operação de Serviços da versão 3 do ITIL, bem como algumas orientações e princípios conceituais. Uma aspecto bastante considerado foi a importante questão do equilíbrio entre motivos conflitantes na operação: a visão interna da TI versus a visão externa dos negócios; estabilidade versus respostas imediatas; qualidade de serviço versus custo do serviço e reatividade versus proatividade. É atribuída uma maior ênfase a estes conflitos à medida que eles podem criar ou arruinar as operações de TI.

O que aconteceu com alguns dos processos do gerenciamento de serviços da versão 2 do ITIL?

No ITIL v3, a maioria dos processos do gerenciamento de serviços da versão 2 permanecem iguais, exceto aqueles que foram ampliados para estarem mais alinhados ao ciclo de vida dos serviços. Como conseqüência, eles foram reorganizados em diferentes fases do ciclo de vida dos serviços. Alguns poucos processos também foram adicionados e novas funções foram criadas para lidar com atividades que demandavam um grupo de pessoas separado.

Como as requisições de serviços são tratadas na versão 3 do ITIL comparadas à versão 2?

Na versão 3, requisições de serviços são tratadas por um novo e independente processo chamado “Request Fulfillment”. Na versão 2, todas as requisições de serviços eram tratadas como parte do Gerenciamento de Incidentes e, naquele cenário, as requisições de serviços poderiam sofrer atraso em suas resoluções em função de incidentes mais importantes ou desnecessariamente sofrer muitas validações e verificações que são mais apropriados para a manipulação de problemas e interrupções . Com o processo “Request Fulfillment”, requisições de serviços são tratadas similarmente aos incidentes, mas com seus próprios registros bem como suas próprias formas de priorização e execução.

Ref: ITIL Service Transition book, 2.4.5

O desenvolvimento de uma aplicação encontra-se sob a função de Gerenciamento da Aplicação?

Não, não se encontra. O Gerenciamento da Aplicação é responsável pelo gerenciamento de aplicações através de seus ciclo de vida e é focado no gerenciamento e suporte operacional das aplicações. Ele pode auxiliar também ao desenho, teste e melhoramento das aplicações que são parte dos serviços de TI, provendo entradas relacionadas à melhoria de sua flexibilidade, mas não tem a pretensão de assumir o trabalho do time de desenvolvimento de aplicações.

Publicado em 18/09/2007, por Don Cox, CTO da Pultorak & Associates Ltd. em Seattle.