Para compor o modelo de governana de TIC, alm dos processos identificados na
seo 4.3, foram considerados objetivos de controle dos processos COBIT dispostos na tabela 5-1, selecionados a partir da anlise dos dados coletados. Processos COBIT obtidos atravs da anlise dos dados coletados Processos COBIT obtidos atravs da anlise dos dados coletados PO1 Definir uma plano estratgico de TI DS2 Gerenciar servios de terceiros PO2 Definir a arquitetura da informao DS3 Gerenciar a performance e a capacidade PO3 Determinar a direo tecnolgica DS4 Garantir a continuidade do servio PO4 Definir os processos de TI DS5 Gerenciar a segurana dos sistemas PO8 Gerir a qualidade DS7 Educar e treinar usurios PO10 Gerir os projetos DS8 Gerenciar incidentes e o service desk AI2 Adquirir e manter software DS9 Gerenciar a configurao AI3 Adquirir e manter infra-estrutura de TI DS10 Gerenciar problemas AI6 Gerir mudanas DS11 Gerenciar dados AI7 Instalar e certificar solues e mudanas DS13 Gerenciar as operaes DS1 Definir e gerenciar os nveis de servio ME1 Monitorar e avaliar a performance de TI Tabela 5-1 - Processos COBIT do modelo de governana de TIC Fonte: Dados primrios e secundrios Ao considerar os processos listados na seo 4.3, chega-se ao conjunto completo de objetivos de controle COBIT do modelo de governana de TIC, estes processos esto destacados em negrito na tabela 5-1. A partir dos processos identificados, foram relacionados os objetivos de controle relevantes ao tema estudado. Uma vez identificados os objetivos de controle do modelo, os tpicos (processos, sub-processos e atividades) ITIL que os suportam foram identificados utilizando-se o documento tcnico Aligning COBIT 4.1, ITIL V3 and ISO/IEC 27002 for business benefit (ITGI; OGC, 2008). O quadro 5-1 lista os objetivos de controle COBIT identificados e os tpicos ITIL relacionados. CO ID Objetivo de controle (CO) Tpico ITIL PO1 Definir um plano estratgico de TI PO1.3 Avaliao da performance e capacidade correntes PO1.4 Plano estratgico de TI SS 3.5 Fundamentos da estratgia do servio 98 CO ID Objetivo de controle (CO) Tpico ITIL PO1.6 Gesto do portflio de TI SS 5.3 Gesto do portflio do servio SD 3.4 Identificao e documentao dos requisitos e drivers do negcio SD 3.6.1 Desenhando solues baseadas em servios SD 3.6.2 Desenhando sistemas de suporte, do portflio de servios em particular PO2 Definir a arquitetura da informao PO2.4 Gesto da integridade ST 4.7 Gesto do conhecimento PO3 Determinar a direo tecnolgica PO3.2 Plano de infra-estrutura de TI SD 3.6.3 Desenhando arquiteturas de TI PO4 Definir os processos, a organizao e os relacionamentos PO4.5 Estrutura organizacional de TI SS 2.6 Funes e processos ao longo do ciclo de vida do servio ST 4.2.6.8 O comit de avaliao de mudanas SO 6.2 service desk SO 6.3 Gesto tcnica SO 6.4 Gesto das operaes de TI SO 6.5 Gesto das aplicaes SO 6.7 Estrutura organizacional da operao de servios PO4.6 Estabelecimento de papeis e responsabilidades SS 2.6 Funes e processos ao longo do ciclo de vida do servio SO 6.6 Papeis e responsabilidades da operao do servio PO4.9 Propriedade dos sistemas e dados SO 6.3 Gesto tcnica PO8 Gesto da qualidade PO8.2 Padres de TI e prticas da qualidade ST 3.2.13 Garantir a qualidade de servios novos ou modificados ST 4.5 Validao e testes do servio PO8.3 Padres de desenvolvimento e aquisio SD 5.3 Gesto das aplicaes ST 3.2.3 Adote padres e framework padro ST 4.1.5.1 Estratgia de transio PO8.4 Foco no cliente PO8.5 Melhoria contnua CSI PO10 Gesto de projetos PO10.11 Controle de mudanas de projeto ST 3.2.10 Antecipar e gerenciar correes de percurso AI2 Adquirir e manter software aplicativo AI2.1 Design de alto nvel SD 3.6.1 Desenhando solues de servios SD 3.6.3 Desenhando arquitetura tecnolgica AI2.2 Design detalhado SD 5.3 Gesto das aplicaes AI2.4 Disponibilidade e segurana das aplicaes SD 3.6.1 Desenhando solues de servios AI2.5 Configurao e implementao de software adquirido AI2.10 Manuteno de software aplicativo AI3 Adquirir e manter infra-estrutura de TI AI3.1 Plano de aquisio de infra-estrutura de TI SD 3.6.3 Desenhando arquiteturas de TI AI3.2 Proteo e disponibilidade dos recursos de infra-estrutura SO 5.4 suporte e gesto dos servidores 99 CO ID Objetivo de controle (CO) Tpico ITIL AI3.3 Manuteno da infra-estrutura SO 5.4 Gesto e suporte dos servidores SO 5.5 Gesto da rede SO 5.7 Gesto de banco de dados SO 5.9 Gesto dos desktops AI5 Obter recursos de TI AI5.2 Gesto dos contratos de fornecedores SD 4.7.5.3 Estabelecendo novos fornecedores e contratos AI5.3 Seleo dos fornecedores AI6 Gesto de mudanas AI6.1 Procedimentos e padres de mudanas ST 3.2.2 Implemente todas as mudanas de servios atravs da transio do servio ST 4.1 Planejamento e suporte da transio ST 4.2 Gesto de mudanas ST 4.2.6.1 Procedimento padro de mudana AI6.2 Avaliao do impacto, priorizao e autorizao ST 4.2.6.4 Avaliar e dimensionar a mudana AI6.3 Mudanas emergenciais ST 4.2.6.9 Mudanas emergenciais AI7 Instalar e certificar solues e mudanas AI7.1 Treinamento AI7.2 Plano de testes ST 4.5.5.1 Gesto da validao e testes AI7.3 Plano de implementao AI7.4 Teste do ambiente AI7.5 Converso de sistemas e dados AI7.7 Teste de aceitao final AI7.8 Entrada em produo ST 4.4.5.6 Realize a transferncia, implementao e retirada SO 4.3.5.4 Atendimento AI7.9 Reviso ps-implementao ST 4.4.5.10 Revisar e fechar a transio do servio ST 4.4.5.9 Revisar e fechar a implementao ST 4.6 Avaliao DS1 Definir e gerenciar nveis de servio DS1 Framework de gesto dos nveis de servio SD 4.2.5.1 frameworks de design de SLAs SD 4.2.5.9 Desenvolver contratos e relacionamentos DS1.2 Definio dos servios SD 4.1 Gesto do catlogo de servios DS1.3 Acordos de nvel de servio (SLAs) SD 4.2.5.2 Determinar, documentar e acordar sobre os requisitos de servios e produzir SLRs SD Ap. F - Modelo de SLA e OLA DS1.4 Acordos de nvel operacional (OLAs) SD Ap. F - Modelo de SLA e OLA DS1.5 Monitorar e reportar os nveis de servio alcanados SS 5.3 Gesto do portflio do servio SD 4.2.5.3 Monitorar a performance do servio com relao ao SLA CSI 4.2 Relatrios de servio DS1.6 Reviso dos SLAs e contratos DS2 Gerenciar servios de terceiros DS2.1 Identificao de todas as relaes com fornecedores SD 4.7.5.1 Avaliao de novos fornecedores e contratos SD 4.7.5.2 Categorizao e manuteno da base de dados de fornecedores e contratos 100 CO ID Objetivo de controle (CO) Tpico ITIL DS2.2 Gesto do relacionamento com o fornecedor SD 4.2.5.9 Desenvolver contratos e relacionamentos SD 4.7.5.2 Categorizao e manuteno da base de dados de fornecedores e contratos SD 4.7.5.4 Gesto e performance dos fornecedores e contratos SD 4.7.5.5 Renovao e/ou revogao de contratos DS 2.4 Monitoramento da performance do fornecedor SD 4.7.5.4 Gesto e performance dos fornecedores e contratos DS3 Gerenciar a performance e a capacidade DS3.2 Performance e capacidade correntes SO 4.1.5.2 Notificao de eventos SO 4.1.5.3 Deteco de eventos DS3.4 Disponibilidade dos recursos de TI SD 4.4 Gesto da disponibilidade SD 4.4.5.1 As atividades reativas da gesto da disponibilidade SD 4.4.5.2 As atividades pr-ativas da gesto da disponibilidade DS4 Garantir a continuidade do servio DS4.1 Framework de continuidade de TI SD 4.5 Gesto da continuidade do servio DS4.2 Planos de continuidade de TI SD Ap. K - O contedo tpico de um plano de recuperao DS4.3 Recursos crticos de TI DS4.5 Teste do plano de continuidade de TI DS 4.6 Treinamento do plano de continuidade de TI DS4.8 Recuperao e normalizao de servios de TI DS4.9 Storage de back-up externo SO 5.2.3 Backup e restore DS5 Garantir a segurana dos sistemas DS5.1 Gesto da segurana de TI SD 4.6 Gesto da segurana da informao SO 5.13 Gesto da segurana da informao e operao do servio DS5.3 Gesto da identidade SO 4.5 Gesto do acesso DS5.4 Gesto das contas de usurio SO 4.5 Gesto do acesso SO 4.5.5.1 Requisitando acesso SO 4.5.5.3 Provendo direitos SO 4.5.5.5 Logging e registro dos acessos SO 4.5.5.6 Removendo ou restringindo acessos DS5.5 Testes de segurana, vigilncia e monitoramento DS5.6 Definio de incidentes de segurana SD 4.6.5.2 Gesto de incidentes e falhas de segurana DS5.7 Proteo da tecnologia de segurana SO 5.4 Gesto e suporte dos servidores DS5.10 Segurana da rede SO 5.5 Gesto da rede DS5.11 Troca de dados sensveis DS7 Educar e treinar os usurios DS7.1 Identificao das necessidades de educao e treinamento SO 5.14 Melhoria das atividades operacionais DS7.2 Realizao de treinamento e educao DS7.3 Avaliao do treinamento recebido DS8 Gerenciar incidentes e o service desk 101 CO ID Objetivo de controle (CO) Tpico ITIL DS8.1 Service desk SO 4.1 Gesto de eventos SO 4.2 Gesto de Incidentes SO 6.2 Service desk DS8.2 Registro das solicitaes do cliente SO 4.1.5.7 Trigger / Gatilho SO 4.2.5.1 Identificao de incidentes SO 4.2.5.2 Log de incidentes SO 4.2.5.4 Priorizao de incidentes DS8.3 Escalao dos incidentes SO 4.2.5.6 Escalao de incidentes SO 4.2.5.7 Investigao e diagnstico SO 4.2.5.8 Soluo e recuperao DS8.4 Fechamento de incidentes SO 4.1.5.10 Fechamento do evento SO 4.2.5.9 Fechamento do incidente DS9 Gesto da configurao DS9.1 Repositrio e estado atual da configurao ST 4.1.5.2 Preparar a transio do servio ST 4.3.5.2 Gesto e planejamento DS9.2 Identificao e manuteno de itens de configurao ST 4.3.5.3 Identificao da configurao ST 4.3.5.4 Controle da configurao ST 4.3.5.5 Auditoria e relatrios de status DS9.3 Reviso da integridade da configurao DS10 Gerenciar problemas DS10.1 Identificao e classificao de problemas SO 4.4.5.1 Deteco de problemas SO 4.4.5.3 Categorizao de problemas SO 4.4.5.4 Priorizao de problemas DS10.2 Rastreamento e soluo de problemas SO 4.4.5.2 Log dos problemas SO 4.4.5.6 Solues temporrias SO 4.4.5.7 Registrando erros conhecidos SO 4.4.5.8 Soluo dos problemas DS10.3 Fechamento do problema SO 4.4.5.9 Fechamento do problema DS10.4 Integrao da gerncia da configurao, incidentes e problemas DS11 Gerenciar os dados DS11.2 Arranjos de storage e reteno de dados SO 5.6 Storage e arquivo DS11.5 Back-up e restaurao SO 5.2.3 Back-up e restaurao DS11.6 Requisitos de segurana para a gerncia dos dados SD 5.2 Gesto dos dados e informao DS13 Gerenciar as operaes DS13.1 Instrues e procedimentos de operao ME1 Monitorar e avaliar a performance de TI ME1.2 Definio e coleta de dados de monitoramento CSI 4.1c Passo trs - Reunindo dados CSI 4.1d Passo quatro - processando os dados ME1.3 Mtodo de monitoramento CSI 4.1b Passo dois - Defina o que voc pode medir CSI 4.1f Passo seis - Apresentando e utilizando a informao ME1.4 Avaliao da performance Quadro 5-1 - Objetivos de controle COBIT e tpicos ITIL do modelo de governana de TIC Fonte: Extrado e adaptado de ITGI; OGC 2008 com base nos dados primrios; traduo do autor Para melhor compreender o quadro 5-1, deve-se observar que os processos COBIT so destacados por cores de fundo mais fortes (verde escuro e azul claro) que as dos 102 objetivos de controle, sendo que a cor de fundo mais forte (verde) refere-se aos processos identificados como de maior importncia ao modelo (primrios), enquanto que os demais possuem uma relevncia menor (secundrios). A diviso dos processos em duas partes (primrios e secundrios) visa facilitar a adoo do modelo, uma vez que pode-se iniciar a sua implantao utilizando os processos mais importantes, para ento contemplar os demais. Da mesma forma, e com o mesmo objetivo, os objetivos de controle e tpicos ITIL identificados como de maior relevncia esto listados em negrito no quadro. Atravs da anlise dos tpicos ITIL listados no quadro 5-1, pde-se relacionar os processos ITIL presentes no modelo, listados na tabela 5-2. Processos ITIL do modelo de governana de TIC Processos ITIL do modelo de governana de TIC Estratgia do servio - SS Gesto da configurao e ativos de servios - ST Gesto do portflio do servio - SS Gesto das implementaes e dos releases - ST Gesto do catlogo de servios - SD Gesto da validao e dos testes - ST Gesto do nvel de servio - SD Gesto de eventos - SO Gesto da disponibilidade - SD Gesto de incidentes - SO Gesto da continuidade do servio - SD Gesto de problemas - SO Gesto da segurana da informao - SD Gesto do acesso - SO Gesto dos fornecedores - SD Melhoria do servio - CSI Gesto de mudanas - ST Legenda: SS - Estratgia do servio; SD - Desenho do servio; ST - Transio do servio; SO - Operao do servio; CSI - Melhoria contnua do servio Tabela 5-2 - Processos ITIL do modelo de governana de TIC Fonte: Dados primrios e secundrios Na tabela 5-2, os processos em negrito representam os processos ITIL de maior relevncia (primrios) para o modelo de governana de TIC proposto. Deve-se destacar que as referncias aos tpicos ITIL no quadro 5-1 vo alm dos seus processos, englobando tambm conceitos ITIL e atividades e prticas inerentes cada fase do ciclo de vida do servio, alm de funes ITIL. As funes ITIL consideradas no modelo esto dispostas na tabela 5-3. Funes ITIL do modelo de governana de TIC Funes ITIL do modelo de governana de TIC Service Desk Gesto das operaes de TI Gesto tcnica Gesto das aplicaes Tabela 5-3 - Funes ITIL do modelo de governana de TIC Fonte: Dados primrios e secundrios 103 Para facilitar o detalhamento, e conseqente compreenso, dos objetivos de controle e tpicos ITIL relacionados, alm de mitigar a extenso do modelo, o restante deste captulo foi separado em quatro sees, sendo que as trs subsequentes compem o modelo de governana de TIC proposto para as CSEC, e tratam dos objetivos de controle identificados, divididos em a) Gesto corporativa de TIC; b) Gesto dos fornecedores e parceiros; e c) Centro de respostas a incidentes do documento eletrnico (ou central de comunicao e suporte). A ltima seo deste captulo trata das recomendaes de gesto de TIC propostas s serventias extrajudiciais (Figura 5-1). Figura 5-1 - Modelo de governana de TIC e o processo de modernizao Fonte: Elaborado pelo autor. A figura 5-1 exibe uma viso global do modelo proposto, incluindo a sua organizao e aderncia ao processo de modernizao. As partes do modelo esto dispostas em caixas de texto azul, assim como os relacionamentos entre as partes e tambm os principais processos do modelo. 5.1 GESTO CORPORATIVA DE TIC 104 Nesta seo ser detalhado o substrato do modelo de governana de TIC que trata do provimento de direo e planejamento operao de TIC, alm das funes de TIC, da gesto dos recursos de TIC, da gesto de mudanas e do monitoramento e avaliao dos servios e ativos de TIC. 5.1.1 Planejamento estratgico de TIC Para propiciar a definio de um plano estratgico de TIC , o modelo aborda trs objetivos de controle do processo COBIT PO1 Definir um plano estratgico de TIC, alm de uma srie de objetivos de controle de outros processos COBIT: PO1.3 Avaliao da performance e capacidade correntes Avaliar o estado corrente possibilita a comparao futura e a aferio dos resultados obtidos, revelando a eficincia das medidas adotadas para otimizar a gesto de TIC. Alm disso, permite uma definio mais clara da performance em termos de contribuio das TIC para com os objetivos do negcio. PO 1.4 Plano estratgico de TI Neste objetivos de controle, o COBIT sentencia que o plano estratgico de TIC deve ser criado de forma cooperativa com os acionistas, e deve contemplar, dentre outros: i) Como os objetivos de TIC devem contribuir para com os objetivos estratgicos da organizao, com os riscos e custos associados; ii) Como a TI deve suportar os investimentos, servios e ativos de TIC; iii) Definir como os objetivos sero alcanados, atravs dos procedimentos e medies a utilizar; e iv) delimitar a estratgia de aquisies e compras, alm dos oramentos de investimentos e operacional. PO1.6 Gesto do portflio de TI e DS1.2 Definio dos servios Deve-se planejar os servios de TIC de forma a garantir que os objetivos de TIC sejam alcanados, e de fato contribuam para atingir os objetivos de negcio relacionados. Para suportar esses objetivos de controle (PO1.6 e DS1.2), o modelo proposto utiliza os processos ITIL SS 5.3 gesto do portflio do servio, da fase de estratgia do 105 servio e SD 4.1 gesto do catlogo de servios, da fase de desenho do servio. No primeiro processo, o ITIL define o portflio de servios como o conjunto de servios de TIC oferecidos pela organizao de TIC, o que compreende o catlogo de servios - que engloba os servios ativos e em funcionamento - discutido em detalhes no processo SD 4.1, e a fila de servios - que contm os servios sendo projetados, prototipados e/ou em desenvolvimento (figura 5-2). Figura 5-2 - Portflio e catlogo de servios ITIL, dispostos atravs do ciclo de vida do servio. Fonte: Customizado a partir de IQBAL; NIEVES; TAYLOR, 2007, com base nos dados primrios e secundrios. A utilizao do conceito de servios um dos pilares do ITIL. O ciclo de vida do servio torna-se mais claro a partir da anlise da figura 5-2, onde pode-se constatar como os conceitos de servios propostos pelo ITIL orientam o design de novos servios, que so listados na fila de servios do portflio. a transio do servio responsvel por migrar os servios da fila para o catlogo de servios, onde os servios so utilizados na fase de operao do servio. 106 Deve-se observar que o catlogo de servios de terceiros tambm compe o catlogo de servios. Tal configurao torna-se particularmente importante para o modelo quando so considerados os conceitos de organizaes virtuais e servios compartilhados, utilizados pelas CSEC, uma vez que tm-se um nmero considervel de servios prestados por terceiros. A ordenao e listagem dos servios, tanto da fila quanto do catlogo de servios til na medida em que fornece um ponto de partida para a gesto de TIC, j que organiza e lista os servios sob responsabilidade do gestor de TIC, fornecendo um amplo quadro dos componentes da organizao de TIC e das necessidades especficas, requerimentos e estgio atual de cada servio. O quadro 5-2 mostra um exemplo abstrato de catlogo de servios. Deve-se observar que os campos so customizveis. Nome do servio Servio A Servio B Servio N Descrio Tipo Servios de suporte Gerente(s) do servio Impacto no negcio Prioridade para o negcio SLA(s) Horas de trabalho Contatos CSEC Contatos TIC Contatos de escalao Etc. Quadro 5-2 - Exemplo de catlogo de servios Fonte: Adaptado de LLOYD; RUD; TAYLOR, 2007 O catlogo de servios deve ser disponibilizado para todos os envolvidos no processo de modernizao, sua manuteno deve ocorrer atravs do processo de gesto de mudanas (AI6) e o mesmo deve ser mantido sempre atualizado. PO2.4 Gesto da integridade Este objetivo de controle faz parte do processo PO2 Definir a arquitetura da informao e enuncia que deve-se definir procedimentos que visam garantir a integridade e consistncia de todos os dados armazenados de forma eletrnica. 107 Como este objetivo de controle pertence ao processo PO2, a preocupao neste ponto para com os bancos de dados, data warehouses, arquivos de dados, back-ups e similares. Garantir a integridade desses envolve desde a correta seleo dos locais e dispositivos de armazenamento de dados (storage), a validao do acesso aos dados pelas aplicaes e sistemas, a implantao de logs de alteraes das informaes crticas, at a correta configurao e acompanhamento dos acessos (usurios e senhas de acesso) s bases de dados. PO3.2 Plano de infra-estrutura de TI Da mesma forma que o objetivo PO1.2 busca definir um plano estratgico de TI, o PO3.2 tem o propsito de produzir um plano de infra-estrutura de TIC. Para as CSEC, o plano deve contemplar mecanismos de contingncia a falhas, prover direo para as aquisies de recursos tecnolgicos, alm de considerar mudanas no ambiente competitivo, escala dos sistemas e recursos humanos e investimentos em informao, alm de otimizar a interoperabilidade entre as plataformas, PSDEs e aplicaes. DS13.1 Instrues e procedimentos de operao Os procedimentos e instrues de operao devem ser definidos e mantidos atualizados. De forma que todos os recursos humanos envolvidos na operao e gesto de TIC devem estar familiarizados com as atividades operacionais correspondentes. O resultado desse objetivo de controle deve ser utilizado pelo processo DS7 Educar e treinar usurios e pelos processos da seo 5.3 desse captulo. 5.1.2 Funes de TIC O objetivo de controle PO4.5 Estrutura organizacional de TIC trata da organizao lgica em termos de recursos humanos e funes da organizao de TIC. A partir do enunciado Estabelecer uma estrutura organizacional interna e externa que 108 reflita as necessidades do negcio. Alm da reviso peridica da estrutura organizacional em termos de necessidades de recursos humanos e estratgias de provimento a fim de atender os objetivos do negcio e mudanas circunstanciais (ITGI, 2007, p. 42). O modelo de governana de TIC baseia-se nos conceitos de funes e papis do ITIL para implementar o objetivo de controle PO4.5. Abordar a questo da estrutura organizacional de TIC torna-se relevante ao modelo quando se considera a escalabilidade das prprias CSEC, visto que embora a coleta de dados tenha revelado que alguns gestores de TIC respondam hoje por todas as funes de TIC das respectivas entidades representativas, os planos estratgicos das CSEC prevem um crescimento exponencial de sua utilizao, o que pode demandar uma especializao das funes. Alm disso, a utilizao do conceito de papeis do ITIL, em que um mesmo recurso humano pode assumir N funes, ou papeis diferentes, encoraja a organizao da estrutura de TIC, ao menos de forma lgica, o que torna a prpria gesto de TIC mais organizada, funcional e transparente. Para o modelo, foram consideradas as funes de service desk, gesto tcnica, gesto das aplicaes e gesto das operaes de TIC (figura 5-3) do ITIL. Alm disso, o comit de avaliao de mudanas tambm citado. 109 Figura 5-3 - Funes lgicas de TIC do ITIL Fonte: Adaptado de CANNON; WHEELDON; TAYLOR, 2007 com base nos dados primrios e secundrios. Como pode ser visto na figura 5-3, a funo de gesto de operaes de TIC responsvel pela gesto das operaes dirias de TIC de acordo com os padres de performance definidos. Para tal, ela utiliza elementos de infra-estrutura tanto de hardware (gesto tcnica) quanto de software (gesto das aplicaes). Partes dessa funo, portanto, podem ser realizadas pelas outras funes de TIC. Essa funo possui duas estruturas organizacionais bem delimitadas pelo ITIL: O controle de operaes de TIC, responsvel por tarefas como back-up e restore, alm do monitoramento das atividades de TIC, e a gesto das instalaes, responsvel pelos contratos de Data Centres e decises de consolidao/virtualizao, etc. J a gesto tcnica engloba os conhecimentos e recursos tcnicos necessrios para suportar a operao da infra-estrutura de TIC. Essa funo desempenha ainda um importante papel nas etapas de design, testes, implantao e melhoria dos servios de TIC. 110 A gesto das aplicaes visa suportar a operao das aplicaes (tanto estruturantes quanto de servios) por todo o ciclo de vida do servio, o que implica em participao ativa nas atividades de design, testes e melhoria das aplicaes. Deve-se ressaltar que a funo contempla tambm as aplicaes operacionais, como softwares de gesto (ERPs), softwares de controle (de ativos, de pessoal, etc.) e similares. A funo de service desk ser discutida na seo 5.3 deste captulo. 5.1.2.1 O comit de aprovao de mudanas O ITIL estabelece que as mudanas devem ser formalmente aprovadas e comunicadas. Para tanto, so utilizadas duas estruturas organizacionais: O comit de aprovao de mudanas (CAB - ou Change Advisory Board) e o comit de aprovao de mudanas emergenciais (ECAB - ou Emergency Change Advisory Board). Para o modelo proposto, essa diferenciao no foi considerada. Foram agrupadas consideraes de ambos os comits (CAB e ECAB) com o propsito de nortear a aprovao de mudanas relevantes, ou crticas, para a operao e evoluo das CSEC. O comit formado dinamicamente conforme a necessidade e a percepo do gestor de TIC sobre a relevncia e impacto da mudana a ser proposta. O gestor de TIC poder convocar membros de outros departamentos e/ou funes organizacionais para tratar da discusso, e consequente aprovao, ou no, da mudana. Aps a tomada de deciso o comit automaticamente dissolvido. A proposio de um comit para tratar das mudanas mais importantes tem como finalidade minimizar os riscos e compartilhar a tomada de deciso com os envolvidos (direta ou indiretamente), alm de fortalecer a comunicao interna, visto que o ITIL recomenda que sejam considerados, dentre outros: O impacto que a mudana produzir na operao do negcio; O efeito da mudana sobre a infra-estrutura e os servios do negcio, considerao do impacto da mudana nos SLAs e OLAs, planos de continuidade, disponibilidade e segurana; O impacto sobre das demais reas e infra-estrutura (no de TIC, mas do negcio); Os resultados da no implementao da mudana; 111 A agenda corrente de mudanas e a carga da operao de TIC; Ressalta-se que o comit deve ser convocado mediante o surgimento de necessidades de mudanas consideradas relevantes pelo gestor de TIC. Ou seja, mudanas triviais e do dia a dia devem ser agendadas e executadas diretamente pelo processo de gesto de mudanas, sem o envolvimento do comit. 5.1.3 Gesto dos recursos de TIC Para o modelo proposto, a gesto dos recursos envolve tanto a aquisio de recursos e infra-estrutura de TIC (a) quanto a sua manuteno (b) e organizao (c). O processo COBIT AI3 adquirir e manter infra-estrutura de TI trata dos tpicos (a) e (b). AI3.1 Plano de aquisio de infra-estrutura de TI A gesto de TIC deve contar com um plano para aquisio, implementao e manuteno de infra-estrutura tecnolgica correspondente aos requerimentos tcnicos e funcionais das CSEC. O plano deve utilizar as recomendaes contidas nesta seo do modelo (5.1.3), e deve ser consoante com o CO PO3.2, discutido na seo 5.1.1. AI3.3 Manuteno da infra-estrutura Mudanas na infra-estrutura devem ser realizadas pelo processo de gesto de mudanas (AI6); A atualizao dos registros do sistema de gesto da configurao (CMS) deve ser realizada ao realizar manutenes na infra-estrutura. As manutenes devem obedecer um plano e serem realizadas pr-ativamente. Deve-se levar em considerao os requisitos dos SLAs dos servios e necessidades operacionais das CSEC, assim como os planos de disponibilidade e continuidade do servio de TIC. Dentre os itens de configurao mais relevantes para este CO, pode se citar: os servidores; a rede; os bancos de dados, os desktops e o middleware. Embora, e em funo da, a utilizao de data centres para alocar as aplicaes das CSEC transfira parte da responsabilidade pela manuteno dos ativos para os fornecedores 112 e prprios data centres, deve-se verificar a utilizao pelas CSEC dos modos de colocation, presente e/ou futura, onde uma empresa simplesmente utiliza a infra-estrutura do data center para alocar seu prprio servidor e/ou banco de dados. Esta modalidade mantm a responsabilidade sobre a manuteno dos ativos sob domnio do gestor de TIC. Da mesma forma, em muitos casos os data centres no se responsabilizam pelas informaes contidas nas bases de dados, limitando sua responsabilidade aos servidores gestores de bancos de dados. Alm disso, a alocao distribuda dos recursos (em data centres e locais fsicos diversos), implica uma ateno maior gesto e manuteno da rede e links de transmisso de dados. O Middleware constitui-se das partes de software e infra-estrutura que conectam e integram componentes de software ao longo de aplicaes e/ou sistemas, muitas vezes distribudos (CANNON; WHEELDON; TAYLOR, 2007). O middleware permite a efetiva transferncia de dados entre as aplicaes e dessa forma constitui pea chave dentre os recursos de TIC das CSEC. Para gerenciar os dados, recorreu-se ao processo COBIT DS11, que visa otimizar o uso da informao e garantir que esta esteja disponvel ao ser requerida (ITGI, 2007, p. 141) do qual foram selecionados os seguintes objetivos de controle: DS11.2 Arranjos de storage e reteno de dados Os procedimentos para garantir o armazenamento eficiente e eficaz dos dados devem ser definidos e implantados seguindo os requisitos de segurana, legais e do modelo de negcios das serventias extrajudiciais, no que diz respeito aos tempos de reteno e arquivamento. DS11.5 Back-up e restaurao Os mecanismos de back-up e restaurao de dados devem ser definidos em linha com os requisitos dos planos de continuidade do negcio, e devem englobar os sistemas, dados e bases de dados, aplicaes, documentao e dados e aplicativos de middleware. DS11.6 Requisitos de segurana para a gerncia dos dados Visa garantir a segurana dos dados. Tpico discutido com mais detalhes na seo 5.1.5. 113 J para tratar da organizao dos recursos de TIC, tpico (c) desta seo, o processo ITIL ST 4.3 gesto da configurao e dos ativos de servio foi selecionado para suportar o processo COBIT DS9 gesto da configurao. No modelo, foi utilizado o conceito ITIL de item de configurao (CI) para referenciar todo e qualquer recurso de TIC utilizado nas e pelas CSEC. Para o ITIL, um CI um ativo de TIC, componente de algum servio ou qualquer item gerencivel pelo processo ST 4.3, o que inclui itens de hardware, software, documentao, procedimentos, SLAs, OLAs, recursos humanos, etc. O uso de um sistema de gesto da configurao (CMS) recomendado devido natureza de operao das CSEC, que possui diversos componentes, sob responsabilidade de vrios fornecedores e/ou parceiros, em locais, inclusive geogrficos, tambm diversos. Dessa forma, o uso de um sistema que alm de listar, mapeia os relacionamentos entre os itens de configurao, facilita a operao e as tarefas de atualizao, ou implementao de novos, softwares e/ou mdulos ou ativos de infra-estrutura. O sistema deve ser acoplado ao(s) banco(s) de dados de configurao (CMDB). Pode existir mais de um CMDB no modelo, gerenciado por mais de um parceiro ou componente da organizao virtual. A granularidade dos CMDBs deve ser definida pelo gestor de TIC, sendo que quanto maior o nvel de detalhamento dos CI maior a preciso das informaes e tambm a complexidade da gesto. Alm do mapa de relacionamentos entre os CI, o CMS dever permitir a ordenao de CIs em nveis hierrquicos, de forma que os CI possam ser agrupados e gerenciados em bloco. Por exemplo, mdulos de um software ou SLAs de um fornecedor ou servio. O CMS, portanto, particularmente til para as sees 5.1.4 gesto de mudanas e 5.2 gesto dos fornecedores e parceiros, alm de ser utilizado no modelo pelos CO DS9.1, DS9.2 e DS9.3, listados abaixo. DS9.1 Repositrio e estado atual da configurao O repositrio de configurao recomendado pelo COBIT constitui-se do CMDB e CMS, discutidos acima. O monitoramento e registro da atualizao dos ativos e as mudanas que estes sofrem sero discutidos em detalhes pelo processo AI6 Gesto de mudanas. 114 O estado atual (ou baseline) ao qual o COBIT se refere neste CO diz respeito ao estabelecimento de checkpoints, ou pontos base, no CMS de forma a manter um histrico e um ponto de retorno aps a realizao de mudanas, caso seja necessrio. DS9.2 Identificao e manuteno de itens de configurao Este CO sentencia que devem ser estabelecidos os procedimentos para suportar a gesto e registro (log) de todas as mudanas de CI no repositrio de configurao (o CMDB). Estes procedimentos devem ser integrados aos processos AI6 gesto de mudanas; DS8 gerenciar incidentes e o service desk; e DS10 gerenciar problemas. Dessa forma, o estado atual da configurao das CSEC ser refletido precisamente no CMS. DS9.3 Reviso da integridade da configurao Deve-se revisar periodicamente os dados de configurao contidos no CMS e CMDB de forma a confirmar a sua integridade atual e histrica (baselines e registro das atualizaes). Da mesma forma, deve-se revisar as verses dos softwares instalados fisicamente no ambiente da organizao e compar-los com os registros correspondentes do CMS. Em caso de discrepncias deve-se iniciar os processos de atualizao correspondentes. 5.1.4 Gesto de mudanas Gesto de mudanas para o modelo de governana de TIC significa administrar as mudanas realizadas na e pela operao de TIC, o que compreende as incluses, atualizaes e remoes tanto em termos de software e aplicaes quanto em termos de infra-estrutura e/ou quaisquer outros recursos de TIC na estrutura e servios de TIC das CSEC, assim como seu reflexo (impacto, efeito, eficincia, etc.) na operao e servios das CSEC. Para tanto, foram utilizados os processos COBIT AI6 gesto de mudanas e AI7 instalar e certificar solues e mudanas e os processos ITIL correspondentes ST 4.2 gesto de mudanas e ST 4.4 gesto das implementaes e dos releases. 115 5.1.4.1 AI6 Gesto de mudanas O processo COBIT AI6 busca gerir as mudanas reduzindo os defeitos das solues e entrega de servios e retrabalho associado implementao das mudanas e outros processos de TIC ou de negcio que possam ser afetados (ITGI, 2007). Para tanto, o modelo proposto utiliza os seguintes CO: AI6.1 Procedimentos e padres de mudanas Deve-se criar procedimentos formais para tratar todas as requisies de mudanas, o que inclui a manuteno e aplicao de correes (patches) nas aplicaes, procedimentos, infra-estrutura, processos, sistemas e servios, e parmetros de todos estes, de forma padronizada. AI6.2 Avaliao do impacto, priorizao e autorizao Deve-se avaliar todas as requisies de mudanas de uma forma estruturada para determinar o seu impacto e funcionalidade. As mudanas devem ser categorizadas, registradas, priorizadas e autorizadas antes de serem implantadas (figura 5-4). AI6.3 Mudanas emergenciais Deve-se tratar as mudanas emergenciais de forma extraordinria, sem abrir mo, contudo, dos procedimentos descritos no CO AI6.2. Neste modelo, o comit de avaliao de mudanas (detalhado na seo 5.1.2.1) utilizado para assessorar as mudanas crticas. Para implantar o processo AI6, recorreu-se ao processo ITIL ST 4.2 gesto de mudanas. O processo de gesto de mudanas do ITIL visa garantir que todas as mudanas dos ativos de servio e CIs so registradas no CMS, alm de produzir mtodos e procedimentos padro para lidar com todas as mudanas da organizao de TIC de forma eficiente, e minimizar dessa forma o risco para o negcio (LACY; MACFARLANE; TAYLOR, 2007). Para tanto, o processo tem como objetivo garantir que as mudanas sejam registradas, avaliadas, autorizadas, priorizadas, planejadas, testadas, implementadas, documentadas e revisadas de forma controlada (LACY; MACFARLANE; TAYLOR, 2007). 116 Deve-se observar que enquanto o processo ST 4.2 visa a garantia do sucesso das mudanas, a sua implementao propriamente dita realizada pelos processos COBIT AI7 e ITIL ST 4.4, discutidos posteriormente nesta seo. Para o modelo, foram considerados dois tipos de mudanas: A mudana padro, normal, e a mudana crtica. Os critrios de criticidade (importncia) e emergncia (prioridade) devem ser observados. As mudanas crticas (emergenciais) devem tambm obedecer o processo de gesto de mudanas e a atualizao do CMS. A autorizao e priorizao da mudana ocorrem, contudo, atravs do emprego do comit de avaliao de mudanas (seo 5.1.2.1) neste caso. Para o ITIL, a mudana deve responder a 7 perguntas, denominadas os 7 Rs da mudana (tabela 5-4). Os 7 Rs da mudana Quem RELATOU (solicitou) a mudana? Qual a RAZO (motivo) da mudana? Qual o RETORNO esperado da mudana? Quais so os RISCOS envolvidos na mudana? Quais RECURSOS so requeridos pela mudana? Quem RESPONSVEL pela construo, implementao e testes da mudana? Qual a RELAO entre esta e outras mudanas? Tabela 5-4 - Os 7 Rs da mudana Fonte: LACY; MACFARLANE; TAYLOR, 2007; traduo do autor. Responder estas perguntas fundamental para completar uma avaliao de impacto da mudana de forma correta, alm de entender o real custo-benefcio da mudana para o respectivo servio em execuo (LACY; MACFARLANE; TAYLOR, 2007). O processo de gesto de mudanas inicia-se atravs da criao de uma requisio de mudanas (RFC ou Request For Change), como pode ser visto na figura 5-4. Toda RFC registrada e classificada, mesmo que seja rejeitada e/ou no executada. 117 Figura 5-4 - Fluxo do processo de gesto de mudanas Fonte: Dados secundrios Etapas de documentao e avaliao esto previstas e tem como objetivo criar um histrico e minimizar os efeitos nocivos decorrentes da implantao da mudana no ambiente, respectivamente. Uma etapa de retorno ao estado anterior (fallback) mudana tambm est presente. Deve-se observar que para que o fallback seja executado com sucesso o CMS deve estar atualizado (veja o CO DS9.3 para mais detalhes) e a RFC corretamente registrada. J a etapa de Construo, testes e implementao executada pelos processos COBIT AI7 e ITIL ST 4.4, conforme detalhado na seo 5.1.4.2. AI7 Instalar e certificar solues e mudanas Para abordar este tpico, foi utilizado, em conjunto com o processo COBIT AI7, o processo ITIL ST 4.4 gesto das implementaes e releases. Para o ITIL, algumas 118 consideraes devem ser observadas pelo modelo de release e implementao, destacadas na tabela 5-5. Consideraes do processo ITIL de gesto da implementao e releases Verificar que a release est em conformidade com o pacote de design (SDP), com a arquitetura e com os padres e planos de TIC correspondentes Garantir a integridade do hardware e software durante a instalao, manipulao, empacotamento e entrega Utilizar procedimentos e ferramentas de release e implementao padronizados Automatizar a entrega, distribuio, instalao, construo, configurao e procedimentos de auditoria onde possvel para reduzir as etapas manuais O pacote de release deve ser construdo e empacotado de um formal tal que seja possvel consert-lo e/ou cancelar sua implementao caso necessrio Utilizar os procedimentos do processo de gesto de configurao para controlar os componentes e verificar os pr e ps requisitos de instalao, assim como identificar as correlaes entre os CIs Documentar os passos da implementao Tabela 5-5 - Consideraes do modelo de gesto das implementaes e releases Fonte: Adaptado de LACY; MACFARLANE; TAYLOR, 2007; traduo do autor. Com um propsito similar, o processo COBIT AI7 trata da execuo das mudanas e implantao de novas solues ou atualizao das existentes. Deste, foram selecionados os seguintes objetivos de controle para compor este tpico do modelo: AI7.1 treinamento Deve-se treinar os usurios afetados assim como os membros tcnicos da organizao de TIC envolvidos de acordo com o plano de treinamento e necessidades especficas da mudana. AI7.2 plano de testes Deve-se estabelecer um plano de testes baseado nos padres e papeis organizacionais, assim como as funes definidas por este modelo. O plano deve ser aprovado pelos envolvidos, incluindo o comit de avaliao de mudanas, se for o caso. O processo ITIL ST 4.5 gesto da validao e dos testes pode ser utilizado para delimitar e implementar o plano de testes, pois o propsito do processo garantir que o servio, seja novo ou atualizado, ir suportar os requisitos do cliente, do negcio, e dos acionistas, assim como os nveis de servio acordados para o mesmo, garantindo a qualidade da implementao e identificando e avaliando as questes, erros, e riscos que 119 ocorrem pelo ciclo de vida de transio do servio (LACY; MACFARLANE; TAYLOR, 2007). Basicamente, o processo ITIL ST 4.5 busca certificar que a utilidade e garantia da implementao ou release estejam de acordo com as especificaes do planejamento estratgico e do desenho do servio, assim como em conformidade com os SLAs estabelecidos (figura 5-4). Figura 5-5 certificao da obteno de utilidade e garantia para obteno de valor. Fonte: Adaptado de LACY; MACFARLANE; TAYLOR, 2007; traduo do autor. Dentre os tipos de testes que o processo ITIL menciona, o modelo destaca os testes de nveis de servio (testes contra os SLAs), os testes de garantia e utilidade (figura 5-5), usabilidade, compatibilidade, de marcos regulatrios e testes operacionais (carga e estresse da release, segurana, recuperao, etc.). Alm do plano de testes, o processo prev as etapas de verificao e desenho dos testes; preparao do ambiente; realizao propriamente dia dos testes; avaliao dos resultados para determinar se os testes podem ser encerrados; e a finalizao do processo (figura 5-5). 120 Figura 5-6 - Fluxo do processo de gesto e validao de testes do ITIL. Fonte: Adaptado de LACY; MACFARLANE; TAYLOR, 2007; traduo do autor. A etapa de realizao dos testes tambm interage com, e alimenta, o CMS. Alm disso, ao serem encontrados incidentes e/ou inconsistncias nos testes, o processo mais apropriado acionado para lidar com a questo, dentre os quais pode-se citar os processos de gesto de incidentes e problemas; gesto de riscos (no contemplado pelo modelo); gesto de mudanas; e/ou gesto da configurao e dos ativos de servio (figura 5-6). 121 Figura 5-7 - Fluxograma detalhado de realizao de testes do processo de gesto de testes e validao Fonte: Adaptado de LACY; MACFARLANE; TAYLOR, 2007; traduo do autor. AI7.3 plano de implementao Deve ser estabelecido, incluindo os pontos de retorno ao estado anterior (fallback). Nos moldes do CO AI7.2, tambm deve ser aprovado junto s partes envolvidas. Para auxiliar na criao do plano, pode-se utilizar a tabela 5-7, extrada do processo ITIL ST 4.4. 122 Pergunta de implementao Exemplos O que precisa ser implementado? H bom entendimento quanto ao servio e release sendo implementada? Quais os componentes desta implementao? Quais so os norteadores, do ponto de vista do negcio, da implementao? Esta implementao atende necessidades crticas das CSEC? Quem so os usurios? Quais usurios so afetados pela implementao? Precisam de treinamento especfico/especial? (por ex. ITs; ARs; clientes; parceiros ou fornecedores; staff interno; etc.) H dependncias de localizao? Feriados, interrupes ou paradas de negcio e/ou de servios de TIC. Nvel de detalhes que precisa ser registrado quanto localizao (local fsico, ambiente, etc.) Onde esto os usurios? Usurios remotos e como sero afetados pela implementao Quem mais precisa ser preparado antecipadamente? H necessidade de treinamento do service desk e/ou demais funes de TIC? H necessidade de treinamento de fornecedores externos? preciso um planto especial por parte do provedor de servios? H questes de acesso a serem resolvidos (fsicos/de segurana/etc.)? Quando a implementao precisa ser concluda? A agenda flexvel ou h uma data limite para realizar a implementao? H processos de negcio que dependem dessa data? Por que a implementao est ocorrendo? A implementao refere-se a correo de algum problema ou uma nova funcionalidade e/ou atualizao? Os usurios entendem o que e o porque est sendo implementado? Quais so os fatores chave de sucesso? Como saber se a implementao foi concluda com sucesso? Quem autorizar a implementao? como saber quando a implementao foi concluda? Tabela 5-6 - Perguntas comuns do plano de implementao Fonte: Adaptado de LACY; MACFARLANE; TAYLOR, 2007; traduo do autor. AI7.4 teste do ambiente Com base na anlise do escopo e recursos/reas afetadas executada pelo processo de gesto de mudanas, deve-se testar o ambiente de forma estruturada, o que inclui tambm a s questes relativas segurana, prticas operacionais, qualidade dos dados, requisitos de sigilo e carga de trabalho x tempo estimado de execuo. AI7.5 converso dos sistemas e dados Algumas mudanas demandam converses de dados (atualizaes de verso de aplicativos; migrao entre softwares; integraes entre sistemas; etc.). Para estas, deve-se planejar antecipadamente e de forma estruturada estes converses, assim como migraes de e na infra-estrutura. Inclui a insero de pontos de log para auditorias posteriores, assim como o estabelecimento de pontos de rollback, ou retorno ao estado anterior caso seja necessrio. AI7.7 teste de aceitao final 123 As mudanas devem ser testadas de acordo com o plano de testes (CO AI7.2) antes de sua migrao para o ambiente de produo. Deve-se garantir que os testes incluam a segurana e tambm performance. A validao deve ser realizada tambm pelos responsveis pelos processos de negcio das CSEC correspondentes, em conjunto com os PSDEs, PSTs e PSSs envolvidos. AI7.8 entrada em produo Aps os testes, a entrega das mudanas para as operaes de TIC e de servios de TIC, e o cumprimento do plano de implementao, obtida a aprovao para entrada em produo junto aos usurios chave e gerentes das unidades envolvidas. Caso seja considerado apropriado, os sistemas e recursos novos devem ser executados em paralelo com os antigos para realizar comparaes tanto em termos de comportamento (operao) quanto de resultados. AI7.9 reviso ps-implementao. Deve ser realizada em linha com o processo de gesto de mudanas, conforme detalhado pelo plano de implementao, para realizar o fechamento final da mudana. 5.1.4.3 Principais interaes com as demais partes do modelo A gesto de mudanas interage com praticamente todos os processos do modelo de governana de TIC proposto. Os processos de design e de outras fases do ciclo de vida do servio utilizam a gesto de mudanas para implantar as solues projetadas, enquanto que a gesto de mudanas utiliza os demais processos para corrigir e minimizar riscos, incidentes e problemas e suportar a implantao e/ou atualizao dos servios e ativos de TIC. Dentre as principais interaes destacam-se os processos: Gesto da configurao e dos ativos de servio: A gesto de mudanas interage com este processo para atualizar e tambm consultar o CMS, identificando CIs relacionados implementao em questo e mapeando os relacionamentos entre os componentes de TIC com o propsito de obter uma avaliao precisa do impacto da mudana. A viso geral de como os dois processos trabalham em conjunto para tratar uma dada mudana pode ser conferida na figura 5-8. 124 Figura 5-8 - Interaes chave entre os processos de gesto de mudanas e gesto da configurao Fonte: Adaptado de LACY; MACFARLANE; TAYLOR, 2007; traduo do autor. Gesto de problemas: Este processo utiliza a gesto de mudanas para implementar solues temporrias e para resolver questes conhecidas (veja a seo 5.3 para mais detalhes sobre o processo de gesto de problemas). Alm disso, uma das maiores fontes de RFCs e contribui substancialmente para as discusses do comit de avaliao de mudanas. Gesto da continuidade do servio: Muitos procedimentos e planos deste processo devem ser implementados utilizando a gesto de mudanas para garantir que sejam seguros, atualizados e eficientes. Gesto da segurana: As mudanas requeridas pela segurana da informao devem ser realizadas via gesto de mudanas. Alm disso, qualquer mudana relevante deve ser avaliada quanto ao seu impacto no plano de segurana. 5.1.5 Gesto da segurana da informao e da continuidade dos servios de TIC Embora possuam hoje uma capacidade super dimensionada, deve-se garantir que a disponibilidade dos servios de TIC das CSEC esteja de acordo com suas necessidades, tanto comerciais quanto operacionais. 125 Para tanto, o CO COBIT DS3.4 disponibilidade dos recursos de TIC e o processo ITIL SD 4.4 gesto da disponibilidade so empregados pelo modelo proposto. O objetivo de ambos garantir que o nvel de disponibilidade de todos os servios de TIC entregue corresponda, ou exceda, as necessidades, tanto atuais quanto futuras, do negcio. Para tratar do tpico disponibilidade o modelo emprega o conceito de garantia do ITIL, discutido anteriormente. Na prtica, isso significa que os servios oferecidos pelas CSEC devem estar disponveis para os clientes sempre que necessrio, dentro dos limites de operao do servio estabelecidos no catlogo de servios e SLAs correspondentes. De fato, monitorar o desempenho dos SLAs e OLAs (detalhados na seo 5.2) constitui a base da gesto da disponibilidade do modelo proposto. Alm destes, deve-se considerar a garantia necessria para a execuo dos servios durante seu design (CO COBIT AI2.1; AI2.2; AI2.4), aquisio (CO COBIT AI3.1; AI3.2) e segurana, discutida na seo 5.1.5.1. 5.1.5.1 DS4 Garantir a segurana dos sistemas A gesto da segurana dos sistemas e informao particularmente til no contexto das CSEC em funo do requisito de sigilo de algumas aplicaes de servios, e da informao ser o insumo principal dos seus produtos. Sua proteo, portanto, torna-se fundamental, na medida em que sustenta sua credibilidade e valor (COBIT CO DS5.1 gesto de segurana de TI). DS5.3 gesto da identidade Este objetivo de controle busca garantir que todos os usurios (internos, externos, clientes, fornecedores e temporrios) e suas atividades nos sistemas de TI (aplicaes de servios, ambiente de TIC, operaes de sistemas, desenvolvimento e manuteno) so identificveis de forma nica. Alm disso, as requisies de acesso devem ser documentadas e realizadas pela gesto de operaes e/ou responsvel pelo servio. Preferencialmente, as identidades e direitos de acesso dos usurios devem ser mantidos em uma base de dados central, integrada atravs da utilizao de servios e protocolos de diretrio (por exemplo o protocolo LDAP - Lightweight Directory Access Protocol). Com isso, a gesto das contas de usurio (CO COBIT DS5.4) poder-se- ser 126 realizada de forma integrada e nica para todos os servios, o que garante maior consistncia, confiabilidade e produtividade. DS5.5 testes de segurana, vigilncia e monitoramento Testes devem ser realizados periodicamente com o propsito de garantir que os requisitos de segurana definidos continuam sendo mantidos. Para tanto, pode ser empregado o processo de gesto de testes e validao, discutido na seo 5.1.4.2 deste captulo. Este CO pode ser otimizado atravs do emprego de logs de acesso com disparo de triggers de forma pr-ativa para a funo de gesto das operaes de TIC em casos suspeitos e/ou confirmados de violao de identidade e/ou acesso. DS5.6 definio de incidentes de segurana A definio do que constitui um incidente de segurana deve ser definida claramente e comunicada aos membros da organizao de TIC, especialmente aos envolvidos nos processos de gesto de incidentes e problemas. DS5.7 proteo da tecnologia de segurana A documentao relativa segurana e tambm infra-estrutura de TIC no deve ser compartilhada sem necessidade. Acordos de confidencialidade devem ser estabelecidos com os envolvidos. DS5.10 segurana da rede A utilizao de redes constitui um ponto chave na infra-estrutura das CSEC, visto que as informaes e aplicaes so distribudas. Garantir sua segurana, portanto, revela- se um requisito elementar para a credibilidade dos servios prestados. Deve-se observar particularmente o estado da segurana de links que trafegam sobre a internet e garantir a troca de dados sensveis (CO COBIT DS5.11) de forma segura. Conexes do tipo VPN (Rede privada virtual) devem ser utilizadas neste caso. Alm disso, deve-se observar a segurana de rede do ponto de vista dos data centres utilizados. 5.1.5.1 DS4 garantir a continuidade do servio A gesto da disponibilidade e segurana da informao e dos sistemas, discutidos neste tpico, compem, ao lado dos planos de contingncia, de tolerncia falhas e de 127 recuperao de desastres de TIC um framework (CO COBIT DS4.1) que visa garantir a continuidade dos servios de TIC. O framework deve contar ainda com a identificao de recursos chave para a operao dos servios, ser documentado de forma estruturada, e discutido com os gestores dos servios (do ponto de vista do negcio). Para tanto, os recursos e componentes crticos de TIC devem ser identificados (CO COBIT DS4.3) com o objetivo de estabelecer prioridades em situaes de recuperao. Planos de continuidade (CO COBIT DS4.2) devem ser criados com o propsito de mant- los operacionais sempre que necessrio, e devem contar com aes de recuperao de desastres e contingncia (redundncia dos equipamentos, suporte especial, etc.). Os planos devem ser testados regularmente (CO COBIT DS4.5), e devem ser preparados antecipadamente, alm de ser documentados. A preparao envolve o treinamento dos envolvidos e sua conscientizao sobre os planos de continuidade (CO COBIT DS4.6). Correes devem ser realizadas quando necessrio e incorporadas aos planos. Para tanto, deve-se utilizar o processo de gesto dos testes e validao, detalhado na seo 5.1.4.2. Deve compor os procedimentos de continuidade de servio, ainda, a realizao de storage e back-up em locais externos. Por locais externos entende-se locais fisicamente distintos daqueles utilizados para a guarda dos dados, sistemas e documentao. Este procedimento se faz necessrio devido ao risco de parada e/ou dano fsico s instalaes utilizadas, o que inclui os data centres utilizados. Replicar as informaes crticas em mais de um data center uma opo a ser considerada. 5.1.6 Monitoramento e avaliao dos servios e ativos de TIC Tanto o ITIL quanto o COBIT conferem grande nfase ao monitoramento de ativos, processos e servios de TIC. Os conjuntos sustentam que o monitoramento constitui a base da gesto pr-ativa de TIC, ao possibilitar que aes sejam tomadas antes da ocorrncia de falhas e/ou problemas. Monitorar e avaliar os servios e ativos de TIC particularmente til aos planos de continuidade de servio de TIC, gesto da segurana e operao dos servios. Os dados 128 produzidos so tambm considerados pelas fases de desenho e transio de servio ao projetar atualizaes ou novos servios de TIC. O modelo de processos utilizado pelos conjuntos possibilita a criao de mtricas customizadas. Com base nisso, e na medida que sejam implantados os processos de TIC das CSEC propostos pelo modelo governana de TIC, pode-se aferir seu estgio atual a partir do modelo de maturidade do COBIT. O modelo determina que as informaes referentes performance dos processos deve ser coletada e armazenada de forma sistemtica e contnua. O modelo, contudo, no determina quais informaes ou mtricas devem ser implantadas para cada processo, dentre as opes fornecidas pelos conjuntos COBIT e ITIL, com o propsito de tonar o modelo mais gil e simples. Por definio, as informaes relevantes devem ser determinadas durante a implantao dos processos, mediante observao detalhada da realidade. O modelo proposto recomenda, entretanto, que o estgio de maturidade nmero trs (processo definido) do COBIT deve ser perseguido pelo(s) gestor(es) de TIC ao implantar os processos de TIC propostos. Este estgio denota a profissionalizao da gesto de TIC e indica que o processo est formalizado A implantao do processo de SO 4.1 gesto de eventos do ITIL, detalhado na seo 5.3.4, deve ser o ponto de partida para implantar o processo COBIT ME1 monitorar e avaliar a performance de TI. Alm deste, o processo ITIL CSI 4.1 os sete passos para a melhoria foi empregado para orientar a implantao do CO COBIT ME1.2 definio e coleta dos dados de monitoramento. A figura 5-9, extrada desse processo, exibe as recomendaes ITIL para este CO. 129 Figura 5-9 - Procedimentos para coleta de dados de monitoramento Fonte: CASE; SPALDING; TAYLOR, 2007. 5.1.7 Treinamento dos clientes (internos e externos) Deve-se destacar que as necessidades de treinamento das CSEC vo alm do treinamento dos seus recursos humanos e componentes das funes de TIC, para incluir tambm os clientes externos dos servios eletrnicos. Para tanto, o modelo prope as recomendaes do processo COBIT DS7, atravs dos objetivos de controle DS7.1, DS7.2 e DS7.3 DS7.1 Identificao das necessidades de educao treinamento Deve ser realizada com base nos servios oferecidos (componentes do catlogo de servios) e sendo desenvolvidos (fila do servio). Do ponto de vista do cliente externo, deve-se observar a operao dos servios, assim como o seu suporte e obteno de ajuda. Do ponto de vista do componente humano da organizao de TIC, o treinamento deve ter como foco a continuidade do servio, os contatos para a prestao de suporte e o prprio 130 suporte s ferramentas que compem o servio, e tambm aos clientes externos (para os membros pertinentes). DS7.2 Realizao de treinamento e educao Os treinamentos devem ser realizados e entregues de forma organizada. Uma estrutura de pr-requisitos hierrquica pode ser utilizada para montar a grade de treinamentos oferecidos. Alm disso, deve-se considerar a realizao de treinamentos no formato e-learning, atravs da internet. Todos os servios oferecidos pelas CSEC devem contar com documentao de ajuda e FAQs (Perguntas freqentemente realizada). O seu provimento deve ser previsto nas fases de desenho dos servios e contratao de fornecedores. DS7.3 Avaliao do treinamento recebido Os treinamentos realizados devem ser avaliados regularmente sob o ponto de vista da relevncia, qualidade, eficincia, custo e valor gerado. As avaliaes devem ser consideradas pela proposio de novos treinamentos. 5.2 GESTO DOS FORNECEDORES E PARCEIROS A anlise dos dados coletados, assim como a observao do funcionamento prtico das CSEC, assim como o estudo de suas bases tericas e conceitos (dentre estes as organizaes virtuais e os servios compartilhados) reforam a importncia dos fornecedores de TIC e parceiros, tanto tecnolgicos quanto organizacionais e de outros competncias para o processo de inovao em curso. Em funo disso, a sua gesto foi destacada no modelo de governana de TIC. Para discutir esse tpico, a presente seo abordar os processos COBIT DS1 definir e gerenciar os nveis de servio, AI2 adquirir e manter software aplicativo, AI5 obter recursos de TI e DS2 gerenciar servios de terceiros, nesta ordem. 131 De forma sinttica, os nveis de servio propostos pelo processo DS1 devem guiar a aquisio e manuteno de software aplicativo (AI2) assim como recursos de TIC (AI5) e servios executados por terceiros (DS2). 5.2.1 Definir e gerenciar os nveis de servio (DS1) Os servios eletrnicos disponibilizados pelas CSEC atravs do emprego de aplicaes de servio devem possuir nveis de servio claros e estabelecidos atravs de SLAs , ou acordos de nveis de servio (COBIT CO DS1.3 acordos de nvel de servio - SLAs). Os SLAs, por sua vez, devem ser criados de acordo com as necessidades estratgicas e dos prprios servios oferecidos, respeitando os prazos legais, as necessidades dos clientes e os planos de expanso e crescimento das CSEC, para os quais uma qualidade de servio acima do esperado contribui substancialmente. Para suportar os SLAs, acordos de nveis operacionais (OLAs) devem ser estabelecidos com os PSDEs correspondentes (COBIT CO DS1.4 acordos de nvel operacional - OLAs). Os acordos operacionais, ou OLAs so to importantes quanto os SLAs visto que quem de fato disponibiliza as informaes utilizadas pelos servios das CSEC e consumidas pelos clientes so as prprias serventias extrajudiciais. A criao dos OLAs tem como objetivo, portanto, formalizar, documentar e organizar o relacionamento com os PSDEs, assim como possibilitar o monitoramento dos nveis de servio praticados. Alm dos SLAs e os OLAs, o modelo prev a utilizao de contratos, apoiados tambm em SLAs, para nortear o relacionamento com os fornecedores de TIC (figura 5-10). A gesto dos contratos com fornecedores objeto do CO COBIT AI5.2. 132 Figura 5-10 - O uso de SLAs, OLAs e contratos pelo modelo de governana de TIC Fonte: LLOYD; RUD; TAYLOR, 2007. DS1.1 framework de gesto dos nveis de servio O framework de gesto de nveis de servio recomendado pelo COBIT deve ser continuamente alinhado com as necessidades e prioridades do negcio (das CSEC) e estabelece a criao de um processo para criar os requerimentos e definies de servio, assim como os respectivos SLAs e OLAs e organiz-los em um catlogo de servios (veja a seo 5.1.1 deste captulo para mais informaes sobre o catlogo de servios). Para tanto, o modelo utiliza a estrutura do processo ITIL SD 4.2 gesto do nvel do servio, disposta na figura 5-11. 133 Figura 5-11 - O processo de gesto de nveis de servio do modelo de governana de TIC Fonte: Adaptados de LLOYD; RUD; TAYLOR, 2007; traduo do autor Para produzir SLAs, OLAs e contratos aderentes s necessidades das CSEC, o ponto de partida a criao dos SLRs, ou requerimentos de nvel de servio (figura 5-11). Os SLRs so formados pelo conjunto de requisitos funcionais dos servios das CSEC. Para auxiliar na sua criao, as prototipaes produzidas pelo LABGES e as anlises de requisitos UML realizadas pelos analistas de software podem ser utilizadas. O resultado da anlise dos SLRs, alm de servir de base para a criao dos SLAs, OLAs e contratos, deve ser incorporado ao catlogo de servios. Os SLAs e OLAs criados devem conter, dentre outras, informaes referentes ao escopo do acordo (o que coberto pelo acordo; horrios do servio coberto pelo SLA, sua disponibilidade, continuidade, segurana e funcionalidade (caso seja necessrio); detalhar a forma e tempos de atendimento s solicitaes de suporte; prover os pontos de contatos e escalao (em caso 134 de incidentes ou requisies); definir a performance esperada do servio e indicar as mtricas de avaliao; assim como definir as responsabilidades das partes e definir o mtodo de cobrana (caso necessrio) pelo uso do servio e formas de compensao em caso de violao das clusulas pelas partes. Uma vez criados os SLAs, os nveis de servio dos servios de TIC que suportam e implementam os servios eletrnicos das CSEC precisam ser monitorados e comparados aos estabelecidos (CO COBIT DS1.5 monitorar e reportar os nveis de servio alcanados). Com base nos dados coletados pode-se realizar revises e incentivar a realizao de melhorias nos servios de TIC e tambm nos SLAs e contratos (CO COBIT DS1.6 reviso dos SLAs e contratos). 5.2.2 Adquirir e manter software aplicativo (AI2) O software aplicativo ao qual o COBIT se refere neste processo representado pelas aplicaes estruturantes e de servios das CSEC. Os COs AI2.1 design de alto nvel e AI2.2 design detalhado sustentam que os requisitos e funcionalidades esperadas devem ser traduzidos em especificaes de design de alto nvel (sumrio executivo e anlise de requisitos UML) assim como de forma detalhada, com critrios definidos de aceitao dos requisitos (prototipao das aplicaes). Maiores detalhes sobre o desenho das aplicaes das CSEC podem ser obtidos junto ao LABGES e trabalhos acadmicos relacionados (vide COSTA, 2009), responsvel pela prototipao de novas aplicaes de servio, uma vez que sua modelagem est alm do escopo deste modelo. AI2.4 disponibilidade e segurana das aplicaes Deve-se garantir a disponibilidade e a segurana das aplicaes de acordo com as exigncias jurdicas e necessidades de funcionamento das CSEC. 135 Os processos de gesto da disponibilidade e da segurana so descritos em detalhes na seo 5.1.5. AI2.5 configurao e implementao de software adquirido Estas atividades devem ser realizadas de acordo com os objetivos de negcio, e no somente de TIC. O treinamento adequado dos membros da organizao de TIC (processo COBIT DS7) e a participao de recursos humanos de terceiros qualificados (processo COBIT DS2) garantem maior produtividade e eficincia neste caso. AI2.10 manuteno de software aplicativo Deve-se certificar que os COs AI2.4, AI2.5 e AI2.10 sejam implementados e mantidos dentro dos nveis de servio definidos pelo processo COBIT DS1. 5.2.3 Obter recursos de TI (AI5) e gerenciar servios de terceiros (DS2) O processo COBIT AI5 deve atuar de acordo com o plano de aquisio de infra- estrutura de TIC, do processo AI3, descrito na seo 5.1.3. Dentre seus principais COs cita- se o AI5.2 gesto dos contratos de fornecedores, que determina a realizao da gesto dos contratos e dos fornecedores atravs de procedimentos definidos e documentados. Para as CSEC, e devido ao seu modelo terico, deve-se organizar essas procedimentos e informaes sobre os fornecedores em uma base dados de fornecedores e contratos (SCD), como pode ser visto na figura 5-12. 136 Figura 5-12 - Procedimentos e base de dados de gesto dos contratos de fornecedores Fonte: Adaptados de LLOYD; RUD; TAYLOR, 2007; traduo do autor O estabelecimento de novos fornecedores e contratos (COBIT CO AI5.3 seleo dos fornecedores) deve ser baseado em prticas formais com o propsito de selecionar os melhores fornecedor com base nos requerimentos especificados. A gesto dos fornecedores e contratos (COBIT CO DS2.2 gesto do relacionamento com o fornecedor) deve ser basear pelos SLAs definidos e ter como ncora a transparncia e confiana mtuas. Devem ser considerados aspectos legais e jurdicos dos contratos por recursos humanos especialistas. A implantao do procedimento de gesto dos fornecedores e contratos possibilita ao modelo incorporar o CO COBIT DS2.1, que visa a identificao de todas as relaes com fornecedores, alm de categoriz-los pelo tipo, relevncia para o modelo e criticidade. Os relacionamentos e responsabilidades, tanto tcnicos quanto comerciais, com os e dos representantes dos fornecedores identificados devem ser organizados e documentados, de 137 forma a preservar o conhecimento e eficincia das CSEC nos casos de turn over de recursos humanos correspondentes, alm de imprimir maior produtividade operao normal dos servios. DS2.4 Monitoramento da performance com o fornecedor O procedimento de gesto deste tpico deve incluir rotinas de monitoramento da entrega de servios do fornecedor, comparando os dados coletados com os SLAs e contratos estabelecidos. Alm de certificar que a performance apurada est competitiva com relao a outros fornecedores (custo x benefcio competitivo) e condies de mercado. 5.3 CENTRO DE RESPOSTAS A INCIDENTES DO DOCUMENTO ELETRNICO O termo centro de respostas a incidentes do documento eletrnico, que foi extrado da entrevista realizada com o gestor estratgico das CSEC, sinnimo do termo central de comunicao e suporte, presente no documento tcnico que delineou as bases conceituas para a criao das CSEC (DE ROLT; DIAS; CUSTDIO, 2007). O objetivo conceitual do centro prover suporte aos usurios e tratar dos incidentes de TIC decorrentes do funcionamento e utilizao dos servios de documento eletrnico. No modelo de governana de TIC proposto, esse conceito foi ampliado de forma a englobar tambm o suporte de primeiro nvel prestado tambm infra-estrutura de TIC e s aplicaes estruturantes das CSEC. Para prestar o suporte, o centro dever realizar, tambm, o monitoramento de eventos e notificaes dos ativos de TIC. Para suportar a criao do centro (que hoje existe somente conceitualmente), foram utilizados majoritariamente processos e objetivos de controle COBIT do domnio de entrega e suporte (DS), assim como da fase do ciclo de vida do servio ITIL operao do servio (SO) incluindo a funo de service desk. 5.3.1 A funo de service desk 138 O service desk do modelo baseia-se no CO DS8.1 service desk do COBIT e implanta os conceitos da funo ITIL de nome homnimo. O service desk constitui uma funo central do centro de respostas na medida em que implanta o conceito ITIL de ponto nico de contato (SPOC) com os usurios e clientes para tratar das questes de suporte (figura 5-13). Figura 5-13 - A funo de service desk do modelo de governana de TIC Fonte: Adaptado de CANNON; WHEELDON; TAYLOR, 2007; traduo do autor. De fato, o principal propsito desta funo lidar com uma variedade de eventos de servio, que podem ocorrer via telefone, interface web, ou automaticamente atravs de eventos de infra-estrutura reportados [ver o processo ITIL SO 4.1 gesto de eventos, descrito na seo 4.3.4] (CANNON; WHEELDON; TAYLOR, 2007). De forma prtica, constitui funo do service desk atender, documentar e responder ou escalar todas as solicitaes de suporte e requisies de atendimento dos usurios e clientes dos servios das CSEC, assim como monitorar os eventos gerados de forma automtica. Para a operao do service desk e o monitoramento de eventos, devem ser utilizadas ferramentas especialistas, disponveis no mercado, que implementem o protocolo TCP SNMP, utilizado para monitorar e estabelecer comunicao com os ativos de TIC. De 139 forma geral, as ferramentas disponveis implementam, alm as funes do service desk, os processos de gesto de incidentes, de problemas, requisies do usurio e eventos, alguns incorporando tambm os processos de gesto da configurao, de mudanas e disponibilidade, dentre outros. Implantar o conceito de SPOC importante para o modelo pois possibilita uma gesto mais eficiente e produtiva ao separar de fato as tarefas de gesto das tarefas de suporte de TIC (figura 5-6). Alm de garantir o registro de todas as solicitaes e eventos e, consequentemente, produzir dados estatsticos e gerenciais confiveis. Para tanto, e alm das recomendaes ITIL de possuir um nmero de telefone, assim como uma interface web e e-mail nicos e extensamente divulgados para o contato com a organizao de TIC (atravs da funo de service desk), o modelo recomenda a existncia de uma interface de contato com o centro de respostas a partir da plataforma do documento eletrnico. Dessa forma, os recursos humanos mais especialistas, que compem as demais funes de TIC do modelo, so poupados do suporte de primeiro nvel e podem dedicar-se realizar as tarefas de gesto propriamente ditas e/ou manuteno e atualizao dos servios de infra-estrutura. Para resolver os chamados, o service desk utiliza o processo de gesto de incidentes (descrito na seo 4.3.2). Da mesma forma, o processo de gesto de eventos (seo 4.3.4) fornece os dados de monitoramento e o de gesto de problemas alimenta a base de dados conhecida (seo 4.3.3), extensamente utilizada pelos membros do service desk para fins de consulta e resoluo de chamados. Um service desk eficiente pode compensar deficincias em outras partes da organizao de TIC. O contrrio, contudo, indica uma gesto de TIC pobre e ineficiente, mesmo quando isso no ocorre. A eficincia do service desk advm do seu grau de maturidade e integrao com as demais partes da organizao de TIC, reflexo tanto da experincia dos seus membros quanto do seu treinamento e profissionalizao, que no podem ser desprezados. 4.3.1.1 O service desk na organizao virtual do processo de modernizao Segundo a teoria das organizaes virtuais, o service desk pode no fazer parte integrante da organizao de TIC das CSEC de forma direta. Suas funes podem ser 140 realizadas por um parceiro e/ou fornecedor, que neste caso ser o responsvel por sua gesto. Caso seja este o modelo adotado pelas CSEC para implantar o service desk, algumas recomendaes devem ser observadas: O service desk deve ter acesso a todos os registros e informaes de incidentes e problemas, assim como a base de dados de erros comuns, agenda de realizao de mudanas, assim como ao CMS e s ferramentas de monitoramento. Deve-se trabalhar com SLAs para monitorar o desempenho do service desk. Os SLAs devem considerar as necessidades dos clientes e usurios das CSEC e devem ser acompanhados utilizando mtricas definidas (seo 4.3.1.2). A comunicao fundamental na medida em que alguns incidentes e solicitaes demandam a interveno de especialistas (suporte de 2o/3o nvel, etc.) que podem no fazer parte da organizao que implementa o service desk. Para tanto, deve-se utilizar OLAs para otimizar a comunicao e estabelecer os parmetros do relacionamento dos membros do service desk com as demais partes da organizao de TIC. Deve-se ter um entendimento claro sobre a propriedade sobre os dados e informaes coletadas pelo service desk. 4.3.1.2 Mtricas Dentre os principais indicadores que podem ser utilizados para gerir o service desk destacam-se: A taxa de resolues do primeiro nvel: Este indicador medido atravs do clculo da porcentagem de chamados resolvidos durante o primeiro contato com o service desk. O percentual de chamados resolvidos sem auxlio de outros grupos, parceiros e/ou funes de TIC tambm pode ser considerado; Tempo mdio para resolver um incidente (no primeiro nvel); Tempo mdio para escalar um incidente, quando necessrio (para outos nveis); 141 Percentual de clientes atendidos e atualizaes realizadas dentro dos limites dos SLAs estabelecidos; Tempo mdio para revisar e fechar um chamado atendido (resolvido). 5.3.2 Gesto de incidentes e requisies do usurio O processo de gesto de incidentes e requisies do usurio do modelo baseia-se nos processos ITIL SO 4.2 gesto de incidentes e SO 4.3 atendimento s requisies, que implementa, por sua vez, os CO COBIT DS8.2, DS8.3 e DS8.4. Para o ITIL , um incidente uma interrupo sofrida por um servio de TIC ou uma reduo da qualidade de um servio de TIC (CANNON; WHEELDON; TAYLOR, 2007). Incluem-se nesta proposio as falhas, questes e solicitaes reportadas pelos usurios de servios de TIC, dos parceiros ou membros tcnicos da organizao de TIC e/ ou as reportadas pelo processo de gesto de eventos de forma automtica. Desta forma, o propsito deste processo e a razo de inclu-lo no modelo podem ser descritos como restaurar a operao normal do servio o mais rpido possvel, assim como minimizar os impactos negativos decorrentes para as operaes de negcio, garantindo a manuteno dos melhores nveis de disponibilidade e qualidade do servio (CANNON; WHEELDON; TAYLOR, 2007). Por operao normal do servio os autores citados referem-se operao do servio dentro dos limites do SLA estabelecido. Alm deste, pode-se citar o cumprimento das solicitaes do usurio, tambm dentro dos limites dos SLAs estabelecidos. A distino entre os incidentes e as solicitaes de usurio (atendidas pelo processo ITIL SO 4.3) ocorre devido ao fato de alguns chamados no referirem-se incidentes propriamente ditos (interrupes/falhas/etc.) mas a solicitaes novas e/ou dvidas. O processo de gesto de incidentes iniciado, geralmente, pelo service desk. O processo deve incluir os passos que devem ser seguidos para a realizao do incidente, assim como a sua categorizao (classificao) e priorizao; Da mesma forma, as responsabilidades pelas aes a serem tomadas, assim como as informaes a serem 142 coletadas devem ser estabelecidas; os procedimentos de escalao de incidentes (quem deve ser contatado e quando) devem ser definidos; alm disso, devem ser observadas as atividades de preservao de evidncias, caso necessrio, o que pode ser til para o processo de gesto de problemas e/ou para questes relacionadas segurana, disponibilidade e capacidade dos servios de TIC. A figura 5-14 exibe o fluxograma padro de execuo do processo. 143 Figura 5-14 - Fluxograma de execuo do processo de gesto de incidentes Fonte: Adaptado de CANNON; WHEELDON; TAYLOR, 2007; traduo do autor. 144 Preferencialmente, a identificao dos incidentes deve ocorrer antes do seu impacto nos processos organizacionais e nos usurios e clientes. O constante monitoramento, atravs da gesto de eventos, dos componentes chave dos servios possibilita a deteco de falhas ou potenciais falhas antecipadamente. Uma vez identificados, todos os incidentes devem ser registrados (log), incluindo a data e hora de ocorrncia, alm de todas as informaes pertinentes. O registro do incidente deve ser atualizado de forma a manter um histrico de intervenes. Alm disso, os incidentes devem ser categorizados e priorizados. A classificao dos incidentes possibilita a gerao de informaes estatsticas e gerenciais, que auxiliam na gesto do centro de respostas, enquanto que a priorizao dos mesmos visa estabelecer uma ordem de resoluo visto que uma fila de incidentes para serem resolvidos pode ser formada de forma dinmica. A prioridade de um incidente pode ser determinada com base na urgncia e impacto causados, do ponto de vista do negcio. Como pode ser visto na figura 5-14, a escalao dos incidentes pode ocorrer tanto funcional quando hierarquicamente, onde no somente gestores de TIC, como tambm gestores organizacionais, podem ser notificados sobre os incidentes. Para auxiliar no diagnstico e investigao do incidente, a base de dados de erros comuns (seo 4.3.3) pode e deve ser utilizada. Alm disso, como parte da etapa de resoluo e recuperao, os testes relativos soluo proposta devem ser realizados. J o fechamento dos incidentes deve incluir uma reviso de sua categorizao, registro e documentao. Pesquisas de satisfao podem ser realizadas com o propsito de capturar a viso dos clientes sobre o funcionamento do centro de respostas. Deve-se observar que os incidentes so geralmente causados por problemas diversos, tanto de infra-estrutura quanto de desenho e/ou operao dos servios, que devem ser resolvidos de forma definitiva para prevenir a recorrncia dos incidentes. Para tanto, ser utilizado o processo de gesto de problemas, detalhado na seo 5.3.3. 5.3.3 Gesto de problemas 145 O ITIL define um problema como a causa desconhecida de um ou mais incidentes (CANNON; WHEELDON; TAYLOR, 2007). Essa definio contrasta com o processo de gesto de incidentes, que tem como funo restaurar os nveis de servio o mais rpido possvel. Enquanto isso, o propsito do processo de gesto de problemas descobrir as causas-raz que ocasionam os incidentes, de forma a elimin-las e prevenir que incidentes similares no ocorram no futuro. O processo iniciado de diversas formas (figura 5-15). Destaca-se a gesto pr- ativa de problemas, como parte da melhoria contnua do servio, como forma de iniciar o processo, na medida em que busca eliminar problemas antes da manifestao de incidentes relativos. Da mesma forma que os incidentes, os problemas tambm devem ser categorizados, priorizados e completamente registrados, incluindo atualizaes quando necessrio. Resolver rapidamente um problema pode no ser uma tarefa trivial, pois as causas dos problemas podem ser desconhecidas. Possuir um CMS e um banco de dados de incidentes e eventos atualizado facilita a operao deste processo. Alm disso, solues temporrias (workarounds) podem ser implementadas pelas funes tcnicas enquanto se trabalha na soluo definitiva do problema com o propsito de restaurar a operao normal do servio e reduzir e/ou eliminar a ocorrncia de incidentes (figura 5-15). Uma vez realizado o diagnstico do problema, um registro de erro conhecido pode ser criado na base de dados de erros conhecidos. Esta atividade particularmente til para o service desk e o processo de gesto de incidentes, que consultam a base de erros conhecidos rotineiramente durante sua operao. A interao deste processo com a gesto de mudanas particularmente relevante. As solues dos problemas, definitivas ou temporrias, devem ser implementadas via gesto de mudanas, seguindo a operao normal de TIC das CSEC. Alm disso, uma vez resolvido o problema, os registros de erros conhecidos associados devem ser atualizados. 146 Figura 5-15 - Fluxograma de execuo do processo de gesto de problemas Fonte: Adaptado de CANNON; WHEELDON; TAYLOR, 2007; traduo do autor. 147 Alm da gesto de mudanas, deve-se destacar as interaes deste processo com os processos de gesto de nveis de servio (garantir que sejam cumpridos), continuidade do servio de TIC (prevenir paradas e minimizar o impacto dos problemas), gesto da configurao (consulta na resoluo do processo e atualizaes via gesto de mudanas) e gesto da disponibilidade (gesto pr-ativa dos problemas visa minimizar as paradas e maximizar o tempo de servio - uptime), como afirma, alm do ITIL, o CO COBIT DS10.4. 5.3.4 Gesto de eventos O ITIL define os eventos como sendo as notificaes criadas pelos servios e CIs que compem a organizao de TIC. O processo de gesto de eventos tem seu foco na gerao e deteco de notificaes relevantes sobre o estado dos servios e infra-estrutura de TIC. Uma ferramenta de monitoramento deve ser empregada pelo processo. Esta deve receber, processar e entregar, na forma de relatrios, grficas e indicadores, dados e informaes sobre os ativos e servios de TIC das CSEC. A ferramenta deve trabalhar com o protocolo SNMP, padro da indstria para monitorar CIs. Praticamente todos os CIs presentes hoje nas CSEC j devem trabalhar com este protocolo. Recomenda-se que os ativos que no o implementam sejam substitudos, quando possvel. Ativos de TIC (servidores, roteadores, switches,etc.) que habilitam o protocolo SNMP enviam alertas e notificaes que so coletadas e armazenadas pelo processo de gesto de eventos. Alm de receb-los, a ferramenta de gesto de eventos deve ser capaz de realizar medies pr-ativamente (mesmo sem o envio de bilhetes dos CIs). Os registros de eventos devem ser classificados quanto sua relevncia. Os eventos podem ser informativos, de aviso ou excees. As ltimas devem ser encaminhadas aos processos de gesto de incidentes, problemas e/ou mudanas e representam potenciais indicadores de ocorrncia de falhas nos servios de TIC. As notificaes informativas reportam nveis de operao normal, dentro dos limites dos SLAs estabelecidos e 148 parmetros de funcionamento do CI em questo. J as notificaes de aviso indicam que algum limiar est sendo atingido ou at ultrapassado. A correlao dos eventos entre si e com os demais CIs e servios til para dimensionar melhor a sua natureza e impacto nos processos de negcio, e iniciar o processo mais apropriado (geralmente gesto de mudanas, incidentes ou problemas). Dessa forma, o CMS deve ser atualizado de forma a criar um histrico de eventos dos CIs. O processo de gesto de eventos proposto implementa, ainda, o CO COBIT DS3.2 performance e capacidade correntes, ao fornecer insumos (as notificaes) para avaliar a capacidade e performance atuais e compar-los aos nveis de servio acordados (SLAs) (ITGI, 2007). 5.4 RECOMENDAES DE GESTO DE TIC S SERVENTIAS EXTRAJUDICIAIS As serventias extrajudiciais brasileiras so um componente essencial ao processo de modernizao. Na condio de PSDEs, so as serventias extrajudiciais que fornecem as informaes propriamente ditas, assim como toda sorte de documentos, contratos e certides, aos clientes e usurios, atravs do uso do documento eletrnico. Vistas sob essa ptica, as CSEC constituem o meio atravs do qual os PSDEs interagem com os clientes. Torna-se evidente, portanto, a necessidade de otimizar a gesto de TIC das serventias extrajudiciais. Nesse intuito, o questionrio distribudo s serventias buscou mapear a sua operao de TIC, assim como particularidades que eventualmente possam existir. A dificuldade em coletar informaes consistentes junto s mesmas, contudo, tornou evidente a falta de uma abordagem holstica, consistente e gerencial sua operao de TIC. Com o propsito de preencher essa lacuna, portanto, esta seo prope a adoo de alguns processos e partes do modelo proposto para as CSEC tambm pelas serventias extrajudiciais, na forma de recomendaes de gesto de TIC, selecionadas a partir do estudo do funcionamento prtico das CSEC e das informaes obtidas junto s serventias extrajudiciais. 149 Destaca-se a necessidade do emprego do processo COBIT DS11 Gerenciar os dados, discutido na seo 5.1.3, visto que as serventias concentram as bases de dados e informaes do processo. Particularmente, deve-se atentar para o CO COBIT DS11.5 back-up e restaurao. Os back-ups devem ser realizados periodicamente, em uma freqncia de tempo que garanta a minimizao da perda de informaes em caso de incidentes. Alm disso, mdias diferentes devem ser utilizadas e armazenadas em locais fsicos distintos. Alm disso, o CO COBIT DS11.6 requisitos de segurana para a gerncia dos dados tambm deve ser observado. As serventias devem contar com procedimentos que visam garantir a segurana dos dados e informaes armazenadas, inclusive contra acesso no autorizado. A preocupao com a segurana e disponibilidade dos dados das serventias deve ser estendida para as reas crticas da operao de TIC. Para tanto, deve-se utilizar o processo ITIL SD 4.4 gesto da disponibilidade, discutido na seo 5.1.5 deste captulo. Destaca-se o uso de links de dados, muitas vezes atravs da internet, empregados pelas serventias para a comunicao e transmisso de dados junto s entidades representativas correspondentes e s CSEC. Desta forma, deve-se garantir que os links estejam sempre disponveis quando necessrio. O emprego de links redundantes recomendado. Da mesma forma, utilizar redes privadas quando possvel minimiza os riscos do ponto de vista de segurana. Caso no seja possvel o seu emprego, recomenda-se o estabelecimento de redes privadas virtuais (VPN) sobre os links de internet utilizados. Alm da gesto da disponibilidade, a seo 5.15 detalha os processos COBIT que visam garantir a segurana dos sistemas e a continuidade do servio de TIC. Recomenda-se a elaborao de um plano de continuidade dos servios de TIC pelas serventias. O plano deve conter clusulas de contingncia e recuperao de falhas. Estes procedimentos devem ser documentados detalhadamente e armazenados de forma segura, com o objetivo de preservar sua eficincia mesmo quando manipulados por diferentes pessoas. 150 Observou-se que algumas serventias terceirizam a operao de TIC, enquanto que praticamente 100% delas terceira o desenvolvimento de aplicativos e softwares. Para ambos os casos, recomenda-se o emprego de acordos de nveis de servio com os fornecedores. Os SLAs devem ter como meta garantir o cumprimento de OLAs estabelecidos pelo modelo proposto, entre as serventias extrajudiciais e a organizao de TIC das CSEC. Para tanto, e para obter mais informaes sobre os SLAs e OLAs, deve-se utilizar as recomendaes expostas na seo 5.2 deste captulo, que alm de delimitar a a gesto dos fornecedores e parceiros, discorre sobre a aquisio de software e recursos de TIC. 151