Omar 6

5 MODELO DE GOVERNANA DE TIC PROPOSTO
Para compor o modelo de governana de TIC, alm dos processos identificados na

seo 4.3, foram considerados objetivos de controle dos processos COBIT dispostos na
tabela 5-1, selecionados a partir da anlise dos dados coletados.
Processos COBIT obtidos atravs da anlise dos dados coletados Processos COBIT obtidos atravs da anlise dos dados coletados
PO1 Definir uma plano estratgico de TI DS2 Gerenciar servios de terceiros
PO2 Definir a arquitetura da informao DS3 Gerenciar a performance e a capacidade
PO3 Determinar a direo tecnolgica DS4 Garantir a continuidade do servio
PO4 Definir os processos de TI DS5 Gerenciar a segurana dos sistemas
PO8 Gerir a qualidade DS7 Educar e treinar usurios
PO10 Gerir os projetos DS8 Gerenciar incidentes e o service desk
AI2 Adquirir e manter software DS9 Gerenciar a configurao
AI3 Adquirir e manter infra-estrutura de TI DS10 Gerenciar problemas
AI6 Gerir mudanas DS11 Gerenciar dados
AI7 Instalar e certificar solues e mudanas DS13 Gerenciar as operaes
DS1 Definir e gerenciar os nveis de servio ME1 Monitorar e avaliar a performance de TI
Tabela 5-1 - Processos COBIT do modelo de governana de TIC
Fonte: Dados primrios e secundrios
Ao considerar os processos listados na seo 4.3, chega-se ao conjunto completo de
objetivos de controle COBIT do modelo de governana de TIC, estes processos esto
destacados em negrito na tabela 5-1.
A partir dos processos identificados, foram relacionados os objetivos de controle
relevantes ao tema estudado. Uma vez identificados os objetivos de controle do modelo, os
tpicos (processos, sub-processos e atividades) ITIL que os suportam foram identificados
utilizando-se o documento tcnico Aligning COBIT 4.1, ITIL V3 and ISO/IEC 27002 for
business benefit (ITGI; OGC, 2008). O quadro 5-1 lista os objetivos de controle COBIT
identificados e os tpicos ITIL relacionados.
CO ID Objetivo de controle (CO) Tpico ITIL
PO1 Definir um plano estratgico de TI
PO1.3 Avaliao da performance e capacidade
correntes
PO1.4 Plano estratgico de TI SS 3.5 Fundamentos da estratgia do servio
98
PO1.6 Gesto do portflio de TI
SS 5.3 Gesto do portflio do servio
SD 3.4 Identificao e documentao dos
requisitos e drivers do negcio
SD 3.6.1 Desenhando solues baseadas em servios
SD 3.6.2 Desenhando sistemas de suporte, do
portflio de servios em particular
PO2 Definir a arquitetura da informao
PO2.4 Gesto da integridade ST 4.7 Gesto do conhecimento
PO3 Determinar a direo tecnolgica
PO3.2 Plano de infra-estrutura de TI SD 3.6.3 Desenhando arquiteturas de TI
PO4 Definir os processos, a organizao e os
relacionamentos
PO4.5 Estrutura organizacional de TI
SS 2.6 Funes e processos ao longo do ciclo de
vida do servio
ST 4.2.6.8 O comit de avaliao de mudanas
SO 6.2 service desk
SO 6.3 Gesto tcnica
SO 6.4 Gesto das operaes de TI
SO 6.5 Gesto das aplicaes
SO 6.7 Estrutura organizacional da operao de
servios
PO4.6 Estabelecimento de papeis e responsabilidades
SS 2.6 Funes e processos ao longo do ciclo de
vida do servio
SO 6.6 Papeis e responsabilidades da operao do
servio
PO4.9 Propriedade dos sistemas e dados SO 6.3 Gesto tcnica
PO8 Gesto da qualidade
PO8.2 Padres de TI e prticas da qualidade
ST 3.2.13 Garantir a qualidade de servios novos
ou modificados
ST 4.5 Validao e testes do servio
PO8.3 Padres de desenvolvimento e aquisio
SD 5.3 Gesto das aplicaes
ST 3.2.3 Adote padres e framework padro
ST 4.1.5.1 Estratgia de transio
PO8.4 Foco no cliente
PO8.5 Melhoria contnua CSI
PO10 Gesto de projetos
PO10.11 Controle de mudanas de projeto
ST 3.2.10 Antecipar e gerenciar correes de
percurso
AI2 Adquirir e manter software aplicativo
AI2.1 Design de alto nvel
SD 3.6.1 Desenhando solues de servios
SD 3.6.3 Desenhando arquitetura tecnolgica
AI2.2 Design detalhado SD 5.3 Gesto das aplicaes
AI2.4 Disponibilidade e segurana das aplicaes SD 3.6.1 Desenhando solues de servios
AI2.5 Configurao e implementao de software
adquirido
AI2.10 Manuteno de software aplicativo
AI3 Adquirir e manter infra-estrutura de TI
AI3.1 Plano de aquisio de infra-estrutura de TI SD 3.6.3 Desenhando arquiteturas de TI
AI3.2 Proteo e disponibilidade dos recursos de
infra-estrutura
SO 5.4 suporte e gesto dos servidores
99
AI3.3 Manuteno da infra-estrutura
SO 5.4 Gesto e suporte dos servidores
SO 5.5 Gesto da rede
SO 5.7 Gesto de banco de dados
SO 5.9 Gesto dos desktops
AI5 Obter recursos de TI
AI5.2 Gesto dos contratos de fornecedores
SD 4.7.5.3 Estabelecendo novos fornecedores e
contratos
AI5.3 Seleo dos fornecedores
AI6 Gesto de mudanas
AI6.1 Procedimentos e padres de mudanas
ST 3.2.2 Implemente todas as mudanas de servios
atravs da transio do servio
ST 4.1 Planejamento e suporte da transio
ST 4.2 Gesto de mudanas
ST 4.2.6.1 Procedimento padro de mudana
AI6.2 Avaliao do impacto, priorizao e autorizao ST 4.2.6.4 Avaliar e dimensionar a mudana
AI6.3 Mudanas emergenciais ST 4.2.6.9 Mudanas emergenciais
AI7 Instalar e certificar solues e mudanas
AI7.1 Treinamento
AI7.2 Plano de testes ST 4.5.5.1 Gesto da validao e testes
AI7.3 Plano de implementao
AI7.4 Teste do ambiente
AI7.5 Converso de sistemas e dados
AI7.7 Teste de aceitao final
AI7.8 Entrada em produo
ST 4.4.5.6 Realize a transferncia, implementao e
retirada
SO 4.3.5.4 Atendimento
AI7.9 Reviso ps-implementao
ST 4.4.5.10 Revisar e fechar a transio do servio
ST 4.4.5.9 Revisar e fechar a implementao
ST 4.6 Avaliao
DS1 Definir e gerenciar nveis de servio
DS1 Framework de gesto dos nveis de servio
SD 4.2.5.1 frameworks de design de SLAs
SD 4.2.5.9 Desenvolver contratos e relacionamentos
DS1.2 Definio dos servios SD 4.1 Gesto do catlogo de servios
DS1.3 Acordos de nvel de servio (SLAs)
SD 4.2.5.2 Determinar, documentar e acordar
sobre os requisitos de servios e produzir SLRs
SD Ap. F - Modelo de SLA e OLA
DS1.4 Acordos de nvel operacional (OLAs) SD Ap. F - Modelo de SLA e OLA
DS1.5 Monitorar e reportar os nveis de servio
alcanados
SS 5.3 Gesto do portflio do servio
SD 4.2.5.3 Monitorar a performance do servio
com relao ao SLA
CSI 4.2 Relatrios de servio
DS1.6 Reviso dos SLAs e contratos
DS2 Gerenciar servios de terceiros
DS2.1 Identificao de todas as relaes com
fornecedores
SD 4.7.5.1 Avaliao de novos fornecedores e
contratos
SD 4.7.5.2 Categorizao e manuteno da base
de dados de fornecedores e contratos
100
DS2.2 Gesto do relacionamento com o fornecedor
SD 4.2.5.9 Desenvolver contratos e
relacionamentos
SD 4.7.5.2 Categorizao e manuteno da base de
dados de fornecedores e contratos
SD 4.7.5.4 Gesto e performance dos fornecedores e
contratos
SD 4.7.5.5 Renovao e/ou revogao de contratos
DS 2.4 Monitoramento da performance do fornecedor
SD 4.7.5.4 Gesto e performance dos fornecedores e
contratos
DS3 Gerenciar a performance e a capacidade
DS3.2 Performance e capacidade correntes
SO 4.1.5.2 Notificao de eventos
SO 4.1.5.3 Deteco de eventos
DS3.4 Disponibilidade dos recursos de TI
SD 4.4 Gesto da disponibilidade
SD 4.4.5.1 As atividades reativas da gesto da
disponibilidade
SD 4.4.5.2 As atividades pr-ativas da gesto da
disponibilidade
DS4 Garantir a continuidade do servio
DS4.1 Framework de continuidade de TI SD 4.5 Gesto da continuidade do servio
DS4.2 Planos de continuidade de TI
SD Ap. K - O contedo tpico de um plano de
recuperao
DS4.3 Recursos crticos de TI
DS4.5 Teste do plano de continuidade de TI
DS 4.6 Treinamento do plano de continuidade de TI
DS4.8 Recuperao e normalizao de servios de TI
DS4.9 Storage de back-up externo SO 5.2.3 Backup e restore
DS5 Garantir a segurana dos sistemas
DS5.1 Gesto da segurana de TI
SD 4.6 Gesto da segurana da informao
SO 5.13 Gesto da segurana da informao e
operao do servio
DS5.3 Gesto da identidade SO 4.5 Gesto do acesso
DS5.4 Gesto das contas de usurio
SO 4.5 Gesto do acesso
SO 4.5.5.1 Requisitando acesso
SO 4.5.5.3 Provendo direitos
SO 4.5.5.5 Logging e registro dos acessos
SO 4.5.5.6 Removendo ou restringindo acessos
DS5.5 Testes de segurana, vigilncia e
monitoramento
DS5.6 Definio de incidentes de segurana
SD 4.6.5.2 Gesto de incidentes e falhas de
segurana
DS5.7 Proteo da tecnologia de segurana SO 5.4 Gesto e suporte dos servidores
DS5.10 Segurana da rede SO 5.5 Gesto da rede
DS5.11 Troca de dados sensveis
DS7 Educar e treinar os usurios
DS7.1 Identificao das necessidades de educao
e treinamento
SO 5.14 Melhoria das atividades operacionais
DS7.2 Realizao de treinamento e educao
DS7.3 Avaliao do treinamento recebido
DS8 Gerenciar incidentes e o service desk
101
DS8.1 Service desk
SO 4.1 Gesto de eventos
SO 4.2 Gesto de Incidentes
SO 6.2 Service desk
DS8.2 Registro das solicitaes do cliente
SO 4.1.5.7 Trigger / Gatilho
SO 4.2.5.1 Identificao de incidentes
SO 4.2.5.2 Log de incidentes
SO 4.2.5.4 Priorizao de incidentes
DS8.3 Escalao dos incidentes
SO 4.2.5.6 Escalao de incidentes
SO 4.2.5.7 Investigao e diagnstico
SO 4.2.5.8 Soluo e recuperao
DS8.4 Fechamento de incidentes
SO 4.1.5.10 Fechamento do evento
SO 4.2.5.9 Fechamento do incidente
DS9 Gesto da configurao
DS9.1 Repositrio e estado atual da configurao
ST 4.1.5.2 Preparar a transio do servio
ST 4.3.5.2 Gesto e planejamento
DS9.2 Identificao e manuteno de itens de
configurao
ST 4.3.5.3 Identificao da configurao
ST 4.3.5.4 Controle da configurao
ST 4.3.5.5 Auditoria e relatrios de status
DS9.3 Reviso da integridade da configurao
DS10 Gerenciar problemas
DS10.1 Identificao e classificao de problemas
SO 4.4.5.1 Deteco de problemas
SO 4.4.5.3 Categorizao de problemas
SO 4.4.5.4 Priorizao de problemas
DS10.2 Rastreamento e soluo de problemas
SO 4.4.5.2 Log dos problemas
SO 4.4.5.6 Solues temporrias
SO 4.4.5.7 Registrando erros conhecidos
SO 4.4.5.8 Soluo dos problemas
DS10.3 Fechamento do problema SO 4.4.5.9 Fechamento do problema
DS10.4 Integrao da gerncia da configurao,
incidentes e problemas
DS11 Gerenciar os dados
DS11.2 Arranjos de storage e reteno de dados SO 5.6 Storage e arquivo
DS11.5 Back-up e restaurao SO 5.2.3 Back-up e restaurao
DS11.6 Requisitos de segurana para a gerncia
dos dados
SD 5.2 Gesto dos dados e informao
DS13 Gerenciar as operaes
DS13.1 Instrues e procedimentos de operao
ME1 Monitorar e avaliar a performance de TI
ME1.2 Definio e coleta de dados de
monitoramento
CSI 4.1c Passo trs - Reunindo dados
CSI 4.1d Passo quatro - processando os dados
ME1.3 Mtodo de monitoramento
CSI 4.1b Passo dois - Defina o que voc pode medir
CSI 4.1f Passo seis - Apresentando e utilizando a
informao
ME1.4 Avaliao da performance
Quadro 5-1 - Objetivos de controle COBIT e tpicos ITIL do modelo de governana de TIC
Fonte: Extrado e adaptado de ITGI; OGC 2008 com base nos dados primrios; traduo do autor
Para melhor compreender o quadro 5-1, deve-se observar que os processos COBIT
so destacados por cores de fundo mais fortes (verde escuro e azul claro) que as dos
102
objetivos de controle, sendo que a cor de fundo mais forte (verde) refere-se aos processos
identificados como de maior importncia ao modelo (primrios), enquanto que os demais
possuem uma relevncia menor (secundrios).
A diviso dos processos em duas partes (primrios e secundrios) visa facilitar a
adoo do modelo, uma vez que pode-se iniciar a sua implantao utilizando os processos
mais importantes, para ento contemplar os demais. Da mesma forma, e com o mesmo
objetivo, os objetivos de controle e tpicos ITIL identificados como de maior relevncia
esto listados em negrito no quadro.
Atravs da anlise dos tpicos ITIL listados no quadro 5-1, pde-se relacionar os
processos ITIL presentes no modelo, listados na tabela 5-2.
Processos ITIL do modelo de governana de TIC Processos ITIL do modelo de governana de TIC
Estratgia do servio - SS Gesto da configurao e ativos de servios - ST
Gesto do portflio do servio - SS Gesto das implementaes e dos releases - ST
Gesto do catlogo de servios - SD Gesto da validao e dos testes - ST
Gesto do nvel de servio - SD Gesto de eventos - SO
Gesto da disponibilidade - SD Gesto de incidentes - SO
Gesto da continuidade do servio - SD Gesto de problemas - SO
Gesto da segurana da informao - SD Gesto do acesso - SO
Gesto dos fornecedores - SD Melhoria do servio - CSI
Gesto de mudanas - ST
Legenda: SS - Estratgia do servio; SD - Desenho do servio; ST - Transio do servio; SO - Operao do
servio; CSI - Melhoria contnua do servio
Tabela 5-2 - Processos ITIL do modelo de governana de TIC
Na tabela 5-2, os processos em negrito representam os processos ITIL de maior
relevncia (primrios) para o modelo de governana de TIC proposto. Deve-se destacar
que as referncias aos tpicos ITIL no quadro 5-1 vo alm dos seus processos,
englobando tambm conceitos ITIL e atividades e prticas inerentes cada fase do ciclo de
vida do servio, alm de funes ITIL. As funes ITIL consideradas no modelo esto
dispostas na tabela 5-3.
Funes ITIL do modelo de governana de TIC Funes ITIL do modelo de governana de TIC
Service Desk Gesto das operaes de TI
Gesto tcnica Gesto das aplicaes
Tabela 5-3 - Funes ITIL do modelo de governana de TIC
103
Para facilitar o detalhamento, e conseqente compreenso, dos objetivos de
controle e tpicos ITIL relacionados, alm de mitigar a extenso do modelo, o restante
deste captulo foi separado em quatro sees, sendo que as trs subsequentes compem o
modelo de governana de TIC proposto para as CSEC, e tratam dos objetivos de controle
identificados, divididos em a) Gesto corporativa de TIC; b) Gesto dos fornecedores e
parceiros; e c) Centro de respostas a incidentes do documento eletrnico (ou central de
comunicao e suporte). A ltima seo deste captulo trata das recomendaes de gesto
de TIC propostas s serventias extrajudiciais (Figura 5-1).
Figura 5-1 - Modelo de governana de TIC e o processo de modernizao
Fonte: Elaborado pelo autor.
A figura 5-1 exibe uma viso global do modelo proposto, incluindo a sua
organizao e aderncia ao processo de modernizao. As partes do modelo esto dispostas
em caixas de texto azul, assim como os relacionamentos entre as partes e tambm os
principais processos do modelo.
5.1 GESTO CORPORATIVA DE TIC
104
Nesta seo ser detalhado o substrato do modelo de governana de TIC que trata
do provimento de direo e planejamento operao de TIC, alm das funes de TIC, da
gesto dos recursos de TIC, da gesto de mudanas e do monitoramento e avaliao dos
servios e ativos de TIC.
5.1.1 Planejamento estratgico de TIC
Para propiciar a definio de um plano estratgico de TIC , o modelo aborda trs
objetivos de controle do processo COBIT PO1 Definir um plano estratgico de TIC, alm
de uma srie de objetivos de controle de outros processos COBIT:
PO1.3 Avaliao da performance e capacidade correntes
Avaliar o estado corrente possibilita a comparao futura e a aferio dos resultados
obtidos, revelando a eficincia das medidas adotadas para otimizar a gesto de TIC. Alm
disso, permite uma definio mais clara da performance em termos de contribuio das
TIC para com os objetivos do negcio.
PO 1.4 Plano estratgico de TI
Neste objetivos de controle, o COBIT sentencia que o plano estratgico de TIC
deve ser criado de forma cooperativa com os acionistas, e deve contemplar, dentre outros:
i) Como os objetivos de TIC devem contribuir para com os objetivos estratgicos da
organizao, com os riscos e custos associados; ii) Como a TI deve suportar os
investimentos, servios e ativos de TIC; iii) Definir como os objetivos sero alcanados,
atravs dos procedimentos e medies a utilizar; e iv) delimitar a estratgia de aquisies
e compras, alm dos oramentos de investimentos e operacional.
PO1.6 Gesto do portflio de TI e DS1.2 Definio dos servios
Deve-se planejar os servios de TIC de forma a garantir que os objetivos de TIC
sejam alcanados, e de fato contribuam para atingir os objetivos de negcio relacionados.
Para suportar esses objetivos de controle (PO1.6 e DS1.2), o modelo proposto
utiliza os processos ITIL SS 5.3 gesto do portflio do servio, da fase de estratgia do
105
servio e SD 4.1 gesto do catlogo de servios, da fase de desenho do servio. No
primeiro processo, o ITIL define o portflio de servios como o conjunto de servios de
TIC oferecidos pela organizao de TIC, o que compreende o catlogo de servios - que
engloba os servios ativos e em funcionamento - discutido em detalhes no processo SD
4.1, e a fila de servios - que contm os servios sendo projetados, prototipados e/ou em
desenvolvimento (figura 5-2).
Figura 5-2 - Portflio e catlogo de servios ITIL, dispostos atravs do ciclo de vida do servio.
Fonte: Customizado a partir de IQBAL; NIEVES; TAYLOR, 2007, com base nos dados primrios e
secundrios.
A utilizao do conceito de servios um dos pilares do ITIL. O ciclo de vida do
servio torna-se mais claro a partir da anlise da figura 5-2, onde pode-se constatar como
os conceitos de servios propostos pelo ITIL orientam o design de novos servios, que so
listados na fila de servios do portflio. a transio do servio responsvel por migrar os
servios da fila para o catlogo de servios, onde os servios so utilizados na fase de
operao do servio.
106
Deve-se observar que o catlogo de servios de terceiros tambm compe o
catlogo de servios. Tal configurao torna-se particularmente importante para o modelo
quando so considerados os conceitos de organizaes virtuais e servios compartilhados,
utilizados pelas CSEC, uma vez que tm-se um nmero considervel de servios prestados
por terceiros.
A ordenao e listagem dos servios, tanto da fila quanto do catlogo de servios
til na medida em que fornece um ponto de partida para a gesto de TIC, j que organiza e
lista os servios sob responsabilidade do gestor de TIC, fornecendo um amplo quadro dos
componentes da organizao de TIC e das necessidades especficas, requerimentos e
estgio atual de cada servio. O quadro 5-2 mostra um exemplo abstrato de catlogo de
servios. Deve-se observar que os campos so customizveis.
Nome do servio Servio A Servio B Servio N
Descrio
Tipo
Servios de suporte
Gerente(s) do servio
Impacto no negcio
Prioridade para o negcio
SLA(s)
Horas de trabalho
Contatos CSEC
Contatos TIC
Contatos de escalao
Etc.
Quadro 5-2 - Exemplo de catlogo de servios
Fonte: Adaptado de LLOYD; RUD; TAYLOR, 2007
O catlogo de servios deve ser disponibilizado para todos os envolvidos no
processo de modernizao, sua manuteno deve ocorrer atravs do processo de gesto de
mudanas (AI6) e o mesmo deve ser mantido sempre atualizado.
PO2.4 Gesto da integridade
Este objetivo de controle faz parte do processo PO2 Definir a arquitetura da
informao e enuncia que deve-se definir procedimentos que visam garantir a integridade e
consistncia de todos os dados armazenados de forma eletrnica.
107
Como este objetivo de controle pertence ao processo PO2, a preocupao neste
ponto para com os bancos de dados, data warehouses, arquivos de dados, back-ups e
similares. Garantir a integridade desses envolve desde a correta seleo dos locais e
dispositivos de armazenamento de dados (storage), a validao do acesso aos dados pelas
aplicaes e sistemas, a implantao de logs de alteraes das informaes crticas, at a
correta configurao e acompanhamento dos acessos (usurios e senhas de acesso) s bases
de dados.
PO3.2 Plano de infra-estrutura de TI
Da mesma forma que o objetivo PO1.2 busca definir um plano estratgico de TI, o
PO3.2 tem o propsito de produzir um plano de infra-estrutura de TIC.
Para as CSEC, o plano deve contemplar mecanismos de contingncia a falhas,
prover direo para as aquisies de recursos tecnolgicos, alm de considerar mudanas
no ambiente competitivo, escala dos sistemas e recursos humanos e investimentos em
informao, alm de otimizar a interoperabilidade entre as plataformas, PSDEs e
aplicaes.
DS13.1 Instrues e procedimentos de operao
Os procedimentos e instrues de operao devem ser definidos e mantidos
atualizados. De forma que todos os recursos humanos envolvidos na operao e gesto de
TIC devem estar familiarizados com as atividades operacionais correspondentes. O
resultado desse objetivo de controle deve ser utilizado pelo processo DS7 Educar e treinar
usurios e pelos processos da seo 5.3 desse captulo.
5.1.2 Funes de TIC
O objetivo de controle PO4.5 Estrutura organizacional de TIC trata da organizao
lgica em termos de recursos humanos e funes da organizao de TIC. A partir do
enunciado
Estabelecer uma estrutura organizacional interna e externa que
108
reflita as necessidades do negcio. Alm da reviso peridica da
estrutura organizacional em termos de necessidades de recursos
humanos e estratgias de provimento a fim de atender os objetivos
do negcio e mudanas circunstanciais (ITGI, 2007, p. 42).
O modelo de governana de TIC baseia-se nos conceitos de funes e papis do
ITIL para implementar o objetivo de controle PO4.5. Abordar a questo da estrutura
organizacional de TIC torna-se relevante ao modelo quando se considera a escalabilidade
das prprias CSEC, visto que embora a coleta de dados tenha revelado que alguns gestores
de TIC respondam hoje por todas as funes de TIC das respectivas entidades
representativas, os planos estratgicos das CSEC prevem um crescimento exponencial de
sua utilizao, o que pode demandar uma especializao das funes.
Alm disso, a utilizao do conceito de papeis do ITIL, em que um mesmo recurso
humano pode assumir N funes, ou papeis diferentes, encoraja a organizao da estrutura
de TIC, ao menos de forma lgica, o que torna a prpria gesto de TIC mais organizada,
funcional e transparente.
Para o modelo, foram consideradas as funes de service desk, gesto tcnica,
gesto das aplicaes e gesto das operaes de TIC (figura 5-3) do ITIL. Alm disso, o
comit de avaliao de mudanas tambm citado.
109
Figura 5-3 - Funes lgicas de TIC do ITIL
Fonte: Adaptado de CANNON; WHEELDON; TAYLOR, 2007 com base nos dados primrios e secundrios.
Como pode ser visto na figura 5-3, a funo de gesto de operaes de TIC
responsvel pela gesto das operaes dirias de TIC de acordo com os padres de
performance definidos. Para tal, ela utiliza elementos de infra-estrutura tanto de hardware
(gesto tcnica) quanto de software (gesto das aplicaes). Partes dessa funo, portanto,
podem ser realizadas pelas outras funes de TIC. Essa funo possui duas estruturas
organizacionais bem delimitadas pelo ITIL: O controle de operaes de TIC, responsvel
por tarefas como back-up e restore, alm do monitoramento das atividades de TIC, e a
gesto das instalaes, responsvel pelos contratos de Data Centres e decises de
consolidao/virtualizao, etc.
J a gesto tcnica engloba os conhecimentos e recursos tcnicos necessrios para
suportar a operao da infra-estrutura de TIC. Essa funo desempenha ainda um
importante papel nas etapas de design, testes, implantao e melhoria dos servios de TIC.
110
A gesto das aplicaes visa suportar a operao das aplicaes (tanto estruturantes
quanto de servios) por todo o ciclo de vida do servio, o que implica em participao
ativa nas atividades de design, testes e melhoria das aplicaes. Deve-se ressaltar que a
funo contempla tambm as aplicaes operacionais, como softwares de gesto (ERPs),
softwares de controle (de ativos, de pessoal, etc.) e similares.
A funo de service desk ser discutida na seo 5.3 deste captulo.
5.1.2.1 O comit de aprovao de mudanas
O ITIL estabelece que as mudanas devem ser formalmente aprovadas e
comunicadas. Para tanto, so utilizadas duas estruturas organizacionais: O comit de
aprovao de mudanas (CAB - ou Change Advisory Board) e o comit de aprovao de
mudanas emergenciais (ECAB - ou Emergency Change Advisory Board).
Para o modelo proposto, essa diferenciao no foi considerada. Foram agrupadas
consideraes de ambos os comits (CAB e ECAB) com o propsito de nortear a
aprovao de mudanas relevantes, ou crticas, para a operao e evoluo das CSEC.
O comit formado dinamicamente conforme a necessidade e a percepo do
gestor de TIC sobre a relevncia e impacto da mudana a ser proposta. O gestor de TIC
poder convocar membros de outros departamentos e/ou funes organizacionais para
tratar da discusso, e consequente aprovao, ou no, da mudana. Aps a tomada de
deciso o comit automaticamente dissolvido.
A proposio de um comit para tratar das mudanas mais importantes tem como
finalidade minimizar os riscos e compartilhar a tomada de deciso com os envolvidos
(direta ou indiretamente), alm de fortalecer a comunicao interna, visto que o ITIL
recomenda que sejam considerados, dentre outros:
O impacto que a mudana produzir na operao do negcio;
O efeito da mudana sobre a infra-estrutura e os servios do negcio,
considerao do impacto da mudana nos SLAs e OLAs, planos de continuidade,
disponibilidade e segurana;
O impacto sobre das demais reas e infra-estrutura (no de TIC, mas do
negcio);
Os resultados da no implementao da mudana;
111
A agenda corrente de mudanas e a carga da operao de TIC;
Ressalta-se que o comit deve ser convocado mediante o surgimento de
necessidades de mudanas consideradas relevantes pelo gestor de TIC. Ou seja, mudanas
triviais e do dia a dia devem ser agendadas e executadas diretamente pelo processo de
gesto de mudanas, sem o envolvimento do comit.
5.1.3 Gesto dos recursos de TIC
Para o modelo proposto, a gesto dos recursos envolve tanto a aquisio de
recursos e infra-estrutura de TIC (a) quanto a sua manuteno (b) e organizao (c). O
processo COBIT AI3 adquirir e manter infra-estrutura de TI trata dos tpicos (a) e (b).
AI3.1 Plano de aquisio de infra-estrutura de TI
A gesto de TIC deve contar com um plano para aquisio, implementao e
manuteno de infra-estrutura tecnolgica correspondente aos requerimentos tcnicos e
funcionais das CSEC. O plano deve utilizar as recomendaes contidas nesta seo do
modelo (5.1.3), e deve ser consoante com o CO PO3.2, discutido na seo 5.1.1.
AI3.3 Manuteno da infra-estrutura
Mudanas na infra-estrutura devem ser realizadas pelo processo de gesto de
mudanas (AI6); A atualizao dos registros do sistema de gesto da configurao (CMS)
deve ser realizada ao realizar manutenes na infra-estrutura.
As manutenes devem obedecer um plano e serem realizadas pr-ativamente.
Deve-se levar em considerao os requisitos dos SLAs dos servios e necessidades
operacionais das CSEC, assim como os planos de disponibilidade e continuidade do
servio de TIC.
Dentre os itens de configurao mais relevantes para este CO, pode se citar: os
servidores; a rede; os bancos de dados, os desktops e o middleware.
Embora, e em funo da, a utilizao de data centres para alocar as aplicaes das
CSEC transfira parte da responsabilidade pela manuteno dos ativos para os fornecedores
112
e prprios data centres, deve-se verificar a utilizao pelas CSEC dos modos de
colocation, presente e/ou futura, onde uma empresa simplesmente utiliza a infra-estrutura
do data center para alocar seu prprio servidor e/ou banco de dados. Esta modalidade
mantm a responsabilidade sobre a manuteno dos ativos sob domnio do gestor de TIC.
Da mesma forma, em muitos casos os data centres no se responsabilizam pelas
informaes contidas nas bases de dados, limitando sua responsabilidade aos servidores
gestores de bancos de dados. Alm disso, a alocao distribuda dos recursos (em data
centres e locais fsicos diversos), implica uma ateno maior gesto e manuteno da
rede e links de transmisso de dados.
O Middleware constitui-se das partes de software e infra-estrutura que conectam e
integram componentes de software ao longo de aplicaes e/ou sistemas, muitas vezes
distribudos (CANNON; WHEELDON; TAYLOR, 2007). O middleware permite a efetiva
transferncia de dados entre as aplicaes e dessa forma constitui pea chave dentre os
recursos de TIC das CSEC.
Para gerenciar os dados, recorreu-se ao processo COBIT DS11, que visa otimizar
o uso da informao e garantir que esta esteja disponvel ao ser requerida (ITGI, 2007, p.
141) do qual foram selecionados os seguintes objetivos de controle:
DS11.2 Arranjos de storage e reteno de dados
Os procedimentos para garantir o armazenamento eficiente e eficaz dos dados
devem ser definidos e implantados seguindo os requisitos de segurana, legais e do modelo
de negcios das serventias extrajudiciais, no que diz respeito aos tempos de reteno e
arquivamento.
DS11.5 Back-up e restaurao
Os mecanismos de back-up e restaurao de dados devem ser definidos em linha
com os requisitos dos planos de continuidade do negcio, e devem englobar os sistemas,
dados e bases de dados, aplicaes, documentao e dados e aplicativos de middleware.
DS11.6 Requisitos de segurana para a gerncia dos dados
Visa garantir a segurana dos dados. Tpico discutido com mais detalhes na seo
5.1.5.
113
J para tratar da organizao dos recursos de TIC, tpico (c) desta seo, o processo
ITIL ST 4.3 gesto da configurao e dos ativos de servio foi selecionado para suportar o
processo COBIT DS9 gesto da configurao.
No modelo, foi utilizado o conceito ITIL de item de configurao (CI) para
referenciar todo e qualquer recurso de TIC utilizado nas e pelas CSEC. Para o ITIL, um CI
um ativo de TIC, componente de algum servio ou qualquer item gerencivel pelo
processo ST 4.3, o que inclui itens de hardware, software, documentao, procedimentos,
SLAs, OLAs, recursos humanos, etc.
O uso de um sistema de gesto da configurao (CMS) recomendado devido
natureza de operao das CSEC, que possui diversos componentes, sob responsabilidade
de vrios fornecedores e/ou parceiros, em locais, inclusive geogrficos, tambm diversos.
Dessa forma, o uso de um sistema que alm de listar, mapeia os relacionamentos entre os
itens de configurao, facilita a operao e as tarefas de atualizao, ou implementao de
novos, softwares e/ou mdulos ou ativos de infra-estrutura.
O sistema deve ser acoplado ao(s) banco(s) de dados de configurao (CMDB).
Pode existir mais de um CMDB no modelo, gerenciado por mais de um parceiro ou
componente da organizao virtual. A granularidade dos CMDBs deve ser definida pelo
gestor de TIC, sendo que quanto maior o nvel de detalhamento dos CI maior a preciso
das informaes e tambm a complexidade da gesto.
Alm do mapa de relacionamentos entre os CI, o CMS dever permitir a ordenao
de CIs em nveis hierrquicos, de forma que os CI possam ser agrupados e gerenciados em
bloco. Por exemplo, mdulos de um software ou SLAs de um fornecedor ou servio.
O CMS, portanto, particularmente til para as sees 5.1.4 gesto de mudanas e
5.2 gesto dos fornecedores e parceiros, alm de ser utilizado no modelo pelos CO DS9.1,
DS9.2 e DS9.3, listados abaixo.
DS9.1 Repositrio e estado atual da configurao
O repositrio de configurao recomendado pelo COBIT constitui-se do CMDB e
CMS, discutidos acima. O monitoramento e registro da atualizao dos ativos e as
mudanas que estes sofrem sero discutidos em detalhes pelo processo AI6 Gesto de
mudanas.
114
O estado atual (ou baseline) ao qual o COBIT se refere neste CO diz respeito ao
estabelecimento de checkpoints, ou pontos base, no CMS de forma a manter um histrico e
um ponto de retorno aps a realizao de mudanas, caso seja necessrio.
DS9.2 Identificao e manuteno de itens de configurao
Este CO sentencia que devem ser estabelecidos os procedimentos para suportar a
gesto e registro (log) de todas as mudanas de CI no repositrio de configurao (o
CMDB). Estes procedimentos devem ser integrados aos processos AI6 gesto de
mudanas; DS8 gerenciar incidentes e o service desk; e DS10 gerenciar problemas. Dessa
forma, o estado atual da configurao das CSEC ser refletido precisamente no CMS.
DS9.3 Reviso da integridade da configurao
Deve-se revisar periodicamente os dados de configurao contidos no CMS e
CMDB de forma a confirmar a sua integridade atual e histrica (baselines e registro das
atualizaes). Da mesma forma, deve-se revisar as verses dos softwares instalados
fisicamente no ambiente da organizao e compar-los com os registros correspondentes
do CMS. Em caso de discrepncias deve-se iniciar os processos de atualizao
correspondentes.
5.1.4 Gesto de mudanas
Gesto de mudanas para o modelo de governana de TIC significa administrar as
mudanas realizadas na e pela operao de TIC, o que compreende as incluses,
atualizaes e remoes tanto em termos de software e aplicaes quanto em termos de
infra-estrutura e/ou quaisquer outros recursos de TIC na estrutura e servios de TIC das
CSEC, assim como seu reflexo (impacto, efeito, eficincia, etc.) na operao e servios das
CSEC.
Para tanto, foram utilizados os processos COBIT AI6 gesto de mudanas e AI7
instalar e certificar solues e mudanas e os processos ITIL correspondentes ST 4.2
gesto de mudanas e ST 4.4 gesto das implementaes e dos releases.
115
5.1.4.1 AI6 Gesto de mudanas
O processo COBIT AI6 busca gerir as mudanas reduzindo os defeitos das solues
e entrega de servios e retrabalho associado implementao das mudanas e outros
processos de TIC ou de negcio que possam ser afetados (ITGI, 2007). Para tanto, o
modelo proposto utiliza os seguintes CO:
AI6.1 Procedimentos e padres de mudanas
Deve-se criar procedimentos formais para tratar todas as requisies de mudanas,
o que inclui a manuteno e aplicao de correes (patches) nas aplicaes,
procedimentos, infra-estrutura, processos, sistemas e servios, e parmetros de todos estes,
de forma padronizada.
AI6.2 Avaliao do impacto, priorizao e autorizao
Deve-se avaliar todas as requisies de mudanas de uma forma estruturada para
determinar o seu impacto e funcionalidade. As mudanas devem ser categorizadas,
registradas, priorizadas e autorizadas antes de serem implantadas (figura 5-4).
AI6.3 Mudanas emergenciais
Deve-se tratar as mudanas emergenciais de forma extraordinria, sem abrir mo,
contudo, dos procedimentos descritos no CO AI6.2. Neste modelo, o comit de avaliao
de mudanas (detalhado na seo 5.1.2.1) utilizado para assessorar as mudanas crticas.
Para implantar o processo AI6, recorreu-se ao processo ITIL ST 4.2 gesto de
mudanas.
O processo de gesto de mudanas do ITIL visa garantir que todas as mudanas dos
ativos de servio e CIs so registradas no CMS, alm de produzir mtodos e procedimentos
padro para lidar com todas as mudanas da organizao de TIC de forma eficiente, e
minimizar dessa forma o risco para o negcio (LACY; MACFARLANE; TAYLOR, 2007).
Para tanto, o processo tem como objetivo garantir que as mudanas sejam
registradas, avaliadas, autorizadas, priorizadas, planejadas, testadas, implementadas,
documentadas e revisadas de forma controlada (LACY; MACFARLANE; TAYLOR,
2007).
116
Deve-se observar que enquanto o processo ST 4.2 visa a garantia do sucesso das
mudanas, a sua implementao propriamente dita realizada pelos processos COBIT AI7
e ITIL ST 4.4, discutidos posteriormente nesta seo.
Para o modelo, foram considerados dois tipos de mudanas: A mudana padro,
normal, e a mudana crtica. Os critrios de criticidade (importncia) e emergncia
(prioridade) devem ser observados. As mudanas crticas (emergenciais) devem tambm
obedecer o processo de gesto de mudanas e a atualizao do CMS. A autorizao e
priorizao da mudana ocorrem, contudo, atravs do emprego do comit de avaliao de
mudanas (seo 5.1.2.1) neste caso.
Para o ITIL, a mudana deve responder a 7 perguntas, denominadas os 7 Rs da
mudana (tabela 5-4).
Os 7 Rs da mudana
Quem RELATOU (solicitou) a mudana?
Qual a RAZO (motivo) da mudana?
Qual o RETORNO esperado da mudana?
Quais so os RISCOS envolvidos na mudana?
Quais RECURSOS so requeridos pela mudana?
Quem RESPONSVEL pela construo, implementao e testes da mudana?
Qual a RELAO entre esta e outras mudanas?
Tabela 5-4 - Os 7 Rs da mudana
Fonte: LACY; MACFARLANE; TAYLOR, 2007; traduo do autor.
Responder estas perguntas fundamental para completar uma avaliao de impacto
da mudana de forma correta, alm de entender o real custo-benefcio da mudana para o
respectivo servio em execuo (LACY; MACFARLANE; TAYLOR, 2007).
O processo de gesto de mudanas inicia-se atravs da criao de uma requisio
de mudanas (RFC ou Request For Change), como pode ser visto na figura 5-4. Toda RFC
registrada e classificada, mesmo que seja rejeitada e/ou no executada.
117
Figura 5-4 - Fluxo do processo de gesto de mudanas
Fonte: Dados secundrios
Etapas de documentao e avaliao esto previstas e tem como objetivo criar um
histrico e minimizar os efeitos nocivos decorrentes da implantao da mudana no
ambiente, respectivamente. Uma etapa de retorno ao estado anterior (fallback) mudana
tambm est presente. Deve-se observar que para que o fallback seja executado com
sucesso o CMS deve estar atualizado (veja o CO DS9.3 para mais detalhes) e a RFC
corretamente registrada.
J a etapa de Construo, testes e implementao executada pelos processos
COBIT AI7 e ITIL ST 4.4, conforme detalhado na seo 5.1.4.2.
AI7 Instalar e certificar solues e mudanas
Para abordar este tpico, foi utilizado, em conjunto com o processo COBIT AI7, o
processo ITIL ST 4.4 gesto das implementaes e releases. Para o ITIL, algumas
118
consideraes devem ser observadas pelo modelo de release e implementao, destacadas
na tabela 5-5.
Consideraes do processo ITIL de gesto da implementao e releases
Verificar que a release est em conformidade com o pacote de design (SDP), com a arquitetura e com os
padres e planos de TIC correspondentes
Garantir a integridade do hardware e software durante a instalao, manipulao, empacotamento e entrega
Utilizar procedimentos e ferramentas de release e implementao padronizados
Automatizar a entrega, distribuio, instalao, construo, configurao e procedimentos de auditoria onde
possvel para reduzir as etapas manuais
O pacote de release deve ser construdo e empacotado de um formal tal que seja possvel consert-lo e/ou
cancelar sua implementao caso necessrio
Utilizar os procedimentos do processo de gesto de configurao para controlar os componentes e verificar
os pr e ps requisitos de instalao, assim como identificar as correlaes entre os CIs
Documentar os passos da implementao
Tabela 5-5 - Consideraes do modelo de gesto das implementaes e releases
Fonte: Adaptado de LACY; MACFARLANE; TAYLOR, 2007; traduo do autor.
Com um propsito similar, o processo COBIT AI7 trata da execuo das mudanas
e implantao de novas solues ou atualizao das existentes. Deste, foram selecionados
os seguintes objetivos de controle para compor este tpico do modelo:
AI7.1 treinamento
Deve-se treinar os usurios afetados assim como os membros tcnicos da
organizao de TIC envolvidos de acordo com o plano de treinamento e necessidades
especficas da mudana.
AI7.2 plano de testes
Deve-se estabelecer um plano de testes baseado nos padres e papeis
organizacionais, assim como as funes definidas por este modelo. O plano deve ser
aprovado pelos envolvidos, incluindo o comit de avaliao de mudanas, se for o caso.
O processo ITIL ST 4.5 gesto da validao e dos testes pode ser utilizado para
delimitar e implementar o plano de testes, pois o propsito do processo garantir que o
servio, seja novo ou atualizado, ir suportar os requisitos do cliente, do negcio, e dos
acionistas, assim como os nveis de servio acordados para o mesmo, garantindo a
qualidade da implementao e identificando e avaliando as questes, erros, e riscos que
119
ocorrem pelo ciclo de vida de transio do servio (LACY; MACFARLANE; TAYLOR,
2007).
Basicamente, o processo ITIL ST 4.5 busca certificar que a utilidade e garantia da
implementao ou release estejam de acordo com as especificaes do planejamento
estratgico e do desenho do servio, assim como em conformidade com os SLAs
estabelecidos (figura 5-4).
Figura 5-5 certificao da obteno de utilidade e garantia para obteno de valor.
Dentre os tipos de testes que o processo ITIL menciona, o modelo destaca os testes
de nveis de servio (testes contra os SLAs), os testes de garantia e utilidade (figura 5-5),
usabilidade, compatibilidade, de marcos regulatrios e testes operacionais (carga e estresse
da release, segurana, recuperao, etc.).
Alm do plano de testes, o processo prev as etapas de verificao e desenho dos
testes; preparao do ambiente; realizao propriamente dia dos testes; avaliao dos
resultados para determinar se os testes podem ser encerrados; e a finalizao do processo
(figura 5-5).
120
Figura 5-6 - Fluxo do processo de gesto e validao de testes do ITIL.
A etapa de realizao dos testes tambm interage com, e alimenta, o CMS. Alm
disso, ao serem encontrados incidentes e/ou inconsistncias nos testes, o processo mais
apropriado acionado para lidar com a questo, dentre os quais pode-se citar os processos
de gesto de incidentes e problemas; gesto de riscos (no contemplado pelo modelo);
gesto de mudanas; e/ou gesto da configurao e dos ativos de servio (figura 5-6).
121
Figura 5-7 - Fluxograma detalhado de realizao de testes do processo de gesto de testes e validao
AI7.3 plano de implementao
Deve ser estabelecido, incluindo os pontos de retorno ao estado anterior (fallback).
Nos moldes do CO AI7.2, tambm deve ser aprovado junto s partes envolvidas.
Para auxiliar na criao do plano, pode-se utilizar a tabela 5-7, extrada do processo
ITIL ST 4.4.
122
Pergunta de
implementao
Exemplos
O que precisa ser
implementado?
H bom entendimento quanto ao servio e release sendo implementada?
Quais os componentes desta implementao? Quais so os norteadores, do
ponto de vista do negcio, da implementao? Esta implementao atende
necessidades crticas das CSEC?
Quem so os usurios?
Quais usurios so afetados pela implementao? Precisam de treinamento
especfico/especial? (por ex. ITs; ARs; clientes; parceiros ou fornecedores;
staff interno; etc.)
H dependncias de
localizao?
Feriados, interrupes ou paradas de negcio e/ou de servios de TIC. Nvel
de detalhes que precisa ser registrado quanto localizao (local fsico,
ambiente, etc.)
Onde esto os usurios? Usurios remotos e como sero afetados pela implementao
Quem mais precisa ser
preparado antecipadamente?
H necessidade de treinamento do service desk e/ou demais funes de TIC?
H necessidade de treinamento de fornecedores externos? preciso um
planto especial por parte do provedor de servios? H questes de acesso a
serem resolvidos (fsicos/de segurana/etc.)?
Quando a implementao
precisa ser concluda?
A agenda flexvel ou h uma data limite para realizar a implementao? H
processos de negcio que dependem dessa data?
Por que a implementao
est ocorrendo?
A implementao refere-se a correo de algum problema ou uma nova
funcionalidade e/ou atualizao? Os usurios entendem o que e o porque est
sendo implementado?
Quais so os fatores chave
de sucesso?
Como saber se a implementao foi concluda com sucesso? Quem autorizar
a implementao? como saber quando a implementao foi concluda?
Tabela 5-6 - Perguntas comuns do plano de implementao
AI7.4 teste do ambiente
Com base na anlise do escopo e recursos/reas afetadas executada pelo processo
de gesto de mudanas, deve-se testar o ambiente de forma estruturada, o que inclui
tambm a s questes relativas segurana, prticas operacionais, qualidade dos dados,
requisitos de sigilo e carga de trabalho x tempo estimado de execuo.
AI7.5 converso dos sistemas e dados
Algumas mudanas demandam converses de dados (atualizaes de verso de
aplicativos; migrao entre softwares; integraes entre sistemas; etc.). Para estas, deve-se
planejar antecipadamente e de forma estruturada estes converses, assim como migraes
de e na infra-estrutura. Inclui a insero de pontos de log para auditorias posteriores, assim
como o estabelecimento de pontos de rollback, ou retorno ao estado anterior caso seja
necessrio.
AI7.7 teste de aceitao final
123
As mudanas devem ser testadas de acordo com o plano de testes (CO AI7.2) antes
de sua migrao para o ambiente de produo. Deve-se garantir que os testes incluam a
segurana e tambm performance.
A validao deve ser realizada tambm pelos responsveis pelos processos de
negcio das CSEC correspondentes, em conjunto com os PSDEs, PSTs e PSSs envolvidos.
AI7.8 entrada em produo
Aps os testes, a entrega das mudanas para as operaes de TIC e de servios de
TIC, e o cumprimento do plano de implementao, obtida a aprovao para entrada em
produo junto aos usurios chave e gerentes das unidades envolvidas. Caso seja
considerado apropriado, os sistemas e recursos novos devem ser executados em paralelo
com os antigos para realizar comparaes tanto em termos de comportamento (operao)
quanto de resultados.
AI7.9 reviso ps-implementao.
Deve ser realizada em linha com o processo de gesto de mudanas, conforme
detalhado pelo plano de implementao, para realizar o fechamento final da mudana.
5.1.4.3 Principais interaes com as demais partes do modelo
A gesto de mudanas interage com praticamente todos os processos do modelo de
governana de TIC proposto. Os processos de design e de outras fases do ciclo de vida do
servio utilizam a gesto de mudanas para implantar as solues projetadas, enquanto que
a gesto de mudanas utiliza os demais processos para corrigir e minimizar riscos,
incidentes e problemas e suportar a implantao e/ou atualizao dos servios e ativos de
TIC. Dentre as principais interaes destacam-se os processos:
Gesto da configurao e dos ativos de servio: A gesto de mudanas interage com
este processo para atualizar e tambm consultar o CMS, identificando CIs relacionados
implementao em questo e mapeando os relacionamentos entre os componentes de TIC
com o propsito de obter uma avaliao precisa do impacto da mudana. A viso geral de
como os dois processos trabalham em conjunto para tratar uma dada mudana pode ser
conferida na figura 5-8.
124
Figura 5-8 - Interaes chave entre os processos de gesto de mudanas e gesto da configurao
Gesto de problemas: Este processo utiliza a gesto de mudanas para implementar
solues temporrias e para resolver questes conhecidas (veja a seo 5.3 para mais
detalhes sobre o processo de gesto de problemas). Alm disso, uma das maiores fontes
de RFCs e contribui substancialmente para as discusses do comit de avaliao de
mudanas.
Gesto da continuidade do servio: Muitos procedimentos e planos deste processo
devem ser implementados utilizando a gesto de mudanas para garantir que sejam
seguros, atualizados e eficientes.
Gesto da segurana: As mudanas requeridas pela segurana da informao devem
ser realizadas via gesto de mudanas. Alm disso, qualquer mudana relevante deve ser
avaliada quanto ao seu impacto no plano de segurana.
5.1.5 Gesto da segurana da informao e da continuidade dos servios de TIC
Embora possuam hoje uma capacidade super dimensionada, deve-se garantir que a
disponibilidade dos servios de TIC das CSEC esteja de acordo com suas necessidades,
tanto comerciais quanto operacionais.
125
Para tanto, o CO COBIT DS3.4 disponibilidade dos recursos de TIC e o processo
ITIL SD 4.4 gesto da disponibilidade so empregados pelo modelo proposto.
O objetivo de ambos garantir que o nvel de disponibilidade de todos os servios
de TIC entregue corresponda, ou exceda, as necessidades, tanto atuais quanto futuras, do
negcio. Para tratar do tpico disponibilidade o modelo emprega o conceito de garantia do
ITIL, discutido anteriormente. Na prtica, isso significa que os servios oferecidos pelas
CSEC devem estar disponveis para os clientes sempre que necessrio, dentro dos limites
de operao do servio estabelecidos no catlogo de servios e SLAs correspondentes.
De fato, monitorar o desempenho dos SLAs e OLAs (detalhados na seo 5.2)
constitui a base da gesto da disponibilidade do modelo proposto. Alm destes, deve-se
considerar a garantia necessria para a execuo dos servios durante seu design (CO
COBIT AI2.1; AI2.2; AI2.4), aquisio (CO COBIT AI3.1; AI3.2) e segurana, discutida
na seo 5.1.5.1.
5.1.5.1 DS4 Garantir a segurana dos sistemas
A gesto da segurana dos sistemas e informao particularmente til no contexto
das CSEC em funo do requisito de sigilo de algumas aplicaes de servios, e da
informao ser o insumo principal dos seus produtos. Sua proteo, portanto, torna-se
fundamental, na medida em que sustenta sua credibilidade e valor (COBIT CO DS5.1
gesto de segurana de TI).
DS5.3 gesto da identidade
Este objetivo de controle busca garantir que todos os usurios (internos, externos,
clientes, fornecedores e temporrios) e suas atividades nos sistemas de TI (aplicaes de
servios, ambiente de TIC, operaes de sistemas, desenvolvimento e manuteno) so
identificveis de forma nica. Alm disso, as requisies de acesso devem ser
documentadas e realizadas pela gesto de operaes e/ou responsvel pelo servio.
Preferencialmente, as identidades e direitos de acesso dos usurios devem ser
mantidos em uma base de dados central, integrada atravs da utilizao de servios e
protocolos de diretrio (por exemplo o protocolo LDAP - Lightweight Directory Access
Protocol). Com isso, a gesto das contas de usurio (CO COBIT DS5.4) poder-se- ser
126
realizada de forma integrada e nica para todos os servios, o que garante maior
consistncia, confiabilidade e produtividade.
DS5.5 testes de segurana, vigilncia e monitoramento
Testes devem ser realizados periodicamente com o propsito de garantir que os
requisitos de segurana definidos continuam sendo mantidos. Para tanto, pode ser
empregado o processo de gesto de testes e validao, discutido na seo 5.1.4.2 deste
captulo.
Este CO pode ser otimizado atravs do emprego de logs de acesso com disparo de
triggers de forma pr-ativa para a funo de gesto das operaes de TIC em casos
suspeitos e/ou confirmados de violao de identidade e/ou acesso.
DS5.6 definio de incidentes de segurana
A definio do que constitui um incidente de segurana deve ser definida
claramente e comunicada aos membros da organizao de TIC, especialmente aos
envolvidos nos processos de gesto de incidentes e problemas.
DS5.7 proteo da tecnologia de segurana
A documentao relativa segurana e tambm infra-estrutura de TIC no deve ser
compartilhada sem necessidade. Acordos de confidencialidade devem ser estabelecidos
com os envolvidos.
DS5.10 segurana da rede
A utilizao de redes constitui um ponto chave na infra-estrutura das CSEC, visto
que as informaes e aplicaes so distribudas. Garantir sua segurana, portanto, revela-
se um requisito elementar para a credibilidade dos servios prestados. Deve-se observar
particularmente o estado da segurana de links que trafegam sobre a internet e garantir a
troca de dados sensveis (CO COBIT DS5.11) de forma segura. Conexes do tipo VPN
(Rede privada virtual) devem ser utilizadas neste caso. Alm disso, deve-se observar a
segurana de rede do ponto de vista dos data centres utilizados.
5.1.5.1 DS4 garantir a continuidade do servio
A gesto da disponibilidade e segurana da informao e dos sistemas, discutidos
neste tpico, compem, ao lado dos planos de contingncia, de tolerncia falhas e de
127
recuperao de desastres de TIC um framework (CO COBIT DS4.1) que visa garantir a
continuidade dos servios de TIC. O framework deve contar ainda com a identificao de
recursos chave para a operao dos servios, ser documentado de forma estruturada, e
discutido com os gestores dos servios (do ponto de vista do negcio).
Para tanto, os recursos e componentes crticos de TIC devem ser identificados (CO
COBIT DS4.3) com o objetivo de estabelecer prioridades em situaes de recuperao.
Planos de continuidade (CO COBIT DS4.2) devem ser criados com o propsito de mant-
los operacionais sempre que necessrio, e devem contar com aes de recuperao de
desastres e contingncia (redundncia dos equipamentos, suporte especial, etc.). Os planos
devem ser testados regularmente (CO COBIT DS4.5), e devem ser preparados
antecipadamente, alm de ser documentados. A preparao envolve o treinamento dos
envolvidos e sua conscientizao sobre os planos de continuidade (CO COBIT DS4.6).
Correes devem ser realizadas quando necessrio e incorporadas aos planos. Para tanto,
deve-se utilizar o processo de gesto dos testes e validao, detalhado na seo 5.1.4.2.
Deve compor os procedimentos de continuidade de servio, ainda, a realizao de
storage e back-up em locais externos. Por locais externos entende-se locais fisicamente
distintos daqueles utilizados para a guarda dos dados, sistemas e documentao. Este
procedimento se faz necessrio devido ao risco de parada e/ou dano fsico s instalaes
utilizadas, o que inclui os data centres utilizados. Replicar as informaes crticas em mais
de um data center uma opo a ser considerada.
5.1.6 Monitoramento e avaliao dos servios e ativos de TIC
Tanto o ITIL quanto o COBIT conferem grande nfase ao monitoramento de ativos,
processos e servios de TIC. Os conjuntos sustentam que o monitoramento constitui a base
da gesto pr-ativa de TIC, ao possibilitar que aes sejam tomadas antes da ocorrncia de
falhas e/ou problemas.
Monitorar e avaliar os servios e ativos de TIC particularmente til aos planos de
continuidade de servio de TIC, gesto da segurana e operao dos servios. Os dados
128
produzidos so tambm considerados pelas fases de desenho e transio de servio ao
projetar atualizaes ou novos servios de TIC.
O modelo de processos utilizado pelos conjuntos possibilita a criao de mtricas
customizadas. Com base nisso, e na medida que sejam implantados os processos de TIC
das CSEC propostos pelo modelo governana de TIC, pode-se aferir seu estgio atual a
partir do modelo de maturidade do COBIT.
O modelo determina que as informaes referentes performance dos processos
deve ser coletada e armazenada de forma sistemtica e contnua. O modelo, contudo, no
determina quais informaes ou mtricas devem ser implantadas para cada processo,
dentre as opes fornecidas pelos conjuntos COBIT e ITIL, com o propsito de tonar o
modelo mais gil e simples. Por definio, as informaes relevantes devem ser
determinadas durante a implantao dos processos, mediante observao detalhada da
realidade.
O modelo proposto recomenda, entretanto, que o estgio de maturidade nmero trs
(processo definido) do COBIT deve ser perseguido pelo(s) gestor(es) de TIC ao implantar
os processos de TIC propostos. Este estgio denota a profissionalizao da gesto de TIC e
indica que o processo est formalizado
A implantao do processo de SO 4.1 gesto de eventos do ITIL, detalhado na
seo 5.3.4, deve ser o ponto de partida para implantar o processo COBIT ME1 monitorar
e avaliar a performance de TI. Alm deste, o processo ITIL CSI 4.1 os sete passos para a
melhoria foi empregado para orientar a implantao do CO COBIT ME1.2 definio e
coleta dos dados de monitoramento. A figura 5-9, extrada desse processo, exibe as
recomendaes ITIL para este CO.
129
Figura 5-9 - Procedimentos para coleta de dados de monitoramento
Fonte: CASE; SPALDING; TAYLOR, 2007.
5.1.7 Treinamento dos clientes (internos e externos)
Deve-se destacar que as necessidades de treinamento das CSEC vo alm do
treinamento dos seus recursos humanos e componentes das funes de TIC, para incluir
tambm os clientes externos dos servios eletrnicos.
Para tanto, o modelo prope as recomendaes do processo COBIT DS7, atravs
dos objetivos de controle DS7.1, DS7.2 e DS7.3
DS7.1 Identificao das necessidades de educao treinamento
Deve ser realizada com base nos servios oferecidos (componentes do catlogo de
servios) e sendo desenvolvidos (fila do servio). Do ponto de vista do cliente externo,
deve-se observar a operao dos servios, assim como o seu suporte e obteno de ajuda.
Do ponto de vista do componente humano da organizao de TIC, o treinamento deve ter
como foco a continuidade do servio, os contatos para a prestao de suporte e o prprio
130
suporte s ferramentas que compem o servio, e tambm aos clientes externos (para os
membros pertinentes).
DS7.2 Realizao de treinamento e educao
Os treinamentos devem ser realizados e entregues de forma organizada. Uma
estrutura de pr-requisitos hierrquica pode ser utilizada para montar a grade de
treinamentos oferecidos. Alm disso, deve-se considerar a realizao de treinamentos no
formato e-learning, atravs da internet.
Todos os servios oferecidos pelas CSEC devem contar com documentao de
ajuda e FAQs (Perguntas freqentemente realizada). O seu provimento deve ser previsto
nas fases de desenho dos servios e contratao de fornecedores.
DS7.3 Avaliao do treinamento recebido
Os treinamentos realizados devem ser avaliados regularmente sob o ponto de vista
da relevncia, qualidade, eficincia, custo e valor gerado. As avaliaes devem ser
consideradas pela proposio de novos treinamentos.
5.2 GESTO DOS FORNECEDORES E PARCEIROS
A anlise dos dados coletados, assim como a observao do funcionamento prtico
das CSEC, assim como o estudo de suas bases tericas e conceitos (dentre estes as
organizaes virtuais e os servios compartilhados) reforam a importncia dos
fornecedores de TIC e parceiros, tanto tecnolgicos quanto organizacionais e de outros
competncias para o processo de inovao em curso. Em funo disso, a sua gesto foi
destacada no modelo de governana de TIC.
Para discutir esse tpico, a presente seo abordar os processos COBIT DS1
definir e gerenciar os nveis de servio, AI2 adquirir e manter software aplicativo, AI5
obter recursos de TI e DS2 gerenciar servios de terceiros, nesta ordem.
131
De forma sinttica, os nveis de servio propostos pelo processo DS1 devem guiar a
aquisio e manuteno de software aplicativo (AI2) assim como recursos de TIC (AI5) e
servios executados por terceiros (DS2).
5.2.1 Definir e gerenciar os nveis de servio (DS1)
Os servios eletrnicos disponibilizados pelas CSEC atravs do emprego de
aplicaes de servio devem possuir nveis de servio claros e estabelecidos atravs de
SLAs , ou acordos de nveis de servio (COBIT CO DS1.3 acordos de nvel de servio -
SLAs). Os SLAs, por sua vez, devem ser criados de acordo com as necessidades
estratgicas e dos prprios servios oferecidos, respeitando os prazos legais, as
necessidades dos clientes e os planos de expanso e crescimento das CSEC, para os quais
uma qualidade de servio acima do esperado contribui substancialmente.
Para suportar os SLAs, acordos de nveis operacionais (OLAs) devem ser
estabelecidos com os PSDEs correspondentes (COBIT CO DS1.4 acordos de nvel
operacional - OLAs). Os acordos operacionais, ou OLAs so to importantes quanto os
SLAs visto que quem de fato disponibiliza as informaes utilizadas pelos servios das
CSEC e consumidas pelos clientes so as prprias serventias extrajudiciais. A criao dos
OLAs tem como objetivo, portanto, formalizar, documentar e organizar o relacionamento
com os PSDEs, assim como possibilitar o monitoramento dos nveis de servio praticados.
Alm dos SLAs e os OLAs, o modelo prev a utilizao de contratos, apoiados
tambm em SLAs, para nortear o relacionamento com os fornecedores de TIC (figura
5-10). A gesto dos contratos com fornecedores objeto do CO COBIT AI5.2.
132
Figura 5-10 - O uso de SLAs, OLAs e contratos pelo modelo de governana de TIC
Fonte: LLOYD; RUD; TAYLOR, 2007.
DS1.1 framework de gesto dos nveis de servio
O framework de gesto de nveis de servio recomendado pelo COBIT deve ser
continuamente alinhado com as necessidades e prioridades do negcio (das CSEC) e
estabelece a criao de um processo para criar os requerimentos e definies de servio,
assim como os respectivos SLAs e OLAs e organiz-los em um catlogo de servios (veja
a seo 5.1.1 deste captulo para mais informaes sobre o catlogo de servios).
Para tanto, o modelo utiliza a estrutura do processo ITIL SD 4.2 gesto do nvel do
servio, disposta na figura 5-11.
133
Figura 5-11 - O processo de gesto de nveis de servio do modelo de governana de TIC
Fonte: Adaptados de LLOYD; RUD; TAYLOR, 2007; traduo do autor
Para produzir SLAs, OLAs e contratos aderentes s necessidades das CSEC, o
ponto de partida a criao dos SLRs, ou requerimentos de nvel de servio (figura 5-11).
Os SLRs so formados pelo conjunto de requisitos funcionais dos servios das CSEC. Para
auxiliar na sua criao, as prototipaes produzidas pelo LABGES e as anlises de
requisitos UML realizadas pelos analistas de software podem ser utilizadas.
O resultado da anlise dos SLRs, alm de servir de base para a criao dos SLAs,
OLAs e contratos, deve ser incorporado ao catlogo de servios. Os SLAs e OLAs criados
devem conter, dentre outras, informaes referentes ao escopo do acordo (o que coberto
pelo acordo; horrios do servio coberto pelo SLA, sua disponibilidade, continuidade,
segurana e funcionalidade (caso seja necessrio); detalhar a forma e tempos de
atendimento s solicitaes de suporte; prover os pontos de contatos e escalao (em caso
134
de incidentes ou requisies); definir a performance esperada do servio e indicar as
mtricas de avaliao; assim como definir as responsabilidades das partes e definir o
mtodo de cobrana (caso necessrio) pelo uso do servio e formas de compensao em
caso de violao das clusulas pelas partes.
Uma vez criados os SLAs, os nveis de servio dos servios de TIC que suportam e
implementam os servios eletrnicos das CSEC precisam ser monitorados e comparados
aos estabelecidos (CO COBIT DS1.5 monitorar e reportar os nveis de servio alcanados).
Com base nos dados coletados pode-se realizar revises e incentivar a realizao de
melhorias nos servios de TIC e tambm nos SLAs e contratos (CO COBIT DS1.6 reviso
dos SLAs e contratos).
5.2.2 Adquirir e manter software aplicativo (AI2)
O software aplicativo ao qual o COBIT se refere neste processo representado
pelas aplicaes estruturantes e de servios das CSEC.
Os COs AI2.1 design de alto nvel e AI2.2 design detalhado sustentam que os
requisitos e funcionalidades esperadas devem ser traduzidos em especificaes de design
de alto nvel (sumrio executivo e anlise de requisitos UML) assim como de forma
detalhada, com critrios definidos de aceitao dos requisitos (prototipao das
aplicaes).
Maiores detalhes sobre o desenho das aplicaes das CSEC podem ser obtidos
junto ao LABGES e trabalhos acadmicos relacionados (vide COSTA, 2009), responsvel
pela prototipao de novas aplicaes de servio, uma vez que sua modelagem est alm
do escopo deste modelo.
AI2.4 disponibilidade e segurana das aplicaes
Deve-se garantir a disponibilidade e a segurana das aplicaes de acordo com as
exigncias jurdicas e necessidades de funcionamento das CSEC.
135
Os processos de gesto da disponibilidade e da segurana so descritos em detalhes
na seo 5.1.5.
AI2.5 configurao e implementao de software adquirido
Estas atividades devem ser realizadas de acordo com os objetivos de negcio, e no
somente de TIC. O treinamento adequado dos membros da organizao de TIC (processo
COBIT DS7) e a participao de recursos humanos de terceiros qualificados (processo
COBIT DS2) garantem maior produtividade e eficincia neste caso.
AI2.10 manuteno de software aplicativo
Deve-se certificar que os COs AI2.4, AI2.5 e AI2.10 sejam implementados e
mantidos dentro dos nveis de servio definidos pelo processo COBIT DS1.
5.2.3 Obter recursos de TI (AI5) e gerenciar servios de terceiros (DS2)
O processo COBIT AI5 deve atuar de acordo com o plano de aquisio de infra-
estrutura de TIC, do processo AI3, descrito na seo 5.1.3. Dentre seus principais COs cita-
se o AI5.2 gesto dos contratos de fornecedores, que determina a realizao da gesto dos
contratos e dos fornecedores atravs de procedimentos definidos e documentados. Para as
CSEC, e devido ao seu modelo terico, deve-se organizar essas procedimentos e
informaes sobre os fornecedores em uma base dados de fornecedores e contratos (SCD),
como pode ser visto na figura 5-12.
136
Figura 5-12 - Procedimentos e base de dados de gesto dos contratos de fornecedores
Fonte: Adaptados de LLOYD; RUD; TAYLOR, 2007; traduo do autor
O estabelecimento de novos fornecedores e contratos (COBIT CO AI5.3 seleo
dos fornecedores) deve ser baseado em prticas formais com o propsito de selecionar os
melhores fornecedor com base nos requerimentos especificados.
A gesto dos fornecedores e contratos (COBIT CO DS2.2 gesto do relacionamento
com o fornecedor) deve ser basear pelos SLAs definidos e ter como ncora a transparncia
e confiana mtuas. Devem ser considerados aspectos legais e jurdicos dos contratos por
recursos humanos especialistas.
A implantao do procedimento de gesto dos fornecedores e contratos possibilita
ao modelo incorporar o CO COBIT DS2.1, que visa a identificao de todas as relaes
com fornecedores, alm de categoriz-los pelo tipo, relevncia para o modelo e criticidade.
Os relacionamentos e responsabilidades, tanto tcnicos quanto comerciais, com os e dos
representantes dos fornecedores identificados devem ser organizados e documentados, de
137
forma a preservar o conhecimento e eficincia das CSEC nos casos de turn over de
recursos humanos correspondentes, alm de imprimir maior produtividade operao
normal dos servios.
DS2.4 Monitoramento da performance com o fornecedor
O procedimento de gesto deste tpico deve incluir rotinas de monitoramento da
entrega de servios do fornecedor, comparando os dados coletados com os SLAs e
contratos estabelecidos. Alm de certificar que a performance apurada est competitiva
com relao a outros fornecedores (custo x benefcio competitivo) e condies de mercado.
5.3 CENTRO DE RESPOSTAS A INCIDENTES DO DOCUMENTO ELETRNICO
O termo centro de respostas a incidentes do documento eletrnico, que foi
extrado da entrevista realizada com o gestor estratgico das CSEC, sinnimo do termo
central de comunicao e suporte, presente no documento tcnico que delineou as bases
conceituas para a criao das CSEC (DE ROLT; DIAS; CUSTDIO, 2007).
O objetivo conceitual do centro prover suporte aos usurios e tratar dos incidentes
de TIC decorrentes do funcionamento e utilizao dos servios de documento eletrnico.
No modelo de governana de TIC proposto, esse conceito foi ampliado de forma a
englobar tambm o suporte de primeiro nvel prestado tambm infra-estrutura de TIC e
s aplicaes estruturantes das CSEC. Para prestar o suporte, o centro dever realizar,
tambm, o monitoramento de eventos e notificaes dos ativos de TIC.
Para suportar a criao do centro (que hoje existe somente conceitualmente), foram
utilizados majoritariamente processos e objetivos de controle COBIT do domnio de
entrega e suporte (DS), assim como da fase do ciclo de vida do servio ITIL operao do
servio (SO) incluindo a funo de service desk.
5.3.1 A funo de service desk
138
O service desk do modelo baseia-se no CO DS8.1 service desk do COBIT e
implanta os conceitos da funo ITIL de nome homnimo. O service desk constitui uma
funo central do centro de respostas na medida em que implanta o conceito ITIL de ponto
nico de contato (SPOC) com os usurios e clientes para tratar das questes de suporte
(figura 5-13).
Figura 5-13 - A funo de service desk do modelo de governana de TIC
Fonte: Adaptado de CANNON; WHEELDON; TAYLOR, 2007; traduo do autor.
De fato, o principal propsito desta funo lidar com uma variedade de eventos
de servio, que podem ocorrer via telefone, interface web, ou automaticamente atravs de
eventos de infra-estrutura reportados [ver o processo ITIL SO 4.1 gesto de eventos,
descrito na seo 4.3.4] (CANNON; WHEELDON; TAYLOR, 2007). De forma prtica,
constitui funo do service desk atender, documentar e responder ou escalar todas as
solicitaes de suporte e requisies de atendimento dos usurios e clientes dos servios
das CSEC, assim como monitorar os eventos gerados de forma automtica.
Para a operao do service desk e o monitoramento de eventos, devem ser
utilizadas ferramentas especialistas, disponveis no mercado, que implementem o protocolo
TCP SNMP, utilizado para monitorar e estabelecer comunicao com os ativos de TIC. De
139
forma geral, as ferramentas disponveis implementam, alm as funes do service desk, os
processos de gesto de incidentes, de problemas, requisies do usurio e eventos, alguns
incorporando tambm os processos de gesto da configurao, de mudanas e
disponibilidade, dentre outros.
Implantar o conceito de SPOC importante para o modelo pois possibilita uma
gesto mais eficiente e produtiva ao separar de fato as tarefas de gesto das tarefas de
suporte de TIC (figura 5-6). Alm de garantir o registro de todas as solicitaes e eventos
e, consequentemente, produzir dados estatsticos e gerenciais confiveis. Para tanto, e alm
das recomendaes ITIL de possuir um nmero de telefone, assim como uma interface web
e e-mail nicos e extensamente divulgados para o contato com a organizao de TIC
(atravs da funo de service desk), o modelo recomenda a existncia de uma interface de
contato com o centro de respostas a partir da plataforma do documento eletrnico.
Dessa forma, os recursos humanos mais especialistas, que compem as demais
funes de TIC do modelo, so poupados do suporte de primeiro nvel e podem dedicar-se
realizar as tarefas de gesto propriamente ditas e/ou manuteno e atualizao dos
servios de infra-estrutura.
Para resolver os chamados, o service desk utiliza o processo de gesto de incidentes
(descrito na seo 4.3.2). Da mesma forma, o processo de gesto de eventos (seo 4.3.4)
fornece os dados de monitoramento e o de gesto de problemas alimenta a base de dados
conhecida (seo 4.3.3), extensamente utilizada pelos membros do service desk para fins
de consulta e resoluo de chamados.
Um service desk eficiente pode compensar deficincias em outras partes da
organizao de TIC. O contrrio, contudo, indica uma gesto de TIC pobre e ineficiente,
mesmo quando isso no ocorre. A eficincia do service desk advm do seu grau de
maturidade e integrao com as demais partes da organizao de TIC, reflexo tanto da
experincia dos seus membros quanto do seu treinamento e profissionalizao, que no
podem ser desprezados.
4.3.1.1 O service desk na organizao virtual do processo de modernizao
Segundo a teoria das organizaes virtuais, o service desk pode no fazer parte
integrante da organizao de TIC das CSEC de forma direta. Suas funes podem ser
140
realizadas por um parceiro e/ou fornecedor, que neste caso ser o responsvel por sua
gesto.
Caso seja este o modelo adotado pelas CSEC para implantar o service desk,
algumas recomendaes devem ser observadas:
O service desk deve ter acesso a todos os registros e informaes de
incidentes e problemas, assim como a base de dados de erros comuns, agenda de
realizao de mudanas, assim como ao CMS e s ferramentas de monitoramento.
Deve-se trabalhar com SLAs para monitorar o desempenho do service desk.
Os SLAs devem considerar as necessidades dos clientes e usurios das CSEC e
devem ser acompanhados utilizando mtricas definidas (seo 4.3.1.2).
A comunicao fundamental na medida em que alguns incidentes e
solicitaes demandam a interveno de especialistas (suporte de 2o/3o nvel, etc.)
que podem no fazer parte da organizao que implementa o service desk. Para tanto,
deve-se utilizar OLAs para otimizar a comunicao e estabelecer os parmetros do
relacionamento dos membros do service desk com as demais partes da organizao
de TIC.
Deve-se ter um entendimento claro sobre a propriedade sobre os dados e
informaes coletadas pelo service desk.
4.3.1.2 Mtricas
Dentre os principais indicadores que podem ser utilizados para gerir o service desk
destacam-se:
A taxa de resolues do primeiro nvel: Este indicador medido atravs do
clculo da porcentagem de chamados resolvidos durante o primeiro contato com o
service desk. O percentual de chamados resolvidos sem auxlio de outros grupos,
parceiros e/ou funes de TIC tambm pode ser considerado;
Tempo mdio para resolver um incidente (no primeiro nvel);
Tempo mdio para escalar um incidente, quando necessrio (para outos
nveis);
141
Percentual de clientes atendidos e atualizaes realizadas dentro dos limites
dos SLAs estabelecidos;
Tempo mdio para revisar e fechar um chamado atendido (resolvido).
5.3.2 Gesto de incidentes e requisies do usurio
O processo de gesto de incidentes e requisies do usurio do modelo baseia-se
nos processos ITIL SO 4.2 gesto de incidentes e SO 4.3 atendimento s requisies, que
implementa, por sua vez, os CO COBIT DS8.2, DS8.3 e DS8.4.
Para o ITIL , um incidente uma interrupo sofrida por um servio de TIC ou
uma reduo da qualidade de um servio de TIC (CANNON; WHEELDON; TAYLOR,
2007). Incluem-se nesta proposio as falhas, questes e solicitaes reportadas pelos
usurios de servios de TIC, dos parceiros ou membros tcnicos da organizao de TIC e/
ou as reportadas pelo processo de gesto de eventos de forma automtica.
Desta forma, o propsito deste processo e a razo de inclu-lo no modelo podem ser
descritos como restaurar a operao normal do servio o mais rpido possvel, assim
como minimizar os impactos negativos decorrentes para as operaes de negcio,
garantindo a manuteno dos melhores nveis de disponibilidade e qualidade do
servio (CANNON; WHEELDON; TAYLOR, 2007). Por operao normal do servio os
autores citados referem-se operao do servio dentro dos limites do SLA estabelecido.
Alm deste, pode-se citar o cumprimento das solicitaes do usurio, tambm dentro dos
limites dos SLAs estabelecidos.
A distino entre os incidentes e as solicitaes de usurio (atendidas pelo processo
ITIL SO 4.3) ocorre devido ao fato de alguns chamados no referirem-se incidentes
propriamente ditos (interrupes/falhas/etc.) mas a solicitaes novas e/ou dvidas.
O processo de gesto de incidentes iniciado, geralmente, pelo service desk. O
processo deve incluir os passos que devem ser seguidos para a realizao do incidente,
assim como a sua categorizao (classificao) e priorizao; Da mesma forma, as
responsabilidades pelas aes a serem tomadas, assim como as informaes a serem
142
coletadas devem ser estabelecidas; os procedimentos de escalao de incidentes (quem
deve ser contatado e quando) devem ser definidos; alm disso, devem ser observadas as
atividades de preservao de evidncias, caso necessrio, o que pode ser til para o
processo de gesto de problemas e/ou para questes relacionadas segurana,
disponibilidade e capacidade dos servios de TIC. A figura 5-14 exibe o fluxograma padro
de execuo do processo.
143
Figura 5-14 - Fluxograma de execuo do processo de gesto de incidentes
144
Preferencialmente, a identificao dos incidentes deve ocorrer antes do seu impacto
nos processos organizacionais e nos usurios e clientes. O constante monitoramento,
atravs da gesto de eventos, dos componentes chave dos servios possibilita a deteco de
falhas ou potenciais falhas antecipadamente.
Uma vez identificados, todos os incidentes devem ser registrados (log), incluindo a
data e hora de ocorrncia, alm de todas as informaes pertinentes. O registro do
incidente deve ser atualizado de forma a manter um histrico de intervenes.
Alm disso, os incidentes devem ser categorizados e priorizados. A classificao
dos incidentes possibilita a gerao de informaes estatsticas e gerenciais, que auxiliam
na gesto do centro de respostas, enquanto que a priorizao dos mesmos visa estabelecer
uma ordem de resoluo visto que uma fila de incidentes para serem resolvidos pode ser
formada de forma dinmica. A prioridade de um incidente pode ser determinada com base
na urgncia e impacto causados, do ponto de vista do negcio.
Como pode ser visto na figura 5-14, a escalao dos incidentes pode ocorrer tanto
funcional quando hierarquicamente, onde no somente gestores de TIC, como tambm
gestores organizacionais, podem ser notificados sobre os incidentes.
Para auxiliar no diagnstico e investigao do incidente, a base de dados de erros
comuns (seo 4.3.3) pode e deve ser utilizada. Alm disso, como parte da etapa de
resoluo e recuperao, os testes relativos soluo proposta devem ser realizados.
J o fechamento dos incidentes deve incluir uma reviso de sua categorizao,
registro e documentao. Pesquisas de satisfao podem ser realizadas com o propsito de
capturar a viso dos clientes sobre o funcionamento do centro de respostas.
Deve-se observar que os incidentes so geralmente causados por problemas
diversos, tanto de infra-estrutura quanto de desenho e/ou operao dos servios, que devem
ser resolvidos de forma definitiva para prevenir a recorrncia dos incidentes. Para tanto,
ser utilizado o processo de gesto de problemas, detalhado na seo 5.3.3.
5.3.3 Gesto de problemas
145
O ITIL define um problema como a causa desconhecida de um ou mais
incidentes (CANNON; WHEELDON; TAYLOR, 2007). Essa definio contrasta com o
processo de gesto de incidentes, que tem como funo restaurar os nveis de servio o
mais rpido possvel. Enquanto isso, o propsito do processo de gesto de problemas
descobrir as causas-raz que ocasionam os incidentes, de forma a elimin-las e prevenir
que incidentes similares no ocorram no futuro.
O processo iniciado de diversas formas (figura 5-15). Destaca-se a gesto pr-
ativa de problemas, como parte da melhoria contnua do servio, como forma de iniciar o
processo, na medida em que busca eliminar problemas antes da manifestao de incidentes
relativos.
Da mesma forma que os incidentes, os problemas tambm devem ser categorizados,
priorizados e completamente registrados, incluindo atualizaes quando necessrio.
Resolver rapidamente um problema pode no ser uma tarefa trivial, pois as causas
dos problemas podem ser desconhecidas. Possuir um CMS e um banco de dados de
incidentes e eventos atualizado facilita a operao deste processo. Alm disso, solues
temporrias (workarounds) podem ser implementadas pelas funes tcnicas enquanto se
trabalha na soluo definitiva do problema com o propsito de restaurar a operao normal
do servio e reduzir e/ou eliminar a ocorrncia de incidentes (figura 5-15).
Uma vez realizado o diagnstico do problema, um registro de erro conhecido pode
ser criado na base de dados de erros conhecidos. Esta atividade particularmente til para
o service desk e o processo de gesto de incidentes, que consultam a base de erros
conhecidos rotineiramente durante sua operao.
A interao deste processo com a gesto de mudanas particularmente relevante.
As solues dos problemas, definitivas ou temporrias, devem ser implementadas via
gesto de mudanas, seguindo a operao normal de TIC das CSEC. Alm disso, uma vez
resolvido o problema, os registros de erros conhecidos associados devem ser atualizados.
146
Figura 5-15 - Fluxograma de execuo do processo de gesto de problemas
147
Alm da gesto de mudanas, deve-se destacar as interaes deste processo com os
processos de gesto de nveis de servio (garantir que sejam cumpridos), continuidade do
servio de TIC (prevenir paradas e minimizar o impacto dos problemas), gesto da
configurao (consulta na resoluo do processo e atualizaes via gesto de mudanas) e
gesto da disponibilidade (gesto pr-ativa dos problemas visa minimizar as paradas e
maximizar o tempo de servio - uptime), como afirma, alm do ITIL, o CO COBIT
DS10.4.
5.3.4 Gesto de eventos
O ITIL define os eventos como sendo as notificaes criadas pelos servios e CIs
que compem a organizao de TIC. O processo de gesto de eventos tem seu foco na
gerao e deteco de notificaes relevantes sobre o estado dos servios e infra-estrutura
de TIC.
Uma ferramenta de monitoramento deve ser empregada pelo processo. Esta deve
receber, processar e entregar, na forma de relatrios, grficas e indicadores, dados e
informaes sobre os ativos e servios de TIC das CSEC. A ferramenta deve trabalhar com
o protocolo SNMP, padro da indstria para monitorar CIs. Praticamente todos os CIs
presentes hoje nas CSEC j devem trabalhar com este protocolo. Recomenda-se que os
ativos que no o implementam sejam substitudos, quando possvel.
Ativos de TIC (servidores, roteadores, switches,etc.) que habilitam o protocolo
SNMP enviam alertas e notificaes que so coletadas e armazenadas pelo processo de
gesto de eventos. Alm de receb-los, a ferramenta de gesto de eventos deve ser capaz de
realizar medies pr-ativamente (mesmo sem o envio de bilhetes dos CIs).
Os registros de eventos devem ser classificados quanto sua relevncia. Os eventos
podem ser informativos, de aviso ou excees. As ltimas devem ser encaminhadas aos
processos de gesto de incidentes, problemas e/ou mudanas e representam potenciais
indicadores de ocorrncia de falhas nos servios de TIC. As notificaes informativas
reportam nveis de operao normal, dentro dos limites dos SLAs estabelecidos e
148
parmetros de funcionamento do CI em questo. J as notificaes de aviso indicam que
algum limiar est sendo atingido ou at ultrapassado.
A correlao dos eventos entre si e com os demais CIs e servios til para
dimensionar melhor a sua natureza e impacto nos processos de negcio, e iniciar o
processo mais apropriado (geralmente gesto de mudanas, incidentes ou problemas).
Dessa forma, o CMS deve ser atualizado de forma a criar um histrico de eventos dos CIs.
O processo de gesto de eventos proposto implementa, ainda, o CO COBIT DS3.2
performance e capacidade correntes, ao fornecer insumos (as notificaes) para avaliar a
capacidade e performance atuais e compar-los aos nveis de servio acordados (SLAs)
(ITGI, 2007).
5.4 RECOMENDAES DE GESTO DE TIC S SERVENTIAS EXTRAJUDICIAIS
As serventias extrajudiciais brasileiras so um componente essencial ao processo de
modernizao. Na condio de PSDEs, so as serventias extrajudiciais que fornecem as
informaes propriamente ditas, assim como toda sorte de documentos, contratos e
certides, aos clientes e usurios, atravs do uso do documento eletrnico. Vistas sob essa
ptica, as CSEC constituem o meio atravs do qual os PSDEs interagem com os clientes.
Torna-se evidente, portanto, a necessidade de otimizar a gesto de TIC das
serventias extrajudiciais. Nesse intuito, o questionrio distribudo s serventias buscou
mapear a sua operao de TIC, assim como particularidades que eventualmente possam
existir. A dificuldade em coletar informaes consistentes junto s mesmas, contudo,
tornou evidente a falta de uma abordagem holstica, consistente e gerencial sua operao
de TIC.
Com o propsito de preencher essa lacuna, portanto, esta seo prope a adoo de
alguns processos e partes do modelo proposto para as CSEC tambm pelas serventias
extrajudiciais, na forma de recomendaes de gesto de TIC, selecionadas a partir do
estudo do funcionamento prtico das CSEC e das informaes obtidas junto s serventias
extrajudiciais.
149
Destaca-se a necessidade do emprego do processo COBIT DS11 Gerenciar os
dados, discutido na seo 5.1.3, visto que as serventias concentram as bases de dados e
informaes do processo. Particularmente, deve-se atentar para o CO COBIT DS11.5
back-up e restaurao. Os back-ups devem ser realizados periodicamente, em uma
freqncia de tempo que garanta a minimizao da perda de informaes em caso de
incidentes. Alm disso, mdias diferentes devem ser utilizadas e armazenadas em locais
fsicos distintos.
Alm disso, o CO COBIT DS11.6 requisitos de segurana para a gerncia dos
dados tambm deve ser observado. As serventias devem contar com procedimentos que
visam garantir a segurana dos dados e informaes armazenadas, inclusive contra acesso
no autorizado.
A preocupao com a segurana e disponibilidade dos dados das serventias deve ser
estendida para as reas crticas da operao de TIC. Para tanto, deve-se utilizar o processo
ITIL SD 4.4 gesto da disponibilidade, discutido na seo 5.1.5 deste captulo. Destaca-se
o uso de links de dados, muitas vezes atravs da internet, empregados pelas serventias para
a comunicao e transmisso de dados junto s entidades representativas correspondentes e
s CSEC. Desta forma, deve-se garantir que os links estejam sempre disponveis quando
necessrio. O emprego de links redundantes recomendado.
Da mesma forma, utilizar redes privadas quando possvel minimiza os riscos do
ponto de vista de segurana. Caso no seja possvel o seu emprego, recomenda-se o
estabelecimento de redes privadas virtuais (VPN) sobre os links de internet utilizados.
Alm da gesto da disponibilidade, a seo 5.15 detalha os processos COBIT que
visam garantir a segurana dos sistemas e a continuidade do servio de TIC.
Recomenda-se a elaborao de um plano de continuidade dos servios de TIC pelas
serventias. O plano deve conter clusulas de contingncia e recuperao de falhas. Estes
procedimentos devem ser documentados detalhadamente e armazenados de forma segura,
com o objetivo de preservar sua eficincia mesmo quando manipulados por diferentes
pessoas.
150
Observou-se que algumas serventias terceirizam a operao de TIC, enquanto que
praticamente 100% delas terceira o desenvolvimento de aplicativos e softwares.
Para ambos os casos, recomenda-se o emprego de acordos de nveis de servio com
os fornecedores. Os SLAs devem ter como meta garantir o cumprimento de OLAs
estabelecidos pelo modelo proposto, entre as serventias extrajudiciais e a organizao de
TIC das CSEC. Para tanto, e para obter mais informaes sobre os SLAs e OLAs, deve-se
utilizar as recomendaes expostas na seo 5.2 deste captulo, que alm de delimitar a a
gesto dos fornecedores e parceiros, discorre sobre a aquisio de software e recursos de
TIC.
151

Omar 6

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Omar 6

Diunggah oleh

Hak Cipta:

Format Tersedia

5 MODELO DE GOVERNANA DE TIC PROPOSTO

Para compor o modelo de governana de TIC, alm dos processos identificados na

Anda mungkin juga menyukai