J. T.

Surjan
 Objetivos

GC deve fornecer a capacidade necessária para o processamento de

dados no momento certo e no custo razoável
Assegurar que a capacidade corresponda as demandas atuais e evolutivas
dos negócios, com atendimento de forma econômica e rentável

GC deve adequar a necessidade do negócio e o fornecimento de

capacidade
Gerenciar o desempenho dos componentes de infraestrutura
Monitora performance e produtividade (medir, monitorar, ajustar e
otimizar)
Dimensionar a capacidade necessária para atender novos serviços
Gerenciamento da carga de trabalho
Desenvolver um plano de capacidade (Capacity Plan)

J. T. Surjan
 Atividades do gerenciamento de capacidade
O gerenciamento de capacidade tem três níveis de análise

Gerenciamento da capacidade do negócio - Objetivo é conhecer as

necessidades atuais e futuras do negócio, através das informações
fornecidas pelos clientes (planos, tendências)

Gerenciamento da capacidade de serviço – Determinar e conhecer

o uso dos serviços de TI, seu desempenho, picos de utilização para
garantir os acordos de nível de serviço. Alinhado com gerenciamento
de nível de serviço quanto a definição e negociação de acordos

Gerenciamento da capacidade dos recursos – Determinar e

conhecer o uso da infraestrutura e dos componentes de TI e sua
capacidade (processamento, redes, discos). Monitorar as tendências

J. T. Surjan
 Processo de gerenciamento de capacidade
Dados de entrada

Tecnologia

Níveis de Serviço

Planos de Negócio

Estratégia do negócio

Exigências do negócio

Volumes do negócio

Programações operacionais

Programas de disposição

Planos de projeto

Programação das Futuras Mudanças

Incidentes e problemas

Planos financeiros

Orçamentos
Subprocessos Dados de saída

Gestão da Capacidade
do Negócio
tendência , previsão,
exigências futuras do
negócio quanto a
modelo, protótipo,
tamanho e documentos

Gestão da Capacidade
de Serviços
Plano de capacidade
monitoração, análise,
Banco de dados de capacidade
ajuste e comunicação
Referências e perfis
sobre desempenho dos
Limiares e alarmes
serviços,
Relatórios de capacidade
estabelecimento de
Recomendações sobre custeamento e cobrança
referências e perfis, para
Mudanças pro ativas
o uso de serviços,
Aperfeiçoamento no serviço
administração da
Programações operacionais revistas
demanda por serviços
Revisões de Eficácia

Relatórios de auditoria

Gestão da Capacidade
de Recursos
monitoração, análise,
operação e comunicação
da utilização do
componente;
estabelecimento de
referências e perfis de
uso de componentes
Fonte
J. T. OGC
Surjan
 Planejamento de capacidade

Plano de capacidade
Registra as necessidades de capacidade da infraestrutura de TI e as mudanças necessárias
para adequar o ambiente e atender a atualidade tecnológica
Descreve as mudanças necessárias para atender os níveis de serviço acordados a um custo
aceitável e atendimento aos requisitos de nível de serviço futuro
GC produz o plano de capacidade alinhado com o orçamento e planos financeiros. Deve
conter as expectativas de desempenho, custos, atualizações, etc

Modelagem
Uma ferramenta do GC para prever o comportamento da infraestrutura
Ferramentas disponíveis para o GC permitem calcular, criar protótipos e realizar testes

Dimensionamento de aplicação
Considera os recursos necessários para executar os serviços novos ou manutenção
Inclui informações sobre os níveis de desempenho esperados, recursos necessários e custos
Quando o serviço atinge o estágio para aceite de seu desempenho é comparado com o
nível de serviço proposto para garantir a satisfação do cliente

J. T. Surjan
 Planejamento de capacidade

Monitoração
Para garantir que os componentes de infraestrutura estejam de acordo com os
níveis de serviço acordados (CPU, discos, rede)

Análise
Análise de tendências para prever crescimento ou gargalos. O resultado pode
iniciar o aperfeiçoamento ou novas aquisições

Ajuste
Com base nos dados monitorados analisados otimiza os sistemas para atender a
carga real ou a prevista

• Implementação
– De acordo com o gerenciamento de mudanças introduz a nova capacidade

J. T. Surjan
 Planejamento de capacidade

Gerenciamento da demanda
O processo cuida do controle e da influência sobre a demanda dos
usuários para determinar o melhor momento para executar as rotinas
computacionais (noite)
O gerenciamento da demanda fornece subsídios para ajustar o plano
de capacidade e os acordos de nível de serviço

Inserção na base de dados de capacidade (BDC)

Reunir e atualizar as informações técnicas, de negócio e demais
pertinentes ao gerenciamento da capacidade

J. T. Surjan
 Fonte de informação do BDC

Dados de Dados Dados

Previsões
serviço técnicos financeiros
do negócio

BDC

Planos de Relatórios
Relatórios do
Capacidade técnicos
Gerenciamento

J. T. Surjan
 Relacionamento com outros processos

Gerenciamento de Incidentes
Gerenciamento de Incidentes informa GC sobre incidentes relativos a questões de
capacidade ou desempenho
GC fornece ao gerenciamento de incidentes dados que auxiliam no diagnóstico ou solução
de problemas de capacidade

Gerenciamento de Problemas
GC dá suporte ao gerenciamento de problemas para a resolução de forma reativa ou pro-
ativa

Gerenciamento de Mudanças
O GC deve integrar o comitê de controle de mudanças
Fornece informações sobre necessidade de capacidade e impactos que uma mudança pode
causar na oferta de serviços
Informações de mudanças são utilizadas para o plano de capacidade

Gerenciamento de Liberação
GC dá suporte ao planejamento de distribuição garantindo capacidade suficiente

J. T. Surjan
 Relacionamento com outros processos
Gerenciamento da Configuração
As informações fornecidas pelo gerenciamento da configuração são fundamentais
para desenvolvimento da base de dados da capacidade

Gerenciamento do Nível de Serviço

GC monitora os níveis de desempenho e fornece dados para o GNS a fim de validar
ou alterar os níveis de serviço acordados

Gerenciamento Financeiro dos Serviços

GC dá informações para análise de custo/benefício e decisões sobre investimentos
GC fornece dados para a cobrança de serviços ligados à capacidade

Gerenciamento da Continuidade dos Serviços

GC específica a capacidade mínima necessária para a continuidade dos serviços ou
recuperação na eventualidade de um desastre
Necessidades de capacidade devem ser constantemente revistas para refletir as
mudanças ocorridas no ambiente

Gerenciamento da Disponibilidade
GC afeta diretamente o gerenciamento da disponibilidade

J. T. Surjan
 FCS e indicadores de desempenho

O sucesso do gerenciamento de capacidade depende

Previsibilidade da demanda do cliente
Tecnologia com opções para medir o desempenho dos serviços de TI
Custo – Recursos adequados às necessidades reduzindo excessos
desnecessários ou compras urgentes
Relatórios de gerenciamento
Incluem informações de controle do processo
Divergências entre capacidade real e planejada
Tendências e impacto sobre os níveis de serviço
Limites para mais investimentos em recursos
Grau de utilização esperado na capacidade a curto e longo prazos

Gerente de Capacidade
Administra o processo para garantir que o plano de capacidade seja
mantido e assegura que a base de dados de capacidade esteja sempre
atualizada

J. T. Surjan
 Considerações

Os custos com gerenciamento de capacidade envolve compra de ferramentas

de monitoração, bases de dados, ferramentas de modelagem para simulações
e análise, custos do processo de implementação do GC, pessoal, treinamento
e serviços

Não criar expectativas irreais ou promessas mirabolantes de capacidade e

desempenho

Observar cuidadosamente os dados recebidos do fornecedor para avaliar a

realidade das informações

Na compra de ferramentas de monitoração deve-se decidir antecipadamente o

nível de detalhe necessário (excesso ou falta)

J. T. Surjan
 Benefícios

Administração eficiente do desempenho dos equipamentos

Redução de riscos nos serviços executados

Redução de riscos na inclusão de novos serviços, pois o dimensionamento

da aplicação é conhecido

Redução de custos, pois os investimentos são feitos na hora certa, sem

atropelos ou compras exageradas por necessidades de última hora

Envolvimento direto com gerenciamento de mudanças para determinar o

impacto sobre a capacidade de TI

Melhor retorno dos investimentos

Maximização do uso dos recursos e diminuição de desperdício

Planejamento de compra, entrega, instalação e manutenção mais eficientes

J. T. Surjan
J. T. Surjan
“Desastre é um acontecimento que afeta de tal forma um
serviço ou sistema que a restauração do seu nível de
desempenho original exige considerável esforço”

J. T. Surjan
 Gerenciamento da Continuidade

É o processo de gerenciamento dos recursos organizacionais,

técnicos e humanos que garantam a manutenção dos serviços
que suportam os negócios, dentro de níveis de serviço
acordados, incluindo o suporte mínimo necessário para a
continuidade das operações no caso de uma interrupção

Este processo inclui o ciclo contínuo de avaliação de risco e

adoção de medidas de contorno, revisão dos cenários e planos
de contingenciamento, bem como garantia de aderência às
orientações corporativas quanto aos planos de continuidade
dos negócios

J. T. Surjan
 Objetivos

“O processo de gerenciamento da continuidade dos serviços em TI deve enfatizar a

prevenção. O processo tradicional de planejamento de contingência era reativo

Suporte a todo o processo de Planejamento da Contingência dos Negócios

Planeja a recuperação de ambientes. Administra ações preventivas e corretivas

O objetivo do GCS é dar suporte a continuidade do negócio com garantia de que os

serviços de TI possam ser restaurados dentro de limites de tempo especificados

Razões para ter GCS

Proteção do negócio, recuperação rápida dos serviços, sobrevivência da
organização, manutenção da lucratividade, proteção da imagem, etc.

J. T. Surjan
 Atividades do GCS

Definir a forma para restaurar os serviços

Avaliar o impacto e risco da interrupção dos serviços

Identificar os serviços críticos para o negócio que exigem medidas especiais de

prevenção

Determinar os períodos para restauração dos serviços

Elaborar procedimentos para prevenir, detectar e impedir desastres ou diminuir seu

impacto

Desenvolver, testar e manter um plano de recuperação capaz de retornar a operação

no período determinado

Definir a abordagem que deve ser utilizada na restauração dos serviços

J. T. Surjan
 Aspectos importantes da GCS

Definição da política é comunicada a toda a organização para que todos

tenham consciência da necessidade da GCS

Definir as áreas e exigências de garantia, padrões de qualidade, a abordagem e

métodos para avaliação de risco e impacto sobre o negócio

Identificar a estrutura de gerenciamento com responsabilidades e a estratégia

de processo para lidar com desastres

Necessários investimentos em pessoal, recursos e treinamento para

implementar os processos

Determinar quanto tempo os serviços podem ficar parados até a restauração

parcial ou total

J. T. Surjan
Uma análise de risco ajuda a identificar a vulnerabilidade do ambiente
e a exposição do negócio. Proporciona ao gerenciamento informações
para identificar as ameaças e as medidas preventivas pertinentes

Modelo de avaliação de risco

Ativos Ameaças Vulnerabilidades

Análise
de Risco

Riscos
Gerenciamento de
Risco Contramedidas
(Prevenção e Recuperação)

J.Fonte OGC
T. Surjan
 Conceitos

Recuperação Gradual (Cold Standby)

Provisão de acomodações com energia, controle ambiental, cabeamento
de rede e telecomunicações pronto para instalação de computadores
(ambiente computacional vazio)

Recuperação Intermediária (Warm Standby)

Uso de instalações comerciais específicas para a finalidade, geralmente
compartilhada com outras organizações de TI

Recuperação Imediata (Hot Standby)

Uso de instalação alternativa que é mantida idêntica ao ambiente ativo,
exclusiva para a finalidade e geralmente própria da organização de TI

J. T. Surjan
 Estratégias de continuidade dos serviços

Na análise de risco deve-se identificar os componentes de TI, as ameaças a

esses ativos com suas probabilidades, as vulnerabilidades desses ativos
para compor o nível de riscos

Deve-se considerar a relação entre a redução do risco e o planejamento da

recuperação, pois as ameaças nunca poderão ser eliminadas

Na opção de recuperação considerar pessoal e acomodações, sistemas de

TI e redes de comunicação, serviços de suporte, arquivos, documentos e
serviços de terceiros (provedores, internet)

Estratégia de recuperação – Site alternativo, contrato com outra

organização, recuperações parciais dos serviços vitais. Em qualquer opção
acionar os planos elaborados

J. T. Surjan
 Medidas de prevenção e planos de recuperação

Medidas de prevenção
Medidas para reduzir o impacto em conjunto com gerenciamento de
disponibilidade podem incluir energia alternativa, serviços de entrega rápida,
sistemas tolerantes a falhas, sistemas de RAID e outro local para armazenamento
de dados
Nos acordos de reserva deve-se negociar com terceiros instalações de recuperação
em outra localidade, manter equipada a instalação de recuperação e hardwares de
reserva

Planos de recuperação
O plano deve classificar a contingência baseando-se na gravidade, duração e itens
afetados
O plano deve cobrir áreas como administração, infraestrutura de TI, pessoal,
segurança, locais de recuperação e os procedimentos para restauração
Os procedimentos devem permitir que possa ser feita a recuperação com a
instalação, teste dos componentes, de hardware e rede, restauração das aplicações
e dos bancos de dados

J. T. Surjan
 Plano de recuperação

Teste inicial
O departamento de TI é responsável por testar a eficiência do plano
Os testes devem ter cenários, objetivos e critérios de avaliação
Posteriormente são necessários testes quando houver mudanças ou em
periodicidade definida

Treinamento
Pessoal de TI deve treinar as equipes de recuperação do negócio para ter
competência no trabalho de suporte às operações de recuperação
O pessoal das instalações de contingência também precisa ser treinado

• Revisão e auditoria
– Os planos devem ser revistos constantemente para garantir sua atualização
– Sempre que houver mudanças significativas na infraestrutura (novos
sistemas, redes)
– Quando houver mudanças nas estratégias da organização ou de TI

J. T. Surjan
 Plano de recuperação

Teste
O plano de recuperação deve ser testado regularmente
Se o pessoal tiver que estudar o plano quando da ocorrência de um
desastre, teremos mais desastres

Gerenciamento de Mudanças
O GM é importante na atualização de todos os planos do GCS e garantir
que qualquer mudança no plano de recuperação será analisado

Garantia
Garantir que a qualidade do processo (procedimentos e documentos) e
seus resultados é adequada para atender os negócios da organização

J. T. Surjan
 Relacionamento com outros processos

Gerenciamento do Nível de Serviço

Informações sobre os compromissos dos serviços de TI

Gerenciamento da Disponibilidade
Suporte ao GCS desenvolvendo e implementando medidas de prevenção

Gerenciamento da Configuração
Fornece informações de configurações e infraestrutura sobre o que é
necessários restaurar após um desastre

Gerenciamento da Capacidade
Garantia de que as exigências do negócio tenham suporte dos recursos de TI

Gerenciamento de Mudanças
Como a GCS está envolvida em todas as mudanças que possam afetar as
medidas de prevenção e o plano de recuperação, a GM garante que todos os
planos estejam corretos e atualizados

J. T. Surjan
 FCS e indicadores de desempenho

Treinamento específico para todos os envolvidos no processo

Testes regulares do plano de recuperação
Suporte e empenho de toda a organização
Eficiência no processo de gerenciamento da configuração
Nos indicadores de desempenho podemos medir o número de deficiências
nos planos de recuperação, renda perdida após um desastre e custo do
processo
Produzir relatórios de avaliação dos testes do plano de recuperação. Na
ocorrência de um desastre será feito um relatório com causa, efeito e grau de
sucesso na atuação
GCS deve implementar e manter os processos para satisfazer as
necessidades de continuidade do negócio

J. T. Surjan
 Considerações

Custos operacionais para executar as tarefas do plano

Considerar o custo da manutenção do plano de continuidade
Investimento necessário para introdução do gerenciamento de risco
Pode haver necessidade de capacidade adicional para desenvolver e
testar o plano
Contrato de serviço de recuperação e acesso a instalações externas
Os planos podem ser mais simples se não for entendida a necessidade
de instalações de emergência
É fundamental o conhecimento do negócio para elaboração do GCS

J. T. Surjan
 Benefícios

Minimizar os riscos com investimento em medidas de

prevenção e planos de recuperação

Diminui o efeito do impacto e a interrupção dos serviços

Podem retornar a operação mais rapidamente (menor período

de indisponibilidade do serviço)

Permite administrar a recuperação dos sistemas

Maior segurança aos clientes

J. T. Surjan
J. T. Surjan
 Pouco tempo de downtime pode causar importante prejuízo à
organização, sério impacto na receita e comprometimento da
imagem institucional

Padrão alto de disponibilidade através de componentes

duplicados, sistemas de detecção de falhas e correção dos
sistemas

J. T. Surjan
 Conceitos básicos da GD
Disponibilidade
Os processos devem garantir alta disponibilidade e recuperação rápida.
A disponibilidade é influenciada pela complexidade da arquitetura da
infraestrutura de TI, confiabilidade dos componentes, qualidade da manutenção
feita por fornecedores, capacidade de reagir rapidamente e pelos processos de
gerenciamento operacional

• Confiabilidade
Garantir que o serviço está disponível no período
Importante garantir manutenção preventiva para impedir o downtime, a
confiabilidade dos componentes utilizados no serviço

Sustentabilidade
Deve-se adotar medidas para evitar falhas, solucionar a falha, restaurar o
serviço, recuperar depois da falha e fazer diagnósticos

J. T. Surjan
 Conceitos básicos da GD

• Sustentabilidade – Capacidade (interna) de manutenção da

organização de TI (Acordo de Nível Operacional)

• Resiliência – Habilidade de um componente continuar a

operar mesmo que um ou mais de seus subcomponentes
tenha falhado

• Oficiosidade – Refere-se aos acordos com fornecedores

terceirizados. Define como estes manterão os componentes
sob sua responsabilidade (Contrato de apoio)

J. T. Surjan
 Objetivos do GD

Fornecer com eficiência de custo um nível de disponibilidade

do serviço de TI que capacite o negócio a atingir seus objetivos

O processo deve considerar

Serviços novos e os em operação
O relacionamento com fornecedores
Todos os componentes da infraestrutura
Aspectos organizacionais (gerenciamento, especialização de pessoal,
procedimentos e ferramentas)
O GD é fundamental para garantir a satisfação do cliente

J. T. Surjan
 Atividades do Gerenciamento da Disponibilidade

Necessidade de Critérios de projeto para

disponibilidade do negócio disponibilidade e recuperação

Avaliação do impacto no Avaliação de risco da infra-

negócio estrutura de TI

Necessidades de disponibilidade, Gerenciamento

confiabilidade e sustentabilidade Alvos acordados para disponibilidade,
da confiabilidade e sustentabilidade
Disponibilidade
Dados de incidentes e de
Relatórios sobre disponibilidade,
problemas
confiabilidade e sustentabilidade
alcançadas
Dados de configuração e
monitoração
Monitoração da
disponibilidade
Realizações quanto ao nível de
serviço Planos de aperfeiçoamento da
disponibilidade

Fonte OGC
J. T. Surjan
 Planejamento e monitoração da disponibilidade

Determinar as necessidades de disponibilidade

Atividade que precede o SLA (como TI pode atender as necessidades)
Identificar as principais funções do negócio, necessidades de disponibilidade,
horário de trabalho do cliente, acordos sobre janelas de manutenção, definição
acordada de downtime

Planejamento da disponibilidade
Um bom plano permite fazer contratos de manutenção eficientes com
fornecedores
Se os padrões de disponibilidade não são satisfeitos tentar melhorar o plano
(mais tecnologia, outros métodos, ferramentas de desenvolvimento)

Questões de segurança
Plano insatisfatório de segurança pode afetar a disponibilidade do serviço
Alta disponibilidade tem suporte de uma boa segurança de informações

J. T. Surjan
 Planejamento e monitoração da disponibilidade

Gerenciamento da manutenção
A manutenção deve ser feita no momento de menor impacto no serviço
Normalmente haverá janelas de indisponibilidade programadas que
podem ser usadas para ações preventivas, atualização de hardware e
software
Como as empresas trabalham 24h/d está cada vez mais difícil definir
janelas de manutenção

Medição e comunicação
Relatórios de disponibilidade incluem métricas como índice de
disponibilidade, uptime e downtime, número de falhas, etc
A comunicação da disponibilidade deve ser feita na linguagem do
cliente com métricas que correspondem à sua percepção (voltadas ao
negócio e não técnico)

J. T. Surjan
 Gerenciamento de disponibilidade

• MTBSI –Mean Time Between Systems Incidents

• MTTR – Mean Time to Repair – Downtime
• MTBF – Mean Time Between Failure – Uptime

MTTR

Restauração
Detecção do serviço

Incidente Investigação Recuperação do Incidente

componente

MTBF

MTBSI
J. T. Surjan
 Planejamento e monitoração da disponibilidade

Desenvolvimento do plano de disponibilidade

Plano a longo prazo com disponibilidade para os
próximos períodos

Análise da disponibilidade através da fórmula

D = [( TSA – DT) / TSA] * 100%
(TSA = tempo de serviço acordado – DT downtime)

J. T. Surjan
 Relacionamento com outros processos

Gerenciamento do Nível de Serviço

Nos SLAs a disponibilidade é um dos itens fundamentais

Gerenciamento da Configuração
O GC fornece informações sobre a infraestrutura

Gerenciamento da Capacidade
Informações entre os dois processos para atualizar ou eliminar componentes
de TI e sobre tendências da disponibilidade que exigem mudanças nas
necessidades de capacidade

Gerenciamento da Continuidade dos Serviço

GCS fornece ao gerenciamento da disponibilidade informações sobre os
processos críticos para o negócio

J. T. Surjan
 Relacionamento com outros processos

Gerenciamento de Problemas
GP tem atuação na identificação e resolução das causas dos problemas de
disponibilidade efetivos ou potenciais

Gerenciamento de Mudanças
GM posiciona o gerenciamento da disponibilidade sobre as mudanças
programadas
Gerenciamento da disponibilidade informa a GM sobre questões de
manutenção relacionadas aos novos serviços

Gerenciamento de Incidentes
GI fornece informações sobre tempos de recuperação e reparos para
determinar a disponibilidade obtida

Gerenciamento da Segurança
Os critérios de segurança devem ser considerados quando se determina as
necessidades de disponibilidade (integridade, confiabilidade, disponibilidade)

J. T. Surjan
 FCS e indicadores de desempenho

Gerenciamento de Nível de Serviço implantado para formalizar os acordos

de serviço. Objetivos de disponibilidade claramente definidos

Tanto TI como clientes devem utilizar os mesmos parâmetros para

disponibilidade e downtime

Indicadores de desempenho: porcentagem da disponibilidade, número de

paradas, tempo de parada

Relatórios constando tempos de detecção, resposta, reparo, recuperação, etc.

O gerente de disponibilidade deve desenvolver o processo, garantir a

correspondência entre os níveis de serviços (real e acordado) e otimizar a
disponibilidade da infraestrutura

J. T. Surjan
 Considerações

Os custos do gerenciamento da disponibilidade incluem pessoal, instalações, ferramentas de

medição e implementação

Construir a melhor relação entre a disponibilidade desejada e o custo envolvido (GD deve
buscar a solução ótima – custo da disponibilidade e da indisponibilidade)

A relação custo/benefício/investimento pode ser orientada pelo prejuízo se não houver GD

(perdas para a organização)

Nunca considerar que o nível de disponibilidade é adequado

O gerente de disponibilidade deve ter autoridade suficiente em relação a outros processos

Procurar dedicar recurso exclusivo para GD para garantir uma coordenação geral e não
gerentes de áreas isolados e heróis do processo

J. T. Surjan
 Benefícios
O serviço de TI planejado, implementado e gerenciado está de acordo
com a disponibilidade acordada

Padrões de disponibilidade monitorados e aperfeiçoados

continuamente

Avalia desequilíbrios entre as necessidades do negócio e a capacidade

da infraestrutura e do suporte aos serviços
Otimiza a disponibilidade da infraestrutura e do suporte aos serviços
em relação aos custos
Redução do período de indisponibilidade

Custos compatíveis com o processo e uso dos recursos

Novos serviços de acordo com o nível de disponibilidade

TI comprova o seu valor agregado

J. T. Surjan
J. T. Surjan
 Objetivos

Satisfazer as exigências dos SLAs, as externas e impostas por contratos,

legislação e políticas

Garantir que medidas eficazes de Segurança da Informação sejam tomadas

nos níveis operacional, tático e estratégico

A segurança deve ser adequada a importância da informação

Cuidado no relacionamento e fornecimento de dados ao ambiente externo

da organização (mercado) que podem comprometer a imagem e
sobrevivência

Proteger o valor das informações (confidencialidade, integridade e

disponibilidade)

Segurança é um fator essencial de qualidade

J. T. Surjan
 Processo do gerenciamento da segurança

Cliente define as necessidades do negócio

Comunicação: Acordo de Nível de Serviço / Capítulo da segurança

Conformidade com o ANS
Acordo entre cliente e provedor

Provedor de Serviço de TI implementa

exigências de segurança

MANTER:
PLANEJAR:

Aprender

Acordos de Nível de Serviço

Aperfeiçoar

Contatos de Apoio

Planejar

Acordos de Nível Operacional

Implementar

Políticas internas

CONTROLAR:

Organizar

Criar moldura de gerenciamento

Alocar responsabilidades

AVALIAR: IMPLEMENTAR

Auditorias internas
Melhorar o conhecimento

Auditorias externas
Classificação e gerenciamento dos

Auto-avaliações recursos

Incidentes de segurança
Segurança Pessoal

Segurança física

Gerenciamento da segurança do
hardware, das redes, das aplicações etc.

Controle do acesso

Resolução de incidentes de segurança
J. T. Surjan
Fonte OGC
 Atividades do gerenciamento de segurança

Política e Organização da segurança da informação (Controle)

É o ponto central do GS contendo pontos quanto a organização e administração
do processo. Define a estrutura organizacional e a linha de controle (arquitetura
do GS)
Define os subprocessos, funções de segurança, atribuições e responsabilidades

Planejamento
Este subprocesso trata da definição da seção de segurança do SLA
Elaboração do plano de segurança para sistemas, aplicação, redes, acesso dos
usuários, etc.

Implementação
Objetivo de implementar as medidas descritas nos planos
Deve tratar das políticas de: Classificação e administração dos recursos de TI,
segurança do pessoal, administração da segurança, controle de acesso

J. T. Surjan
 Atividades do gerenciamento de segurança

Avaliação
As avaliações podem ser dos tipos auto-avaliação, auditorias internas,
auditorias externas (auditores de TI)
Incidentes podem ser motivadores de avaliações verificando, entre outros
aspectos, conformidade com a política de segurança e uso inadequado do
recurso

Manutenção
Manutenção é uma exigência de segurança, pois novos riscos podem ser
potencializados em razão de mudanças na infraestrutura de TI

Comunicação
Relatórios com informações sobre o desempenho atingido nas questões de
segurança, conformidade com SLA, indicadores de desempenho da
segurança, medidas implementadas, resultados de auditorias, etc.
Para incidentes de segurança define-se um canal de comunicação direto com
o cliente

J. T. Surjan
Relacionamento com outros processos

Relacionamento com:
Gerenciamento do relacionamento com o Cliente de TI

Relacionamento com:
Gerenciamento do Nível de Serviço
Gerenciamento de Custos
Gerenciamento Gerenciamento de disponibilidade
da segurança Gerenciamento da capacidade
Gerenciamento da Continuidade do Negócio

Relacionamento com:
Gerenciamento da Configuração
Gerenciamento da Liberação
Gerenciamento de Incidentes e
Central de Serviços
Gerenciamento de Problemas
Gerenciamento de Mudanças
J. T. Surjan
Fonte OGC
 Relacionamento com outros processos
Gerenciamento da Configuração
Relação entre os itens de configuração (IC) e medidas de segurança
O cliente determina a classificação pois conhece a importância da informação
para o processo de negócio
A classificação de um IC indica a confidencialidade, integridade e
disponibilidade, baseado nas exigências de segurança do SLA

Gerenciamento de Incidentes
GS é importante para comunicar incidentes de segurança
GI deve informar todos os incidentes de segurança para iniciar o processo de
tratamento e sua resolução

• Gerenciamento de Problemas
– GP é responsável pela identificação e resolução de falhas de segurança
– Um problema pode introduzir um risco de segurança e a solução de um
problema deve ser checada para garantir que não introduza novos problemas de
segurança

J. T. Surjan
 Relacionamento com outros processos

Gerenciamento de Mudanças
É recomendável que o gerente de segurança integre o comitê de controle de
mudanças para analisar o modo de implementação
As medidas de segurança devem ser implementadas junto com a mudança e
incluídas nos testes

Gerenciamento de Liberação
GL controla todas as novas implementações (Hw, Sw, Comunicação, etc.) para
garantir os recursos corretos, legalizados, sem vírus, testados e portanto
procedimentos de aceite com inclusão dos aspectos de segurança da informação

Gerenciamento do Nível de Serviço

SLAs devem incluir e tratar de medidas de segurança. Otimizar o NS
Gerenciamento de segurança deve identificar as necessidades de segurança do
cliente, verificar a viabilidade dessas exigências, definição do nível de segurança
do SLA, monitorar os padrões de segurança e comunicação dos serviços

J. T. Surjan
 Relacionamento com outros processos

Gerenciamento da Disponibilidade
Medidas de segurança tem relação direta e efeito sobre a
disponibilidade do serviço
É fundamental uma coordenação efetiva entre os gerenciamentos de
disponibilidade, continuidade dos serviços e segurança

Gerenciamento da Continuidade dos Serviços

Como GCS tem responsabilidade com o plano de contingência está
diretamente envolvida com o gerenciamento de segurança

Gerenciamento da Capacidade
Por sua relação direta com a disponibilidade afeta o gerenciamento de
segurança

J. T. Surjan
 FCS e indicadores do desempenho

Definição clara das responsabilidades (TI e usuário)

Participação do usuário na definição dos procedimentos de segurança

É preciso encontrar o ponto de equilíbrio entre o custo e o grau de proteção

Resistência dos usuários a adoção de medidas de segurança. Obter a

aceitação e compromisso do usuário

Cuidar para que ao longo do tempo não haja declínio nas preocupações e
procedimentos de segurança

Na implementação dar mais importância as medidas organizacionais do

que as técnicas – Mudança de cultura

J. T. Surjan
O gerenciamento da segurança envolve um interminável
ciclo de PDCA

J. T. Surjan
 Benefícios do ITIL

 Fortalecimento dos controles e do gerenciamento dos ambientes de TI

 Significativa redução nos tempos de execução e distribuição de serviços
 Diminuição gradativa da indisponibilidade dos recursos e sistemas de
tecnologia da informação, causados por falhas no planejamento de
mudanças e implantações em TI
 Maior rapidez na solução de problemas de TI
 Elevação dos níveis de satisfação dos usuários internos e clientes com
relação à disponibilidade e qualidade dos serviços de TI
 Controle financeiro e redução dos custos operacionais de TI
 Reconhecimento da capacidade de gerenciamento pelos acionistas,
colaboradores e clientes
 Aderência às instruções normativas das entidades reguladoras e
certificadoras

J. T. Surjan
 II TT II LL
Apoiogerencial
Apoio gerencial

Estratégia
Estrat égia

Culturaorganizacional
Cultura organizacional

Disciplinaeeorganiza
Disciplina organização
ção

QualidadeeeResultados
Qualidade Resultados

J. T. Surjan
 Bibliografia Principal
itSMF, Fundamentos do gerenciamento de Serviços em TI baseda na ITIL,
Van Haren publishing, Holanda
OGC-Office of Government Comerce. ITIL: The Key to Managing IT Services –
Best Practice for Service Support. Printed in the United Kingdom for the
Stationery Office, 2001
ITIL V2 – Process Oriented – 8 Volumes
ITIL V3 – Service Life Cycle Oriented – 5 volumes - 2007

Bibliografia Complementar
Mansur, Ricardo. Governança de TI: Metodologias, frameworks e melhores
práticas. Rio de Janeiro. Editora Brasport, 2007
Rudd, Colin. An Introductory Overview of ITIL. Publicado por iTSMF Ltd,
Webbs Court, United Kingdom, 2004
OGC. IT Infrastructure Library: Planning to Implement Service Management.
London: OGC, 2002

J. T. Surjan
 Abreviaturas e siglas
• ANS - Acordo de Nivel de Serviços
• CCTA - Central Computer and Telecommunications Agency do Reino
Unido
• CICA - Construction Industry Computing Association
• COBIT- Control Objectives for Information and related Technology
• COSO - Control Objectives for Sarbanes-Oxley
• ESF - European Science Foundation
• ISO - International Organization for Standardization
• ITIL - Information Technology Infrastructure Library
• ITSEC - Information Tecnology System Evaluation Criteria
• ITSMF - IT Service Management Forum
• OGC - Office of Government Commerce

J. T. Surjan