PM investe em tecnologia para Copa de 2014

Para garantir a segurança dos paulistas, proporcionando serviços mais eficientes de atendimento, a Polícia Militar encerra, neste mês de julho, a implantação de mais uma ferramenta para dar apoio às suas ações, visando à preparação para receber a Copa do Mundo de 2014.

O Projeto de Gestão de Processos e Serviços (GPServ) foi criado para desenvolver e implementar um sistema de gestão para os serviços de Tecnologia da Informação e Comunicação da PM. O estudo para a criação do projeto começou em 2005, e começou a ser implantado em dezembro de 2007.

No dia 13 de julho, será realizada, no auditório do Sindicato das Empresas de Serviços Contábeis, Assessoramento, Perícias, Informações e Pesquisas (Sescon) de São Paulo, a solenidade de encerramento da implantação do projeto.

O GPServ é uma ferramenta de controle dos serviços de tecnologia, que sustenta toda a base de atendimento da PM, inclusive o serviço de emergência 190, que atende mais de 50 mil ocorrências diárias.

Para garantir a qualidade e eficiência do projeto, foram seguidos os principais modelos de controle internacionais. “O projeto é o primeiro no mundo a seguir todas as medidas recomendadas pela nova versão da Information Technology Infrastructure Library (ITIL)”, ressalta a capitã Marta das Graças de Souza e Sousa, da Seção de Inovação Tecnológica da Polícia Militar.

Dentro do projeto, também foi implantado um Contact Center, para receber ligações de eventuais reclamações e tomar as medidas necessárias para melhorar o atendimento.

Fonte: SSP/SP( http://www.ssp.sp.gov.br/noticia/lenoticia.aspx?id=20747)

PMESP alcança o reconhecimento internacional

O Dia 13 de julho de 2010 deve ficar marcardo com uma referência para a comunidade de ITSM no Brasil e no mundo. Após 2 anos de seu início – e 4 desde a concepção -, o projeto de implementação de ITILv3 da Polícia Militar do Estado de São Paulo foi concluido com êxito e celebrado nesta ultima terça-feira em evento que contou com a presença de autoridades de gestão pública do estado, bem como Gestores de TIC de governo e da iniciativa privada.

O evento também celebrou o reconhecimento ao projeto pelas entidades internacionais – itSMF e EXIN -, quanto a relevância e contribuição para o amadurecimento das práticas de ITSM e demonstração de benefícios na adoção destas práticas em organizações que não tem como foco apenas o retorno financeiro, mas o retorno social.

Durante o evento, foram destacados vários aspectos do projeto, onde tornou-se evidente as condições  desafiadoras para todos, mas principalmente quatro foram as mais críticas:

• Processos – Não haviam referências, dentro e fora do país, quanto ao uso da, na época, recém-lançada ITILv3. Muitos foram apoiadores, inclusive os autores da biblioteca, os quais auxiliaram na ampliação do conhecimento sobre práticas, até então pouco conhecidas e de alta integração.
• Produtos/Tecnologia – A solução envolvida demonstrou robustez, mas o uso da versão estava circunscrito aos laboratórios, sendo este projeto o seu primeiro grande case.
• Pessoas – Mais uma vez, ficou constatado, assim como outros projetos de sucesso, que capacitação é fundamental para se alcançar a mudança cultural desejada(384 capacitados, destes 117 certificados).  Sem isso, as barreiras são muito maiores e mais resistentes.
• Parceiros – Cerca de 7 diferentes fornecedores foram envolvidos diretamente neste projeto. Isto mostra que grandes resultados não se conquista sozinho.

Durante o projeto,  dúvidas não faltaram, bem como o empenho, a vontade e a superação de todos os envolvidos. Diversas foram as técnicas complementares utilizadas, tanto para elaboração da solução, quanto para o Gerenciamento do Projeto em si.

O projeto também alavancou outras demandas, tais como Arquitetura Corporativa, BPM, Gestão da Qualidade entre outros, as quais auxiliarão em uma Governança de TIC cada vez mais madura e que traduz os benefícios de investir, de forma inovadora, em tecnologias e na gestão continuada dos serviços de TIC para o negócio.

Ao término da apresentação, ficaram evidentes os diversos benefícios, muitos já demonstrados em outros eventos públicos, mas talvez o maior seja o reconhecimento de TIC pelo negócio da Segurança Pública de São Paulo. E isto pode ser percebido em  aumento no número de clientes de seus serviços e na elevação expressiva do orçamento da área de TIC. Sinais de bons tempos para o Gerenciamento de Serviços de TI. Parabéns à PMESP!

*Carlos Teixeira foi o Gerente do Projeto para os times de Arquitetura de Processos de ITILv3.

 Fonte: ITWeb blogs (http://www.itweb.com.br/blogs/blog.asp?cod=122)

itSMF 2008 – Projeto do Ano

No segundo dia do evento o ponto alto, e talvez o mais culminante do evento todo, foi a apresentação do case da Polícia Militar de São Paulo, esplendidamente defendida pelo Major  Roberval Ferreira França.
Eles pretendem “barba, cabelo e bigode” do ITIL v3. e são os primeiros do mundo a propor esta idéia.  
Isto mesmo, a idéia é a implementação de todos os processos descritos no ITIL V3 elevando-os até a maturidade de nível 4 ( Gerenciado) pelo modelo genérico de processos proposto pelo SEI e futuramente até o nível 5 ( melhoria contínua).
Com aquisição de ferramentas e certificação ISO 20.000 e tudo o mais a que tenham direito. A motivação é opção pela qualidade de todos os serviços prestados pela corporação com mais de 150 anos de existência ao estado e São Paulo.  
Todos os aspectos chamam a atenção mas listo alguns importantes:
– duração esperada de 2 anos – o prazo médio de acompnhamento para o cumprimento das primeiras fases é de 2 anos.
– Orçamento Generoso – foram previstos cerca de 4 milhões para esta adoção;
– Cultura – Um dos aspectos mais positivos desta implantação é que ocorre em ambiente militar. Então , muito do risco de resistências culturais fica minimizado. Nas palavras do Major… “ OU faz, ou vai preso”. Sem dúvida um belo modelo motivacional.   
– Capacitação – a maioria dos  colaboradores da TI da PMESP receberá um nível de conhecimento sobre o ITIL. Existe um plano muito bem montado de treinamento com várias camadas de treinamento que vão desde o informacional até a formação de Managers ITIL®.   
 Meus amigos, sem dúvidas este case é referência  em nível global. E ganhou prêmio de Projeto destaque do ITSMF Brasil.

Fonte: Baguete (http://ww2.baguete.com.br/blog/itil/22/11/2008/dia-2-do-itsmf-nacional-conference)

Publicação TI Inside

Como alguns colegas comentaram sobre problemas com o acesso ao artigo, publicado pela TI INSIDE (http://www.tiinside.com.br/Filtro.asp?C=262&ID=88216), estou disponibilizando o texto completo para leitura.

O texto também pode ser lido no hotsite da ITWeb para ITSM – http://www.itweb.com.br/hotsites/ibmgov/conteudo.asp?ibid=47553

Best Regards!

Nova versão do ITIL: o hoje e amanhã de TI
Terça-feira, 06 de Maio de 2008, 18h10

Desde que o ITILv3 foi oficialmente lançado em junho do ano passado, muitos gestores de TI e até profissionais de consultoria torceram o nariz para a novidade, o que vem causando um efeito de descrença ou de distanciamento deste novo modelo. Muito lembra, inclusive, a resistência inicial do mercado quanto aos novos sistemas operacionais da Microsoft.O fato é que poucos pararam para conhecer de perto os ganhos e facilidades com o novo formato e o como esta nova Boa Prática foi criada. Quem já compreendeu e desmistificou o seu uso está se preparando, ou já deu início aos seus planos de implementação de processos na nova versão.

Seguramente, o ITILv3 é um dos modelos de referência mais consistentes do mercado, e, particularmente, desconheço qualquer outro trabalho de atualização de Boa Prática (tais como PMBoK, COBIT, CMMI) que tenha sido tão abrangente, participativo, neutro e intensivo, quanto o que foi realizado para o ITILv3. E é fácil entender o motivo.

Em 2004, quando a OGC (Office of Government Commerce) assinou a carta do Projeto ITIL Refresh (o qual gerou o produto ITILv3) foram consumidos seis meses para a definição do escopo detalhado do projeto, incluindo uma vasta pesquisa entre os principais grupos de executivos do segmento ITIL.

Durante esta fase foram entrevistadas e avaliadas: Mais de 100 Organizações Privadas e Públicas que desenvolveram suas iniciativas de ITIL; Mais de 500 Profissionais Praticantes da área; Players Fornecedores de Serviços e Ferramentas – HP, Microsoft, Fujitsu, CA, EDS e IBM; Fornecedores de Treinamentos Oficiais em ITIL; Institutos Donos de Boas Práticas – ISACA, Carnegie Mellow, PMI, COSO; Institutos de Padrões – BS (British Standard) e ISO (Internation Standard Organization) e Institutos de Examinação – ISEB, EXIN e Loyalist College, além de associações profissionais – itSMF e ISM .

Ao todo foram mais de 6.000 comentários, entre sugestões e críticas. Estes comentários foram revisados, consolidados e priorizados. Desta forma, vemos que Boas Práticas não é teoria, mas baseia-se em práticas observadas e que funcionam bem em muitas situações e diferentes organizações.

Olhe para as dezenas de processos descritos nos livros e você verá que muitos deles você os tem implementados (de uma forma mais ou menos madura) como parte de sua Gestão de TI. Isso principalmente se a sua organização sinaliza para um modelo de Governança de TI. Do ponto de vista operacional, é o mesmo ITIL de sempre, no entanto, numa perspectiva estratégica com maior alinhamento e integração. Tudo isso de uma forma mais clara e simples.

A nova versão aborda a maioria das coisas que uma organização deve fazer para entregar serviços de uma maneira profissional e sua relação com outros modelos e funções, tais como: Governança de TI, Gerenciamento de Projetos, Gerenciamento de Aplicações, etc. A v3 ajuda na definição de formas integradas e otimizadas de trabalho: enxugando custos, melhorando a qualidade, a comunicação e a produtividade das equipes.

Quem assegura isto é o grande número de participantes do projeto de atualização do ITIL. Enfim, se adequadamente implementado, o ITILv3 garante às organizações de TI o que existe de mais atual e eficiente para viabilizar, hoje e ao longo dos próximos anos, a integração TI-Negócio, com mais prática que recomendações.

 

 

Carlos Teixeira, consultor sênior da Pink Elephant

 

ITIL: 10 deployment mistakes (and fixes)

Graham Price, IT management consultant at Pink Elephant, addressed the 10 biggest mistakes IT organizations make during the first year of an ITIL implementation.

http://searchcio.techtarget.com/news/article/0,289142,sid182_gci1304412,00.html#

 

Olá ITSMers!

Será um prazer publicar idéias, informações e questionamentos aos assuntos que cercam a Governança de TI e especialmente o Gerenciamento de Serviços de TI.

Sem me comprometer com uma periodicidade rígida quero, sempre que possível, postar algo interessante e que agregue.  Aguardo suas contribuições, as quais serão todas avaliadas e respondidas.

Abraços, CarlosT

METODOLOGIAS PARA ANÁLISE E GESTÃO DE RISCO

ISO/IEC TR 13335-3:1998
Padrão que trata da análise de risco e será revisto pela mesma equipe responsável pela ISO 27000.

OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation)
Desenvolvido pela equipe do SEI, responsável também pelo desenvolvimento do CMM/CMMi. É um método que preconiza um processo de sessões nas quais os colaboradores que trabalham na área analisada da organização definem os riscos e medidas de proteção.

CORAS (Risk Assessment of Security Critical Systems)
Metodologia de análise de riscos orientada para sistemas. Utiliza ferramentas de identificação e análise de riscos oriundos da prevenção de problemas, tais como o Fault Tree Analysis (FTA), Event Tree Analysis (ETA), entre outros.

NIST SP 800-30: Risk Management
Metodologia do NIST, agência de padronização do governo Americano. Constitui uma boa introdução aos principais conceitos da gestão de risco e tem foco na distinção entre controles operacionais, técnicos e de gestão.

IT Baseline Protection Manual
Metodologia da agência federal alemã para segurança em TI. Considerado o mais atual em seu gênero e de fácil aplicação.

Fonte: Comunidade ISMS PT (http://ismspt.blogspot.com)

Gerenciamento da Disponibilidade e Continuidade reduzem risco nos Serviços de TI

Com a adoção adequada dos processos, a melhoria na qualidade do serviço pode ser medida e gerenciada, o que diminui ou elimina o fator sorte na gestão de TI.

É ainda comum as organizações de TI não aplicarem todos os processos táticos do modelo ITIL. Seja pela ausência de requerimentos internos – como uma efetiva governança corporativa e de TI -, ou externos, como leis e normas regulatórias. O fato é que a melhoria contínua da qualidade dos serviços de TI passa por controles que precisam existir e ser acompanhados continuamente.

Mesmo nas organizações que adotam a ITIL, os processos táticos como o gerenciamento da disponibilidade e continuidade dos serviços de TI (GCSTI) acabam ficando de fora. Isso sem falar em outros processos, tais como capacidade e segurança (temas que serão tratados em artigos posteriores) e que também costumam ser incluídos nessa lista. Mas disponibilidade e continuidade têm um papel especial dentre os processos de gerenciamento de serviços de TI. Além de possuírem um estreito relacionamento (a BS15000/ISO20000 trata esses dois processos de forma integrada), eles são responsáveis por analisar e encontrar alternativas para possíveis interrupções severas que venham afetar a qualidade dos serviços de TI.

Muitas vezes as questões relacionadas à disponibilidade são tratadas parcial e superficialmente apenas na análise dos requerimentos para definição das cláusulas de acordos de níveis de serviço (SLAs) e, depois, esquecidas. Mas quando conceitos como confiabilidade, sustentabilidade e resiliência passam despercebidos, a melhoria contínua dos serviços se torna uma tarefa imprecisa e, portanto, de difícil gerenciamento.

Já o GCSTI é considerado por muitas empresas como um luxo desnecessário. No entanto, estatísticas mostram que desastres são cada vez mais comuns. Mas antes de imaginarmos que este tema está apenas relacionado aos terremotos, atentados terroristas e tsunamis, vamos compreender a definição de desastre. Segundo o modelo de referência ITIL: “desastre é um evento que afeta um serviço ou sistema, e que requer um esforço significativo para restaurar o nível de desempenho original do serviço”.

Portanto, um desastre é muito mais sério que um incidente, já que normalmente causa uma interrupção parcial ou total em um ou mais negócios da corporação. E o esforço para restaurar a operação normal de negócio é muito mais difícil e custoso, tendo em vista que a imagem da corporação também pode ser afetada.

Para exemplificar a necessidade de processos que mitiguem o impacto dos desastres e entender que eles estão mais próximos do que normalmente se imagina, basta verificar os problemas ocorridos com a venda de ingressos para o show do U2 no Brasil.

A falta de uma avaliação correta da demanda dos fãs da banda irlandesa, além de ter gerado grande confusão nos postos de vendas de ingressos, fez com que o site responsável pela venda pela internet limitasse sucessivamente o acesso dos interessados em adquirir ingressos para o show.

Reportagem publicada no site da Folha de S.Paulo, no dia 16 de janeiro, informava que logo após o horário de início de venda de ingressos, às 10h da segunda-feira, o site saiu do ar e quem acessou a página se deparou com a mensagem “service unavailable” (serviço indisponível). Em outra reportagem, do mesmo site, dava conta que a grande confusão para a compra de ingressos do show chegou à mídia internacional, como a BBC, a agência de notícias Reuters e o site da revista “New Musical Express” (NME).

Apesar de ser causado por um excesso de demanda, o fato é que este tipo de ataque DoS (Denial of Service) traz impactos negativos, tais como, pedidos de ação pública, em defesa dos direitos do consumidor, além de um arranhão considerável na imagem da empresa que organizou e também das que tiveram o seu nome envolvido (patrocinadores, por exemplo).

Para esses casos os planos de recuperação são essenciais. Entretanto, o que se verifica é que os planos de contingência tradicionais, quando existentes na corporação ou mesmo em TI, ainda estão muito voltados a ações reativas e dificilmente são tratados como um processo em si, desta forma, evitando, reduzindo ou tratando a ocorrência de um desastre.

ANÁLISE E GESTÃO DE RISCO
Os processos de disponibilidade e GSCTI têm o papel de reduzir o efeito desses desastres, com o uso, por exemplo, de uma importante técnica compartilhada entre estes processos: análise e gestão de risco. Os capítulos 7 e 8 do livro Service Delivery da biblioteca ITIL são claros ao mencionar que não é somente a análise e gestão de risco a única técnica necessária para o correto gerenciamento dos respectivos processos, mas não deixa dúvidas quanto a sua importância.

A execução da análise de risco também é exigida por outros frameworks e normas de segurança, como é o caso da ISO 27001 – antiga BS 7799.

No caso da ITIL, um método é bastante usual e de fácil utilização, o CRAMM (CCTA Risk Analysis and Management Method). Originalmente desenvolvido pelo governo britânico, em 2001, a Insight Consulting – que hoje pertence à Siemens – adaptou o padrão ao framework ISO 17799. É provavelmente o método mais utilizado no campo da análise de riscos em TI, no entanto, existem outros que podem ser utilizados (veja quadro).

No método CRAMM a análise e a gestão de risco são apresentadas como duas atividades inter-relacionadas. Na atividade de análise de risco são quatro os passos:

• Identificar os componentes de TI mais relevantes para a prestação de determinado serviço;
• Analisar as ameaças a esses componentes de TI e atribuir uma possibilidade da ocorrência;
• Identificar e classificar a vulnerabilidade dos componentes;
• E definir o nível do risco.

Definido o nível do risco, a atividade de gestão de risco selecionará e implementará as medidas de contorno, identificando as ações pertinentes à recuperação após um potencial impacto sobre os serviços, bem como criando ações para redução desses riscos a um nível aceitável.

Seja qual for a ação ou método utilizado para mitigar potenciais desastres de grandes proporções, como uma catástrofe, que possam afetar a organização de TI ou o negócio, é fundamental que seja feito o investimento adequado. Dessa forma, a melhoria na qualidade do serviço poderá ser medida e gerenciada, eliminando ou minimizando o fator sorte na gestão eficiente TI.