Nova versão do ITIL: o hoje e amanhã de TI

Prezado ITSMer,

 

– O quanto você acredita na nova versão do ITIL?

– O quanto você conhece sobre a origem desta nova versão (como ela foi criada)?

 

Eu acredito muito e gostaria que você fizesse esta analise, pois – parafraseando um jargão muito ouvido nos últimos tempos – estou convencido de que nunca, na história recente da Gestão de TI, houve um modelo tão completo, abrangente e consistente.

 

Enfim, convido-o a ler esta e algumas das considerações que faço sobre o ITILv3 no artigo que escrevi e foi publicado nos portais TI INSIDE e ITWeb.

Veja em:

http://www.tiinside.com.br/Filtro.asp?C=262&ID=88216

http://www.itweb.com.br/hotsites/ibmgov/conteudo.asp?ibid=47553

06/05/2008, 18h10

 

Abraços,

 

Carlos Teixeira

ITIL: 10 deployment mistakes (and fixes)

Graham Price, IT management consultant at Pink Elephant, addressed the 10 biggest mistakes IT organizations make during the first year of an ITIL implementation.

http://searchcio.techtarget.com/news/article/0,289142,sid182_gci1304412,00.html#

 

Novo Padrão para a Governança de TI – ISO 38500

Prezado ITSMer,

não sei se todos concordam, mas há uma confusão quando se fala em Governança de TI. Apenas o COBIT basta – não! O ITIL, mesmo na sua recente versão – o V3 – ajuda muito, mas também não é suficiente para compor todo o modelo de Governança de TI.

 

Segundo o Gartner a definição de Governança de TI é:”O conjunto de processos que assegura o uso eficaz e eficiente de TI e viabiliza uma organização de a atingir seus objetivos”.

 

Acho isto muito amplo, mas tenho que concordar que a direção para uma boa Governança, mediante as inúmeras boas práticas (Poderia citar mais de dúzia que compoem a extensa sopa de letrinhas – mas vou poupar o texto desta  poluição visual), passa pelo bom uso dos recursos de TI através dos processos, sejam eles quais forem.

 

Um modelo que venho acompanhando com outros colegas do Gold Coast (Australia) é o padrão Australiano para Governança de TI AS8015. O qual, desde 2005, mostra-se simples e o mais abrangente, além de total aderência aos modelos de Best Practices consagrados – ITIL e COBIT.

 

Conforme anunciado pelo colega Jan van Bon, editor-chefe do Inform-IT, ainda neste mês de maio, este padrão AS será publicado como um padrão global, chamado ISO 38500 (http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=51639). Tornando-se o primeiro padrão voltado para Governança de TI. Enfim, como eles mesmos definem: “Não é mais Panaceia mas uma nova ferramenta!”

 

Portanto, como tal, que venha a nos auxiliar na aplicação de soluções para tornar a área de TI cada vez mais profissional e valorosa para as organizações-cliente.

 

Regards,

 

Carlos Teixeira

Olá ITSMers!

Será um prazer publicar idéias, informações e questionamentos aos assuntos que cercam a Governança de TI e especialmente o Gerenciamento de Serviços de TI.

Sem me comprometer com uma periodicidade rígida quero, sempre que possível, postar algo interessante e que agregue.  Aguardo suas contribuições, as quais serão todas avaliadas e respondidas.

Abraços, CarlosT

METODOLOGIAS PARA ANÁLISE E GESTÃO DE RISCO

ISO/IEC TR 13335-3:1998
Padrão que trata da análise de risco e será revisto pela mesma equipe responsável pela ISO 27000.

OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation)
Desenvolvido pela equipe do SEI, responsável também pelo desenvolvimento do CMM/CMMi. É um método que preconiza um processo de sessões nas quais os colaboradores que trabalham na área analisada da organização definem os riscos e medidas de proteção.

CORAS (Risk Assessment of Security Critical Systems)
Metodologia de análise de riscos orientada para sistemas. Utiliza ferramentas de identificação e análise de riscos oriundos da prevenção de problemas, tais como o Fault Tree Analysis (FTA), Event Tree Analysis (ETA), entre outros.

NIST SP 800-30: Risk Management
Metodologia do NIST, agência de padronização do governo Americano. Constitui uma boa introdução aos principais conceitos da gestão de risco e tem foco na distinção entre controles operacionais, técnicos e de gestão.

IT Baseline Protection Manual
Metodologia da agência federal alemã para segurança em TI. Considerado o mais atual em seu gênero e de fácil aplicação.

Fonte: Comunidade ISMS PT (http://ismspt.blogspot.com)

Gerenciamento da Disponibilidade e Continuidade reduzem risco nos Serviços de TI

Com a adoção adequada dos processos, a melhoria na qualidade do serviço pode ser medida e gerenciada, o que diminui ou elimina o fator sorte na gestão de TI.

É ainda comum as organizações de TI não aplicarem todos os processos táticos do modelo ITIL. Seja pela ausência de requerimentos internos – como uma efetiva governança corporativa e de TI -, ou externos, como leis e normas regulatórias. O fato é que a melhoria contínua da qualidade dos serviços de TI passa por controles que precisam existir e ser acompanhados continuamente.

Mesmo nas organizações que adotam a ITIL, os processos táticos como o gerenciamento da disponibilidade e continuidade dos serviços de TI (GCSTI) acabam ficando de fora. Isso sem falar em outros processos, tais como capacidade e segurança (temas que serão tratados em artigos posteriores) e que também costumam ser incluídos nessa lista. Mas disponibilidade e continuidade têm um papel especial dentre os processos de gerenciamento de serviços de TI. Além de possuírem um estreito relacionamento (a BS15000/ISO20000 trata esses dois processos de forma integrada), eles são responsáveis por analisar e encontrar alternativas para possíveis interrupções severas que venham afetar a qualidade dos serviços de TI.

Muitas vezes as questões relacionadas à disponibilidade são tratadas parcial e superficialmente apenas na análise dos requerimentos para definição das cláusulas de acordos de níveis de serviço (SLAs) e, depois, esquecidas. Mas quando conceitos como confiabilidade, sustentabilidade e resiliência passam despercebidos, a melhoria contínua dos serviços se torna uma tarefa imprecisa e, portanto, de difícil gerenciamento.

Já o GCSTI é considerado por muitas empresas como um luxo desnecessário. No entanto, estatísticas mostram que desastres são cada vez mais comuns. Mas antes de imaginarmos que este tema está apenas relacionado aos terremotos, atentados terroristas e tsunamis, vamos compreender a definição de desastre. Segundo o modelo de referência ITIL: “desastre é um evento que afeta um serviço ou sistema, e que requer um esforço significativo para restaurar o nível de desempenho original do serviço”.

Portanto, um desastre é muito mais sério que um incidente, já que normalmente causa uma interrupção parcial ou total em um ou mais negócios da corporação. E o esforço para restaurar a operação normal de negócio é muito mais difícil e custoso, tendo em vista que a imagem da corporação também pode ser afetada.

Para exemplificar a necessidade de processos que mitiguem o impacto dos desastres e entender que eles estão mais próximos do que normalmente se imagina, basta verificar os problemas ocorridos com a venda de ingressos para o show do U2 no Brasil.

A falta de uma avaliação correta da demanda dos fãs da banda irlandesa, além de ter gerado grande confusão nos postos de vendas de ingressos, fez com que o site responsável pela venda pela internet limitasse sucessivamente o acesso dos interessados em adquirir ingressos para o show.

Reportagem publicada no site da Folha de S.Paulo, no dia 16 de janeiro, informava que logo após o horário de início de venda de ingressos, às 10h da segunda-feira, o site saiu do ar e quem acessou a página se deparou com a mensagem “service unavailable” (serviço indisponível). Em outra reportagem, do mesmo site, dava conta que a grande confusão para a compra de ingressos do show chegou à mídia internacional, como a BBC, a agência de notícias Reuters e o site da revista “New Musical Express” (NME).

Apesar de ser causado por um excesso de demanda, o fato é que este tipo de ataque DoS (Denial of Service) traz impactos negativos, tais como, pedidos de ação pública, em defesa dos direitos do consumidor, além de um arranhão considerável na imagem da empresa que organizou e também das que tiveram o seu nome envolvido (patrocinadores, por exemplo).

Para esses casos os planos de recuperação são essenciais. Entretanto, o que se verifica é que os planos de contingência tradicionais, quando existentes na corporação ou mesmo em TI, ainda estão muito voltados a ações reativas e dificilmente são tratados como um processo em si, desta forma, evitando, reduzindo ou tratando a ocorrência de um desastre.

ANÁLISE E GESTÃO DE RISCO
Os processos de disponibilidade e GSCTI têm o papel de reduzir o efeito desses desastres, com o uso, por exemplo, de uma importante técnica compartilhada entre estes processos: análise e gestão de risco. Os capítulos 7 e 8 do livro Service Delivery da biblioteca ITIL são claros ao mencionar que não é somente a análise e gestão de risco a única técnica necessária para o correto gerenciamento dos respectivos processos, mas não deixa dúvidas quanto a sua importância.

A execução da análise de risco também é exigida por outros frameworks e normas de segurança, como é o caso da ISO 27001 – antiga BS 7799.

No caso da ITIL, um método é bastante usual e de fácil utilização, o CRAMM (CCTA Risk Analysis and Management Method). Originalmente desenvolvido pelo governo britânico, em 2001, a Insight Consulting – que hoje pertence à Siemens – adaptou o padrão ao framework ISO 17799. É provavelmente o método mais utilizado no campo da análise de riscos em TI, no entanto, existem outros que podem ser utilizados (veja quadro).

No método CRAMM a análise e a gestão de risco são apresentadas como duas atividades inter-relacionadas. Na atividade de análise de risco são quatro os passos:

• Identificar os componentes de TI mais relevantes para a prestação de determinado serviço;
• Analisar as ameaças a esses componentes de TI e atribuir uma possibilidade da ocorrência;
• Identificar e classificar a vulnerabilidade dos componentes;
• E definir o nível do risco.

Definido o nível do risco, a atividade de gestão de risco selecionará e implementará as medidas de contorno, identificando as ações pertinentes à recuperação após um potencial impacto sobre os serviços, bem como criando ações para redução desses riscos a um nível aceitável.

Seja qual for a ação ou método utilizado para mitigar potenciais desastres de grandes proporções, como uma catástrofe, que possam afetar a organização de TI ou o negócio, é fundamental que seja feito o investimento adequado. Dessa forma, a melhoria na qualidade do serviço poderá ser medida e gerenciada, eliminando ou minimizando o fator sorte na gestão eficiente TI.