ITIL V3 - 11 CONTINUIDADE

Prévia do material em texto

Módulo 11 Gerenciamento da Continuidade dos Serviços
Todos os direitos de cópia reservados. Não é permitida a distribuição física ou eletrônica deste material 
sem a permissão expressa do autor. www.tiexames.com.br
Módulo 11
Gerenciamento da 
Continuidade dos 
Serviços de TI
Objetivos do módulo
Neste módulo, iremos apresentar o Processo de Gerenciamento da
Continuidade dos Serviços de TI, cujo foco é gerenciar os riscos relacionados a
infra-estrutura de TI e desenvolver um plano de contingência.
Durante este módulo iremos:
� Apresentar o propósito do processo de GCSTI
� Apresentar as alternativas de Recuperação dos Serviços de TI
� Detalhar como realizar um Plano de Recuperação
� Entender os relacionamentos com outros processos
� Apresentar principais benefícios do processo
Missão
Gerenciar os riscos de falhas em serviços essenciais 
de TI através da prevenção dos riscos e do 
planejamento de recuperação em uma contingência, 
para dar suporte ao funcionamento contínuo dos 
negócios em nível específico dentro de um 
determinado conjunto de circunstâncias.
Por que GCSTI?
� Vantagem competitiva
� Atender a requerimentos regulatórios
� Negociação dos prêmios com as seguradoras
� Exigência inerente de determinados Negócios
� Necessidade do Negócio de continuar a operar sem 
interrupções apesar das crises
� Aumento das ameaças e dos riscos associados aos 
Serviços de TI e ao Negócio
� Reputação. 
Escopo 
� Serviços de TI que dão suporte a processos de negócios críticos. Isto inclui: 
�Sistemas e Aplicativos
�Rede
�Telecom
�Suporte técnico
�Central de Serviços
� Identificação e minimização de impacto 
� Acordo para fornecer o nível mínimo de operação dos negócios após uma 
interrupção do serviço
� Não abrange diretamente os riscos do negócio de longo prazo
� Não abrange pequenas falhas nem pequenas interrupções
Objetivos
� Assegurar a sobrevivência do negócio reduzindo o impacto do desastre ou 
falha grave. 
� Reduzir a vulnerabilidade e o risco para o negócio através de uma análise 
de riscos eficaz e um gerenciamento de riscos. Isto tudo a um custo 
justificável. 
� Transferir o risco para um terceiro
� Produzir planos de recuperação para TI que serão integrados e darão 
suporte completo ao Plano de Gerenciamento da Continuidade de Negócio 
(GCN). 
� Prevenir perda de segurança para o Cliente e Usuário.
Responsabilidades do Negócio e da TI
Gerenciamento da Continuidade do 
Negócio (GCN) se preocupa em gerenciar 
riscos, garantindo que a organização 
continue a operar pelo menos no mínimo 
nível pré-determinado. O GCN envolve: 
�Redução de riscos aceitáveis 
�Plano para a recuperação dos 
processos do negócio quando ocorrer 
uma interrupção
Gerenciamento da Continuidade do 
Serviços de TI (GCSTI) é parte do processo 
de GCN e depende da informação vinda 
dele. Ele foca na continuidade dos serviços 
de TI para o negócio. 
Gerenciamento da 
Continuidade do Negócio 
(GCN)
Gerenciamento da 
Continuidade do 
Serviços de TI (GCSTI)
Comprometimento Gerencial
� O GCSTI é uma preocupação da alta direção da empresa
� A alta direção precisa estar comprometida com o GCSTI continuamente, o 
suporte deve continuar mesmo quando terminar projeto de implementação do 
GCSTI
� A continuidade do negócio deve fazer parte da cultura da empresa e deve ser 
incluída nas atividades corporativas de planejamento
� É necessário ter recursos suficientes para que as pressões do dia-a-dia não 
tirem o foco do GCSTI
� O GCSTI deve fazer parte das atividades operacionais e executivas
Modelo do Processo de GCN
Garantia
Educação &
Consciência
Revisão &
Auditoria
Teste Mudanças
Treinamento
Teste Inicial
Desenvolvimento de Procedimentos
Implementação 
Arranjos Stand-by
Desenvolv. Planos 
de Recuperação
Implement. Medidas 
de Redução de Riscos
Organização & 
Planej. de Implement.
Estratégia de 
Continuidade do Negócio
Avaliação de Riscos
Análise de Impacto no 
Negócio
Inicia o GCNEstágio 1: Iniciação
Estágio 2: 
Requerimentos & Estratégia
Estágio 3: 
Implementação
Estágio 4: 
Gerenciamento
Operacional
Estágio 1: Iniciação
� Definição de Políticas
� Termos específicos da referência e escopo
� Alocação de recursos
� Definição do projeto e estrutura de controle
� Acordo dos planos de projeto
Inicia o GCN
Estágio 2: Requisitos & Estratégia
� Análise de Impacto do negócio (AIN)
� Avaliação de Riscos
� Estratégia de Continuidade do Negócio
Estratégia de 
Continuidade do Negócio
Avaliação de Riscos
Análise de Impacto no 
Negócio
Análise de Impacto no Negócio (AIN)
Esta análise deve: 
� Identificar os serviços críticos ao negócio 
� Determinar os efeitos da indisponibilidade
� Avaliar cenários de impacto
� Obrigações legais que a empresa deve 
cumprir
� Analisar quanto tempo a empresa agüenta 
sem os serviços de TI
� Avaliar os requerimentos mínimos de 
recuperação (pessoas, facilidades e serviços) 
para manter os processos críticos para o 
negócio
� Determinar o tempo mínimo e máximo dos 
níveis de serviços a serem recuperados
� Determinar quais processos de negócio 
devem ser recuperados por completo
Avaliação de Riscos
� Entendimento da probabilidade que um 
desastre ou outra interrupção no serviço irá
de fato ocorrer. A avaliação de risco identifica: 
�Riscos a um serviço em particular ou 
processos
�Níveis de ameaças e vulnerabilidades 
�Níveis de risco
�Medidas iniciais de redução de riscos
� Falha na avaliação de todos os riscos 
relevantes deixa a organização aberta a 
possíveis interrupções
Conceitos em Riscos
� Ameaça
Identificação e avaliação da probabilidade de 
eventos acidentais ou não desejados 
impactarem a infra-estrutura de TI
� Vulnerabilidade
Extensão para qual a Infra-estrutura de TI está
suscetível às ameaças 
Gerenciamento
Avaliação de Riscos - CRAMM
Para integrar a análise com o gerenciamento de riscos, o método mais 
utilizado é o CRAMM (CCTA Risk Analysis and Management Method)
Ativos Ameaças Vulnerabilidades
Riscos
Medidas de Contorno
Análises
Análise de Riscos
Site backup 
com base de 
dados 
duplicada 
Parada dos 
processos de 
Venda, 
Faturamento, etc
AltaAltaFalha no 
servidor de 
aplicação do 
ERP
Gerador de 
energia. 
Estação 
elétrica 
auxiliar
Perda de dados, 
Perda de 
controles de 
segurança
MédiaBaixaBlackout
Colocar o 
datacenter em 
andar seguro
Estrago da 
água, falta de 
acesso
MédiaMédiaEnchente
Medida de 
Controle
RiscoProbabilidadeSeveridadeAmeaça
Estratégia de Continuidade do Negócio
� Definir as medidas de redução de riscos 
apropriadas e o plano de continuidade 
das operações. 
� Decidir sobre as estratégias de 
recuperação dos serviços de TI
Medidas de Redução de Risco
� Usar os dados do Gerenciamento de Disponibilidade para maximizar a 
disponibilidade
� Eliminar os pontos únicos de falha
� Aplicar o backup para as aplicações 
� Implementar ferramentas e metodologias
� Considerar outsourcing de serviços para mais de um fornecedor
� Melhorar os controles de segurança
Opções de Recuperação (Recovery) de TI
Recuperação Imediata (hot standby 0 a 24 horas)
Recuperação Intermediária (warm standby 24 a 72 horas)
Recuperação Gradual (cold standby > 72 horas)
Disposições Recíprocas
Contorno Manual (paper based)
Não Fazer Nada
Opções de Recuperação – Não fazer nada
� Serviços que não justificam a sua 
recuperação 
� É difícil justificar esta opção, já que o 
sistema não precisa ser recuperado, deve 
ser considerado a sua necessidade. 
� Deve ser informado aos clientes quando 
se adotar esta opção. 
Opções de Recuperação – Contorno Manual
� Usar processo manual temporariamentereduz o 
custo de investimentos em contingência
� Pode causar desconforto para o negócio se o 
uso do processo manual for prolongado
� Pode não ser viável em sistemas que tem 
muitos cálculos já informatizados
Opções de Recuperação – Disposições 
Recíprocas
São Acordos com outras empresas que utilizam a mesma tecnologia e 
decidem compartilhar recursos para ocasiões de emergência. 
Pode ser usado para: 
� Processos em lote (batch) 
� Serviços de Impressão
� Armazenamento remoto de backups e documentações
Problemas:
� Falta de segurança
� Dificuldade de manutenção 
� Não dará para utilizar em sistemas críticos
Opções de Recuperação – Recuperação Gradual 
(Cold Standby)
� Tempo para recuperar > 72 horas
� Ambiente vazio com infra-estrutura básica: 
�Energia
�Estrutura de rede
�Conexões Telecom
�Ar condicionado
� Fixa: 
�Sala própria
� Móvel: 
� Sala alugada
� Requer contratos com fornecedores e 
procedimentos para invocar o plano
Opções de Recuperação – Recuperação 
Intermediária (Warm Standby)
� Tempo para recuperar de 24 a 72 horas
� Ambiente já com estrutura de computadores montada mas SEM DADOS. 
� Fixa: 
�Instalação já montada
� Móvel: 
�Veículos com estrutura de TI móvel. 
Opções de Recuperação - Recuperação Imediata 
(Hot Standby)
� Tempo para recuperar dentro de um dia útil - de 0 a 24 horas
� Ambiente com computadores instalados e já com dados (mas não 
necessariamente atualizados)
�Servidores de backup com espelhamento de discos
�Rotas alternativas
� Estrutura própria: 
�Acomodação e estrutura de servidores própria
� Estrutura terceirizada: 
�Alugar o espaço de um terceiro para a instalação dos sistemas backup
Estágio 3: Implementação
� Organização e implementação do plano
� Implementação 
�Arranjos
�Plano de Recuperação
�Medidas de redução de riscos
� Desenvolvimento de Procedimentos
� Testes
Teste Inicial
Desenvolvimento de Procedimentos
Implementação 
Arranjos Stand-by
Desenvolv. Planos 
de Recuperação
Implement. Medidas 
de Redução de Riscos
Organização & 
Planej. de Implement.
Plano de Continuidade dos Serviços de TI
Um plano de Continuidade deve ter 7 seções: 
� Administração
� Infra-estrutura de TI
� Infra-estrutura de TI e procedimentos de operação
� Equipe técnica
� Segurança
� Site de Contingência
� Retorno a operação normal
Estágio 4: Gerenciamento Operacional
Garantia
Educação &
Consciência
Revisão &
Auditoria
Teste Mudanças
Treinamento
� Educação, treinamento e conscientização
� Revisão e auditoria
� Testes
� Gerenciamento de Mudança
� Garantia
Invocando o Plano de Continuidade
� É feita pela equipe do gerenciamento de crise
A decisão de invocar necessita levar em conta um 
número de fatores:
� A extensão do dano e o escopo da interrupção.
� A extensão provável da interrupção e a 
indisponibilidade de instalações e/ou serviços.
� O horário do dia/mês/ano e o impacto potencial no 
negócio. 
� Requisitos específicos do negócio dependendo do 
trabalho que está sendo realizado no momento.
Invocando o Plano de Continuidade
O plano de GCSTI deve incluir detalhes das 
atividades que necessitam ser realizadas, 
incluindo:
� Recuperação de fitas de backup ou uso de 
cofre de dados para recuperar dados.
� Recuperação de documentação essencial, 
procedimentos, imagens de workstation, etc, 
armazenadas off-site.
� Mobilização de pessoal técnico apropriado.
� Entrar em contato e deixar em alerta 
fornecedores de telecomunicações, serviços 
de suporte, distribuidores de aplicativos, etc.
Funções
A distinção pode ser feita nas funções e responsabilidades dentro e fora dos 
períodos de crise. Diferentes níveis dentro deste processo podem ser definidos, 
começando pelo Presidente, Diretores, Gerentes, Supervisores e Equipe. É vital 
documentar as responsabilidades e funções de cada um.
Responsabilidades dos Envolvidos
Execução das tarefas, faz parte da 
equipe de apoio
Desenvolve entregas, negocia os serviços, executa os 
testes, desenvolve e opera processos e procedimentos
Supervisores e Equipe
Invocação, liderança, gerenciamento 
do site, reporte das ações
Faz a análise da Continuidade dos Serviços de TI, 
define as entregas, contratos para os serviços, gerencia 
o testes. 
Gerentes
Coordenação, direção e arbitração, 
autorização dos recursos. 
Gerencia a Continuidade dos Serviços de TI, aceita as 
entregas, comunica e mantem a campanha de 
conscientização, faz a integração na organização
Diretores
Gerenciamento, decisões 
corporativas, relacionamento externo. 
Inicia a Continuidade dos Serviços de TI, cria uma 
política, aloca responsabilidades, dirige e autoriza.
Presidente (Conselho)
Em uma CriseOperação Normal
Gerente de Continuidade 
O gerente de continuidade deve ter as seguintes habilidades:
� Estar ciente sobre os níveis de serviços acordados
� Experiência em GCSTI
� Conhecimento e experiência em gestão de contratos
� Habilidade de transcrever os requerimentos de recuperação do negócio em 
requerimentos técnicos
� Bons conhecimentos técnicos de TI para capacitar a assistência de qualidade nos 
procedimentos
� Habilidade de se comunicar com todos os níveis da organização
Relacionamentos
Gerenciamento da 
Continuidade dos 
Serviços de TI
Processo de 
Gerenciamento da 
Continuidade do 
Negócio
Gerenciamento
Financeiro
Gerenciamento
de Configuração
Gerenciamento
de Mudança
Service Desk /
Gerenciamento
de Incidente / 
Gerenciamento
de Problema
Gerenciamento
de Nível de Serviço
Gerenciamento
de Disponibilidade
Gerenciamento
de Capacidade
InformaçãoNíveis
exigidos
Infra-estrutura
Adequada
Medidas
Redução
Riscos
Dados
Informação 
Sobre 
Impacto
Informação sobre
Os CIs principais
Justificativas de custos
dos planos de recuperação
Comunicação
Problemas Comuns
Alguns problemas podem ser encontrados ao 
implementar o processo de GCSTI:
� Não há recursos suficientes para 
implementar o processo.
� O GCSTI não é baseado no GCN.
� Falta de comprometimento do Gerente de TI 
e gerentes de negócio. 
� Análise superficial dos componentes críticos 
causando má interpretação nos impactos do 
negócio. 
� A recuperação não funciona como deveria 
por falta de testes. 
� Falta de conscientização e suporte dos 
usuários e equipe de TI fazendo com que o 
processo falhe quando ocorrer o desastre. 
Principais Benefícios
� Gerenciamento de riscos e conseqüente 
redução do impacto da falha
� Redução possível no prêmio do seguro
� Melhora no relacionamento entre o Negócio 
e TI, fazendo com que a TI tenha 
consciência dos impactos e prioridades que 
os serviços de TI tem para o negócio
� Conformidade com requisitos regulatórios 
(Basileia II, SOX)
� Reduz a interrupção do negócio durante um 
incidente com a habilidade de recuperar os 
serviços de forma eficiente para o negócio 
� Aumenta a confiança do cliente
� Gasto anual com GCSTI pode ser controlado
� As medidas de riscos serão a um custo 
justificável
IPDs – Indicadores Principais de Desempenho
� Quantidade de funções críticas cobertas 
pelo Plano de Continuidade
� Número e freqüência dos testes de 
simulações
� Quantidade de vezes que o Plano de 
Continuidade foi invocado
� Custos das alternativas de Recuperação
� Resultado dos Testes de Continuidade
Retorno sobre Investimento - ROI
A implantação deste processo garantirá a 
continuidade dos Serviços de TI, independente de 
acidentes que venham a ocorrer. 
Exemplo do Benefício: 
Suponha que uma enchente alague a sala de 
servidores e que se leve 1 dia para voltar a operar 
os servidores. Isto provocaria uma perda de R$ 
200.000,00 (500 funcionários x 8 horas x R$ 
50,00 hora)