ciclo de vida do desenho do servico

Prévia do material em texto

*
Desenho de Serviço
*
Leia o texto sobre a aquisição do sistema de gestão empresarial e responda:
O que faltou para a empresa estudada no texto?
Objetivo do desenho de serviço:
-Desenhar os serviços de TI apropriados ou inovadores para atender os requerimentos atuais e futuros do negócio
O que o desenho de serviço leva em consideração?
Arquiteturas, processos, políticas e documentação, além dos impactos que poderão ser causados
*
 Processos do ciclo de vida DESENHO DE SERVIÇOS: *Coordenação do Desenho
* Gerenciamento de Nível de Serviço
*Gerenciamento de Catálogo de Serviço *Gerenciamento da Capacidade *Gerenciamento da Disponibilidade *Gerenciamento da Continuidade do Serviço *Gerenciamento de Segurança da Informação *Gerenciamento de Fornecedores
*
Todas as mudanças de serviços de TI devem levar em conta um planejamento estratégico em nível detalhado?
-Não. Somente quando as mudanças forem consideradas significantes é que um planejamento detalhado deve ser considerado. Neste caso: 
Se houver mudança no portfólio de serviço (ou por um novo serviço, ou por um serviço já em produção: 
-Serviços devem passar por um planejamento estratégico (estratégia de serviços)
-Serviços devem ser desenhados para o melhor atendimento dos objetivos de negócio
E como definir tal critério de significância?
-Cada empresa deve definir seu próprio nível de significância
-As mudanças devem ser avaliadas em termos de impacto para que tal significância possa ser determinada (maiores detalhes no ciclo de Transição de Serviço)
*
Os 4 Ps do Desenho de Serviço
Pessoas
Processos
Produtos
Parceiros
Desenho dos Serviços
*
Os 4 Ps do Desenho de Serviço
Pessoas – as pessoas devem possuir as habilidades necessárias para garantir a entrega dos serviços
Processos – estes devem ser desenhados, implementados e seguidos por todos os envolvidos
Produtos – serviços, tecnologia, sistemas e ferramentas devem ser adequados ao uso e propósito
Parceiros – para garantia ou melhoria dos serviços de TI devem ser avaliadas as possibilidades de parceria com possíveis fornecedores
Itens fundamentais para o Desenho do Serviço
*
Pacote do Desenho de Serviço
“É um documento ou documentos que definem todos os aspectos de um serviço e seus requisitos para cada estágio subseqüente do ciclo de vida”. (ITIL)
Conteúdo geral:
-Requisitos de negócio: necessidades do negócio que a TI vai desenvolver, de que forma será usado, onde será usado, estratégia do negócio que será atendida com este serviço
-Desenho de serviço e topologia: desenho dos componentes, infraestrutura, ambiente e arquitetura necessária
-Plano de transição de serviço: planos de construção e testes.
-Plano de aceite operacional do serviço: homologação do serviço
-Critérios de aceitação de serviço
-Requisitos de gerenciamento da operação e do serviço: como ele deve ser monitorado, medido, avaliado, reportado etc.
Serviço novo
Remoção do serviço
Mudança significativa
*
Cuidado com os conceitos!!!
Pacote de Serviço X Pacote de Nível de Serviço X Pacote de Desenho de Serviço
Pacote de Serviço - Banda Larga Usuário TOP (R$60,00 mensais)
-Conexão com Internet
-Endereço de Email
-Filtragem de Spam
-50GB de Armazenamento
-Velocidades de download: XXXMbps – YYYMbps (max)
-98% de garantia de disponibilidade (desconto oferecido em caso de não cumprimento pelo provedor)
-Suporte 24 X 7
Descrição do pacote de serviços disponíveis para serem entregues aos clientes
Definição dos níveis de utilidade e garantia que são entregues para o pacote de serviços, 
Traduzidos em metas de nível de serviços apropriados para as necessidades e expectativas
de cada cliente
*
Pacote de Desenho de Serviço
É um pacote de documento(s) definindo todos os aspectos de um serviço de TI e seus requisitos em cada fase do seu ciclo de vida. Um pacote de desenho de serviço é produzido para cada novo serviço de TI, mudança importante ou aposentadoria do serviço de TI.
Exemplo: um serviço novo está no fim de seu desenho e você precisa garantir que tudo o que as equipes de transição e operação necessitem será entregue a estas dentro de um único pacote. Quais seriam estes documentos? Quais seriam os itens presentes nestas documentações?
-Requisitos de negócio iniciais acordados
-Aplicabilidade do serviço
-Contratos do serviço (partes terceirizadas para o serviço que será entregue)
-Acordos de Níveis de Serviço
-Acordos de Nível Operacional
-Plano do ciclo de vida do serviço (como e quando será construído e liberado, quando entrará em operação e quando será aposentado)
-Capacitações e planos de conscientização necessários
-Instalações necessárias, novos contratos com fornecedores
-Politicas de testes, ambientes de implantação
-Mudança cultural e organizacional
-Eventos a serem gerenciados, registro das mudanças planejadas para o serviço
-Possíveis incidentes e problemas
*
Os modelos de fornecimento de serviços (tipo de contratação para o desenho do serviço)
Fornecimento interno – o desenho, a transição, a operação e a análise de melhoria dos serviços é feita internamente
Terceirização – o fornecimento dos serviços de TI é transferido para um provedor externo, podendo mesclar as atividades de desenho, a transição, a operação dos serviços de TI, mediante cada contrato.
Parceria – relacionamento entre duas organizações que, em conjunto, trabalham para alcançar objetivos comuns e compartilhar benefícios mútuos ou oportunidades de mercado.
Terceirização de Processos de Negócio – também conhecido como BPO (Business Process Outsourcing). São exemplos de terceirização de processos de negócio:
Serviços de cobrança, gerenciamento de folha de pagamento, serviços de call center, etc.
*
Provedor de Serviço de Aplicativo – serviços de TI em forma de SW acessados e executados dentro de um provedor de serviços externo. Exemplos de provedores de serviço de aplicativos:
-Sites;
-Serviços de correio eletrônico hospedados em Datacenters
-SaaS (Software as a Service)
KPO (Knowledge Process Outsoucing) – os ativos de serviço são próprios do fornecedor, objetivando o corte de custos de transação internos e envolvendo trabalho de pessoal altamente especializado.
*
Localize, nas frases abaixo, onde está sendo implementado um BPO e onde está sendo implementado um KPO
Situação 1: 
Quero que a empresa X opere o serviço de atendimento ao cliente (SAC) dentro dos padrões de atendimento da minha empresa, com o roteiro (script) fornecido pela minha empresa e com auditorias permanentemente feitas pela minha empresa.
Situação 2: 
Quero da empresa X o serviço de atendimento ao cliente (SAC).
*
Coordenação do Desenho
O propósito da Coordenação de Desenho é garantir que as metas e objetivos do estágio 
do desenho sejam atingidas. Ele fornece um único ponto de coordenação e controle 
para todas as atividades e processos dentro desse estágio do ciclo de vida do serviço. 
Objetivos: 
-Assegurar um desenho consistente e adequado de serviços, sistemas de informação de 
gerenciamento de serviço, arquiteturas, tecnologia, processos, informação e métricas 
para atender as necessidades e requerimentos atuais e futuras do negócio. 
-Planejar e coordenar todas as atividades do desenho. 
-Produzir Pacotes de Desenho do Serviço com base em contratos de serviço e 
solicitações de mudança. 
-Assegurar que os projetos de serviço adequados são produzidos e entregues a 
transição de serviço, tal como acordado. 
-Gerenciar a interface com a estratégia de serviço e a transição de serviço 
-Melhorar a eficiência e eficácia das atividades e processos do desenho de serviço.
*
Gerenciamento de Nível de Serviço
É o processo de planejar, coordenar, desenhar, acordar, monitorar e divulgar os resultados de um acordo de nívelde serviço (SLA – Service Level Agreement). Tem como objetivo garantir que os níveis de serviços acordados com os clientes sejam entregues no presente e no futuro.
Deve gerenciar a expectativa e percepção de valor dos clientes em relação ao serviço de TI
Quando expectativas e percepção são identificadas, elas formam um Requisito de Nível de Serviço
Requisitos de níveis de baseiam-se em objetivos de negócio para definir as Metas de Nível de Serviço
Requisito do cliente em relação a um aspecto de um serviço de TI
*
3 tipos: 
* Acordos baseados no serviço
Baseia-se em um único serviço oferecido a todos os clientes que usam este serviço. Este tipo de acordo é muito comum em Centrais de Serviços Compartilhados (CSC).
Um ANS para todos os clientes de um serviço X qualquer, ou seja, cada serviço possui um documento ANS que atende a todos os clientes
* Acordos baseados no cliente
São todos os serviços entregues a um único cliente, sendo muito utilizado por provedores internos ou fornecedores especializados e cujos serviços são oferecidos de forma dedicada para um cliente somente. 
Um ANS para um cliente, no qual são incluídos todos os serviços que aquele cliente utiliza. Cada serviço, neste ANS, pode ter suas próprias metas. 
* Acordos multinível
Misto , ou seja, é demandado quando não se consegue utilizar somente com a estrutura baseada em serviço ou somente com a estrutura baseada no cliente
Ex.: para o mesmo serviço podem existir distintas ANS, cada cliente com a sua própria necessidade e com metas distintas. 
*
Leia o arquivo ‘Caso Real 1 – Gerenciamento de Serviços de TI’ desta aula e tente responder: 
1 – Na sua visão, por que o planejamento entre o provedor de serviços de TI e o cliente apresentou problemas?
2 – Você consegue identificar alternativas para resolver o problema relatado com as áreas internas e o fornecedor?
*
Cliente
Provedor de Serviços de TI
Áreas Internas
Fornecedor
Fornecedor
ANS
CNS
ANO
CA
Fornecimento interno
Fornecimento Externo
Terceirização
*
Portanto, um gerenciamento dos níveis de serviço objetiva, principalmente:
Analisar e rever os ANS, CNS, CA e ANO
Monitorar a performance dos serviços principais e serviços de apoio e compará-las com as metas de nível de serviço estabelecidas (ANS ou CNS)
Medir e gerenciar a satisfação dos clientes em relação aos serviços de TI entregues
Produzir relatórios de nível de serviço
Conduzir reuniões de avaliação de nível de serviço e instigar melhorias no serviço (plano de melhorias de serviço)
Registrar e gerenciar as reclamações e elogios dos clientes
*
Problemas Comuns em Gestão de Nível de Serviço:
1 –Definição de metas , principalmente naquelas que o provedor não consegue monitorar
2 –Definição de metas de nível de serviço que não entregam valor para a área de negócio
3 – Elaboração de um acordo de nível de serviço (ANS) sem os ANO e CA, cujas inexistências podem desencadear ações como as famosas “pausas nos chamados”
4 – Falta de auditoria
5 – Não avaliação da satisfação do usuário final
*
Service Level Agreement 
O estabelecimento de níveis de serviço é algo difícil
Frequentemente a demanda supera os recursos de que dispomos
Recursos (tempo, dinheiro, pessoas) são finitos
O processo de negociação passa a ser um critério político-hierárquico
*
Será que os clientes querem redução dos prazos de atendimento ou soluções definitivas?
Requisitos para negociar um ANS: 
-conceito claro que é um serviço
-Readequação de comportamentos
Seguir regras
SLA ≠ prazo de atendimento
Prazos de atendimento de listas de atividades da TI não geram um SLA
*
Pela ITIL, um acordo de nível de serviço é um artefato que provê várias informações:
Compromissos
Responsabilidades
Obrigações
Direitos entre as partes envolvidas 
*
Os benefícios que a TI terá:
-Serão estabelecidas as condições (escopo) do fornecimento do serviço
-Existência da documentação das demandas de cada área
-Criação de uma memória evolutiva do perfil de consumo de serviços pelas áreas de negócios
-Estabelecimento de compromissos para o cliente de TI
*
Exemplo:
Este compromisso será cumprido desde que o cliente não interfira nos componentes
*
As armadilhas:
“nosso SLA é de duas horas. Estamos dentro do SLA.”
CENÁRIO 1
Um cliente define que precisa de um serviço operando 24 horas por dia, 7 dias por semana e requer 99% de disponibilidade deste serviço, aceitando interrupções máximas do serviço de 2 horas. 
Tempo total do serviço: 7 dias * 24 horas * 4 semanas = 672 horas
Indisponibilidade aceitável no mês: 1% ou 6 horas e 43 minutos
Chamados atendidos no mês: 10
Tempo de resolução de cada chamado: 1 h
Tempo total de parada no mês: 10h
Quantidade de chamados atendidos com mais de 2 horas: 0
SLA atendido ou não? Qual foi a disponibilidade real?
*
Como criar um ANS?
Foco entre o acordo firmado entre a área de TI e as áreas de negócio
Desafio nem sempre é entre a área de TI e as áreas de negócio
Nem todas as áreas são prioritárias
Recursos são finitos
*
Exemplo 
Quem resolve o impasse?
*
Não estabeleça prazos e níveis de serviço sem bases práticas!
Suponha que você assuma o compromisso de entregar encomendas em vários destinos. 
Como você estabelece um prazo para o atendimento? 
-Quais são os destinos das entregas? 
-Quantas entregas deverão ser feitas por dia? 
-Qual será o meio de transporte utilizado para as entregas? 
-Qual é o tamanho dos pacotes a serem entregues?
Leitura de apoio: Body Shop
*
Como manter um ANS?
1-Mantenha o acordo em uso
-Preserve sua aplicação na íntegra
-Relembre o cliente de suas responsabilidades
-Faça revisões periódicas do ANS
-Tenha a coragem de mostrar ao cliente onde e quando ele não cumpriu o acordo
*
2-Comprove sua validade
O único fator constante em TI é a mudança
- Colete as informações dos demais processos
3- Busque o consenso entre os clientes de TI
-Lembre-se: recursos são finitos
-Busque o que é estratégico para a organização
-Não tente, somente pela ótica da TI, priorizar uma ou outra área concorrente
-Tenha a coragem de colocar em patamares diferentes clientes diferentes (entenda, porém, o negócio da organização)
*
4-Busque confrontar níveis de serviço estabelecidos com os níveis alcançados
-Tente olhar para o todo em vez de verificar o tempo de atendimento individual
Exemplo 1 
Suponha que em um determinado mês um conjunto de chamados tenha afetado o serviços de correio eletrônico em cinco filiais:
*
Exemplo 2 
Suponha o serviço de pagamento online em uma determinada filial, cujos incidentes foram reportados conforme a tabela abaixo:
Estamos nos concentrando no item de configuração afetado ou no serviço afetado?
*
Gerenciamento de Catálogo de Serviço
Deve servir como uma fonte única de informações sobre os níveis de serviço
Deve estar disponível para os interessados
Pontos Importantes: 
Enquanto o serviço ainda estiver no funil de serviços, as informações do portfólio podem variar em virtude da fase de planejamento. Neste caso, a responsabilidade de administrar este ponto, bem como sua atualização, é do Gerenciamento de Portfólio de Serviço
Quando o serviço está incluído no catálogo de serviços, ele só pode ser alterado mediante uma requisição de mudança no processo de gerenciamento de mudanças. A responsabilidade do catálogo de serviços é de competência do gerenciamento de catálogo de serviços
*
Gerenciamentode Catálogo de Serviço
Dois tipos de catálogo de serviço:
1-Catálogo de Serviços de Negócio (análogo ao catálogo de produtos na manufatura)
É o catálogo que o cliente visualiza e contém as informações úteis ao cliente. 
2-Catálogo de Serviços Técnicos (análogo aos documentos que mostram montagens e submontagem dos produtos)
Catálogo visto somente pela área técnica, contendo os serviços de TI entregues aos clientes
Processo de Negócio Y
Processo de Negócio Z
Serviço B
Serviço C
Componente de TI4
Componente de TI5
Componente de TI6
Componente de TI7
Catálogo de Serviços de Negócio
Catálogo Técnico
*
Gerenciamento da Capacidade
Iniciadas durante o ciclo de estratégia de serviço no processo de gerenciamento da demanda descrita no padrão de atividade de negócio. 
Relembrando que um PAN busca entender alguns fatores podem influenciar diretamente na capacidade do serviço:
-Aumento do número de usuários
-Aumento do volume de transações de serviço (acessos, crescimento de vendas etc)
-Crescimento planejado da oferta de serviço (promoções, queimas de estoque etc)
-Sazonalidade (natal, fechamento contábil etc)
Além disso, o PAN deve:
-Avaliar a capacidade atual dos serviços;
-Simular a capacidade futura dos serviços
PAN  insumo para o gerenciamento da capacidade garantir que o desenho do serviço contemple o desenho da capacidade adequada para entregar os serviços. 
 
*
O gerenciamento da capacidade busca garantir a existência de uma capacidade adequada para o serviço, garantindo que as metas para os níveis de performance sejam atingidas ou superadas
Pontos importantes: 
-O custo deve ser justificável
-’Custo justificável’: entendimento de benefício que o investimento em capacidade trará para o negócio
-A capacidade deve estar alinhada com as necessidades atuais e futuras do negócio
-Modelar e redimensionar a capacidade, sempre que necessário, para melhor utilização dos recursos de TI que contribuem para entrega dos serviços
-Gerenciamento da Capacidade deve ser realizada em todos os ciclos de vida do serviço
Performance dos serviços
Qtde de usuários simultâneos sem comprometimento do desempenho
Qtde de solicitações para tratamento de falhas
*
Subprocessos do Gerenciamento da Capacidade
-Gerenciamento da Capacidade do Negócio: baseia-se nas informações estratégicas da empresa, portfólio de serviços, requisições de mudanças, plano de melhoria do serviço, padrões de atividade do negócio etc 
-Gerenciamento da Capacidade do Serviço: planeja, gerencia e controla a performance da capacidade dos serviços de Ti utilizados em produção 
-Gerenciamento da Capacidade de Componente ou Recursos: gerencia, controla e prevê o uso e a respectiva performance de um recurso ou componente individual de TI
Para justificar custos em TI, crie a relação de dependência!!!
*
*
Custo
Demanda
Capacidade
Custo justificado
Nível de Serviço
*
Ponto de Reflexão
Capacidade ociosa sem justificativa representa um custo para a empresa. TI também não pode superdimensionar os seus recursos para atender a possíveis futuras demandas. Por outro lado, algumas áreas de apoio ao negócio, incluindo TI, podem ser pegas de surpresa com requerimentos de negócio que não podem ser atendidos por falta de capacidade disponível. 
Qual seria então a solução? Os custos de TI aumentarem por superdimensionamento ou o negócio da empresa ficar limitado às capacidades atuais?
 
CHAVE: administração de recursos x atendimento dos negócios. 
*
Atividades do Gerenciamento da Capacidade
											Custos de melhoria e capacidade planejados
										Analisar tendências de utilização futura
									Analisar mudanças de capacidade futuras
								Otimizar a capacidade atual
							Identifica e antecipa falhas causadas por capacidade
						Responder aos alertas de eventos de capacidade
					Prover relatórios de capacidade
				Monitorar a capacidade atual
Proatividade
Reatividade
*
Em 11 de setembro de 2001, o mundo assistiu, chocado, ao ataque às torres do WTC, o qual ceifou milhares de vidas. Cerca de 5% das empresas localizadas na ilha de Manhattan estavam localizadas nas torres gêmeas. 
Alguns fatos ocorreram após os ataques: 
-Empresas desapareceram
-Algumas empresas, por medida de segurança, possuíam estrutura de segurança na outra torre e, tendo em vista a destruição de ambos os prédios, desapareceram por completo
-Algumas empresas possuíam sua estrutura de segurança em outras localidades, permitindo que as mesmas voltassem a operar, mesmo com perdas significativas
-Algumas empresas conseguiram voltar a operar sem grandes perdas
O sistema de telecomunicações de Manhattan entrou em colapso, pois a maior parte da infraestrutura passava pelo WTC
Apesar de poder abrir o pregão no dia seguinte ao atentado, a bolsa de NY só retornou suas atividades em 17/09 para não sobrecarregar o já abalado sistema de telecomunicações de Manhattan
O que explica que empresas que enfrentaram o mesmo caos, tivessem reações tão distintas? PCN (plano de continuidade de negócios). 
*
Gerenciamento de Continuidade de Serviço de TI
O que é continuidade? 
É a capacidade da empresa em prever eventos de riscos que possam afetar seriamente o negócio. A empresa precisa estar habilitada para reação, caso algum evento de risco se concretize
Impacto direto nas funções vitais de negócio da empresa
Continuidade de serviço não é exclusivo da área de TI, mas da organização como um todo
O gerenciamento de continuidade dos serviços de TI foca nos eventos de risco que são significantes para o negócio. Eventos menos significantes ou com impactos reduzidos são tratados pelo gerenciamento da disponibilidade e pelo gerenciamento de incidentes. 
E como definir o critério de classificação? 
Depende das particularidades de negócio da empresa
*
O gerenciamento de continuidade de serviços de TI envolve as seguintes atividades: 
FASE DE INICIAÇÃO
Definição de políticas – define os propósitos e objetivos, garantindo a comunicação do plano de continuidade de serviço de TI
Especificar escopo – define o escopo e responsabilidade de todos os envolvidos no plano de continuidade
Alocar recursos – utiliza recursos internos, capacita recursos ou contrata recursos externos
Definir a estrutura organizacional – devido à complexidade, planos de continuidade de serviço de TI requerem práticas reconhecidas de mercado (PRINCE2, PMBOK etc)
FASE DE REQUERIMENTOS E ESTRATÉGIA
Análise de impacto - quantifica o impacto dos negócios através da análise de perdas financeiras, aumento de custos, perda de vantagem competitiva, etc
Análise de Risco – analisa o nível da ameaça e abrangência de um risco e o nível de vulnerabilidade a esta ameaça
*
FASE DE REQUERIMENTOS E ESTRATÉGIA (continuação)
Análise de Impacto no Negócio
Análise de Risco
Plano Estratégico de Continuidade de 
Serviços de TI
1-Solução de Contorno Manual
2-Backup ou Contingência
3-Acordo Recíproco
4-Recuperação Gradual (cold standby) (> 72 horas)
5-Recuperação Intermediária (warm standby) (24 a 72 horas)
6-Recuperação Rápida (hot standby) (0 a 24 horas)
7-Espelhamento
A-O banco de dados principal cai e o banco de dados espelhado assume automaticamente a operação sem percepção do usuário e sem impacto para o negócio
B-O banco de dados é replicado e, em caso de falha no servidor original, o sistema é direcionado para um banco de dados secundário
C-Recuperação de uma base de dados em um servidor sobressalente já pré-configurado para ser restaurado em caso de falha no servidor original
D-Uma empresa utiliza a rede de outra em caso de incidentes
E-Preenchimento de nota fiscal manualmente até que o sistema de emissão denotas fiscais seja restaurado
F-Reinstalação do sistema em outro servidor sobressalente em caso de incidente no servidor original
G-Incêndio no prédio da empresa e uma cópia dos dados vitais está armazenada em outro local
*
FASE DE IMPLEMENTAÇÃO
Teste – garantir, por meio de testes, que o plano de continuidade de serviço e os planos de recuperação de falhas atendem aos seus objetivos
Os testes devem ser realizados o mais próximo possível da realidade para garantir que, mediante uma crise, o plano atenda satisfatoriamente aos seus propósitos
FASE DE OPERAÇÃO
Educação, conscientização e treinamento – garantia de que todos os envolvidos no plano de continuidade de serviços de TI estejam conscientes de sua importância e que foram treinados para desempenhar seus papéis e responsabilidades definidas no plano
Revisão – deve ser feita principalmente para averiguar se o plano está de acordo com os cenários e expectativas do negócio
Gerenciamento de mudanças – garante que todas as mudanças necessárias e com potencial impacto no plano de continuidade de serviço de TI estejam planejadas e alinhadas com o plano antes de sua implementação 
*
O Gerenciamento de Segurança da Informação 
Não é algo restrito a TI, mas à organização como um todo (governança estratégica). 
Informações – no contexto da segurança, refere-se aos dados da empresa e as informações de negócio identificadas como ATIVOS ESTRATÉGICOS da empresa
Objetiva proteger a informação de diversos tipos de ameaça para garantir a continuidade dos negócios
 
Informação pode ser categorizada pela preservação de:
Confidencialidade – garantia de que a informação é acessível somente a pessoas autorizadas
Integridade – garantias de que a informação é exata e completa
Disponibilidade – garantia de que os usuários autorizados obtenham acesso à informação sempre que necessário
Confidencialidade, Integridade e Disponibilidade  tríade da segurança da informação
Portanto, segurança da informação é obtida quando uma série de controles como políticas, práticas, procedimentos, funções de SW e estruturas organizacionais são implementadas. 
*
Algumas razões para se implementar uma política de segurança da informação: 
Políticas de retenção de registros (para fins legais e regulatórios)
Monitoramento de retenção de e-mails (riscos legais)
Problemas relacionados com copyright e compartilhamento de arquivos
Alguns conceitos importantes: 
Vulnerabilidade – algo que pode ser explorado em um incidente (fraqueza no SW ou no HW, uma senha fraca etc)
Ameaça – é qualquer perigo potencial a qualquer um dos aspectos da segurança
Risco – possibilidade de um agente transformar a ameaça em realidade através da exploração de uma vulnerabilidade
Contramedida – é uma medida de proteção adotada para diminuição do risco
Importante: não existe ambiente 100% seguro. Todos os ambientes possuem ameaças e vulnerabilidades até certo ponto. A chave é identificar os riscos e mitigá-los para níveis aceitáveis
*
Algumas naturezas de riscos que podem ameaçar a segurança: 
Dano físico – fogo, água, desastres naturais, etc
Ação Humana – negligência intencional ou acidental
Falha de Equipamentos – falha de sistema ou equipamento periférico
Ataques Internos e Externos – ação de hackers ou ataques de usuários
Uso Indevido de Dados – compartilhamento de segredos, espionagem, roubo etc
Perda de Dados – perda intencional ou acidental da informação 
Erros de Aplicação – erros de processamento, overflows etc
Como garantir a segurança da informação? 
Estabelecimento de políticas pela organização!
*
Segundo a NBR ISO/IEC 17799:
“Convém que a direção estabeleça uma política clara e demonstre apoio e comprometimento com a segurança da informação através da emissão e manutenção de uma política de segurança da informação para toda a organização. “
Elaboração da política de segurança
Desafio para conseguir apoio dos usuários
Divulgação por meio de campanhas internas
Palestras de conscientização dos funcionários
Destaques na intranet da organização
Criação de manual de política de segurança
Treinamentos periódicos objetivando a disseminação da prática de segurança
*
Gerenciamento de Fornecedores
Cada vez mais empresas estão terceirizando serviços de TI para apoiar os negócios
Necessidade – gerir os contratos com fornecedores, objetivando principalmente:
-Atendimento das expectativas do negócio
-Agregação de valor aos serviços prestados
Pergunta para reflexão: se a contratação de determinado fornecedor foi justificada por conta de seu know-how e/ou reputação no mercado, como analisar uma entrega de serviço por parte deste mesmo fornecedor em níveis abaixo do esperado ou inferior ao mesmo serviço se este fosse executado internamente?
Duas possibilidades: 
Ou os requisitos de terceirização não foram bem definidos;
Ou o fornecedor não possuía as habilidades e recursos necessários para atender as expectativas do cliente
*
Gerenciamento de Fornecedores
Cada serviço pode possuir características próprias de entrega
Cada serviço pode ser entregue para os clientes de maneira distinta
Serviços podem, também, ser entregues por distintos fornecedores
-Todas as informações sobre contratos com fornecedores, informações cadastrais e informações sobre atividades e políticas dos fornecedores devem ser cadastradas em uma base de informações (BDFC, ou base de dados de fornecedores e contratos)
*
Dentre as atividades relacionadas com o gerenciamento de fornecedores, está a política de categorização do fornecedor entre: 
Fornecedores estratégicos – são fornecedores que trabalham com serviços estratégicos, críticos ou confidenciais (envolve os gerentes seniores da empresa)
Fornecedores táticos – são fornecedores que trabalham com serviços de atividades comerciais (envolve a média gerência da organização)
Fornecedores operacionais – são fornecedores que trabalham com serviços operacionais, envolvendo gerências menores ou supervisores e coordenadores
Fornecedores básicos – são fornecedores que trabalham com serviço de baixo valor agregado.
B
O
T
E
Valor agregado
Risco e impacto no negócio
*
Outras atividades do Gerenciamento de Fornecedores:
-Avaliação e aquisição de novos contratos e fornecedores
-Identificar métodos de compras e aquisições
-Estabelecer critério de avaliação da aquisição
-Avaliar opções alternativas de aquisição 
-Negociar contratos, metas, termos e condições, papéis e responsabilidades, critérios de renovação, resolução de conflitos
-Estabelecer contratos e relacionamentos
-Revisar o escopo e metas do contrato de acordo com as necessidades do negócio
-Planejar o encerramento, renovação ou extensão do contrato, bem como a renegociação ou transferência do contrato
*
Em algumas situações, aquisições serão necessárias
Interfaces do Gerenciamento de Aquisições com Outras Áreas (visão da Gestão de Projetos)
*
Fases da Contratação
Pré-Contratação
-Decisão Make-or-Buy
-Solicitação de Cotação ou Edital de Licitação (comunicação CLARA de necessidades e critérios a serem empregados)
-Avaliação de Propostas
-Minuta de Contrato 
Contratação
-Análise das propostas
		-Condução do escopo
		-Condições técnico-comerciais
-Decisão da contratação (melhor preço, melhor técnica, melhor técnica e melhor preço)
Pós-Contratação
-Providências para desmobilizar as atividades dos fornecedores e aceitação dos produtos e serviços entregues
-Manutenção do equilíbrio econômico-financeiro do contrato (fornecedor e cliente)
Lei de Licitação e Contratos
*
Disponibilidade
“Habilidade de um serviço ou componente de TI em desempenhar a sua função acordada quando necessário” (ITIL)
Se os níveis de serviço descritos no acordo não podem ser garantidos, então diz-seque um serviço está indisponível
Exemplo: se uma empresa exige 100% de disponibilidade de um determinado serviço, então qualquer interrupção pode ser considerada uma indisponibilidade.
Se outro serviço necessita de 100% de disponibilidade entre 6h e 22h, então qualquer interrupção fora deste horário não pode ser caracterizada como um evento de indisponibilidade de serviço.
Disponibilidade deve ser descrita no acordo de nível de serviço 
*
Gerenciamento da Disponibilidade
Como podemos definir disponibilidade de um serviço?
Quando sistemas que suportam serviços estão ‘funcionando’. 
Quem define a disponibilidade do serviço? 
Requisitos de negócio definidos e acordados pelo cliente no ANS
Pergunta para reflexão: 
Se você está em uma fila para comprar um ingresso e desiste da compra porque a fila está lenta, pergunte-se se o caixa não está funcionando como deveria ou tivemos uma expectativa de atendimento rápido excedida ?
Comportamento Ideal X Real
T0
T1
Tempo de vida sem a ocorrência de defeito
Defeito
*
Taxa de Disponibilidade
Pode ser medida como uma taxa percentual
Tempo de serviço acordado – tempo total de indisponibilidade * 100
Tempo de serviço acordado
Exemplo: suponha que uma empresa opere de segunda a sexta, de 9h-18h. Teremos então 160 horas de trabalho durante um determinado mês. Os serviços de TI ficaram fora do ar durante 40 horas nesse mês. 
A taxa de disponibilidade foi de (160 – 40) * 100  75% no mês
		 160
*
Imagine agora que um serviço foi acordado para estar disponível 98% do tempo entre 7 e 19h nos dias úteis. Em uma semana, o serviço ficou indisponível por 2 horas. Se você fosse o gestor de uma empresa que contratou este serviço, diria que ele está em qual nível de confiabilidade? Acima, dentro do acordado ou abaixo do acordado? 
(60 horas por semana – 2 horas de indisponibilidade) * 100 = 96.66% (abaixo do tempo acordado)
	 60
Confiabilidade
Prazo que um sistema consegue, ou espera-se que ele consiga, executar suas funções de acordo com o esperado.
Medida através do TMEF ou Tempo Médio entre Falhas e do TMPR ou Tempo Médio para Reparo
Sustentabilidade
Capacidade de resiliência ou quanto tempo um serviço é restaurado ao seu estado original, em caso de indisponibilidade
Medida através do TMRS ou Tempo Médio para Restaurar o Serviço
*
Tempo Médio entre Falhas
TMEF = (tempo disponível em horas – tempo total de parada em horas)/numero de falhas
Considere a seguinte situação e determine o TMEF: 
Um sistema operando normalmente durante um mês teve 4 ocorrências de falhas:
 
1ª-ocorreu após 10 dias do inicio da operação e foram necessárias 2 horas e 30 minutos para o reparo.
 
2ª-ocorreu 2 dias após a primeira e foram necessários 45 minutos para o reparo.
 
3ª-ocorreu 14 dias após a segunda e foram necessários 12 minutos para o reparo.
4ª-ocorreu 5 dias após a terceira e foi necessário 1 hora para o reparo
TMEF = (720 – 4.45) / 4 = 178.88 h
 
*
Considere os seguintes sistemas: 
Um sistema A operando por 500 horas em um mês teve 4 ocorrências de falhas:
 
-1ª-ocorreu após 10 dias do inicio da operação e foram necessárias 2 horas para o reparo.
-2ª-ocorreu 2 dias após a primeira e foram necessárias 4 horas para o reparo.
-3ª-ocorreu 4 dias após a segunda e foram necessárias 3 horas para o reparo.
-4ª-ocorreu 8 dias após a terceira e foi necessária 1 hora para o reparo.
Um sistema B operando por 700 horas em um mês teve 6 ocorrências de falhas:
 
-1ª-ocorreu após 5 dias do inicio da operação e foram necessários 10 minutos para o reparo.
-2ª-ocorreu 2 dias após a primeira e foram necessários 5 minutos para o reparo.
-3ª-ocorreu 4 dias após a segunda e foram necessários 10 minutos para o reparo.
-4ª-ocorreu 8 dias após a terceira e foram necessários 12 minutos para o reparo.
-5ª-ocorreu 4 dias após a quarta e foram necessários 15 minutos para o reparo.
-6ª-ocorreu 3 dias após a quinta e foram necessários 30 minutos para o reparo.
Determine o TMEF de cada um e informe qual dos dois sistemas apresenta o melhor índice de confiabilidade
TMEF A = (500 – 10)/4 = 122.5h
TMEF B = (700 – 1.36)/6 = 116.44h
 
*
TMPR
É o tempo médio gasto para reparar um serviço de TI após uma falha. O TMPR é medido a partir de quando o serviço falha até que seja reparado.
TMPR = (R1 + R2)/num_reparos = 1.5/2 = 0,75h
Importante: 
Em sistemas de alta disponibilidade, é essencial diminuir o tempo de reparo para aumentar a disponibilidade do sistema
T1=6h
*
TMRS
É o tempo médio entre o início do incidente e o momento em que o serviço volta a estar disponível
Atenção: TMRS é diferente de TMPR
Exemplo: 
O sistema de vendas online da empresa parou de funcionar no último dia útil do mês. A equipe de TI identificou que o HD do servidor do BD queimou. O SO e o BD foram reinstalados em outro HD e os dados do BD foram recuperados do backup, o que levou 2 horas. Após uma configuração inicial, o servidor foi colocado no ar em 30 minutos.
O TMPR foi de 2 horas
O TMRS foi de 2.30h
*
Disponível
Disponível
Indisponível
Tempo Médio para Reparo
Tempo Médio
 entre Falhas
Tempo Médio
 entre Falhas
Tempo Médio para Reparo do Serviço
Recuperação
Restauração
Reparo
Diagnóstico
Detecção
*
Pontos Importantes sobre o Gerenciamento da Disponibilidade
Ela NÃO é responsável por reparar e restaurar o serviço. Ela deve garantir que a DURAÇÃO e os IMPACTOS das falhas nos serviços de TI sejam minimizados
Ela deve trabalhar em conjunto com o Gerenciamento de Incidentes e Gerenciamento de Problemas
Cuidado com a Indisponibilidade de Serviço Planejada (planejamento de implantações, manutenções preventivas programadas, testes de continuidade etc)
 
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*