Instituto de Ciências Exatas Departamento de Ciência da Computação Curso de Especialização em Gestão da Segurança da Informação e Comunicações

Transcrição

1 Instituto de Ciências Exatas Departamento de Ciência da Computação Curso de Especialização em Gestão da Segurança da Informação e Comunicações RODRIGO FRANCO DE SOUZA Gestão da Segurança da Informação Uma visão simplificada para o tratamento de incidentes na ACE Corporation Brasília 2011

2 Rodrigo Franco de Souza Gestão da Segurança da Informação Uma visão simplificada para o tratamento de incidentes na ACE Corporation Brasília 2011

3 Rodrigo Franco de Souza Gestão da Segurança da Informação Uma visão simplificada para o tratamento de incidentes na ACE Corporation onografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília como requisito parcial para a obtenção do título de Especialista em Ciência da Computação: Gestão da Segurança da Informação e Comunicações. Orientador: Prof. Tutor Esp. Sidney Christian dos Reis Universidade de Brasília Instituto de Ciências Exatas Departamento de Ciência da Computação Brasília Outubro de 2011

4 Desenvolvido em atendimento ao plano de trabalho do Programa de Formação de Especialistas para a Elaboração da etodologia Brasileira de Gestão da Segurança da Informação e Comunicações - CEGSIC 2009/ Rodrigo Franco de Souza. Qualquer parte desta publicação pode ser reproduzida, desde que citada a fonte. De Souza. Rodrigo Franco Gestão da Segurança da Informação: Uma visão simplificada para o tratamento de incidentes na ACE Corporation / Rodrigo Franco de Souza. Brasília: O autor, <999> p.; Ilustrado; 25 cm. onografia (especialização) Universidade de Brasília. Instituto de Ciências Exatas. Departamento de Ciência da Computação, Inclui Bibliografia. 1. Incidentes. 2. Processo. 3. Itil. I. Título. CDU

5

6 Dedicatória Franco. Dedico esse trabalho a meus filhos Caio Vieira, Felipe Franco e Gabriel

7 Agradecimentos Agradeço primeiramente a Deus, que me deu forças para mais uma conquista. À minha família pelo apoio, incentivo e suporte fundamental de modo especial a minha esposa Profª aira Vieira Amorim Franco. Ao meu orientador pela dedicação e profissionalismo. A todos que contribuíram para a realização deste trabalho de modo especial a ACE Corporation.

8 A dor é passageira. Desistir dura pra sempre. Lance Armstrong.

9 Lista de Figuras Figura 1: Organograma do Departamento de Gestão dos Serviços e Ambientes de TI DEGT Figura 2 Adaptação do Processo de Gestão de Incidentes Figura 3 Aderência ao processo de tratamento de incidentes Figura 4 Processo de tratamento de incidentes nível Figura 5 Processo de Escalada Funcional Figura 6 Resultado obtido a partir da avaliação individual... 56

10 Lista de Tabelas Tabela 1 Tabela demonstrativa da reunião realizada com o CPSP para avaliação da maturidade no Gerenciamento de Incidentes Tabela 2 - Tabela demonstrativa da reunião realizada com o CPRJ para avaliação da maturidade no Gerenciamento de Incidentes Tabela 3 - Tabela demonstrativa da reunião realizada com o CPDF para avaliação da maturidade no Gerenciamento de Incidentes Tabela 4 Tabela demonstrativa da reunião realizada com Departamento de Engenharia de Processos DGEP para compreensão dos procedimentos utilizados na elaboração de um novo processo Tabela 5 Avaliação do CPDF Tabela 6 Avaliação do CPRJ Tabela 7 Avaliação CPSP Tabela 8 - Entrevista realizada com o DGPE Tabela 9 Resultado Consolidado... 52

11 Lista de siglas e abreviaturas SLA - Service Level Agreement - Acordo de nível de serviço IT Information technology ITIL - Information Technology Infrastructure Library

12 Sumário Ata de Aprovação... 3 Dedicatória... 4 Agradecimentos... 5 Lista de Figuras... 7 Lista de Tabelas... 8 Lista de siglas e abreviaturas... 9 Sumário Resumo Abstract Delimitação do Problema Introdução Formulação da situação problema (Questões de pesquisa) Objetivos e escopo Objetivo Geral Objetivos Específicos Escopo Justificativa Hipóteses Revisão de Literatura e Fundamentos Referencial teórico ITIL As Publicações da ITIL Detalhamento dos Processos da ITIL ITIL v etodologia... 33

13 Resultados Resultado Auto-Avaliação Resultado Aderência ao processo Coleta de dados - Processo de elaboração de normas e procedimentos pelo DGEP O Processo de tratamento de incidentes Discussão Auto-Avaliação (Self-Assessement) Aderência ao Processo ITIL V Entrevista com o DGEP Conclusões e Trabalhos Futuros Conclusões Trabalhos Futuros Referências e Fontes Consultadas Apêndice A Pesquisa Individual Apêndice B Questionamentos para o Departamento de Engenharia da Produção 65 Anexos 1 - ITIL Service Delivery Self Assessment: Gerência de Incidente... 66

14 Resumo ACE Corporation é responsável por processar uma das maiores folhas de pagamento da América latina. Com mais de 27 milhões de beneficiários ela exerce um papel fundamental para o cidadão Brasileiro. Tendo em vista a diversidade de sistemas de missão crítica, sua responsabilidade está em garantir que o parque tecnológico que sustenta estes sistemas esteja disponível sempre que requisitado. A pesquisa analisará a atuação da organização frente à ocorrência de incidentes computacionais nas unidades de processamento de Brasília, São Paulo e Rio de Janeiro. Serão estudados os processos utilizados bem como a atuação das equipes na resolução de incidentes. Para a obtenção desses dados serão aplicadas ferramentas de pesquisa que permitirão uma análise da aderência dos processos realizados pela ACE, as boas práticas preconizadas pelo ITIL para o tratamento de incidentes. Palavras-Chave: Incidentes, Processos, ITIL.

15 Abstract ACE Corporation is responsible for processing one of the largest payrolls in Latin America. With more than 27 million members it plays a key role in the Brazilian citizen. Given the diversity of mission critical systems is their responsibility to ensure that the technology park that supports these systems is available whenever requested. The research will examine the performance of the organization before the occurrence of incidents in the computer processing units, Brasilia, Sao Paulo and Rio de Janeiro. Will study the processes used and the integration between the teams. To obtain this result will apply tools that allow an analysis of the adherence of the processes carried out by ITIL best practices recommended for the treatment of incidents. Keywords: Incident Process, ITIL.

16 14 1 Delimitação do Problema Desde a detecção até o fechamento de um incidente computacional, diversas etapas são realizadas para seu devido tratamento. Ações como o registro, a categorização e a priorização estão entre as principais atividades dentro da metodologia de resolução de um incidente. Uma organização deve possuir métodos bem definidos que possibilitem a execução de rotinas de forma padronizada independente sua localização geografia. Esse estudo compreenderá como a Acme Corporation atua frente à ocorrência de incidentes em seu ambiente computacional. Esta pesquisa utilizou a biblioteca de boas práticas Information Technology Infrastructure Library - ITIL, focando a Gerência de Incidentes. 1.1 Introdução A crescente importância que a Tecnologia da Informação tem representado às empresas faz com que os negócios dependam cada vez mais da informática (STATDLOBER, 2006). Nas últimas décadas houve um desenvolvimento acelerado da tecnologia da informação, onde, a informática de modo geral teve uma participação significativa para a transformação do comportamento das organizações. Essas mudanças transcendem a existência apenas de uma secretária com um computador ou de um sistema de controle, pois em muitos casos a disponibilidade de uma Uniform Resource Locator - URL é a condição determinante para escolha, por exemplo, do nome da empresa devido ao fato do sítio ser apresentado ao público antes mesmo da empresa. Além da mudança comportamental, ocorre também uma transformação operacional, pois, quase todos os processos do negócio baseiam-se em softwares e tecnologia (NETTO, 2007). Com a introdução dos computadores e da internet, as organizações passaram a colocar seus produtos no mercado de forma mais rápida que no passado. Este

17 15 avanço é responsável pela transição da era industrial para a era da informação onde tudo se torna mais dinâmico. (PINHEIRO, 2006, p.6) As tradicionais organizações são menos flexíveis para responder rapidamente às mudanças do mercado devido a sua estrutura hierárquica. Conseqüentemente, tornou-se uma tendência para as novas organizações serem menos burocráticas adotando processo de gestão compartilhado sendo assim mais flexíveis as necessidades do mercado. A ênfase é agora nos processos horizontais, e as decisões são concedidas cada vez mais ao pessoal de nível operacional da organização. Os processos operacionais e táticos do Gerenciamento de Serviços em TI dão suporte a este cenário, onde o processo move-se de um departamento para outro. (BON, 2005). Percebida a velocidade empregada nos processos operacionais, é fundamental que as empresas criem mecanismos capazes de atuar pró - ativamente minimizando a inoperância de seus serviços e sistemas. Segundo o Estudo Anual sobre Recuperação de Desastres, encomendado pela Symantec à Applied Research West, o prejuízo anual por cada falha de disponibilidade em um dos sistemas de companhias de grande porte da América Latina pode chegar a um custo médio anual de US$ 4,2 milhões por empresa. (Valor Econômico, 2010) A Norma Complementar 05/IN01/DSIC/GSIPR, de 14 de agosto de 2009, destaca que nos últimos anos os órgãos públicos vêm implementando e consolidando redes locais de computadores cada vez mais amplas, como exigência para suportar o fluxo crescente de informações, bem como permitir que seus funcionários acessem a rede mundial de computadores para melhor desempenharem suas funções. anter a segurança da informação e comunicações de uma organização em um ambiente computacional interconectado, nos dias atuais, é um grande desafio, que se torna mais difícil à medida que são lançados novos produtos para a Internet e novas ferramentas de ataque são desenvolvidas (05/IN01/DSIC/GSIPR, 2009, p.2). Desse modo, compreender a importância e as vulnerabilidades do negócio são passos fundamentais para a implantação de medidas preventivas a ocorrência de incidentes.

18 Formulação da situação problema (Questões de pesquisa) No ano de 2007, foi proposto um novo modelo de atuação para o departamento, até então, de operações DOP. A mudança consistiu em criar uma estrutura organizacional de gestão que viabilizasse a implantação de processos baseados nas disciplinas ITIL, essa nova estrutura seria responsável pela gestão dos serviços e produtos oferecidos aos clientes. A Acme Corporation possui quatro diretorias, Diretoria Financeira, Diretoria de Pessoas, Diretoria de Relacionamento com o Cliente e Diretoria de Infra-Estrutura, estando este novo Departamento de Gestão dos Serviços e Ambientes de TI - DEGT subordinado a esta última citada. Com vistas a compreenção da estrutura proposta, na figura 1 demonstra o novo organograma do DEGT. Figura 1: Organograma do Departamento de Gestão dos Serviços e Ambientes de TI DEGT Os processos criados no DEGT devem atender às necessidades das rotinas executadas nos centros de processamento, dessa forma além de elaborar o método é sua responsabilidade garantir a plena execução das ações observando os especificidades dos incidentes que ocorram em detrimento de falhas, mudanças e atualizações não controladas ou mau funcionamento dos hardwares nos diversos Centro de processamento. Todo o empenho no estabelecimento de processos de gestão tem seu foco nos produtos e serviços dos clientes. Atualmente a carteira da empresa é composta por sistemas dos ministérios e autarquias: Instituto Nacional do Seguro Social INSS;

19 17 Secretaria da Receita Federal do Brasil - SRFB; inistério da Previdência Social - PS; inistério do Trabalho e Emprego - TE; inistério do Desenvolvimento Social e Combate à Fome DS e Bancos e órgãos financeiros. Essa pesquisa avaliará como a ACE realiza o gerenciamento de incidentes em seus centros de processamento Centro de processamento, possibilitando identificar o nível de aderência dos processos atuais de Gerenciamento de Serviços de TI (GSTI), conforme preconizado pela Information Technology Infrastructure Library ITIL. 1.3 Objetivos e escopo Objetivo Geral Analisar a aderência do processo de gestão de incidentes executado nos centros de processamento localizados nas cidades do Rio de Janeiro - CPRJ, São Paulo - CPSP e Brasília CPDF, em relação às melhores práticas preconizadas pela ITIL Objetivos Específicos Para tanto, se faz necessário: 1. Compreender a processo utilizado pelo DEGT para a criação de novos métodos a serem utilizados pelos centros de processamento; 2. apear a aderência de cada centro de processamento na disciplina de Gerenciamento de Incidentes com base nas melhores práticas preconizadas pela ITIL; Escopo 3. Analisar a execução do modelo proposto pela ITIL V3 nos centros de processamento. Os três Centros de Processamento de Dados supracitados (Rio, São Paulo e Brasília) serão os objetos desta pesquisa.

20 18 Limitando-se a analisar a atuação dos Centro de processamento na ocorrência de incidentes computacionais, que possam comprometer as operações da organização. 1.4 Justificativa A ocorrência de incidentes e as diversas formas de resolução podem impactar na qualidade do serviço prestado aos clientes. A aderência ao modelo preconizado pela a ITIL pode minimizar o tempo das indisponibilidades bem como a qualidade dos serviços prestados desde que haja uniformidade das ações executados pelos agentes técnicos localizados nos Centro de processamento. 1.5 Hipóteses Os centros de processamento não estão padronizados na sua forma de atuação quanto ao gerenciamento de incidentes; A não padronização dos procedimentos afeta na eficiência e na eficácia da resolução dos incidentes.

21 19 2 Revisão de Literatura e Fundamentos 2.1 Referencial teórico BEAL (2005) descreve a metodologia ITIL como um conjunto de documentos desenvolvidos para registrar as melhores práticas na área de gestão de serviços de TI, colaborando tanto para a padronização quanto para a melhoria da qualidade do serviço ofertado pela área de TI. Incidente de segurança da informação em meio eletrônico é qualquer evento que tenha causado algum dano, ou colocado em risco algum ativo de informação em meio eletrônico crítico, ou interrompido a execução de alguma atividade crítica por um período de tempo inferior ao tempo objetivo de recuperação. (PRS, 2010). O Gerenciamento de Incidentes inclui o tratamento de qualquer evento que possa interferir no provimento dos serviços aos usuários. Um incidente é definido como uma interrupção não planejada ou diminuição da qualidade de um serviço de TI. (TAYLOR et. al, p.82). Em uma visão mais global, o gerenciamento de incidentes é o serviço que consiste em receber, filtrar, classificar e responder às solicitações e alertas e realizar as análises dos incidentes de segurança, procurando extrair informações que permitam impedir a continuidade da ação maliciosa e também a identificação de tendências, conforme Instrução Normativa Complementar n 05 (IN05, 2009). Este processo tem como missão restaurar um serviço em menor tempo possível, minimizando os impactos negativos na área de negócios fornecendo uma solução de contorno ou reparo rápido fazendo com que o cliente volte a trabalhar de modo alternativo. (COSTA, 2010). Desse modo, convém que existam mecanismos para permitir que tipos, quantidades e custos dos incidentes sejam quantificados e monitorados. Convém que esta informação seja usada para identificar incidentes de alto impacto. Isto pode indicar a necessidade de melhorias ou controles adicionais para limitar a freqüência, danos e custos de ocorrências futuras ou para ser levado em consideração quando for realizado o processo de análise crítica da política de segurança. (NBR ISO/IEC 17799, 2002). Um bom plano de resposta a incidente requer a definição de uma política de segurança, que defina claramente as etapas do processo que devem ser seguidos

22 20 quando um incidente ocorrer. O processo de resposta a incidentes deve ser produto de uma sinergia entre as diferentes equipes organizacionais, agregando níveis gerenciais aos níveis técnicos, ao passo que a sua implementação é de responsabilidade do time de resposta a incidentes, ou Computer Security Incident Response Team - CSIR. Um time de resposta a incidentes de segurança é constituído por um grupo cuidadosamente selecionado que, além de analistas de segurança, pode incluir representantes legais e integrantes do departamento de reações públicas. (João Ceron, 2009). Ainda segundo João Ceron (2009), a definição de um processo de resposta a incidentes deve observar alguns princípios que norteiam a concepção de um sistema de tratamento a incidentes: A identificação, etapa onde etapa se detecta ou identifica de fato a existência de um incidente de segurança; Coordenação, etapa onde se identifica os danos causados pelo incidente em questão; itigação, etapa onde se isolar o problema e determinar a extensão dos danos através da implementação da solução delineada na etapa anterior. Investigação, nesta etapa, o time de resposta concentra-se em coletar e analisar as evidências do incidente de segurança. Educação, esta etapa consiste em avaliar o processo de tratamento de incidentes e verificar a eficácia das soluções implementadas. 2.2 ITIL Information Technology Infrastructure Library - ITIL é um conjunto de padrões de melhores práticas para o gerenciamento de serviços de Tecnologia da Informação, criada nos anos 1980 pela CCTA (Central Computer and Telecommunications Agency do Reino Unido, atualmente Office of Government Commerce, OGC), com o objetivo de melhorar a qualidade dos serviços de TI providos ao governo Britânico. A metodologia foi criada a partir de pesquisas realizadas por consultores, especialistas e doutores, para desenvolver as melhores práticas para a gestão da área de TI nas empresas públicas e privadas. Ela tem como foco a descrição dos

23 21 processos necessários para gerenciar a infra-estrutura de TI eficientemente e eficazmente de forma a garantir os níveis de serviço acordados com os clientes internos e externos. (ANSUR, 2004) ITIL é a metodologia para gerenciamento de serviços em TI mais utilizada e mais conhecida mundialmente, um dos principais motivos para o surgimento desta metodologia e de seu sucesso é que as empresas do mundo todo estão cada vez mais dependentes de TI para atingir seus objetivos e obter resultados (OGC, 2005). Ela oferece uma descrição detalhada de importantes práticas de TI, incluindo checklists, tarefas, procedimentos e responsabilidades, que podem ser adaptadas a qualquer organização de TI. Onde possível tais práticas foram definidas como processos, cobrindo a maioria das atividades das organizações de serviços de TI (OGC, 2005). Hoje, a ITIL possui diversas organizações que estão envolvidas com a sua divulgação e disseminação ao redor do mundo. Além da OGC que é considerado o proprietário da ITIL, o Information Technology Service anagement Forum - itsf é o responsável pela atualização e divulgação da ITIL ao redor do mundo. O itsf é um fórum independente, reconhecido internacionalmente, presente em 32 países, composto por usuários, fornecedores, organizações publicas privadas e instituições de ensino, independentemente de tamanho e atuação (AGALHÃES; PINHEIRO, 2007). O itsf é a organização oficial dos utilizadores da ITIL, a qual objetiva compartilhar as melhores práticas atuais de Gerenciamento de Serviços em TI. O itsf realiza este compartilhamento organizando conferências, publicando revistas e livros, realizando congressos, questionando as publicações da ITIL (ITSF, 2001). A EXIN (Exameninstituut voor Informatica, holandesa) e o ISEB (Information Systems Examination Board, britânico) desenvolveram um sistema de diplomação para o Gerenciamento de Serviços em TI, em cooperação com o OGC e itsf (BON, 2006). Segundo Pinheiro (2006) Essas organizações oferecem uma série completa de qualificações do ITS em três níveis: Certificado Foundation em Gerenciamento de Serviços em TI (Fundamentos); Certificado Practitioner em Gerenciamento de Serviços em TI (Profissional); Certificado anager em Gerenciamento de Serviços em TI (estre).

24 22 De acordo com o Bon (2006, p. 23), o sistema de diplomação baseia-se nas exigências para desempenhar eficientemente o papel pertinente dentro da organização de TI. 2.3 As Publicações da ITIL Inicialmente as normas ITIL foram documentadas em aproximadamente 40 livros, onde os principais processos e as recomendações das melhores práticas de TI foram descritas. Entre 2000 e 2002, sofreu uma completa revisão e reformulação, sendo as práticas reunidas em oito volumes. Os mais importantes são o "Service Support" e o Service Delivery. (AGALHÃES; PINHEIRO, 2007) A estrutura das publicações da ITIL é composta pelos livros descritos a seguir (BALBO, 2007): 1. Suporte aos Serviços (Service Support) - descreve a função de Service Desk e os processos de Gerenciamento de Incidentes (Incident anagement), Gerenciamento de Problemas (Problem anagement), Gerenciamento de Configuração (Configuration anagement), Gerenciamento de udanças (Change anagement) e Gerenciamento de Liberação (Release anagement). 2. Entrega dos Serviços (Service Delivery) descreve os processos de Gerenciamento de Capacidade (Capacity anagement), Gerenciamento Financeiro (Financial anagemen), Gerenciamento de Disponibilidade (Availability anagement), Gerenciamento de nível de serviço (Service Level anagement) e Gerenciamento de Continuidade dos Serviços de TI (IT Service Continuity anagement). 3. Planejamento para Implementar o Gerenciamento do Serviço (Planning to Implement Service anagement) - explica os passos necessários para identificar como uma organização pode alcançar e usufruir os benefícios da ITIL. 4. Gerenciamento de Infra-estruturas TIC (ICT Infrastructure anagement) este livro aborda os processos, organização e ferramentas necessárias para prover uma infra-estrutura estável de TI e de Comunicações.

25 23 5. Gerenciamento da Aplicação (Application anagement) é um guia para os usuários de negócios, desenvolvedores e gerentes de serviços que descreve como as aplicações podem ser gerenciadas sob a perspectiva de Gerenciamento de Serviços. 6. Gerenciamento de Segurança (Security anagement) - este livro tem conexões com vários outros domínios da ITIL, explicando como gerenciar melhor os níveis de segurança da infra-estrutura de TI. 7. Perspectiva de Negócio (Business Perspective) - este livro ajuda os Gerentes de Negócios a compreenderem a provisão dos serviços de TI. Cada publicação endereça parte do framework, provendo os seguintes itens: Descrição resumida do que é necessário para organizar o Gerenciamento de Serviços de TI. Uma definição dos objetivos, atividades, entradas e saídas de cada um dos processos necessários em uma organização de TI. (OGC, 2005). É importante também ressaltar que ITIL não prescreve como as atividades devem ser implementadas, já que isto poderá ser diferente em cada organização. São propostas na metodologia abordagens que foram comprovadas na prática, mas que, dependendo de circunstâncias, podem ser implementadas de várias maneiras. ITIL não é um método, mas oferece um framework para planejamento dos processos essenciais, papéis e responsabilidades, indicando as conexões entre elas e quais linhas de comunicação são necessárias. 2.4 Detalhamento dos Processos da ITIL Como foi referido anteriormente, a ITIL está organizada sobre duas áreas principais, Service Support e Service Delivery. A seguir, serão descritos os processos da ITIL segundo AGALHAES e PINHEIRO (2007, p. 69): Service Desk O Service Desk funciona como um ponto de contato entre a área de TI e seus clientes, que em resumo, adota políticas de trabalho proativas e estruturadas. O

26 24 Service Desk tem um papel amplo e pode realizar atividades pertencentes a vários processos, entre elas, reportar incidentes e realizar requisições de serviços. Além dessas atividades, o Service Desk tem a obrigação de manter os usuários informados sobre os eventos de serviços, ações e oportunidades que podem impactar na realização de suas atividades. (OGC, 2000a) Gerenciamento de Configuração Está inteiramente relacionado ao controle dos meios de produção da área de TI de uma organização. O processo de Gerenciamento de Configuração é o responsável pela criação da base de dados de gerenciamento de configuração (Configuration anagment Database - CDB), a qual é constituída pelos detalhes dos itens de configuração (Configuration Items - CIs) utilizados para os processos de gerenciamento dos serviços de TI. O conceito de item de configuração pode ser um componente que faz parte ou está diretamente relacionado com a infra-estrutura de TI, podendo ser um componente físico ou lógico, além de poder ser também composto por outros CIs. Gerenciamento de Incidente O processo de Gerenciamento de Incidentes tem como missão realizar o tratamento e a resolução de todos os incidentes observados nos serviços de TI, restaurando o serviço normal o mais rápido possível com o mínimo de interrupção, minimizando os impactos negativos nas áreas de Negócio. Para a sua operacionalização, ele se apóia na estrutura da Central de Serviços. A Central de Serviços funciona como componente do aprovisionamento de serviços de TI para a organização. Ela é o primeiro ponto de contato dos usuários dos serviços de TI ao se depararem com algo diferente do previsto. Os dois principais focos da Central de Serviços são o gerenciamento e a comunicação de incidentes. Gerenciamento de Problema O processo de Gerenciamento de Problema tem como missão minimizar a interrupção nos serviços de TI através da organização dos recursos para solucionar problemas de acordo com as necessidades de negócio, prevenindo a recorrência

27 25 dos mesmos e realizando uma manutenção preventiva que reduza a possibilidade de que venham a ocorrer. Gerenciamento de udança O processo de Gerenciamento de udança tem a missão de assegurar que todas as implementações e alterações na infra-estrutura de TI sejam analisadas e planejadas para que se tenha o menor risco e impacto. (OGC, 2001a) Isto inclui assegurar uma razão do negócio associado a cada mudança a ser realizada, identificar os CIs envolvidos, testar o procedimento de mudança e garantir a existência de um plano de recuperação do serviço, no caso da ocorrência de algum imprevisto. Gerenciamento de Liberação O processo de Gerenciamento de Liberação é o responsável pela implementação das mudanças no ambiente de infra-estrutura de TI, ou seja, fornece um gerenciamento físico de softwares e hardwares. Informações sobre os componentes de hardware e software da TI e seus relacionamentos com outros são armazenados no CDB. Os relacionamentos com o Gerenciamento de udanças e Configuração são chaves para este processo, os três estão intimamente ligados. (OGC, 2001a). Gerenciamento do Nível de Serviço O processo de Gerenciamento do Nível de Serviço é a base para o gerenciamento dos serviços que a área de TI oferece para a organização. Gerencia o nível de serviços prestados pela equipe de TI, ou seja, é o acordo feito entre o departamento de TI e os clientes, com o objetivo de definir o tempo de resolução para cada solicitação realizada pelos clientes e tempo para restabelecimento de cada indisponibilidade ocorrida na operação. O processo Gerenciamento do Nível de Serviço pode ser divido nas seguintes subprocessos (AGALHÃES; PINHEIRO, 2007): Revisão dos serviços disponibilizados. Negociação com os clientes. Revisão dos contratos de serviços com fornecedores externos. Desenvolvimento e monitoração dos acordos de nível de serviço. Implementação das políticas e dos processos de melhoria contínua.

28 26 Estabelecimento de prioridades. Planejamento do crescimento dos serviços. Definição do custo dos serviços em conjunto com o gerenciamento financeiro e da forma de ressarcimento destes custos. Gerenciamento da Capacidade O processo de Gerenciamento de Capacidade tem como propósito disponibilizar no tempo certo, no volume adequado e no custo apropriado os recursos de infra-estrutura de TI necessários ao atendimento das demandas do negócio em termos de serviços de TI. Segundo OGC (2001b, p. 25), o processo de Gerenciamento da Capacidade foi desenhado para assegurar que a capacidade da infra-estrutura de TI esteja alinhada com as necessidades do negócio. O processo Gerenciamento de Capacidade pode ser divido nas seguintes subprocessos: onitoração do desempenho. onitoração da carga de trabalho/demanda. Dimensionamento da aplicação. Projeção de recursos. Projeção da demanda. Estabelecimento de modelos. Gerenciamento da Disponibilidade O processo de Gerenciamento da Disponibilidade visa definir os níveis de disponibilidade dos diversos serviços de TI a partir dos requisitos do negócio e aperfeiçoar a capacidade da infra-estrutura para alinhar a estas necessidades (OGC, 2001b). O cálculo da disponibilidade é, em geral, baseado em um modelo que considera a disponibilidade média e os impactos decorrentes dos pontos de falha mapeados com a utilização da técnica Fault Tree Analysis (FTA). Gerenciamento da Continuidade dos Serviços de TI O processo de Gerenciamento da Continuidade dos Serviços de TI deve prover a validação dos planos de contingência e recuperação dos serviços de TI após a ocorrência de incidentes.

29 27 Seu objetivo é suportar de forma geral o Gerenciamento de Negócios, assegurando que os requisitos técnicos da TI e facilidades de determinados serviços possam ser recuperados dentro de escalas de tempo requeridas e acordadas (OGC, 2001b). Gerenciamento Financeiro O processo de Gerenciamento Financeiro é responsável por determinar o verdadeiro custo de todos os serviços de TI e demonstrá-lo de maneira que a organização possa entendê-lo e utilizá-lo para o processo de tomada de decisão. (OGC, 2001b) Posteriormente, é responsável pelo estabelecimento dos mecanismos que viabilizem a cobrança do custo dos serviços de TI de seus respectivos cliente. 2.5 ITIL v3 A terceira versão da biblioteca ITIL foi lançada em maio de 2007 e conta com 5 livros principais e 1 auxiliar. Esta nova versão trás uma evolução na biblioteca que faz uma ligação mais forte entre suas melhores práticas e os benefícios para o negócio. Porém estas inovações não distanciam a nova versão da anterior, pois a ITIL v3 permite os usuários se basearem no sucesso obtido com a ITIL v2 e irem mais adiante agora com o Gerenciamento de Serviços de TI, não sendo necessário reinventar a roda para adotar a nova versão da biblioteca como a própria literatura oficial comenta. Uma das principais mudanças fica por conta do seu novo ciclo de vida, ciclo esse que pode ser mais bem entendido em outro artigo do site, na quantidade de livros, e também no seu visual consideravelmente mais limpo. The Official Introduction to Service Lifecycle Esta publicação oficial faz uma introdução ao ITIL e ao Gerenciamento de Serviços de TI (ITS), explicando desde alguns conceitos básicos até as novidades com base no novo ciclo de vida da biblioteca, provando que o novo modelo é melhor do que as práticas de ITS da versão 2. Uma visão geral dos 5 livros principais, comentando seus objetivos e fundamentos dando orientações específicas para cada