Instituto de Ciências Exatas
Departamento de Ciência da Computação
Curso de Especialização em Gestão da Segurança da Informação e
Comunicações
RODRIGO FRANCO DE SOUZA
Gestão da Segurança da Informação
Uma visão simplificada para o tratamento de incidentes na ACME Corporation
Brasília
2011
Rodrigo Franco de Souza
Gestão da Segurança da Informação
Uma visão simplificada para o tratamento de incidentes na ACME Corporation
Brasília
2011
Rodrigo Franco de Souza
Gestão da Segurança da Informação
Uma visão simplificada para o tratamento de incidentes na ACME Corporation
Monografia apresentada ao Departamento
de
Ciência
da
Computação
da
Universidade de Brasília como requisito
parcial para a obtenção do título de
Especialista em Ciência da Computação:
Gestão da Segurança da Informação e
Comunicações.
Orientador: Prof. Tutor Esp. Sidney Christian dos Reis
Universidade de Brasília
Instituto de Ciências Exatas
Departamento de Ciência da Computação
Brasília
Outubro de 2011
Desenvolvido em atendimento ao plano de trabalho do Programa de
Formação de Especialistas para a Elaboração da Metodologia Brasileira
de Gestão da Segurança da Informação e Comunicações - CEGSIC
2009/2011.
© 2011 Rodrigo Franco de Souza. Qualquer parte desta publicação
pode ser reproduzida, desde que citada a fonte.
De Souza. Rodrigo Franco
Gestão da Segurança da Informação: Uma visão simplificada para
o tratamento de incidentes na ACME Corporation / Rodrigo Franco de
Souza. – Brasília: O autor, 2011. <999> p.; Ilustrado; 25 cm.
Monografia (especialização) – Universidade de Brasília. Instituto de
Ciências Exatas. Departamento de Ciência da Computação, 2011.
Inclui Bibliografia.
1. Incidentes. 2. Processo. 3. Itil. I. Título.
CDU 004.0561
Dedicatória
Dedico esse trabalho a meus filhos Caio Vieira, Felipe Franco e Gabriel
Franco.
Agradecimentos
Agradeço primeiramente a Deus, que me deu forças para mais uma conquista.
À minha família pelo apoio, incentivo e suporte fundamental de modo especial a
minha esposa Profª Maira Vieira Amorim Franco.
Ao meu orientador pela dedicação e profissionalismo.
A todos que contribuíram para a realização deste trabalho de modo especial a
ACME Corporation.
A dor é passageira. Desistir dura pra sempre.
Lance Armstrong.
Lista de Figuras
Figura 1: Organograma do Departamento de Gestão dos Serviços e Ambientes de TI
– DEGT ..................................................................................................................... 16
Figura 2 – Adaptação do Processo de Gestão de Incidentes ................................... 30
Figura 3 – Aderência ao processo de tratamento de incidentes................................ 47
Figura 4 – Processo de tratamento de incidentes nível 1 .......................................... 49
Figura 5 – Processo de Escalada Funcional ............................................................. 49
Figura 6 – Resultado obtido a partir da avaliação individual ..................................... 56
Lista de Tabelas
Tabela 1 – Tabela demonstrativa da reunião realizada com o CPSP para avaliação
da maturidade no Gerenciamento de Incidentes ....................................................... 34
Tabela 2 - Tabela demonstrativa da reunião realizada com o CPRJ para avaliação
da maturidade no Gerenciamento de Incidentes ....................................................... 34
Tabela 3 - Tabela demonstrativa da reunião realizada com o CPDF para avaliação
da maturidade no Gerenciamento de Incidentes ....................................................... 34
Tabela 4 – Tabela demonstrativa da reunião realizada com Departamento de
Engenharia de Processos DGEP para compreensão dos procedimentos utilizados na
elaboração de um novo processo. ............................................................................ 34
Tabela 5 – Avaliação do CPDF ................................................................................. 39
Tabela 6 – Avaliação do CPRJ.................................................................................. 41
Tabela 7 – Avaliação CPSP ...................................................................................... 43
Tabela 8 - Entrevista realizada com o DGPE. ........................................................... 48
Tabela 9 – Resultado Consolidado ........................................................................... 52
Lista de siglas e abreviaturas
SLA - Service Level Agreement - Acordo de nível de serviço
IT – Information technology
ITIL - Information Technology Infrastructure Library
Sumário
Ata de Aprovação ........................................................................................................ 3
Dedicatória .................................................................................................................. 4
Agradecimentos .......................................................................................................... 5
Lista de Figuras ........................................................................................................... 7
Lista de Tabelas .......................................................................................................... 8
Lista de siglas e abreviaturas ...................................................................................... 9
Sumário ..................................................................................................................... 10
Resumo ..................................................................................................................... 12
Abstract ..................................................................................................................... 13
1 Delimitação do Problema ....................................................................................... 14
1.1
Introdução .................................................................................................... 14
1.2
Formulação da situação problema (Questões de pesquisa) ........................ 16
1.3
Objetivos e escopo ....................................................................................... 17
1.3.1 Objetivo Geral ........................................................................................... 17
1.3.2 Objetivos Específicos ................................................................................ 17
1.3.3 Escopo ...................................................................................................... 17
2
1.4
Justificativa ................................................................................................... 18
1.5
Hipóteses ..................................................................................................... 18
Revisão de Literatura e Fundamentos ............................................................... 19
2.1
Referencial teórico ....................................................................................... 19
2.2
ITIL ............................................................................................................... 20
2.3
As Publicações da ITIL................................................................................. 22
2.4
Detalhamento dos Processos da ITIL .......................................................... 23
2.5
ITIL v3 .......................................................................................................... 27
3 Metodologia ............................................................................................................ 33
Resultados ................................................................................................................ 35
4.1
Resultado Auto-Avaliação ............................................................................ 36
4.2
Resultado – Aderência ao processo ............................................................ 46
4.3
Coleta de dados - Processo de elaboração de normas e procedimentos pelo
DGEP..................................................................................................................... 47
4.6 O Processo de tratamento de incidentes ......................................................... 48
5 Discussão ............................................................................................................... 50
5.1
Auto-Avaliação (Self-Assessement) ............................................................. 52
5.2
Aderência ao Processo ITIL V3 .................................................................... 55
5.3
Entrevista com o DGEP ............................................................................... 57
6 Conclusões e Trabalhos Futuros............................................................................ 58
6.1 Conclusões ...................................................................................................... 58
6.2 Trabalhos Futuros ............................................................................................ 59
Referências e Fontes Consultadas ........................................................................... 60
Apêndice A – Pesquisa Individual 001 ...................................................................... 63
Apêndice B – Questionamentos para o Departamento de Engenharia da Produção 65
Anexos 1 - ITIL Service Delivery Self Assessment: Gerência de Incidente ............... 66
Resumo
ACME Corporation é responsável por processar uma das maiores folhas de
pagamento da América latina. Com mais de 27 milhões de beneficiários ela exerce
um papel fundamental para o cidadão Brasileiro. Tendo em vista a diversidade de
sistemas de missão crítica, sua responsabilidade está em garantir que o parque
tecnológico que sustenta estes sistemas esteja disponível sempre que requisitado. A
pesquisa analisará a atuação da organização frente à ocorrência de incidentes
computacionais nas unidades de processamento de Brasília, São Paulo e Rio de
Janeiro. Serão estudados os processos utilizados bem como a atuação das equipes
na resolução de incidentes. Para a obtenção desses dados serão aplicadas
ferramentas de pesquisa que permitirão uma análise da aderência dos processos
realizados pela ACME, as boas práticas preconizadas pelo ITIL para o tratamento de
incidentes.
Palavras-Chave: Incidentes, Processos, ITIL.
Abstract
ACME Corporation is responsible for processing one of the largest payrolls in
Latin America. With more than 27 million members it plays a key role in the Brazilian
citizen. Given the diversity of mission critical systems is their responsibility to ensure
that the technology park that supports these systems is available whenever
requested. The research will examine the performance of the organization before the
occurrence of incidents in the computer processing units, Brasilia, Sao Paulo and Rio
de Janeiro. Will study the processes used and the integration between the teams. To
obtain this result will apply tools that allow an analysis of the adherence of the
processes carried out by ITIL best practices recommended for the treatment of
incidents.
Keywords: Incident Process, ITIL.
14
1 Delimitação do Problema
Desde a detecção até o fechamento de um incidente computacional, diversas
etapas são realizadas para seu devido tratamento. Ações como o registro, a
categorização e a priorização estão entre as principais atividades dentro da
metodologia de resolução de um incidente.
Uma organização deve possuir métodos bem definidos que possibilitem a
execução de rotinas de forma padronizada independente sua localização geografia.
Esse estudo compreenderá como a Acme Corporation atua frente à
ocorrência de incidentes em seu ambiente computacional.
Esta pesquisa utilizou a biblioteca de boas práticas Information Technology
Infrastructure Library - ITIL, focando a Gerência de Incidentes.
1.1 Introdução
A crescente importância que a Tecnologia da Informação tem representado às
empresas faz com que os negócios dependam cada vez mais da informática
(STATDLOBER, 2006).
Nas últimas décadas houve um desenvolvimento acelerado da tecnologia da
informação, onde, a informática de modo geral teve uma participação significativa
para a transformação do comportamento das organizações. Essas mudanças
transcendem a existência apenas de uma secretária com um computador ou de um
sistema de controle, pois em muitos casos a disponibilidade de uma Uniform
Resource Locator - URL é a condição determinante para escolha, por exemplo, do
nome da empresa devido ao fato do sítio ser apresentado ao público antes mesmo
da empresa.
Além da mudança comportamental, ocorre também uma transformação
operacional, pois, quase todos os processos do negócio baseiam-se em softwares e
tecnologia (NETTO, 2007).
Com a introdução dos computadores e da internet, as organizações passaram
a colocar seus produtos no mercado de forma mais rápida que no passado. “Este
15
avanço é responsável pela transição da era industrial para a era da informação onde
tudo se torna mais dinâmico”. (PINHEIRO, 2006, p.6)
As tradicionais organizações são menos flexíveis para responder rapidamente
às mudanças do mercado devido a sua estrutura hierárquica. Conseqüentemente,
tornou-se uma tendência para as novas organizações serem menos burocráticas
adotando processo de gestão compartilhado sendo assim mais flexíveis as
necessidades do mercado. A ênfase é agora nos processos horizontais, e as
decisões são concedidas cada vez mais ao pessoal de nível operacional da
organização. Os processos operacionais e táticos do Gerenciamento de Serviços em
TI dão suporte a este cenário, onde o processo move-se de um departamento para
outro. (BON, 2005).
Percebida
a
velocidade
empregada
nos
processos
operacionais,
é
fundamental que as empresas criem mecanismos capazes de atuar pró - ativamente
minimizando a inoperância de seus serviços e sistemas. Segundo o Estudo Anual
sobre Recuperação de Desastres, encomendado pela Symantec à Applied Research
West, o prejuízo anual por cada falha de disponibilidade em um dos sistemas de
companhias de grande porte da América Latina pode chegar a um custo médio
anual de US$ 4,2 milhões por empresa. (Valor Econômico, 2010)
A Norma Complementar 05/IN01/DSIC/GSIPR, de 14 de agosto de 2009,
destaca que “nos últimos anos os órgãos públicos vêm implementando e
consolidando redes locais de computadores cada vez mais amplas, como exigência
para suportar o fluxo crescente de informações, bem como permitir que seus
funcionários
acessem
a
rede
mundial
de
computadores
para
melhor
desempenharem suas funções. Manter a segurança da informação e comunicações
de uma organização em um ambiente computacional interconectado, nos dias
atuais, é um grande desafio, que se torna mais difícil à medida que são lançados
novos produtos para a Internet e novas ferramentas de ataque são desenvolvidas”
(05/IN01/DSIC/GSIPR, 2009, p.2).
Desse modo, compreender a importância e as vulnerabilidades do negócio
são passos fundamentais para a implantação de medidas preventivas a ocorrência
de incidentes.
16
1.2 Formulação da situação problema (Questões de pesquisa)
No ano de 2007, foi proposto um novo modelo de atuação para o departamento,
até então, de operações – DOP. A mudança consistiu em criar uma estrutura
organizacional de gestão que viabilizasse a implantação de processos baseados nas
disciplinas ITIL, essa nova estrutura seria responsável pela gestão dos serviços e
produtos oferecidos aos clientes.
A Acme Corporation possui quatro diretorias, Diretoria Financeira, Diretoria de
Pessoas, Diretoria de Relacionamento com o Cliente e Diretoria de Infra-Estrutura,
estando este novo Departamento de Gestão dos Serviços e Ambientes de TI DEGT subordinado a esta última citada.
Com vistas a compreenção da estrutura proposta, na figura 1 demonstra o
novo organograma do DEGT.
Figura 1: Organograma do Departamento de Gestão dos Serviços e Ambientes de TI – DEGT
Os processos criados no DEGT devem atender às necessidades das rotinas
executadas nos centros de processamento, dessa forma além de elaborar o método
é sua responsabilidade garantir a plena execução das ações observando os
especificidades dos incidentes que ocorram em detrimento de falhas, mudanças e
atualizações não controladas ou mau funcionamento dos hardwares nos diversos
Centro de processamento.
Todo o empenho no estabelecimento de processos de gestão tem seu foco
nos produtos e serviços dos clientes. Atualmente a carteira da empresa é composta
por sistemas dos ministérios e autarquias:
•
Instituto Nacional do Seguro Social – INSS;
17
•
•
•
•
•
Secretaria da Receita Federal do Brasil - SRFB;
Ministério da Previdência Social - MPS;
Ministério do Trabalho e Emprego - MTE;
Ministério do Desenvolvimento Social e Combate à Fome – MDS e
Bancos e órgãos financeiros.
Essa pesquisa avaliará como a ACME realiza o gerenciamento de incidentes
em seus centros de processamento – Centro de processamento, possibilitando
identificar o nível de aderência dos processos atuais de Gerenciamento de Serviços
de TI (GSTI), conforme preconizado pela Information Technology Infrastructure
Library – ITIL.
1.3 Objetivos e escopo
1.3.1 Objetivo Geral
Analisar a aderência do processo de gestão de incidentes executado nos
centros de processamento localizados nas cidades do Rio de Janeiro - CPRJ, São
Paulo - CPSP e Brasília CPDF, em relação às melhores práticas preconizadas pela
ITIL.
1.3.2 Objetivos Específicos
Para tanto, se faz necessário:
1. Compreender a processo utilizado pelo DEGT para a criação de novos
métodos a serem utilizados pelos centros de processamento;
2. Mapear a aderência de cada centro de processamento na disciplina de
Gerenciamento de Incidentes com base nas melhores práticas
preconizadas pela ITIL;
3. Analisar a execução do modelo proposto pela ITIL V3 nos centros de
processamento.
1.3.3 Escopo
Os três Centros de Processamento de Dados supracitados (Rio, São Paulo e
Brasília) serão os objetos desta pesquisa.
18
Limitando-se a analisar a atuação dos Centro de processamento na
ocorrência de incidentes computacionais, que possam comprometer as operações
da organização.
1.4 Justificativa
A ocorrência de incidentes e as diversas formas de resolução podem impactar
na qualidade do serviço prestado aos clientes. A aderência ao modelo preconizado
pela a ITIL pode minimizar o tempo das indisponibilidades bem como a qualidade
dos serviços prestados desde que haja uniformidade das ações executados pelos
agentes técnicos localizados nos Centro de processamento.
1.5 Hipóteses
Os centros de processamento não estão padronizados na sua forma de
atuação quanto ao gerenciamento de incidentes;
A não padronização dos procedimentos afeta na eficiência e na eficácia da
resolução dos incidentes.
19
2 Revisão de Literatura e Fundamentos
2.1 Referencial teórico
BEAL (2005) descreve a metodologia ITIL como um conjunto de documentos
desenvolvidos para registrar as melhores práticas na área de gestão de serviços de
TI, colaborando tanto para a padronização quanto para a melhoria da qualidade do
serviço ofertado pela área de TI.
Incidente de segurança da informação em meio eletrônico é qualquer evento
que tenha causado algum dano, ou colocado em risco algum ativo de informação em
meio eletrônico crítico, ou interrompido a execução de alguma atividade crítica por
um período de tempo inferior ao tempo objetivo de recuperação. (MPRS, 2010).
O Gerenciamento de Incidentes inclui o tratamento de qualquer evento que
possa interferir no provimento dos serviços aos usuários. “Um incidente é definido
como uma interrupção não planejada ou diminuição da qualidade de um serviço de
TI”. (TAYLOR et. al, p.82).
Em uma visão mais global, o gerenciamento de incidentes “é o serviço que
consiste em receber, filtrar, classificar e responder às solicitações e alertas e realizar
as análises dos incidentes de segurança, procurando extrair informações que
permitam impedir a continuidade da ação maliciosa e também a identificação de
tendências, conforme Instrução Normativa Complementar n° 05 (IN05, 2009).
Este processo tem como missão restaurar um serviço em menor tempo
possível, minimizando os impactos negativos na área de negócios fornecendo uma
solução de contorno ou reparo rápido fazendo com que o cliente volte a trabalhar de
modo alternativo. (COSTA, 2010).
Desse modo, convém que existam mecanismos para permitir que tipos,
quantidades e custos dos incidentes sejam quantificados e monitorados. Convém
que esta informação seja usada para identificar incidentes de alto impacto. Isto pode
indicar a necessidade de melhorias ou controles adicionais para limitar a freqüência,
danos e custos de ocorrências futuras ou para ser levado em consideração quando
for realizado o processo de análise crítica da política de segurança. (NBR ISO/IEC
17799, 2002).
Um bom plano de resposta a incidente requer a definição de uma política de
segurança, que defina claramente as etapas do processo que devem ser seguidos
20
quando um incidente ocorrer. O processo de resposta a incidentes deve ser produto
de uma sinergia entre as diferentes equipes organizacionais, agregando níveis
gerenciais aos níveis técnicos, ao passo que a sua implementação é de
responsabilidade do time de resposta a incidentes, ou Computer Security Incident
Response Team
- CSIR. Um time de resposta a incidentes de segurança é
constituído por um grupo cuidadosamente selecionado que, além de analistas de
segurança, pode incluir representantes legais e integrantes do departamento de
reações públicas. (João Ceron, 2009).
Ainda segundo João Ceron (2009), a definição de um processo de resposta a
incidentes deve observar alguns princípios que norteiam a concepção de um sistema
de tratamento a incidentes:
• A identificação, etapa onde etapa se detecta ou identifica de fato a existência
de um incidente de segurança;
• Coordenação, etapa onde se identifica os danos causados pelo incidente em
questão;
• Mitigação, etapa onde se isolar o problema e determinar a extensão dos
danos através da implementação da solução delineada na etapa anterior.
• Investigação, nesta etapa, o time de resposta concentra-se em coletar e
analisar as evidências do incidente de segurança.
• Educação, esta etapa consiste em avaliar o processo de tratamento de
incidentes e verificar a eficácia das soluções implementadas.
2.2 ITIL
Information Technology Infrastructure Library - ITIL é um conjunto de padrões
de melhores práticas para o gerenciamento de serviços de Tecnologia da
Informação,
criada
nos
anos
1980
pela
CCTA
(Central
Computer
and
Telecommunications Agency do Reino Unido, atualmente Office of Government
Commerce, OGC), com o objetivo de melhorar a qualidade dos serviços de TI
providos ao governo Britânico.
A metodologia foi criada a partir de pesquisas realizadas por consultores,
especialistas e doutores, para desenvolver as melhores práticas para a gestão da
área de TI nas empresas públicas e privadas. Ela tem como foco a descrição dos
21
processos necessários para gerenciar a infra-estrutura de TI eficientemente e
eficazmente de forma a garantir os níveis de serviço acordados com os clientes
internos e externos. (MANSUR, 2004)
ITIL é a metodologia para gerenciamento de serviços em TI mais utilizada e
mais conhecida mundialmente, um dos principais motivos para o surgimento desta
metodologia e de seu sucesso é que as empresas do mundo todo estão cada vez
mais dependentes de TI para atingir seus objetivos e obter resultados (OGC, 2005).
Ela oferece uma descrição detalhada de importantes práticas de TI, incluindo
checklists, tarefas, procedimentos e responsabilidades, que podem ser adaptadas a
qualquer organização de TI. Onde possível tais práticas foram definidas como
processos, cobrindo a maioria das atividades das organizações de serviços de TI
(OGC, 2005).
Hoje, a ITIL possui diversas organizações que estão envolvidas com a sua
divulgação e disseminação ao redor do mundo. Além da OGC que é considerado o
proprietário da ITIL, o Information Technology Service Management Forum - itSMF é
o responsável pela atualização e divulgação da ITIL ao redor do mundo. O itSMF é
um fórum independente, reconhecido internacionalmente, presente em 32 países,
composto por usuários, fornecedores, organizações publicas privadas e instituições
de ensino, independentemente de tamanho e atuação (MAGALHÃES; PINHEIRO,
2007).
O itSMF é a organização oficial dos utilizadores da ITIL, a qual objetiva
compartilhar as melhores práticas atuais de Gerenciamento de Serviços em TI. O
itSMF realiza este compartilhamento organizando conferências, publicando revistas
e livros, realizando congressos, questionando as publicações da ITIL (ITSMF, 2001).
A EXIN (Exameninstituut voor Informatica, holandesa) e o ISEB (Information
Systems Examination Board, britânico) desenvolveram um sistema de diplomação
para o Gerenciamento de Serviços em TI, em cooperação com o OGC e itSMF
(BON, 2006).
Segundo Pinheiro (2006) Essas organizações oferecem uma série completa
de qualificações do ITSM em três níveis:
• Certificado Foundation em Gerenciamento de Serviços em TI (Fundamentos);
• Certificado Practitioner em Gerenciamento de Serviços em TI (Profissional);
• Certificado Manager em Gerenciamento de Serviços em TI (Mestre).
22
De acordo com o Bon (2006, p. 23), “o sistema de diplomação baseia-se nas
exigências para desempenhar eficientemente o papel pertinente dentro da
organização de TI”.
2.3 As Publicações da ITIL
Inicialmente as normas ITIL foram documentadas em aproximadamente 40
livros, onde os principais processos e as recomendações das melhores práticas de
TI foram descritas. Entre 2000 e 2002, sofreu uma completa revisão e reformulação,
sendo as práticas reunidas em oito volumes. Os mais importantes são o "Service
Support" e o “Service Delivery”. (MAGALHÃES; PINHEIRO, 2007)
A estrutura das publicações da ITIL é composta pelos livros descritos a seguir
(BALBO, 2007):
1. Suporte aos Serviços (Service Support) - descreve a função de Service Desk e os
processos de Gerenciamento de Incidentes (Incident Management), Gerenciamento
de
Problemas
(Problem
Management),
Gerenciamento
de
Configuração
(Configuration Management), Gerenciamento de Mudanças (Change Management)
e Gerenciamento de Liberação (Release Management).
2. Entrega dos Serviços (Service Delivery) – descreve os processos de
Gerenciamento de Capacidade (Capacity Management), Gerenciamento Financeiro
(Financial
Managemen),
Gerenciamento
de
Disponibilidade
(Availability
Management), Gerenciamento de nível de serviço (Service Level Management) e
Gerenciamento de Continuidade dos Serviços de TI (IT Service Continuity
Management).
3. Planejamento para Implementar o Gerenciamento do Serviço (Planning to
Implement Service Management) - explica os passos necessários para identificar
como uma organização pode alcançar e usufruir os benefícios da ITIL.
4. Gerenciamento de Infra-estruturas TIC (ICT Infrastructure Management) – este
livro aborda os processos, organização e ferramentas necessárias para prover uma
infra-estrutura estável de TI e de Comunicações.
23
5. Gerenciamento da Aplicação (Application Management) – é um guia para os
usuários de negócios, desenvolvedores e gerentes de serviços que descreve como
as aplicações podem ser gerenciadas sob a perspectiva de Gerenciamento de
Serviços.
6. Gerenciamento de Segurança (Security Management) - este livro tem conexões
com vários outros domínios da ITIL, explicando como gerenciar melhor os níveis de
segurança da infra-estrutura de TI.
7. Perspectiva de Negócio (Business Perspective) - este livro ajuda os Gerentes de
Negócios a compreenderem a provisão dos serviços de TI.
Cada publicação endereça parte do framework, provendo os seguintes itens:
• Descrição resumida do que é necessário para organizar o Gerenciamento de
Serviços de TI.
• Uma definição dos objetivos, atividades, entradas e saídas de cada um dos
processos necessários em uma organização de TI. (OGC, 2005).
É importante também ressaltar que ITIL não prescreve como as atividades
devem ser implementadas, já que isto poderá ser diferente em cada organização.
São propostas na metodologia abordagens que foram comprovadas na
prática, mas que, dependendo de circunstâncias, podem ser implementadas de
várias maneiras. ITIL não é um método, mas oferece um framework para
planejamento dos processos essenciais, papéis e responsabilidades, indicando as
conexões entre elas e quais linhas de comunicação são necessárias.
2.4 Detalhamento dos Processos da ITIL
Como foi referido anteriormente, a ITIL está organizada sobre duas áreas
principais, Service Support e Service Delivery. A seguir, serão descritos os
processos da ITIL segundo MAGALHAES e PINHEIRO (2007, p. 69):
Service Desk
O Service Desk funciona como um ponto de contato entre a área de TI e seus
clientes, que em resumo, adota políticas de trabalho proativas e estruturadas. O
24
Service Desk tem um papel amplo e pode realizar atividades pertencentes a vários
processos, entre elas, reportar incidentes e realizar requisições de serviços.
Além dessas atividades, o Service Desk tem a obrigação de manter os
usuários informados sobre os eventos de serviços, ações e oportunidades que
podem impactar na realização de suas atividades. (OGC, 2000a)
Gerenciamento de Configuração
Está inteiramente relacionado ao controle dos meios de produção da área de
TI de uma organização. O processo de Gerenciamento de Configuração é o
responsável pela criação da base de dados de gerenciamento de configuração
(Configuration Managment Database - CMDB), a qual é constituída pelos detalhes
dos itens de configuração (Configuration Items - CIs) utilizados para os processos de
gerenciamento dos serviços de TI.
O conceito de item de configuração pode ser um componente que faz parte
ou está diretamente relacionado com a infra-estrutura de TI, podendo ser um
componente físico ou lógico, além de poder ser também composto por outros CIs.
Gerenciamento de Incidente
O processo de Gerenciamento de Incidentes tem como missão realizar o
tratamento e a resolução de todos os incidentes observados nos serviços de TI,
restaurando o serviço normal o mais rápido possível com o mínimo de interrupção,
minimizando os impactos negativos nas áreas de Negócio. Para a sua
operacionalização, ele se apóia na estrutura da Central de Serviços.
A Central de Serviços funciona como componente do aprovisionamento de
serviços de TI para a organização. Ela é o primeiro ponto de contato dos usuários
dos serviços de TI ao se depararem com algo diferente do previsto. Os dois
principais focos da Central de Serviços são o gerenciamento e a comunicação de
incidentes.
Gerenciamento de Problema
O processo de Gerenciamento de Problema tem como missão minimizar a
interrupção nos serviços de TI através da organização dos recursos para solucionar
problemas de acordo com as necessidades de negócio, prevenindo a recorrência
25
dos mesmos e realizando uma manutenção preventiva que reduza a possibilidade
de que venham a ocorrer.
Gerenciamento de Mudança
O processo de Gerenciamento de Mudança tem a missão de assegurar que
todas as implementações e alterações na infra-estrutura de TI sejam analisadas e
planejadas para que se tenha o menor risco e impacto. (OGC, 2001a)
Isto inclui assegurar uma razão do negócio associado a cada mudança a ser
realizada, identificar os CIs envolvidos, testar o procedimento de mudança e garantir
a existência de um plano de recuperação do serviço, no caso da ocorrência de
algum imprevisto.
Gerenciamento de Liberação
O processo de Gerenciamento de Liberação é o responsável pela implementação
das mudanças no ambiente de infra-estrutura de TI, ou seja, fornece um
gerenciamento físico de softwares e hardwares. Informações sobre os componentes
de hardware e software da TI e seus relacionamentos com outros são armazenados
no CMDB. Os relacionamentos com o Gerenciamento de Mudanças e Configuração
são chaves para este processo, os três estão intimamente ligados. (OGC, 2001a).
Gerenciamento do Nível de Serviço
O processo de Gerenciamento do Nível de Serviço é a base para o
gerenciamento dos serviços que a área de TI oferece para a organização. Gerencia
o nível de serviços prestados pela equipe de TI, ou seja, é o acordo feito entre o
departamento de TI e os clientes, com o objetivo de definir o tempo de resolução
para cada solicitação realizada pelos clientes e tempo para restabelecimento de
cada indisponibilidade ocorrida na operação. O processo Gerenciamento do Nível de
Serviço pode ser divido nas seguintes subprocessos (MAGALHÃES; PINHEIRO,
2007):
• Revisão dos serviços disponibilizados.
• Negociação com os clientes.
• Revisão dos contratos de serviços com fornecedores externos.
• Desenvolvimento e monitoração dos acordos de nível de serviço.
• Implementação das políticas e dos processos de melhoria contínua.
26
• Estabelecimento de prioridades.
• Planejamento do crescimento dos serviços.
• Definição do custo dos serviços em conjunto com o gerenciamento
financeiro e da forma de ressarcimento destes custos.
Gerenciamento da Capacidade
O processo de Gerenciamento de Capacidade tem como propósito
disponibilizar no tempo certo, no volume adequado e no custo apropriado os
recursos de infra-estrutura de TI necessários ao atendimento das demandas do
negócio em termos de serviços de TI. Segundo OGC (2001b, p. 25), o processo de
Gerenciamento da Capacidade foi desenhado para assegurar que a capacidade da
infra-estrutura de TI esteja alinhada com as necessidades do negócio.
O processo Gerenciamento de Capacidade pode ser divido nas seguintes subprocessos:
• Monitoração do desempenho.
• Monitoração da carga de trabalho/demanda.
• Dimensionamento da aplicação.
• Projeção de recursos.
• Projeção da demanda.
• Estabelecimento de modelos.
Gerenciamento da Disponibilidade
O processo de Gerenciamento da Disponibilidade visa definir os níveis de
disponibilidade dos diversos serviços de TI a partir dos requisitos do negócio e
aperfeiçoar a capacidade da infra-estrutura para alinhar a estas necessidades (OGC,
2001b).
O cálculo da disponibilidade é, em geral, baseado em um modelo que
considera a disponibilidade média e os impactos decorrentes dos pontos de falha
mapeados com a utilização da técnica Fault Tree Analysis (FTA).
Gerenciamento da Continuidade dos Serviços de TI
O processo de Gerenciamento da Continuidade dos Serviços de TI deve
prover a validação dos planos de contingência e recuperação dos serviços de TI
após a ocorrência de incidentes.
27
Seu objetivo é suportar de forma geral o Gerenciamento de Negócios,
assegurando que os requisitos técnicos da TI e facilidades de determinados serviços
possam ser recuperados dentro de escalas de tempo requeridas e acordadas (OGC,
2001b).
Gerenciamento Financeiro
O processo de Gerenciamento Financeiro é responsável por determinar o
verdadeiro custo de todos os serviços de TI e demonstrá-lo de maneira que a
organização possa entendê-lo e utilizá-lo para o processo de tomada de decisão.
(OGC, 2001b)
Posteriormente, é responsável pelo estabelecimento dos mecanismos que
viabilizem a cobrança do custo dos serviços de TI de seus respectivos cliente.
2.5 ITIL v3
A terceira versão da biblioteca ITIL foi lançada em maio de 2007 e conta com
5 livros principais e 1 auxiliar. Esta nova versão trás uma evolução na biblioteca que
faz uma ligação mais forte entre suas melhores práticas e os benefícios para o
negócio. Porém estas inovações não distanciam a nova versão da anterior, pois a
ITIL v3 permite os usuários se basearem no sucesso obtido com a ITIL v2 e irem
mais adiante agora com o Gerenciamento de Serviços de TI, não sendo necessário
reinventar a roda para adotar a nova versão da biblioteca como a própria literatura
oficial comenta.
Uma das principais mudanças fica por conta do seu novo ciclo de vida, ciclo
esse que pode ser mais bem entendido em outro artigo do site, na quantidade de
livros, e também no seu visual consideravelmente mais limpo.
The Official Introduction to Service Lifecycle
Esta publicação oficial faz uma introdução ao ITIL e ao Gerenciamento de
Serviços de TI (ITSM), explicando desde alguns conceitos básicos até as novidades
com base no novo ciclo de vida da biblioteca, provando que o novo modelo é melhor
do que as práticas de ITSM da versão 2. Uma visão geral dos 5 livros principais,
comentando seus objetivos e fundamentos dando orientações específicas para cada
28
fase do ciclo de vida, navegando pelos princípios da nova versão, que são: As fases
do novo ciclo de vida, Governança e tomada de decisão, e também os princípios por
trás do Desenho, Desenvolvimento, Operação e Otimização de serviços (Design,
Deployment, Operation e Optimisation).
Service Strategy
Este livro sugere melhores formas de planejar e implementar práticas de
Gerenciamento de Serviços de TI sempre alinhadas com as necessidades do
negócio, tornando-se uma orientação necessária para todas as outras publicações
seguintes que terão aqui uma base para garantir que os objetivos do negócio sejam
mantidos e alcançados em todas as fases do ciclo de vida. Entre os conceitos e
orientações desta publicação você vai encontrar: Estratégias de Gerenciamento de
Serviços e Planejamento de Valor, Ligações entre as estratégias de TI e as
necessidades do negócio, Planejamento e implementação de estratégias de
serviços, entre outros.
Service Design
A criação e manutenção de processos de Gerenciamento de Serviços de TI,
Diretivas, Arquitetura e Documentação, apropriadas e inovadoras, para o desenho
de serviços de Infra-estrutura são as práticas sugeridas por este livro. Com estas
soluções é possível cumprir as exigências do negócio. Entre os conceitos e
orientações desta publicação você vai encontrar: Objetivos e elementos do Desenho
de Serviços, Modelo de Desenho de Serviços, Modelo de Custos, Análise de riscos
e benefícios, Implementação de Desenho de Serviços, Medidas e controles, e muito
mais.
Service Transition
Esta publicação oferece as instruções necessárias para migrar os serviços de
TI para um ambiente de negócios. O foco aqui está no Gerenciamento de Mudanças
e nas práticas de liberações unificadas, levando em conta os riscos, produção de
utilidades, entrega segura e garantia de uma operação estável. Entre os conceitos e
orientações desta publicação você vai encontrar: Gerenciamento de mudanças
organizacionais e culturais, Gestão do Conhecimento, Sistemas de Gestão do
29
Conhecimento,
Métodos,
práticas
e
ferramentas,
Medidas
e
controles
acompanhando as melhores práticas.
Service Operation
As atividades de entrega e controle de processos para garantir a proteção e
estabilidade exigida pelos serviços de TI são o foco desta publicação. Assim como a
entrega e o suporte de serviços (Service Delivery e Service Support) trabalhavam
juntos na ITIL v2, aqui formam a parte principal deste livro. Entre os conceitos e
orientações aqui apresentados você vai encontrar: Gerenciamento de Aplicações,
Gerenciamento de Mudanças, Gerenciamento de Operações, Controle de processos
e funções, Práticas escaláveis, Medidas e controles.
Continual Service Improvement
Este livro tem seu foco nos elementos necessários para a identificação e
implementação de melhorias de serviços, que já foram citadas também na versão
anterior da biblioteca buscando entregar processos consistentes, porém agora se
procura melhorias com relação à qualidade dos serviços. Entre os conceitos e
orientações desta publicação você vai encontrar: Necessidade dos negócios e de
tecnologia para melhorias, Justificações, Melhorias organizacionais, financeiras e de
negócios, Métodos, práticas e ferramentas, Medidas e controles acompanhando as
melhores práticas. (Marques, 2007)
30
Figura 2 – Adaptação do Processo de Gestão de Incidentes
Fonte: ITIL Version 3 – Service Operation
O principal objetivo de uma metodologia de resposta a incidentes de
segurança é minimizar o impacto de um incidente e permitir o restabelecimento dos
sistemas no menor espaço de tempo possível. (Barbosa, 2011) .
Segundo (Aguiar, 2011) existem inúmeras vantagens de se utilizar uma
metodologia de resposta a incidentes, dentre elas destaca-se:
31
•
Viabilizar e assegurar o alcance da missão organizacional, reduzindo o
número de incidentes e restaurando mais rapidamente os serviços prestados
á comunidade ou público-alvo;
•
Formação de uma base de conhecimento de incidentes, facilitando a resposta
de novos casos e facilitação dos trabalhos das equipes de resposta aos
incidentes;
•
Possibilitar a verificação dos SLA´s dos atendimentos prestados por
prestadores de serviços externos e da própria equipe interna na resolução
dos incidentes;
•
Possibilitar e viabilizar a escalação dos atendimentos dos incidentes seja de
forma horizontal (funções) quanto vertical (diferentes níveis gerenciais);
•
Possibilitar a responsabilização pelos atendimentos e resoluções dos
incidentes.
Em maio de 2007 foi publicado o ITIL V3 que é composto de cinco volumes:
•
Estratégia do serviço (Service Strategy)
•
Projeto de serviço ou Desenho de serviço (Service Design)
•
Transição do serviço (Service Transition)
•
Operação do serviço (Service Operation)
•
Melhoria contínua do serviço (Continual Service Improvement)
Thiago Fagury (2009) destaca que o ITIL V3 tem um eixo (núcleo) de
condução das atividades, o livro de Estratégia de Serviço, que norteia os demais
livros / processos, que são Desenho de Serviço, Transição de Serviço e Operação
de Serviço. Circundando todos os processos esta o livro de Melhoria Contínua de
Serviço. Todos são tidos como fases do ciclo de vida dos serviços, sendo a
Estratégia a fase inicial do mesmo. Processos e funções são distribuídos ao longo
do ciclo de vida.
As principais mudanças em relação a V2 são:
•
Abordagem baseada no ciclo de vida dos serviços;
32
•
Visão integrada de TI, negócios e fornecedores (gestão de outsourcing);
Para melhor entendimento, pode-se dividir o ciclo de vida em três grupos de
conceitos: Um de analise de requisitos e definição inicial, onde estão os livros de
Estratégia e Desenho; Outro de migração para o ambiente produtivo/operacional,
onde esta o livro de Transição; Por fim operação e
melhoria em produção, onde estão Operações e Melhoria Continua de Serviços.
Estratégia: identifica requisitos e necessidades de negocio, que são
acordados e documentados em um SLP (service level package).
Desenho: a partir do requisito concebe a solução, em todos os seus
aspectos, que são documentados em um SDP (service design package). O SDP e
um documento de especificações e características dos serviços.
Transição: implementação em produção. Tal implementação e testada e
acompanhada, bem como validada. O SKMS (service knowledge management
system) e atualizado com as informações do ambiente de produção.
Operation: o serviço e mantido em operação/funcionamento de acordo com
os níveis de serviço (SLAs) estabelecidos para gerar os resultados esperados.
Continual Service Improvement: identifica oportunidades de melhoria no
serviço.
33
3 Metodologia
1. Levantar referencial teórico;
2. Elaborar os questionários;
3. Aplicar os questionários;
4. Realizar reunião com o DGEP
5. Tabular as informações;
6. Analisar um Incidente;
7. Analisar os resultados.
A metodologia aplicada nesta pesquisa foi do tipo estudo de caso, baseado
nos trabalhos de Yin (2001, p 19), que “considera o estudo de caso um dos
caminhos para a realização de pesquisa de ciência social”. O estudo de caso difere
do método histórico, por se referir ao presente e não ao passado (YIN apud
ROESCH 1996, p.146). Segundo Yin (2001) a opção pela estratégia de estudo de
caso deve ser feita quando o tipo de questão básica da pesquisa é composto por
questões do tipo “como” e “por quê”, quando o pesquisador tem pouco ou nenhum
controle sobre os eventos comportamentais e quando o foco da pesquisa é sobre os
eventos contemporâneos inseridos num contexto real.
O primeiro questionário consiste em uma auto-avaliação, sendo composto por
45 (quarenta e cinco) perguntas agrupadas em 05 (cinco) blocos. As perguntas
tiveram por objetivo mapear a partir da percepção do colaborador quais ações estão
institucionalizadas na empresa quanto ao gerenciamento de incidentes.
Para aplicação dos instrumentos foram selecionados dez colaboradores em
cada uma das três unidade sendo constituídos três grupos de pesquisa.
Preliminarmente o questionário foi encaminhado por e-mail aos 30 (trinta)
colaboradores para uma leitura prévia. Em seguida foram agendadas duas vídeos
conferências e uma reunião presencial para a aplicação do questionário. As reuniões
ocorreram conforme agenda:
34
Tabela 1 – Tabela demonstrativa da reunião realizada com o CPSP para avaliação da maturidade no
Gerenciamento de Incidentes
Videoconferência com o CPSP
Data:
26/09/11
Horário:
14h00minh as 17h30minh
Salas:
Sala de Videoconferência do CPSP;
Assunto:
Aplicação de Instrumentos de Pesquisa
Tabela 2 - Tabela demonstrativa da reunião realizada com o CPRJ para avaliação da maturidade no
Gerenciamento de Incidentes
Videoconferência com o CPRJ
Data:
27/09/11
Horário:
14h00minh as 17h30minh
Salas:
CPRJ (Cosme Velho sala 405, 4º andar)
Assunto:
Aplicação de Instrumentos de Pesquisa
Tabela 3 - Tabela demonstrativa da reunião realizada com o CPDF para avaliação da maturidade no
Gerenciamento de Incidentes
Reunião presencial com CPDF
Data:
28/09/11
Horário:
14h00minh as 17h30minh
Salas:
Sala de reuniões do CPDF, Anexo
Assunto:
Aplicação de Instrumentos de Pesquisa
Tabela 4 – Tabela demonstrativa da reunião realizada com Departamento de Engenharia de
Processos DGEP para compreensão dos procedimentos utilizados na elaboração de um novo
processo.
Reunião
Data:
27/09/2011
Horário:
10h00min
Salas:
Sala de reuniões do CPDF, Anexo
Assunto:
Compreensão do método utilizado na elaboração de normas e procedimentos
35
Resultados
A ACME Corporation é uma empresa de TI que exerce um papel fundamental
para o Governo Federal e para o Cidadão Brasileiro com vistas à distribuição de
renda e erradicação da pobreza.
Para auxiliar na conquista desses objetivos é fundamental que os centros de
processamento da ACME estejam disponíveis sempre que requisitados, dessa forma
promover ações que garantam a disponibilidade dos sistemas é sem dúvida uma
das principais prioridades da alta direção.
Objetivando uma análise sobre as hipóteses estabelecidas foram realizadas
coletas de dados na busca por delinear o comportamento da empresa em seus três
centros de processamento durante a ocorrência de um incidente.
Dessa forma as seguintes ações foram realizadas para obtenção dos dados:
•
Auto-Avaliação (Self-Assessment ITIL)
o Foi aplicado um questionário a cada centro de processamento
onde os participantes deveriam encontrar uma única resposta
comum ao grupo para o preenchimento, esse questionário
relaciona as ações necessárias recomendadas pela ITSMF para
que haja uma aderência aos processos ITIL.
•
Aderência ao processo ITIL
o O processo de tratamento de incidentes apresentado pela versão
3 do ITIL foi transformando em questionamentos para verificar se o
centro
de
processamento
executa
ou
não
as
atividades
apresentadas na metodologia de tratamento de incidentes.
•
Entrevista DGEP
o Foi aplicada uma entrevista ao Departamento de Engenha de
Processos - DGEP que buscou compreender o processo de
elaboração de novas metodologias para utilização na organização.
A seguir serão demonstrados os resultados obtidos.
36
4.1 Resultado Auto-Avaliação
Para realização da auto-avaliação foi obtido através do site The IT Service
Management Forum – itSMF um formulário que relaciona as ações necesssárias
para que uma organização esteja em conconrdância com as recomendações do
ITIL, de acordo com o quantitativo de perguntas respondidas é possível traçar um
nível de aderência.
A auto-avaliação permitiu estabelecer a medida em que a organização adotou a
orientação sobre as melhores práticas preconizadas pela ITIL.
O esquema de auto-avaliação foi composto por um questionário simples que
permitiu determinar as áreas que devem ser abordadas, a fim de melhorar a
capacidade do processo analisado.
A avaliação foi baseada em uma estrutura genérica que reconhece que há uma
série de elementos estruturais que deveriam pré exisitr para que se possa haver
gestão de incidentes.
Para se compreender onde uma determinada organização está em relação ao
quadro de capacidade de processo, um número variável de questões foram
respondidas durante a avaliação.
As perguntas foram ponderadas, e as respostas apontam onde a organização
está ou não aderente ao processo ou parte dele.
Para a obteção de um resultado que pudesse tornar o resultado reflexo da
realidade da empresa os colaboradores foram selecionados com base em sua
atuação em cada centro de processamento. Dessa forma, foram selecionados os
supervisores da área de suporte, supervisores de gestão de TI e analistas que
atuam diretamente com o tratamento de incidentes.
O questionário de auto-avaliação foi dividido em nove grandes grupos que
avaliaram:
1. Pré-requisito
o Verifica se o nível mínimo de itens estão disponíveis para apoiar
as atividades do processo.
2. Intenção Gerencial
o Verifica se existem declarações de política organizacional,
objetivos de negócio (ou evidências semelhantes de intenção)
37
proporcionando tanto a finalidade e orientação na transformação
ou utilização dos itens pré-requisito.
3. Capacidade Processual
o Examina as atividades sendo realizadas. As perguntas visam
identificar se um conjunto mínimo de atividades estão sendo
realizadas.
4. Integração Interna
o Pretende saber se as atividades estão integradas suficiente para
cumprir a intenção processo.
5. Produtos
o Examina a saída real do processo para saber se todos os produtos
em questão estão sendo produzidos.
6. Controle de Qualidade
o Está preocupado com a revisão e verificação do resultado do
processo para garantir que ele está de acordo com a intenção de
qualidade.
7. Informação Gerencial
o Está preocupado em garantir que as informações geradas
possuem
qualidade
suficiente
para
subsidiar
as
decisões
gerenciais.
8. Integração Externa
o Examina se todas as interfaces externas e as relações entre o
processo internos foram estabelecidos dentro da organização.
9. Interface com o Cliente
o Está principalmente preocupado com a validação do processo
para garantir que eles sejam otimizados para satisfazer as
necessidades do cliente.
O objetivo do questionário de auto-avaliação não é testar se há conformidade
completa com ITIL, mas sim dar a organização avaliada uma idéia de quão bem ela
está realizando uma determinada atividade em relação as melhores práticas
apresentadas pelo ITIL. (ITSMF, 2011)
O questionário foi aplicado de forma que os dez colaboradores em seus
respectivos grupos avaliassem o funcionamento do CP assinalando as respostas
38
que mais se adequasem ao comportamento do grupo frente a ocorrência do
incidente ou a existência de um processo bem definido.
As tabelas a seguir apresentam o resultado da auto-avaliação realizada nos
três centros de processamento, cada campo das tabelas possui o seguinte
significado:
• Nível – Agrupa as perguntas de acordo com a inteção de coleta;
• Perguntas – Relaciona todas as perguntas do questionário;
• Peso – É o valor atribuido a pergunta caso ela seja respondida de
forma afirmativa;
• Nota – É a nota obtida de acordo com a soma dos pesos;
• Valor referência – É o valor a ser atingido para que a organização
esteja aderente à aquele nível;
• Executa – O campo é preenchido com a letra “S” que representa a
execução ou existência da ação ou com “N” caso a ação não exista ou
não seja executada;
• Ao final de cada nível são apresentados os resultados “ADERENTE” e
“PENDENTE”, sendo a organização aderente ou não respectivamente
à aquele grupo de perguntas.;
• A letra “M” ao lado esquerdo da tabela indica que aquele item é
mandatório, assim, caso a organização não execute a ação fatalmente
ela não será aderente à aquele nível.
A tabela 5 apresenta o resultado obtido da avaliação realizada no CPDF.
39
Tabela 5 – Avaliação do CPDF
Nível 1: Pré-requisitos
M 1. São mantidos registrados todos os incidentes reportados?
Peso Nota Referência
Aderência
Executa?
2
2
S
2. Atualmente os incidentes são avaliados e classificados pelo Service
Desk antes de consultar um especialista?
1
0
N
3. Há um Gerente de Incidente responsável pelo controle e
escalonamento dos incidentes?
1
1
S
3
Nota mínima: Todas as Mandatórias (M) + 1
75,00%
75,00%
ADERENTE
Nível 1.5: Intenção Gerencial
4. O negócio está comprometido em reduzir o impacto dos incidentes
M por sua oportuna resolução?
2
2
S
2
2
S
6. A gerência do Incidente foi conscientizada sobre as diretrizes e as
necessidades do negócio que indicarão a prioridade no tratamento
dos incidentes?
1
0
N
7. Foi realizado um programa de treinamento para o Service Desk e a
Gerência de Incidente traçando seus relacionamentos, a interface um
com o outro e também com as Gerências de Problema, Mudança e
Configuração?
1
1
S
5. Existe compromisso gerencial, orçamento e recurso disponível para
M o gerenciamento de incidente?
5
Nota mínima: Todas as Mandatórias (M) + 1
83,33%
83,33%
ADERENTE
Nível 2: Capacidade Processual
8. É mantida uma base de dados com detalhes de todos os incidentes
M reportados
9. Todos os incidentes são controlados em conformidade com os
M procedimentos documentados em SLAs?
10. Existe um procedimento para classificar incidentes, com um leque
M detalhado de códigos de classificação, priorização e impacto?
11. Existe um procedimento para atribuir, monitorar e comunicar o
M progresso dos incidentes?
4
4
S
4
0
N
4
0
N
4
4
S
4
4
S
12. A Gerência de Incidente fornece ao Service Desk ou ao
M cliente/usuário informações atualizadas sobre o progresso e o status
no tratamento dos incidentes?
M 13. Existem procedimentos para o fechamento de incidentes?
4
4
S
14. A Gerência de Incidente fornece ao Service Desk informações
gerenciais e recomendações para a melhoria do serviço?
1
0
N
15. Os gerentes de incidente esforçam-se em reforçar os acordos de
nível de serviço do cliente com o suporte de segundo nível e com os
fornecedores terceirizados?
1
0
N
16. Os gerentes de incidente coordenam a Gerência de Problema,
equipe de suporte e o gerenciamento dos serviços de TI quando um
incidente mais sério acontece?
1
1
S
17. Foi produzido um estudo sobre as medidas paliativas adotadas
para determinar o nível requerido da equipe de suporte, o tipo da
habilidade e os custos associados ao gerenciamento do incidente?
1
0
N
17
Nota mínima: Todas as Mandatórias (M) + 1
89,29%
60,71%
PENDENTE
Nível 2.5: Integração Interna
18. A Gerência de Incidente compara os incidentes com a base de
M dados de problemas e de erros conhecidos?
19. A Gerência de Incidente informa o Service Desk e a Gerência de
Problema das soluções paliativas?
20. Os incidentes que rompem o acordo de nível de serviço são
identificados e a equipe de resolução do incidente informada da
ruptura?
2
0
N
1
1
S
1
0
N
1
Nota mínima: Todas as Mandatórias (M) + 1
75,00%
25,00%
PENDENTE
Nível 3: Produtos
21. Os registros dos incidentes relatados são guardados (incluindo
M resolução e/ou solução paliativa)?
3
3
S
40
22. As Requisições de Mudanças são produzidas, se necessário, para
M a resolução do incidente?
3
3
S
3
3
S
24. São produzidos relatórios regulares para todas as equipes que
contribuem no processo de resolução do incidente, em relação ao
status do incidente?
1
1
S
25. Uma análise do workload é produzida para ajudar a determinar os
níveis das equipes?
1
0
N
26. As revisões gerenciais são mantidas para destacar uma escala
detalhada dos incidentes?
1
0
N
23. Os registros dos incidentes resolvidos e fechados são atualizados
M e claramente comunicados ao Service Desk, clientes e demais
partes?
10
Nota mínima: Todas as Mandatórias (M) + 1
83,33%
83,33%
ADERENTE
Nível 3.5: Controle de Qualidade
27. Os padrões e outros critérios de qualidade aplicados ao registro
M dos incidentes e a manipulação dos chamados são feitos de forma
2
0
N
2
2
S
2
2
S
30. A empresa ajusta e revê os alvos ou objetivos da Gerência de
Incidente?
1
0
N
31. Existe ferramentas apropriadas em uso para dar suporte à função
da Gerência de Incidente?
1
0
N
clara à equipe da Gerência de Incidente?
28. Os Acordos de Nível de Serviço estão disponíveis e são
M compreendidos pela Gerência de Incidente?
29. As equipes responsáveis pela gestão de incidentes são
M adequadamente treinados?
4
Nota mínima: Todas as Mandatórias (M) + 1
87,50%
50,00%
PENDENTE
Nível 4: Informação Gerencial
32. São gerenciadas as informações referentes à análise de tendência
M na ocorrência e na definição de incidentes?
2
0
N
2
2
S
34. São gerenciadas as informações referentes à porcentagem de
incidentes atendidos dentro do tempo de resposta acordado?
1
1
S
35. São gerenciadas as informações referentes à porcentagem de
incidentes fechados pelo Service Desk sem referência a outros níveis
de suporte?
1
0
N
33. São gerenciadas as informações referentes aos incidentes
M escalonados?
3
Nota mínima: Todas as Mandatórias (M) + 1
M
M
Nível 4.5: Integração Externa
36. São realizadas reuniões regulares com o Service Desk para
discutir os incidentes levantados, em progresso, escalados e
fechados?
37. As relações entre o Service Desk e a Gerência de Incidente foram
definidas e comunicadas?
83,33%
50,00%
PENDENTE
3
0
N
3
3
S
3
0
N
1
0
N
1
1
S
41. A Gerência de Incidente troca a informações com a Gerência de
Mudança a respeito dos detalhes de possíveis mudanças para
resolver incidentes/problemas particulares?
1
0
N
42. A Gerência de Incidente troca informações com a Gerência de
Nível de Serviço a respeito de rupturas em acordos em nível de
serviço e nos compromissos de serviço e de suporte que eles
contem?
1
1
S
38. A Gerência de Incidente troca informações com a Gerência de
M Problema a respeito de problemas relacionados e/ou de erros
conhecidos?
39. A Gerência de Incidente troca informações com a Gerência de
Configuração a respeito da facilidade de utilização de registros de
configuração, das anomalias da configuração e da potencial
sinalização do item de configuração, como por exemplo, “falhado” (ou
equivalente)?
40. A Gerência de Incidente recebe informações da Gerência de
Mudança a respeito de mudanças pendentes nos serviços?
Nota mínima: Todas as Mandatórias (M) + 1
Nível 5: Interface com o Cliente
5
76,92%
38,46%
PENDENTE
41
43. É verificado com o cliente se as atividades executadas pelo
M Service Desk dão o suporte necessário e adequado ao seu negócio?
2
0
N
2
2
S
45. São ativamente monitorados as tendências na satisfação de
cliente?
1
0
N
46. É alimentado na agenda de melhoria do serviço informações
obtidas na pesquisa de satisfação do cliente?
1
0
N
47. É monitorada a percepção de valor que o cliente tem acerca dos
serviços fornecidos a ele?
1
0
N
44. É verificado com os clientes se eles estão felizes com os serviços
M fornecidos?
2
Nota mínima: Todas as Mandatórias (M) + 1
71,43%
28,57%
PENDENTE
A tabela 6 apresenta o resultado obtido da avaliação realizada no CPRJ.
Tabela 6 – Avaliação do CPRJ
Nível 1: Pré-requisitos
M 1. São mantidos registrados todos os incidentes reportados?
Peso Nota Referência
Aderência
Executa?
2
2
S
2. Atualmente os incidentes são avaliados e classificados pelo Service
Desk antes de consultar um especialista?
1
1
S
3. Há um Gerente de Incidente responsável pelo controle e
escalonamento dos incidentes?
1
1
S
4
Nota mínima: Todas as Mandatórias (M) + 1
75,00%
100,00% ADERENTE
Nível 1.5: Intenção Gerencial
4. O negócio está comprometido em reduzir o impacto dos incidentes
M por sua oportuna resolução?
2
2
S
2
2
S
6. A gerência do Incidente foi conscientizada sobre as diretrizes e as
necessidades do negócio que indicarão a prioridade no tratamento dos
incidentes?
1
1
S
7. Foi realizado um programa de treinamento para o Service Desk e a
Gerência de Incidente traçando seus relacionamentos, a interface um
com o outro e também com as Gerências de Problema, Mudança e
Configuração?
1
1
S
5. Existe compromisso gerencial, orçamento e recurso disponível para o
M gerenciamento de incidente?
6
Nota mínima: Todas as Mandatórias (M) + 1
83,33%
100,00% ADERENTE
Nível 2: Capacidade Processual
8. É mantida uma base de dados com detalhes de todos os incidentes
M reportados
4
4
S
4
0
N
4
4
S
4
4
S
4
4
S
4
4
S
14. A Gerência de Incidente fornece ao Service Desk informações
gerenciais e recomendações para a melhoria do serviço?
1
0
N
15. Os gerentes de incidente esforçam-se em reforçar os acordos de
nível de serviço do cliente com o suporte de segundo nível e com os
fornecedores terceirizados?
1
1
S
16. Os gerentes de incidente coordenam a Gerência de Problema,
equipe de suporte e o gerenciamento dos serviços de TI quando um
incidente mais sério acontece?
1
1
S
17. Foi produzido um estudo sobre as medidas paliativas adotadas para
determinar o nível requerido da equipe de suporte, o tipo da habilidade e
os custos associados ao gerenciamento do incidente?
1
1
S
9. Todos os incidentes são controlados em conformidade com os
M procedimentos documentados em SLAs?
10. Existe um procedimento para classificar incidentes, com um leque
M detalhado de códigos de classificação, priorização e impacto?
11. Existe um procedimento para atribuir, monitorar e comunicar o
M progresso dos incidentes?
12. A Gerência de Incidente fornece ao Service Desk ou ao
M cliente/usuário informações atualizadas sobre o progresso e o status no
tratamento dos incidentes?
M 13. Existem procedimentos para o fechamento de incidentes?
42
23
Nota mínima: Todas as Mandatórias (M) + 1
89,29%
82,14%
PENDENTE
Nível 2.5: Integração Interna
18. A Gerência de Incidente compara os incidentes com a base de
M dados de problemas e de erros conhecidos?
2
2
S
19. A Gerência de Incidente informa o Service Desk e a Gerência de
Problema das soluções paliativas?
1
1
S
20. Os incidentes que rompem o acordo de nível de serviço são
identificados e a equipe de resolução do incidente informada da ruptura?
1
0
N
3
Nota mínima: Todas as Mandatórias (M) + 1
75,00%
75,00%
ADERENTE
Nível 3: Produtos
21. Os registros dos incidentes relatados são guardados (incluindo
M resolução e/ou solução paliativa)?
3
3
S
3
3
S
3
3
S
24. São produzidos relatórios regulares para todas as equipes que
contribuem no processo de resolução do incidente, em relação ao status
do incidente?
1
1
S
25. Uma análise do workload é produzida para ajudar a determinar os
níveis das equipes?
1
0
N
26. As revisões gerenciais são mantidas para destacar uma escala
detalhada dos incidentes?
1
1
S
22. As Requisições de Mudanças são produzidas, se necessário, para a
M resolução do incidente?
23. Os registros dos incidentes resolvidos e fechados são atualizados e
M claramente comunicados ao Service Desk, clientes e demais partes?
11
Nota mínima: Todas as Mandatórias (M) + 1
83,33%
91,67%
ADERENTE
Nível 3.5: Controle de Qualidade
27. Os padrões e outros critérios de qualidade aplicados ao registro dos
M incidentes e a manipulação dos chamados são feitos de forma clara à
2
2
S
2
2
S
2
2
S
30. A empresa ajusta e revê os alvos ou objetivos da Gerência de
Incidente?
1
0
N
31. Existe ferramentas apropriadas em uso para dar suporte à função da
Gerência de Incidente?
1
1
S
equipe da Gerência de Incidente?
28. Os Acordos de Nível de Serviço estão disponíveis e são
M compreendidos pela Gerência de Incidente?
29. As equipes responsáveis pela gestão de incidentes são
M adequadamente treinados?
7
Nota mínima: Todas as Mandatórias (M) + 1
87,50%
87,50%
ADERENTE
Nível 4: Informação Gerencial
32. São gerenciadas as informações referentes à análise de tendência
M na ocorrência e na definição de incidentes?
2
0
N
2
2
S
34. São gerenciadas as informações referentes à porcentagem de
incidentes atendidos dentro do tempo de resposta acordado?
1
1
S
35. São gerenciadas as informações referentes à porcentagem de
incidentes fechados pelo Service Desk sem referência a outros níveis de
suporte?
1
1
S
33. São gerenciadas as informações referentes aos incidentes
M escalonados?
4
Nota mínima: Todas as Mandatórias (M) + 1
83,33%
66,67%
PENDENTE
Nível 4.5: Integração Externa
36. São realizadas reuniões regulares com o Service Desk para discutir
M os incidentes levantados, em progresso, escalados e fechados?
37. As relações entre o Service Desk e a Gerência de Incidente foram
M definidas e comunicadas?
3
3
S
3
3
S
3
3
S
38. A Gerência de Incidente troca informações com a Gerência de
M Problema a respeito de problemas relacionados e/ou de erros
conhecidos?
43
39. A Gerência de Incidente troca informações com a Gerência de
Configuração a respeito da facilidade de utilização de registros de
configuração, das anomalias da configuração e da potencial sinalização
do item de configuração, como por exemplo, “falhado” (ou equivalente)?
1
0
N
40. A Gerência de Incidente recebe informações da Gerência de
Mudança a respeito de mudanças pendentes nos serviços?
1
1
S
41. A Gerência de Incidente troca a informações com a Gerência de
Mudança a respeito dos detalhes de possíveis mudanças para resolver
incidentes/problemas particulares?
1
1
S
42. A Gerência de Incidente troca informações com a Gerência de Nível
de Serviço a respeito de rupturas em acordos em nível de serviço e nos
compromissos de serviço e de suporte que eles contem?
1
1
S
12
Nota mínima: Todas as Mandatórias (M) + 1
76,92%
92,31%
ADERENTE
Nível 5: Interface com o Cliente
43. É verificado com o cliente se as atividades executadas pelo Service
M Desk dão o suporte necessário e adequado ao seu negócio?
2
2
S
2
2
S
45. São ativamente monitorados as tendências na satisfação de cliente?
1
0
N
46. É alimentado na agenda de melhoria do serviço informações obtidas
na pesquisa de satisfação do cliente?
1
0
N
47. É monitorada a percepção de valor que o cliente tem acerca dos
serviços fornecidos a ele?
1
0
N
44. É verificado com os clientes se eles estão felizes com os serviços
M fornecidos?
4
Nota mínima: Todas as Mandatórias (M) + 1
71,43%
57,14%
PENDENTE
A tabela 7 apresenta o resultado obtido da avaliação realizada no CPSP.
Tabela 7 – Avaliação CPSP
Nível 1: Pré-requisitos
M 1. São mantidos registrados todos os incidentes reportados?
Peso Nota Referência
Aderência
Executa?
2
2
S
2. Atualmente os incidentes são avaliados e classificados pelo Service
Desk antes de consultar um especialista?
1
0
N
3. Há um Gerente de Incidente responsável pelo controle e
escalonamento dos incidentes?
1
1
S
3
Nota mínima: Todas as Mandatórias (M) + 1
75,00%
75,00%
ADERENTE
Nível 1.5: Intenção Gerencial
4. O negócio está comprometido em reduzir o impacto dos incidentes
M por sua oportuna resolução?
2
2
S
2
0
N
6. A gerência do Incidente foi conscientizada sobre as diretrizes e as
necessidades do negócio que indicarão a prioridade no tratamento dos
incidentes?
1
0
N
7. Foi realizado um programa de treinamento para o Service Desk e a
Gerência de Incidente traçando seus relacionamentos, a interface um
com o outro e também com as Gerências de Problema, Mudança e
Configuração?
1
0
N
5. Existe compromisso gerencial, orçamento e recurso disponível para o
M gerenciamento de incidente?
2
Nota mínima: Todas as Mandatórias (M) + 1
83,33%
33,33%
PENDENTE
Nível 2: Capacidade Processual
8. É mantida uma base de dados com detalhes de todos os incidentes
M reportados
9. Todos os incidentes são controlados em conformidade com os
M procedimentos documentados em SLAs?
10. Existe um procedimento para classificar incidentes, com um leque
M detalhado de códigos de classificação, priorização e impacto?
11. Existe um procedimento para atribuir, monitorar e comunicar o
M progresso dos incidentes?
4
4
S
4
0
N
4
0
N
4
0
N
44
12. A Gerência de Incidente fornece ao Service Desk ou ao
M cliente/usuário informações atualizadas sobre o progresso e o status no
4
0
N
tratamento dos incidentes?
M 13. Existem procedimentos para o fechamento de incidentes?
4
0
N
14. A Gerência de Incidente fornece ao Service Desk informações
gerenciais e recomendações para a melhoria do serviço?
1
0
N
15. Os gerentes de incidente esforçam-se em reforçar os acordos de
nível de serviço do cliente com o suporte de segundo nível e com os
fornecedores terceirizados?
1
0
N
16. Os gerentes de incidente coordenam a Gerência de Problema,
equipe de suporte e o gerenciamento dos serviços de TI quando um
incidente mais sério acontece?
1
0
N
17. Foi produzido um estudo sobre as medidas paliativas adotadas para
determinar o nível requerido da equipe de suporte, o tipo da habilidade e
os custos associados ao gerenciamento do incidente?
1
0
N
4
Nota mínima: Todas as Mandatórias (M) + 1
89,29%
14,29%
PENDENTE
Nível 2.5: Integração Interna
18. A Gerência de Incidente compara os incidentes com a base de
M dados de problemas e de erros conhecidos?
2
0
N
19. A Gerência de Incidente informa o Service Desk e a Gerência de
Problema das soluções paliativas?
1
1
S
20. Os incidentes que rompem o acordo de nível de serviço são
identificados e a equipe de resolução do incidente informada da ruptura?
1
0
N
1
Nota mínima: Todas as Mandatórias (M) + 1
75,00%
25,00%
PENDENTE
Nível 3: Produtos
21. Os registros dos incidentes relatados são guardados (incluindo
M resolução e/ou solução paliativa)?
3
0
N
3
0
N
3
3
S
24. São produzidos relatórios regulares para todas as equipes que
contribuem no processo de resolução do incidente, em relação ao status
do incidente?
1
1
S
25. Uma análise do workload é produzida para ajudar a determinar os
níveis das equipes?
1
0
N
26. As revisões gerenciais são mantidas para destacar uma escala
detalhada dos incidentes?
1
0
N
22. As Requisições de Mudanças são produzidas, se necessário, para a
M resolução do incidente?
23. Os registros dos incidentes resolvidos e fechados são atualizados e
M claramente comunicados ao Service Desk, clientes e demais partes?
4
Nota mínima: Todas as Mandatórias (M) + 1
83,33%
33,33%
PENDENTE
Nível 3.5: Controle de Qualidade
27. Os padrões e outros critérios de qualidade aplicados ao registro dos
M incidentes e a manipulação dos chamados são feitos de forma clara à
2
0
N
2
0
N
2
2
S
30. A empresa ajusta e revê os alvos ou objetivos da Gerência de
Incidente?
1
0
N
31. Existe ferramentas apropriadas em uso para dar suporte à função da
Gerência de Incidente?
1
1
S
equipe da Gerência de Incidente?
28. Os Acordos de Nível de Serviço estão disponíveis e são
M compreendidos pela Gerência de Incidente?
29. As equipes responsáveis pela gestão de incidentes são
M adequadamente treinados?
3
Nota mínima: Todas as Mandatórias (M) + 1
87,50%
37,50%
PENDENTE
Nível 4: Informação Gerencial
32. São gerenciadas as informações referentes à análise de tendência
M na ocorrência e na definição de incidentes?
33. São gerenciadas as informações referentes aos incidentes
M escalonados?
34. São gerenciadas as informações referentes à porcentagem de
incidentes atendidos dentro do tempo de resposta acordado?
2
0
N
2
0
N
1
0
N
45
35. São gerenciadas as informações referentes à porcentagem de
incidentes fechados pelo Service Desk sem referência a outros níveis de
suporte?
1
0
0
Nota mínima: Todas as Mandatórias (M) + 1
N
83,33%
0,00%
PENDENTE
Nível 4.5: Integração Externa
36. São realizadas reuniões regulares com o Service Desk para discutir
M os incidentes levantados, em progresso, escalados e fechados?
3
0
N
3
3
S
3
0
N
39. A Gerência de Incidente troca informações com a Gerência de
Configuração a respeito da facilidade de utilização de registros de
configuração, das anomalias da configuração e da potencial sinalização
do item de configuração, como por exemplo, “falhado” (ou equivalente)?
1
0
N
40. A Gerência de Incidente recebe informações da Gerência de
Mudança a respeito de mudanças pendentes nos serviços?
1
0
N
41. A Gerência de Incidente troca a informações com a Gerência de
Mudança a respeito dos detalhes de possíveis mudanças para resolver
incidentes/problemas particulares?
1
0
N
42. A Gerência de Incidente troca informações com a Gerência de Nível
de Serviço a respeito de rupturas em acordos em nível de serviço e nos
compromissos de serviço e de suporte que eles contem?
1
0
N
37. As relações entre o Service Desk e a Gerência de Incidente foram
M definidas e comunicadas?
38. A Gerência de Incidente troca informações com a Gerência de
M Problema a respeito de problemas relacionados e/ou de erros
conhecidos?
3
Nota mínima: Todas as Mandatórias (M) + 1
76,92%
23,08%
PENDENTE
Nível 5: Interface com o Cliente
43. É verificado com o cliente se as atividades executadas pelo Service
M Desk dão o suporte necessário e adequado ao seu negócio?
2
0
N
2
2
S
45. São ativamente monitorados as tendências na satisfação de cliente?
1
0
N
46. É alimentado na agenda de melhoria do serviço informações obtidas
na pesquisa de satisfação do cliente?
1
0
N
47. É monitorada a percepção de valor que o cliente tem acerca dos
serviços fornecidos a ele?
1
0
N
44. É verificado com os clientes se eles estão felizes com os serviços
M fornecidos?
Nota mínima: Todas as Mandatórias (M) + 1
2
71,43%
28,57%
PENDENTE
46
4.2 Resultado – Aderência ao processo
Na segunda parte da pesquisa foi entregue a cada coloborador participante,
um questionário que apresentava as nove ações que são realizadas durante um
tratamento de incidentes conforme preconizado pela ITIL V3. Essa avaliação buscou
costatar as ações que já são realizadas ou não pela organização sob a pespectiva
de cada colaborador, tornando assim a resposta pessoal e não mais do
entendimento de um determinado grupo, sendo possível avaliar o grau de
conhecimento individual acerca do processo.
Dessa forma eles foram questionados quanto a existência dos seguintes
processos:
É realizada(a):
• A idenficação do incidentes
• O Registro do Incidentes
• A Categorização do Incidente
• A priorização do Incidente
• O Dignóstico Inicial
• A Escalada do Incidente
• A Resolução e Recuperação do Incidente
• O Encerramento do Incidentes
•
A figura 3 apresenta o resultado por centro de processamento. A
esquerda do gráfico são apresentados os nove passos executados no
tratamento de incidentes, conforme já apresentados, e a direita o
quantitativo de colaborares por centro de processamento que
responderam que uma determinada ação é executada.
Para obtenção desses dados também foram entrevistados dez colaboradores
por centro de processamento gerando assim um total de trinta respostas por
pergunta.
Para todas as perguntas apenas duas respostas foram possíveis, SIM ou
NÃO, dessa forma para se obter o quantitativo de colaboradores que julgam que tal
ação não é executada basta subtrair do valor apresentado o número total de
participantes por centro de processamento. Para efeitos dessa pesquisa, apenas as
47
respostas afirmativas serão consideradas uma vez que o objetivo é mapear a
aderência ao processo.
Figura 3 – Aderência ao processo de tratamento de incidentes
4.3 Coleta de dados - Processo de elaboração de normas e
procedimentos pelo DGEP
A Divisão de Gestão de Processos – DGEP é a responsável por normatizar as
metodologias de gestão de TI na Acme Corporation. Para a compreensão dos
critérios e ferramentas utilizadas na elaboração da metodologia foi realizadas uma
entrevista que buscou compreender como se dá esse processo bem como qual é
participação dos centros de processamento na elaboração das metodologias:
48
Tabela 8 - Entrevista realizada com o DGPE.
Perguntas
Respostas
Pergunta 1 - Qual foi à motivação para
Levantar
mapeamento do processo de gerenciamento
incidentes
de incidentes?
visando
como
e
a
empresa
identificar
diminuir
da
gerencia
possíveis
seus
melhorias
indisponibilidade
dos
serviços.
Pergunta 2 - Quais áreas participaram da
Áreas de infraestrutura, gestão de serviços e
atividade?
suporte a aplicações
Pergunta 3 - Quem foi o responsável por
Todos os atores do processo de incidentes
homologar o processo?
Pergunta 4 - Como se deu o primeiro teste do
Acompanhamento das atividades definidas no
processo realizado?
fluxo.
Pergunta 5 - Como se deu o envolvimento
Participaram
ativamente
dos centros de processamento na elaboração
levantamento
do
do método?
fizemos
para
das
processo.
o
CPRJ
reuniões
(Aqui
na
inicialmente
de
DTP
e
pretendemos estender para os demais CP´s.
4.6 O Processo de tratamento de incidentes
Com o auxílio dos stakeholders do CPRJ foi criado um processo para o
tratamento de incidentes que contempla os passos preconizados pela ITIL V2, visto
que na época de sua elaboração essa era a versão vigente, conforme relatado na
entrevista com o DGEP. O Processo foi divido em duas etapas, sendo a primeira
responsável por tratar o incidente observando todas as premissas do processo ITIL
e a segunda a ser utilizada caso ocorra a escalada funcional do incidente que
consiste em transferir um incidente do grupo de suporte de primeiro nível para o de
segundo nível ou mais adiante (OGC, 2010), ambos os processos serão
apresentados nas figuras figura 18 e figura 19 respectivamente.
A figura 4 demonstra as ações executadas desde o registro do incidente até
seu fechamento. Caso não seja encontrada uma solução de contorno o processo é
escalado para o próximo nível que é apresentado na figura 5.
49
Figura 4 – Processo de tratamento de incidentes nível 1
A figura 5 apresenta o processo de escalada funcional, essa etapa só é
alcançada caso o incidente não seja solucionando no primeiro nível. Esse processo
possibilita que novas escaldas sejam realizadas para os próximos níveis caso o
incidente não seja solucionado.
Figura 5 – Processo de Escalada Funcional
50
5 Discussão
O processo de resposta a incidentes de segurança tem fundamental
importância na mitigação dos possíveis danos causados por indisponibilidades de
serviços. A implantação dessa metodologia não é uma tarefa simples, tendo em
vista que há uma necessidade crescente de se estabelecer meios de capacitação
dos empregados para bem executarem as funções de suas competências.
Ao longo da pesquisa verificou-se um esforço incipiente da Acme Corporation
em instituir meios para que os procedimentos de gestão de TI estejam alinhados
entre os centros de processamento. Tal argumentação é sustentada pela
inexistência de extensões dos departamentos de gestão nos demais centros de
processamento bem como pela não colaboração destes na construção dos
processos.
Além do gerenciamento de incidentes, estão em fase implantação outras
disciplinas da ITIL, inclusive com processos bem definidos em relação aos centros
de processamento.
• Os centros de processamento não estão padronizados na sua forma de
atuação quanto ao gerenciamento de incidentes.
O resultado obtido a partir da auto-avaliação comprova que não há
padronização quanto à existência de ações para o tratamento de incidentes. É
possível constar que de nove áreas avaliadas o CPDF está aderente em apenas
3, o CPSP em 2 e o CPRJ em 6.
Retirando uma média de referência à nota mínima para se estar
aderente seria igual ou superior a 80,57%. O CPDF totalizou 54,93% dessa
referência e o CPSP 30,01%. Já o CPRJ superou em 3,03% a referência
totalizando 83,60% de aderência aos níveis.
Com base na avaliação individual também foi possível constatar que os
colaboradores do CPRJ possuem maior conhecimento acerca dos procedimentos
relacionados ao tratamento de incidentes, uma vez que todos eles responderam
conhecer e executar os nove passos do processo totalizando 90 respostas
afirmativas. O mesmo número não foi obtido no CPDF que obteve 56 respostas
51
afirmativas relacionadas ao conhecimento do processo e no CPSP que totalizou
52 respostas afirmativas.
Assim, está confirmada a hipótese que os centros de processamento
não estão padronizadas na sua forma de atuação quanto ao gerenciamento de
incidentes.
• A não padronização dos procedimentos afeta na eficiência e na eficácia
da resolução dos incidentes.
Para se mensurar a eficiência e eficácia de um determinado
procedimento foi necessário escolher uma atividade em comum que pudesse
resultar em incidente concomitantemente nos três centros de processamento.
Assim, foi escolhido o incidente ocorrido no último dia 16 de outubro de
2011 durante a troca do horário de verão Brasileiro onde os três centros de
processamento realizaram mudanças automáticas e manuais de ajuste de
horário.
Foram criados no CPRJ procedimentos para a troca do horário de
verão em diversos sistemas operacionais com comandos específicos para
uma determinada versão. Esse documento foi compartilhado para os três
Centro de processamento afim de que tais orientações pudessem ser
executadas. Contudo, em virtude da diversidade de sistemas e de versões os
procedimentos ao serem aplicados não apresentaram os resultados
esperados e por conseqüência do insucesso os dados e log dos bancos de
dados foram corrompidos.
Os três centros de processamento iniciaram o processo de tratamento
de incidentes, cada um a sua maneira.
O CPRJ realizou os nove passos apresentados pela ITIL e já discutidos
nessa pesquisa, o tempo total para o restabelecimento do parque tecnológico
foi de sete horas.
O CPDF realizou o registro do incidente e informou o fechamento do
mesmo, o tempo total foi de aproximadamente quatorze horas.
52
O CPSP realizou o registro do incidente, o diagnóstico inicial e a
escalada do incidente, o tempo total para o restabelecimento do parque foi de
dezessete horas.
Ao analisar o tempo decorrido para o restabelecimento do parque foi
constatada uma diferença entre os tempos de cada CP. Foi identificado que o
problema já havia ocorrido na troca do horário de verão do ano 2010 e que a
base de conhecimento já possui registros relacionados ao tema, assim, para
a resolução do incidente foram seguidos os mesmos passos que outrora fora
utilizados, possibilitando assim uma indisponibilidade menor em relação aos
demais centros de processamento que não consultaram os dados históricos.
Dessa forma é confirmada a hipótese de que a não padronização dos
procedimentos afeta a eficiência e a eficácia da resolução dos incidentes.
5.1 Auto-Avaliação (Self-Assessement)
Com a realização da auto-avaliação foi possível identificar o nível de aderência
de cada centro de processamento as melhores práticas bem como determinar uma
média
global
de
aderência
que
demonstra
a
aderência
da
empresa
independentemente da unidade avaliada.
A tabela 9 apresenta o resultado consolidado obtido a partir da auto-avaliação
realizada em cada centro de processamento. A coluna nível apresenta o grupo de
questionamentos realizados, em seguida são apresentados os centros de
processamento com suas respectivas novas e por fim a nota referência, ou seja, a
nota que minimamente deveria ser obtida para se estar aderente ao processo
específico.
Tabela 9 – Resultado Consolidado
Nível
CPDF
CPRJ
CPSP
Referência
1
75,00%
100,00%
75,00%
75,00%
2
83,33%
100,00%
33,33%
83,33%
3
60,71%
82,14%
14,29%
89,29%
4
25,00%
75,00%
25,00%
75,00%
53
5
83,33%
91,67%
33,33%
83,33%
6
50,00%
87,50%
37,50%
87,50%
7
50,00%
66,67%
0,00%
83,33%
8
38,46%
92,31%
23,08%
76,92%
9
28,57%
57,14%
28,57%
71,43%
O nível 1 agrupa os questionamentos relativos aos pré-requisitos, ele avalia se
as premissas básicas para o gerenciamento de incidentes são realizadas, buscando
compreender se o registro e a classificação do incidente além da definição de um
gerente responsável fazem parte das atividades e ações da empresa. Para este
nível a referência foi 75%.
O CPDF apresentou aderência de 75%, o CPRJ 100% e o CPSP 75%, assim,
os três centros são aderentes ao nível 1.
Nível 2, A intenção Gerencial avalia se existe comprometimento gerencial,
orçamento e recursos além de processos de integração com as demais gerências, a
referência para esse nível foi 83,33%.
O CPDF apresentou aderência de 83,33%, o CPRJ 100% e o CPSP 33,33%,
assim, constatou-se que apenas os Centro de processamento RJ e o DF são
aderentes ao nível 2.
O nível 3, Capacidade Processual avalia a existência de uma base de dados
de processos de monitoração, comunicação e progresso do incidente além da
conformidade com SLA durante o tratamento do incidente, a referência para esse
nível foi 89,29%.
O CPDF apresentou aderência de 60,71%, o CPRJ 82,14% e o CPSP 14,29%,
assim, constatou-se que nenhum centro de processamento é aderente ao nível 3.
Nível 4, Integração Interna avalia se são realizadas consultas a base de dados,
se as ações paliativas são informadas e se os incidentes que rompem os SLAs são
informados as equipes de suporte, a referência para esse nível foi 75%.
54
O CPDF apresentou aderência de 25%, o CPRJ 75% e o CPSP 25%, assim,
constatou-se que apenas o CPRJ é aderente ao nível 4.
Nível 5, Produtos avalia se as soluções aplicadas são armazenadas e
comunicadas, se os relatórios gerenciais são produzidos e revisados e se havendo
necessidades de mudança são preenchidas as requisições, a referência para esse
nível foi 83,33%.
O CPDF apresentou aderência de 83,33%, o CPRJ 91,67% e o CPSP 33,33%,
assim, constatou-se que apenas o CPSP não é aderente ao nível 5.
Nível 6, Controle de qualidade avalia os padrões e critérios de qualidade
aplicados no registro, a disponibilidade e compreensão do SLA além da qualidade
dos treinamentos e existências de ferramentas apropriadas para a gestão de
incidentes, a referência para esse nível foi 87,50%.
O CPDF apresentou aderência de 50%, o CPRJ 87,50% e o CPSP 37,50%,
assim, constatou-se que apenas o CPRJ é aderente ao nível 6.
Nível 7, Informação Gerencial avalia o gerenciamento de informações,
tendências, atendimento dentro e fora dos prazos definidos nos acordos além do
detalhamento dos fechamentos, a referência para esse nível foi 83,33%.
O CPDF apresentou aderência de 50,00%, o CPRJ 66,67% e o CPSP 0,00%,
assim, constatou-se que nenhum centro de processamento é aderente ao nível 7.
Nível 8, Integração Externa avalia a regularidade das reuniões e as relações
entre as demais gerências, a referência para esse nível foi 76,92%.
O CPDF apresentou aderência de 38,46%, o CPRJ 92,31% e o CPSP 23,08%,
assim, constatou-se que apenas o CPRJ é aderente ao nível 8.
Nível 9, Interface com o Cliente, avalia a eficiência das atividades de suporte
realizadas pelo Service-Desk e a satisfação em relação aos clientes, a referência
para esse nível foi 71,46%.
O CPDF apresentou aderência de 28,57%, o CPRJ 57,14% e o CPSP 28,57%,
assim, constatou-se que nenhum centro de processamento é aderente ao nível 9.
55
Com base nos dados obtidos pode ser concluído que o CPRJ é aderente as
boas práticas preconizadas pela ITIL apesar de não realizar em sua totalidade as
boas práticas já apresenta um nível elevado de aderência estando este acima da
referência média obtida através do somatório das nove referências que é 80,57% de
soma total mínima, estando o CPRJ com um somatório total de 83,60% de
aderência.
O CPDF totalizou 54,93% de aderência as boas práticas, ficando abaixo da
referência estabelecida nesta pesquisa. Foi possível constar que as maiores
deficiências estão concentradas nos níveis 4, 8 e 9, Integração Interna, Integração
Externa e Interface com o Cliente respectivamente.
O CPSP totalizou 30,01% de aderência as boas práticas, ficando muito abaixo
da referência estabelecida nesta pesquisa. Foi possível constar que as maiores
deficiências estão concentradas nos níveis 3 e 7 Capacidade Processual e
Informação Gerencial respectivamente.
5.2 Aderência ao Processo ITIL V3
A análise de aderência foi realizada individualmente pelos colaboradores
selecionados,
possibilitando
uma
demonstração
individual
quanto
aos
conhecimentos do processo.
A figura 6 demonstra o resultado obtido em cada questionamento. Foram
listados os nove processos do tratamento de incidente seguido da quantidade de
colaboradores que responderam de forma afirmativa que realizam a atividade.
56
Figura 6 – Resultado obtido a partir da avaliação individual
A Identificação, resolução e recuperação e o encerramento do incidente, são
atividades desempenhadas por todos os colaboradores entrevistados.
Segundo os entrevistados mais de 50% deles realiza de alguma forma o
registro do incidente.
Tanto a categorização quanto a priorização são atividades que competem
basicamente a DGSS, equipe de suporte situada no CPRJ dessa forma os demais
centros de processamento não possuem responsabilidades tampouco conhecimento
de como esse processo se dá bem aos resultados produzidos por eles.
Já o diagnóstico inicial é realizado por mais de 96% dos colaboradores
entrevistados uma vez que ao detectarem o incidente já iniciam o primeiro combate.
A Escalada do Incidente do Incidente destaca três posturas distintas entre os
Centros de processamento, pois, o CPRJ possui uma equipe bem definida de
primeiro nível que detecta o incidente, porém, essa equipe nunca soluciona dessa
57
forma 100% dos incidentes são escalados para o próximo nível. Já o CPSP escala
mais da metade dos seus incidentes, pois não possui equipe técnica suficiente para
solucionar todos os seus incidentes, já o CPDF escala uma pequena parte, pois
neste último apenas existem apenas técnicos classificados como de segundo nível,
ou seja, possuem conhecimento técnico satisfatório, porém, recebem todos os
incidentes relacionados à unidade operacional, sendo assim escalado o menor nível
possível.
5.3 Entrevista com o DGEP
A entrevista realizada com o DGEP auxilia na confirmação das hipóteses
apresentadas neste estudo. Foi constado que apenas os departamentos do Rio de
Janeiro participam ativamente da elaboração de processos institucionais, dessa
forma a estrutura existente nas demais unidades de processamento não são levadas
em consideração.
As unidades de Brasília e São Paulo não possuem um quantitativo de
funcionários equivalente aos do Rio de Janeiro e tampouco possuem as mesmas
responsabilidades estabelecidas no manual de atribuições, contudo, é possível
constar com base nas informações coletadas que diversas ações que inicialmente
deveria ser realizadas apenas por analistas das unidades de gestão acabam sendo
realizadas no Centro de processamento com o objetivo de diminuir o período de
indisponibilidade.
Ao ser questionado da participação dos Centros de Processamento, a seguinte
resposta foi apresenta: “Participaram ativamente das reuniões de levantamento do
processo. (Aqui na DTP fizemos para o CPRJ inicialmente e pretendemos estender
para os demais centros de processamento”, dessa forma fica claro o objetivo da
empresa de tornar o processo único, porém, tal meta ainda não foi alcançada.
58
6 Conclusões e Trabalhos Futuros
6.1 Conclusões
Ao longo dessa pesquisa foi percebido que a maior deficiência da ACME
Corporation não está na inexistência de processos para o tratamento de incidentes,
mas sim na falta de padronização quanto à utilização de tais recursos.
Foi possível constatar que os centros de processamento executam ações
preconizadas pelas melhores praticas do ITIL, contudo, em muitos casos as
atividades não possuem ligação ou ordenação dessa forma apesar de se alcançar o
objetivo de resolução do incidente várias ações e decisões tomadas se perdem
durante do processo.
É necessário que os colaboradores envolvidos no processo saibam da
importância de se executar todos os passos propostos no modelo de tratamento de
incidentes de modo que todas as documentações e comunicações previstas sejam
realizadas, evitando assim maior desgaste entre as equipes e gerando uma maior
integração e fortalecimento da metodologia. Assim, além de tornar o incidente de
conhecimento público gera-se uma base de conhecimento para consultas
posteriores que facilitará demasiadamente as resoluções de incidentes futuros.
Conforme
destaca
a
Norma
Complementar
05/IN01/DSIC/GSIPR
de
14/AGO/09, a organização já possui um grupo de pessoas com a responsabilidade
de receber, analisar e responder às notificações e atividades relacionadas à
incidente de segurança em redes de computadores, definida por Equipe de
Tratamento e Resposta a Incidentes em Redes Computacionais – ETIR, sendo na
Acme Corporation denominada DGSS e com atuação baseada no modelo
centralizado com autonomia completa.
Tendo em vista que a empresa possui três centros de processamento talvez
seja oportuno analisar a possibilidade de atuação desse mesmo grupo a partir do
Modelo 4 – Combinado ou Misto onde neste modelo existirá uma Equipe de
Tratamento e Resposta a Incidentes em Redes Computacionais central e Equipes
distribuídas pela organização, talvez dessa forma falhas de comunicação e
elaboração de procedimentos sem uma análise de situação não ocorressem
evitando assim o comprometimento das informações geradas a partir de resolução
de um incidente.
59
Durante a pesquisa foi identificado, que as mudanças ocorridas no ambiente
produtivo são realizadas mediante uma solicitação prévia de 48 horas concomitante
ao preenchimento de uma requisição de mudanças – RDM, onde em seguida essa
passa por um comitê que aprova que a submete para execução, gerando um
sumário de pós-mudança, que fica disponível para posterior consulta. Essa
metodologia está em plena aderência ao modelo proposto pela ITIL.
Da mesma forma existem metodologias em implantação para manutenção da
base de configuração e o estabelecimento da função service desk. Essa última
implantação ainda está muito ligada às funções de um help desk.
Todos os processos criados ou em fase de melhoria possuem sua
fundamentação na ITIL, apesar de apresentarem atividades complementares que
foram introduzidas em virtude das necessidades técnicas e culturais da empresa.
Além do tema central foram analisadas duas hipóteses que com o estudo de
campo tornou-se possível confirmá-las a partir dos dados obtidos.
6.2 Trabalhos Futuros
Analisar com base na Norma Complementar 05/IN01/DSIC/GSIPR de
14/AGO/09 qual modelo mais se adequada à realidade e necessidade de Acme
Corporation.
Preliminarmente é possível analisar que o Modelo 4 – Combinado ou Misto
com Autonomia Compartilhada seja a melhor forma de atuação para o grupo de
tratamento de incidentes, contudo, somente após a realização de uma pesquisa
mais detalhada será possível confirmar ou refutar tal hipótese.
60
Referências e Fontes Consultadas
BON, J. V. Foundations of IT Service Management, based on ITIL. Lunteren Holanda:: Van Haren Publishing. 2005.
BUNGE, M. Teoria e Realidade. São Paulo: Pespectiva. 1974.
CERT.br, C. d. Cartilha de Segurança para Internet. 2006. Disponível em CERT.br:
<http://cartilha.cert.br/download/cartilha-07-incidentes.pdf>.
Acesso em: 11 de
agosto de 2011.
COSTA, A. A. ITIL – Processos de Gerenciamento de Incidentes e Problemas:
Proposta de Implantação em Empresa de Serviços de TI. TCC Pós
Graduação
em TI, Faculdade Pitagoras. 2010.
DATAPREV.
(s.d.).
PREVNET.
Disponível
em
PREVNET:
dtpnet/?q=content/degt-apresenta-nova-metodologia-de-trabalho>.
<http://wwwAcesso em:
08 de agosto de 2011.
DATAPREV. Manual de Atribuições instituído. 09 de janeiro de 2007.Disponível
em:<http://www-dtpnet> Manual de Atribuições instituído . Brasília.
Acesso em
15 de agosto de 2011.
DATAPREV. Missão e Visão da Dataprev. 28 de agosto de 2009. Disponível
em
Portal Institucional da Dataprev: <http://portal.dataprev.gov.br/2009/08/28/missao-evisao-da-dataprev/> Acesso em 10 de agosto de 2010.
IN05. Presidência da República. Gabinete de Segurança Institucional. Departamento
de Segurança da Informação e Comunicações. Instrução Normativa Complementar
nº 5, de 14 de agosto de 2009: Disciplina a criação de Equipe de Tratamento e
Resposta a Incidentes em Redes Computacionais – ETIR nos órgãos e entidades da
61
Administração Pública Federal, direta e indireta. Brasília, agosto 2009. Disponível
em <http://dsic.planalto.gov.br/documentos/nc_05_etir.pdf>. Acesso em: 05 de
agosto de
2011.
FACHIN, O. Fundamentos de metodologia. São Paulo: Atlas. 1993
FAGURY, T. 12 de Dezembro de 2007. Concursos, TI e Gestão. Disponível em
Concursos, TI e Gestão: <www.fagury.com.br>. Acesso em 11 de agosto
de
2011.
ITSMF, The IT Service Managerment Forum UK- Best Practice. 2003. Self
Assessment. Disponível em: <http//www.itsmf.com/trans/sa.asp>. Acesso em 19 de
setembro de 2011.
JOÃO CERON, A. B. O processo de tratamento de incidentes de segurança da
UFRGS. Porto Alegre. 2009
MAGALHAES, I. L., & PINHEIRO, W. B. Gerenciamento de Serviços de TI na
Prática: Uma abordagem com base na ITIL®. São Paulo: Novatec. 2007.
MPRS, M. P. PLANO DE SEGURANÇA INSTITUCIONAL. Porto Alegre, Rio Grande
do Sul, Brasil. setembro de 2010.
NETTO, A. S. SERVICE DESK E A METODOLOGIA ITIL: UM ESTUDO DE CASO.
Uberlândia. 2007.
PINHEIRO, F. R. Fundamentos em Gerenciamento de Serviços em TI. 2006.
RICHARDSON, R. J. Pesquisa social: métodos e técnicas. São Paulo: Atlas. 1985.
SERVERINO, A. J. Metodologia do Trabalho Científico. São Paulo: Cortez. 2002.
Sinfic,
I.
2008.
Versões
do
ITIL.
Disponível
em
Insight
Sinfic:
<http://www.sinfic.pt/SinficNewsletter/sinfic/Newsletter98/Dossier3.html>. Acesso em
11 de Agosto de 2011.
62
STATDLOBER, J. Help-Desk e SAC com Qualidade. Rio de Janeiro: Brasport. 2006.
TAYLOR, S. ITIL Version 3 Service Operation. Lodon. 2007.
TÉCNICAS, A. B. Código de prática para gestão da segurança da informação Referências – Elaboração: NBR ISO/IEC 17799. Rio de Janeiro. 2002.
YIN, R. K. Estudo de Caso, planejamento e métodos. 2.ed. . São Paulo: Bookman.
2001.
MARQUES, K. 21 de Julho de 2007. Os livros da biblioteca ITIL V3. Disponível em
Kleber Marques: < http://www.clebermarques.com/base/itil/Artigo-ITIL-Os-livros-dabiblioteca-ITILv3.pdf>. Acesso em 1 de Dezembro de 2011.
63
Apêndice A – Pesquisa Individual 001
Prezado Colaborador,
Solicito preencher a pesquisa abaixo com base em sua perspectiva.
1. Quando ocorre um incidente você procede de alguma forma com o registro dele seja
por canal telefônico, e-mail ou sistema?
( ) SIM
( ) NÃO
( ) SEM RESPOSTA
2. Durante um incidente ocorre alguma comunicação do progresso do mesmo aos
clientes?
( ) SIM
( ) NÃO
( ) SEM RESPOSTA
3. A cadeia de suporte está determinada com níveis especificados para a escalada dos
incidentes?
( ) SIM
( ) NÃO
( ) SEM RESPOSTA
4. A responsabilidade pelo papel de “Gerente de Incidentes” está atribuída?
( ) SIM
( ) NÃO
( ) SEM RESPOSTA
5. Há garantia de que todos os chamados sejam registrados?
( ) SIM
( ) NÃO
( ) SEM RESPOSTA
6. As prioridades não são utilizadas para determinar o impacto e a urgência dos
incidentes para o negócio. A prioridade depende do solicitante?
( ) SIM
( ) NÃO
( ) SEM RESPOSTA
7. Há uma base de erros conhecidos e de outras informações disponível para consulta
durante o ciclo de tratamento de incidentes?
64
( ) SIM
( ) NÃO
( ) SEM RESPOSTA
8. Você possui conhecimento do atual processo de gerenciamento de incidentes utilizado
pela empresa?
( ) SIM
( ) NÃO
( ) SEM RESPOSTA
9. Você soluciona incidente caso ele chegue diretamente para você por email ou telefone,
ou por qualquer outro processo que não seja o formalizado pela empresa?
( ) SIM
( ) NÃO
( ) SEM RESPOSTA
10. A empresa já promoveu algum evento explicativo sobre o tema Gerenciamento de
Incidentes, onde foi possível tirar suas dúvidas?
( ) SIM
( ) NÃO
( ) SEM RESPOSTA
65
Apêndice B – Questionamentos para o
Departamento
de
Engenharia
da
Produção
1. Qual foi a motivação para mapeamento do processo de gerenciamento de
incidentes?
2. Quais áreas participaram da atividade?
3. Quem foi o responsável por homologar o processo?
4. Como se deu o primeiro teste do processo realizado?
5. Como se deu o envolvimento dos demais centros de processamento na
elaboração do método?
6. Após a percepção da atuação dos centros de processamento no processo de
gerenciamento de incidentes houve alguma ação para correção do processo?
Caso negativo há algum planejamento neste sentido?
66
Anexos 1 - ITIL Service Delivery Self
Assessment: Gerência de Incidente
(Y)es or
(N)o
Nível 1: Pré-requisitos
M 1. São mantidos registrados todos os incidentes reportados?
0
2. Atualmente os incidentes são avaliados e classificados pelo Service Desk antes de
consultar um especialista?
0
3. Há um Gerente de Incidente responsável pelo controle e escalonamento dos incidentes?
0
Nota mínima: “Y” para todas as questões mandatórias (M); +2 para “Y” nos demais itens
0
Nível 1.5: Intenção Gerencial
4. O negócio está comprometido em reduzir o impacto dos incidentes por sua oportuna
M resolução?
5. Existe compromisso gerencial, orçamento e recurso disponível para o gerenciamento de
M incidente?
0
0
6. A gerência do Incidente foi conscientizada sobre as diretrizes e as necessidades do
negócio que indicarão a prioridade no tratamento dos incidentes?
0
7. Foi realizado um programa de treinamento para o Service Desk e a Gerência de Incidente
traçando seus relacionamentos, a interface um com o outro e também com as Gerências de
Problema, Mudança e Configuração?
0
Nota mínima: “Y” para todas as questões mandatórias (M); +1 para “Y” nos demais itens
0
Nível 2: Capacidade Processual
M 8. É mantida uma base de dados com detalhes de todos os incidentes reportados
9. Todos os incidentes são controlados em conformidade com os procedimentos
M documentados em SLAs?
10. Existe um procedimento para classificar incidentes, com um leque detalhado de códigos
0
0
M de classificação, priorização e impacto?
0
M 11. Existe um procedimento para atribuir, monitorar e comunicar o progresso dos incidentes?
0
M atualizadas sobre o progresso e o status no tratamento dos incidentes?
12. A Gerência de Incidente fornece ao Service Desk ou ao cliente/usuário informações
0
M 13. Existem procedimentos para o fechamento de incidentes?
0
14. A Gerência de Incidente fornece ao Service Desk informações gerenciais e
recomendações para a melhoria do serviço?
0
15. Os gerentes de incidente esforçam-se em reforçar os acordos de nível de serviço do
cliente com o suporte de segundo nível e com os fornecedores terceirizados?
0
16. Os gerentes de incidente coordenam a Gerência de Problema, equipe de suporte e o
gerenciamento dos serviços de TI quando um incidente mais sério acontece?
0
17. Foi produzido um estudo sobre as medidas paliativas adotadas para determinar o nível
requerido da equipe de suporte, o tipo da habilidade e os custos associados ao
gerenciamento do incidente?
0
Nota mínima: “Y” para todas as questões mandatórias (M); +1 para “Y” nos demais itens
0
Nível 2.5: Integração Interna
18. A Gerência de Incidente compara os incidentes com a base de dados de problemas e de
M erros conhecidos?
19. A Gerência de Incidente informa o Service Desk e a Gerência de Problema das soluções
paliativas?
0
0
67
20. Os incidentes que rompem o acordo de nível de serviço são identificados e a equipe de
resolução do incidente informada da ruptura?
0
Nota mínima: “Y” para todas as questões mandatórias (M); +1 para “Y” nos demais itens
0
Nível 3: Produtos
21. Os registros dos incidentes relatados são guardados (incluindo resolução e/ou solução
M paliativa)?
22. As Requisições de Mudanças são produzidas, se necessário, para a resolução do
M incidente?
23. Os registros dos incidentes resolvidos e fechados são atualizados e claramente
M comunicados ao Service Desk, clientes e demais partes?
0
0
0
24. São produzidos relatórios regulares para todas as equipes que contribuem no processo
de resolução do incidente, em relação ao status do incidente?
0
25. Uma análise do workload é produzida para ajudar a determinar os níveis das equipes?
0
26. As revisões gerenciais são mantidas para destacar uma escala detalhada dos
incidentes?
0
Nota mínima: “Y” para todas as questões mandatórias (M); +1 para “Y” nos demais itens
0
Nível 3.5: Controle de Qualidade
27. Os padrões e outros critérios de qualidade aplicados ao registro dos incidentes e a
M manipulação dos chamados são feitos de forma clara à equipe da Gerência de Incidente?
28. Os Acordos de Nível de Serviço estão disponíveis e são compreendidos pela Gerência
0
M de Incidente?
0
M 29. Are the personnel responsible for incident management suitably trained?
0
30. A empresa ajusta e revê os alvos ou objetivos da Gerência de Incidente?
0
31. Existe ferramentas apropriadas em uso para dar suporte a função da Gerência de
Incidente?
0
Nota mínima: “Y” para todas as questões mandatórias (M); +1 para “Y” nos demais itens
0
Nível 4: Informação Gerencial
32. São gerenciadas as informações referentes a análise de tendência na ocorrência e na
M definição de incidentes?
0
M 33. São gerenciadas as informações referentes aos incidentes escalonados?
0
34. São gerenciadas as informações referentes a porcentagem de incidentes atendidos
dentro do tempo de resposta acordado?
0
35. São gerenciadas as informações referentes a porcentagem de incidentes fechados pelo
Service Desk sem referência a outros níveis de suporte?
0
Nota mínima: “Y” para todas as questões mandatórias (M); + 2 para “Y” nos demais itens
0
Nível 4.5: Integração Externa
36. São realizadas reuniões regulares com o Service Desk para discutir os incidentes
M levantados, em progresso, escalados e fechados?
37. As relações entre o Service Desk e a Gerência de Incidente foram definidas e
M comunicadas?
38. A Gerência de Incidente troca informações com a Gerência de Problema a respeito de
M problemas relacionados e/ou de erros conhecidos?
0
0
0
39. A Gerência de Incidente troca informações com a Gerência de Configuração a respeito
da facilidade de utilização de registros de configuração, das anomalias da configuração e da
potencial sinalização do item de configuração, como por exemplo “falhado” (ou equivalente)?
0
40. A Gerência de Incidente recebe informações da Gerência de Mudança a respeito de
mudanças pendentes nos serviços?
0
41. A Gerência de Incidente troca a informações com a Gerência de Mudança a respeito dos
detalhes de possíveis mudanças para resolver incidentes/problemas particulares?
0
42. A Gerência de Incidente troca informações com a Gerência de Nível de Serviço a
respeito de rupturas em acordos em nível de serviço e nos compromissos de serviço e de
suporte que eles contem?
0
Nota mínima: “Y” para todas as questões mandatórias (M); + 2 para “Y” nos demais itens
0
68
Nível 5: Interface com o Cliente
43. É verificado com o cliente se as atividades executadas pelo Service Desk dão o suporte
M necessário e adequado ao seu negócio?
0
M 44. É verificado com os clientes se eles estão felizes com os serviços fornecidos?
0
M 45. São ativamente monitorados as tendências na satisfação de cliente?
0
M 46. É alimentado na agenda de melhoria do serviço informações obtidas na pesquisa de
0
M 47. É monitorada a percepção de valor que o cliente tem acerca dos serviços fornecidos a
0
satisfação do cliente ?
ele?
Nota mínima: “Y” para todas as questões mandatórias (M)
0