139282791 livro governanca de ti

8/18/2019 139282791 Livro Governanca de TI

1/230

Governança de TIpara concursos

Volume teórico


2/230

Sumário

Sumário

A Série de Volumes Teóricos 6

Prefácio 7

Direitos Autorais 8

Autores 9

Canais de Comunicação 11

1 Princípios de Governança de TI 121.1 Governança Corporativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121.2 Governança de TI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

2 ITIL V3 - Information Technology Infrastructure Library 142.1 Padrões Relacionados à ITIL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

2.1.1 BS 15000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

2.1.2 ISO 20000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172.1.3 COBIT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172.1.4 CMMI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

2.2 Histórico e Principais Diferenças entre as Versões do ITIL . . . . . . . . . . . . . . 182.3 Principais Instituições Envolvidas com a ITIL . . . . . . . . . . . . . . . . . . . . . 202.4 Os Livros da ITIL V3 e as suas Disciplinas . . . . . . . . . . . . . . . . . . . . . . . 21

2.4.1 Service Strategy (Estratégia de Serviço) . . . . . . . . . . . . . . . . . . . . 23Strategy Generation (Geração de Estratégia) . . . . . . . . . . . . . . . . . 25Financial Management (Gerenciamento Financeiro) . . . . . . . . . . . . . 25Service Portfolio Management (Gerenciamento de Portfólio de Serviço) . 25Demand Management (Gerenciamento de Demanda) . . . . . . . . . . . . 26

Principais Papéis e Responsabilidades . . . . . . . . . . . . . . . . . . . . . 262.4.2 Service Design (Desenho de Serviço) . . . . . . . . . . . . . . . . . . . . . . 26

Service Catalogue Management (Gerenciamento de Catálogo de Serviço) 27Service Level Management (Gerenciamento de Nível de Serviço) . . . . . 27Capacity Management (Gerenciamento de Capacidade) . . . . . . . . . . . 28Availability Management (Gerenciamento de Disponibilidade) . . . . . . 28IT Service Continuity Management (Gerenciamento de Continuidade de

Serviço de TI) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29Information Security Management (Gerenciamento da Segurança da In-

formação) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29Supplier Management (Gerenciamento de Fornecedor) . . . . . . . . . . . 30

Principais Papéis e Responsabilidades . . . . . . . . . . . . . . . . . . . . . 30

2www.handbookdeti.com.br

http://www.handbookdeti.com.br/http://www.handbookdeti.com.br/


3/230

Sumário

2.4.3 Service Transition (Transição de Serviço) . . . . . . . . . . . . . . . . . . . 31Transition Planning and Support (Planejamento e Suporte da Transição) . 31Change Management (Gerenciamento de Mudança) . . . . . . . . . . . . . 31Service Asset and Configuration Management (Gerenciamento de Con-

figuração e Ativo de Serviço de TI) . . . . . . . . . . . . . . . . . 32Knowledge Management (Gerenciamento de Conhecimento) . . . . . . . 33Service Validation and Testing (Validação e Teste de Serviço) . . . . . . . . 33Release and Deployment Management (Gerenciamento de Liberação e

Implantação) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33Evaluation (Avaliação) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34Principais Papéis e Responsabilidades . . . . . . . . . . . . . . . . . . . . . 34

2.4.4 Service Operation (Operação de Serviço) . . . . . . . . . . . . . . . . . . . 35Event Management (Gerenciamento de Evento) . . . . . . . . . . . . . . . 35Incident Management (Gerenciamento de Incidente) . . . . . . . . . . . . 36Problem Management (Gerenciamento de Problema) . . . . . . . . . . . . 37

Request Fulfillment (Cumprimento de Requisição) . . . . . . . . . . . . . 38Access Management (Gerenciamento de Acesso) . . . . . . . . . . . . . . . 39Principais Papéis e Responsabilidades . . . . . . . . . . . . . . . . . . . . . 39

2.4.5 Continual Service Improvement (Melhoria Contínua de Serviço) . . . . . 40The 7 Improvement Process (Processo de Melhoria em 7 Etapas) . . . . . . 40Service Measurement (Mensuração de Serviço) . . . . . . . . . . . . . . . . 42Service Reporting (Relatório de Serviço) . . . . . . . . . . . . . . . . . . . . 43Principais Papéis e Responsabilidades . . . . . . . . . . . . . . . . . . . . . 43

2.5 Referências entre Processos e Publicações . . . . . . . . . . . . . . . . . . . . . . . 432.6 Exames e Qualificações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 452.7 Os Principais Conceitos e Ferramentas da ITIL V3 . . . . . . . . . . . . . . . . . . 48

3 COBIT 4.1 - Control Objectives for Information and related Technology 633.1 Framework COBIT 4.1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63

3.1.1 Evolução do COBIT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 643.1.2 Produtos do COBIT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

3.2 Conceitos Básicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 663.2.1 Objetivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66

Objetivos de Negócio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66Objetivos de TI, de Processo e de Atividade . . . . . . . . . . . . . . . . . . 67Objetivos de Controle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67

3.2.2 Critérios de Informação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68

3.2.3 Recursos de TI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 683.2.4 Crontrole Interno . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 693.3 Características do COBIT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70

3.3.1 Foco nos Negócios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 703.3.2 Orientado a Processos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 713.3.3 Baseado em Controles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 723.3.4 Direcionado a Medições . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72

3.4 Estrutura . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 723.5 Domínios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76

3.5.1 Planejar e Organizar (PO) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 763.5.2 Adquirir e Implementar (AI) . . . . . . . . . . . . . . . . . . . . . . . . . . 77

3.5.3 Entregar e Suportar (DS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78




4/230

Sumário

3.5.4 Monitorar e Avaliar (ME) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 803.6 Controles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 803.7 Modelo de Maturidade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 833.8 Medição de Desempenho . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86

3.9 Processos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 883.9.1 Planejar e Organizar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90P01 - Definir um Plano Estratégico de TI . . . . . . . . . . . . . . . . . . . 90P02 - Definir a Arquitetura da Informação . . . . . . . . . . . . . . . . . . . 92PO3 - Determinar as Diretrizes de Tecnologia . . . . . . . . . . . . . . . . . 94PO4 - Definir os Processos, a Organização e os Relacionamentos de TI . . 96PO5 - Gerenciar o Investimento de TI . . . . . . . . . . . . . . . . . . . . . 98PO6 - Comunicar Metas e Diretrizes Gerenciais . . . . . . . . . . . . . . . 100PO7 - Gerenciar os Recursos Humanos de TI . . . . . . . . . . . . . . . . . 102PO8 - Gerenciar a Qualidade . . . . . . . . . . . . . . . . . . . . . . . . . . 104PO9 - Avaliar e Gerenciar os Riscos de TI . . . . . . . . . . . . . . . . . . . 106

PO10 - Gerenciar Projetos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1083.9.2 Adquirir e Implementar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110AI1 - Identificar Soluções Automatizadas . . . . . . . . . . . . . . . . . . . 110AI2 - Adquirir e Manter Software Aplicativo . . . . . . . . . . . . . . . . . 112AI3 - Adquirir e Manter Infraestrutura de Tecnologia . . . . . . . . . . . . 114AI4 - Habilitar Operação e Uso . . . . . . . . . . . . . . . . . . . . . . . . . 116AI5 - Adquirir Recursos de TI . . . . . . . . . . . . . . . . . . . . . . . . . . 118AI6 - Gerenciar Mudanças . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120AI7 - Instalar e Homologar Soluções e Mudanças . . . . . . . . . . . . . . 122

3.9.3 Entregar e Suportar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124DS1 - Definir e Gerenciar Níveis de Serviços . . . . . . . . . . . . . . . . . 124

DS2 - Gerenciar Serviços Terceirizados . . . . . . . . . . . . . . . . . . . . . 126DS3 - Gerenciar o Desempenho e a Capacidade . . . . . . . . . . . . . . . 128DS4 - Assegurar a Continuidade dos Serviços . . . . . . . . . . . . . . . . 130DS5 - Garantir a Segurança dos Sistemas . . . . . . . . . . . . . . . . . . . 132DS6 - Identificar e Alocar Custos . . . . . . . . . . . . . . . . . . . . . . . . 134DS7 - Educar e Treinar os Usuários . . . . . . . . . . . . . . . . . . . . . . . 136DS8 - Gerenciar a Central de Serviço e os Incidentes . . . . . . . . . . . . . 138DS9 - Gerenciar a Configuração . . . . . . . . . . . . . . . . . . . . . . . . . 140DS10 - Gerenciar Problemas . . . . . . . . . . . . . . . . . . . . . . . . . . . 142DS11 - Gerenciar os Dados . . . . . . . . . . . . . . . . . . . . . . . . . . . 144DS12 - Gerenciar o Ambiente Físico . . . . . . . . . . . . . . . . . . . . . . 146

DS13 - Gerenciar as Operações . . . . . . . . . . . . . . . . . . . . . . . . . 1483.9.4 Monitorar e Avaliar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150ME1 - Monitorar e Avaliar o Desempenho de TI . . . . . . . . . . . . . . . 150ME2 - Monitorar e Avaliar os Controles Internos . . . . . . . . . . . . . . . 152ME3 - Assegurar a Conformidade com Requisitos Externos . . . . . . . . 154ME4 - Prover Governança de TI . . . . . . . . . . . . . . . . . . . . . . . . 156

4 Normas para Qualidade de Software 1594.1 Conceitos Básicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1594.2 Normas da ISO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160

4.2.1 ISO 9000:2000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160

4.2.2 ISO 9001:2000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161




5/230

Sumário

4.2.3 ISO/IEC 12207 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1624.2.4 ISO/IEC 15504 (SPICE) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165

4.3 CMMI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1704.3.1 Histórico e Objetivos do CMMI . . . . . . . . . . . . . . . . . . . . . . . . . 170

4.3.2 Conceitos Básicos de CMMI . . . . . . . . . . . . . . . . . . . . . . . . . . . 1724.3.3 Representação Contínua . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173Gerenciamento de Processos . . . . . . . . . . . . . . . . . . . . . . . . . . 174Gerenciamento de Projetos . . . . . . . . . . . . . . . . . . . . . . . . . . . 174Engenharia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175Suporte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175

4.3.4 Representação em Estágios . . . . . . . . . . . . . . . . . . . . . . . . . . . 1754.3.5 Comparação entre as Formas de Representação . . . . . . . . . . . . . . . 1784.3.6 Constelações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179

4.4 MPS.Br . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1844.4.1 MR-MPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185

4.4.2 MA-MPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1894.4.3 MN-MPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190

5 Tópicos Especiais em Governança de TI 1925.1 Arquitetura Corporativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192

5.1.1 Framework Zachman . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1935.1.2 The Open Group Architecture Framework (TOGAF) . . . . . . . . . . . . 1955.1.3 Federal Enterprise Architecture (FEA) . . . . . . . . . . . . . . . . . . . . . 1985.1.4 Metodologia Gartner . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199

5.2 Marcos de Regulação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2005.2.1 Foreign Corrupt Practices Act of 1977 (FCPA) . . . . . . . . . . . . . . . . 2005.2.2 Lei Sarbanes-Oxley . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2015.2.3 Acordo de Basileia II e a Resolução 3380/2006 do CMN . . . . . . . . . . . 203

5.3 Arquitetura de Controle Interno . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2045.3.1 Frameworks de controles internos . . . . . . . . . . . . . . . . . . . . . . . 2045.3.2 COSO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205

5.4 Metodologias para Outsourcing de TI . . . . . . . . . . . . . . . . . . . . . . . . . 2085.4.1 eSCM-SP - eSourcing Capability Model for Service Providers . . . . . . . 2095.4.2 eSCM-CL - eSourcing Capability Model for Clients . . . . . . . . . . . . . 2115.4.3 SAS 70 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212

5.5 Metodologias de Qualidade e Desempenho . . . . . . . . . . . . . . . . . . . . . . 2135.5.1 Seis Sigma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213

5.5.2 BSC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2165.6 Outros Frameworks de Governança em TI . . . . . . . . . . . . . . . . . . . . . . . 2185.6.1 ISO/IEC 38500 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2185.6.2 Val IT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220

Índice Remissivo 226




6/230

A Série de Volumes Teóricos

A Série de Volumes Teóricos

O Grupo Handbook de TI existe desde 2005, e desde então os nossos materiais didáticos já al-cançaram mais de 500 cidades espalhadas por todo o território nacional. O pioneirismo dessetrabalho auxiliou concurseiros de TI dos mais diversos perfis e necessidades. Para os que es-tavam no início da jornada de preparação, tais materiais serviram como guia inicial de estudopara os assuntos mais importantes. Para os que buscavam revisar conteúdos já conhecidos, osHandbooks trabalharam como aceleradores.

Com o nosso primeiro produto, o Handbook de TI para Concursos - O Guia Definitivo, levamos aoscandidatos mais de 550 páginas do que havia de mais relevante a ser estudados para concursosna área de TI. Na sequência, trouxemos as séries Handbook de Questões de TI Comentadas paraConcursos – Além do Gabarito e Handbook de Questões de TI Comentadas para Concursos – Divididas

por Assunto, ambas com centenas de questões comentadas em detalhes, ou, como costumamosdizer, comentadas além do gabarito.

Porém os desafios dos concursos de TI permanecem em mutação. Diante disso, para com-plementar o nosso portfólio e deixar o seu arsenal ainda mais forte, trazemos agora a série

Handbook de TI - Volumes Teóricos, cuja estruturação e conteúdo são frutos de uma rigorosaanálise de editais dos concursos de TI mais atuais.

Serão diversos volumes teóricos que trarão, em nível de detalhe apropriado para os concur-seiros, sínteses teóricas sobre assuntos como Governança de TI, Segurança da Informação, Sis-temas Operacionais e muitos outros também de grande importância. Esperamos que a série

Handbook de TI - Volumes Teóricos lhe auxilie ainda mais a alcançar a sua vaga e os seus objetivos.

Bons estudos,

Grupo Handbook de TI




7/230

Prefácio

Prefácio

Segundo o IT Governance Institute, Governança de TI é uma parte integral da GovernançaCorporativa e é formada pela liderança, estruturas organizacionais e processos que garantemque a TI sustente e melhore a estratégia das organizações, permitindo que elas alcancem seusobjetivos. Em termos práticos, a governança de TI engloba a adoção de padrões de mercado,como ITIL, Cobit, CMMI, BSC, entre outros.

Compreender esses padrões e ser capaz de implementá-los nas organizações públicas e pri-vadas têm se tornado requisitos básicos para os profissionais da área de TI. Por isso, em quasetodos os concursos públicos na área de TI têm sido exigidos conhecimentos de ITIL, Cobit,entre outros padrões de mercado.

Para suprir essa necessidade, o Grupo Handbook de TI preparou este volume, trazendo edetalhando os principais temas em governança de TI para você se preparar ainda melhor paraas provas do seu interesse.

Bons estudos,





8/230

Direitos Autorais

Direitos Autorais

Este material é registrado no Escritório de Direitos Autorais (EDA) da Fundação BibliotecaNacional. Todos os direitos autorais referentes a esta obra são reservados exclusivamente aosseus autores.

Os autores deste material não proíbem seu compartilhamento entre amigos e colegas próxi-mos de estudo. Contudo, a reprodução, parcial ou integral, e a disseminação deste material deforma indiscriminada através de qualquer meio, inclusive na Internet, extrapolam os limitesda colaboração. Essa prática desincentiva o lançamento de novos produtos e enfraquece a co-munidade concurseira Handbook de TI.

A série Handbook de TI – Volumes Teóricos é uma produção independente e contamos com vocêpara mantê-la sempre viva.





9/230

Autores

Autores

O Grupo Handbook de TI garante a alta qualidade do conteúdo produzido através de umaequipe de autores altamente capacitada, que inclui profissionais de peso que mesclam vastoconhecimento prático e acadêmico. Na linha de frente da operação e produção do GrupoHandbook de TI, estão os seguintes profissionais:

André Camatta

André Camatta é Engenheiro de Computação pela Universidade Federal do Espírito Santo,e atualmente trabalha como Analista de Sistemas no BNDES. Atuou também por 2 anos comoAnalista de Sistemas da Petrobras, administrando sistemas SAP. André tem ótimos conheci-mentos nas áreas de programação, desenvolvimento de sistemas e de banco de dados. Andréé um dos fundadores do Grupo Handbook de TI.

Bruno Zanetti

Bruno é Engenheiro de Computação e Mestre em Engenharia Elétrica pela Universidade Fed-eral do Espírito Santo. Bruno é especialista em computação de alto desempenho, busca e clas-sificação automática de informações, e atualmente é um integrante do braço acadêmico doGrupo Handbook de TI. Bruno é um dos fundadores do Grupo Handbook de TI.

Diogo Gobira

Diogo Gobira é Engenheiro de Computação pela Universidade Federal do Espírito Santo, eatualmente trabalha como Analista de Sistemas no BNDES. Atuou também como Analista deSistemas na Petrobras por 2 anos, gerenciando projetos corporativos de Segurança da Infor-mação e Integração de Sistemas. Diogo possui ótimos conhecimentos em redes, segurança dainformação e integração de sistemas. Diogo é um dos fundadores do Grupo Handbook de TI.

Felipe Thomaz

Felipe Thomaz é Engenheiro e Mestre em Computação pela Universidade Federal do EspíritoSanto, sendo especialista nas áreas de arquitetura de computadores e sistemas operacionaise, atualmente, trabalha como Engenheiro de Desenvolvimento de Produto na Embraer. Temvasto conhecimento em computação de alto desempenho e é pesquisador em diversas áreasde TI. Assim como Bruno, Felipe compõe o braço acadêmico do Grupo Handbook de TI.

Ricardo Vargas

Ricardo Vargas é Engenheiro de Computação e Mestre em Engenharia Elétrica pela Universi-




10/230

Autores

dade Federal do Espírito Santo. Atualmente, trabalha como Analista de Sistemas da Petrobras.Possui vasto conhecimento nas áreas de programação e administração de clusters. No GrupoHandbook, Ricardo desempenha o papel fundamental de editor, sendo responsável pela im-plementação de processos de melhoria contínua nos materiais publicados.




11/230


12/230

Capítulo 1. Princípios de Governança de TI

Capítulo 1

Princípios de Governança de TI

1.1 Governança Corporativa

Governança é o conjunto de processos, costumes, políticas, leis, regulamentos e instituiçõesque regulam o funcionamento de um sistema. Quando este sistema é uma empresa, é comuma utilização da expressão governança corporativa. A governança corporativa diz respeito, por-tanto, à maneira como uma empresa é administrada, tendo como pilares:

• Transparência: A informação deve ser prestada às partes interessadas pelo desejo deinformar, e não apenas pelo cumprimento de exigência legal ou estatutária. Esse princí-pio defende ainda que a informação vá além das demonstrações econômico-financeiras,atingindo também atitudes que norteiam ações gerenciais que possam conduzir à ger-ação de valor da organização.

•

Equidade: Esse princípio se estabelece para evitar qualquer ação discriminatória e acerteza de tratamento justo entre as partes relacionadas.

• Prestação de Contas: Os agentes que estão à frente da Governança (sócios, diretores,conselheiros de administração, auditores, administradores em geral) estão obrigados aprestar contas por sua atuação, sendo totalmente responsáveis por seus atos ou omissões.

• Responsabilidade Corporativa: Esse princípio propõe que cada um faça a sua parte paraum mundo melhor, orientando as organizações que projetem suas ações incorporandoconsiderações de ordem social e ambiental na definição dos seus negócios e operações.

1.2 Governança de TIA governança corporativa, por sua vez, pode ter derivações. A Governança Tecnológica, ouGovernança de TI, é uma delas, englobando a gestão tecnológica e das informações de formaalinhada aos objetivos estratégicos das empresas.

Segundo Peter Weill e Jeanne Ross, autores de “Governança de TI”, em virtude deste fortealinhamento a estratégia da empresa, uma boa estrutura de governança de TI deve ser capazde responder as seguintes questões:

• Os investimentos em TI estão gerando retorno para a empresa?

• Como garantir o uso e a gestão apropriada dos recursos de TI?




13/230

Capítulo 1. Princípios de Governança de TI

• Quem deve tomar as decisões de TI na empresa?

• Como as decisões de TI devem ser tomadas e monitoradas?

Já em termos mais práticos, João Peres define Governança de TI da seguinte forma:

Governança de TI é um conjunto de práticas, padrões e relacionamentos estruturados, assumidos porexecutivos, gestores, técnicos e usuários de TI de uma organização, com a finalidade de garantir con-troles efetivos, ampliar os processos de segurança, minimizar os riscos, ampliar o desempenho, otimizara aplicação de recursos, reduzir os custos, suportar as melhores decisões e conseqüentemente alinhar TI aos negócios.

Para permitir que as organizações construam seus sistemas de governança de TI, desenvolveram-se uma grande quantidade de frameworks voltados para a governança de TI, alguns maisgenéricos, outros focados em segmentos de TI específicos. Entre a grande “sopa de letrinhas”com a qual você irá se deparar ao estudar governança de TI, merecem destaque os “padrões”

COBIT, ITIL, CMMI, MPS.BR, e outras que serão abordados com mais detalhes neste Volume.




14/230

Capítulo 2. ITIL V3 - Information Technology Infrastructure Library

Capítulo 2

ITIL V3 - Information TechnologyInfrastructure Library

ITIL (Information Technology Infrastructure Library) é o modelo de referência público paragerenciamento de serviços de TI mais aceito mundialmente nos dias de hoje. Ela é um conjuntode boas práticas recomendadas a serem aplicadas no desenvolvimento, na infraestrutura, naoperação e na manutenção de serviços de TI em geral. Cabe ressaltar que esse conjunto de boaspráticas foi compilado a partir de experiências práticas de organizações, privadas e públicas,de todo o mundo.

É importante ter sempre em mente que a ITIL não pode ser classificada como uma metodolo-gia. Portanto, não seria correto se referir a qualquer empresa como “conforme” em relação àITIL. Essa biblioteca como um todo estabelece um conjunto de recomendações que podem serintegral ou parcialmente seguidas. Ou seja, não há de qualquer forma estabelecido nenhum

conjunto mínimo de determinações que devem ser respeitadas. É justamente por isso que nãohá nenhum processo de certificação oficial associado diretamente à ITIL aplicado a empresasou instituições.

Antes de prosseguirmos com o assunto, é interessante conhecermos duas definições formais:

• Serviço de TI: “é um meio para entregar valor aos clientes, propiciando os resultadosque eles queiram alcançar sem que eles tenham que assumir custos e riscos específicos.”;

• Gerenciamento de Serviços de TI: “é um conjunto de capacidades organizacionais es-pecíficas (processos, métodos, funções, papéis e atividades) para prover valor aos clientessob a forma de serviços.”.

A ITIL foi desenvolvida no final dos anos 80 pela CCTA (Central Computer and Telecom-munications Agency) e atualmente está sob custódia da OGC (Office for Government Com-merce), ambas instituições inglesas. O objetivo inicial era disciplinar e facilitar a comparaçãoentre as diversas propostas de prestadores de serviços de TI do governo britânico. Na ver-dade, antes dela receber este nome, ela era chamada de Government Information TechnologyInfrastructure Management.

Esse modelo de referência busca promover gestão com foco no cliente e na qualidade dosserviços de TI. A ITIL endereça estruturas de processos para a gestão de uma organização deTI, apresentando um conjunto abrangente de processos e procedimentos gerenciais, organiza-

dos em disciplinas, com os quais uma organização pode fazer sua gestão tática e operacional




15/230


em vista de alcançar o alinhamento estratégico com os seus negócios. Essa biblioteca tambémoferece uma descrição detalhada sobre importantes práticas de IT, como checklists, tarefas eprocedimentos, que qualquer organização de IT pode adotar e adaptar, tendo em vista as suasnecessidades específicas. Os conceitos, processos e ferramentas propostos são genéricos, po-

dendo ser utilizados por qualquer empresa de TI, seja ela pública ou privada, de grande oupequeno porte.

Ao ler este Capítulo, é possível perceber que ITIL é um tema muito vasto e rico. Informaçõesadicionais a respeito de aspectos específicos podem ser buscadas nos próprios livros da ITIL.Esses materiais são vendidos em livrarias, principalmente as on-line, ou no website oficial daITIL: http://www.itil-officialsite.com. Em geral, tais livros não são facilmente en-contrados em livrarias físicas por conta dos seus preços, que são relativamente altos. Contudo,certamente são eles que têm todos os termos e definições relacionados à ITIL, inclusive osmenos utilizados, comentados e famosos. Na Figura 2.1, são apresentadas as capas dos livrosoficiais da ITIL V3.


http://www.itil-officialsite.com/http://www.itil-officialsite.com/http://www.handbookdeti.com.br/http://www.handbookdeti.com.br/http://www.itil-officialsite.com/


16/230


Figura 2.1: capas dos livros oficiais da ITIL V3.




17/230


2.1 Padrões Relacionados à ITIL

Desde os anos 90, ITIL é considerada “Padrão de Fato”. Ou seja, o próprio mercado de serviçosde TI passou a adotar, sem nenhum tipo de imposição governamental ou algo do gênero, essa

biblioteca e as suas recomendações de boas práticas. Em relação a padrões relacionados à ITIL,podemos citar:

2.1.1 BS 15000

A sigla BS significa British Standard (Padrão Britânico). Este foi o primeiro padrão elaboradoexclusivamente para gerenciamento de serviços de TI, lançado em 2005. Ele descreve um con-

junto de processos para uma efetiva entrega de serviços ao negócio e aos seus clientes. Ele écomposto pelo BS 15000-1 e pelo BS 15000-2.

O primeiro é a parte certificável deste padrão. Ou seja, é ele que contém a especificação dosrequisitos mínimos a serem cumpridos pelas instituições que buscam estar conformes em re-lação a este padrão. Já o BS 15000-2 é tido como um documento para as instituições utilizaremdurante as suas preparações para o processo de certificação dentro do escopo do BS 15000-1.Assim como a ITIL, o BS 15000-2 também traz uma série de boas práticas para gerenciamentode serviços de TI.

2.1.2 ISO 20000

Em 2006 o padrão BS 15000 foi submetido à ISO (International Organization for Standard-ization), dando origem ao ISO 20000. Com isso, de certa forma, o BS 15000 passou a ser umpadrão mundial.

Assim como no padrão britânico, o ISO 20000 é composto por dois volumes: ISO 20000-1(sucessor do BS 15000-1) e ISO 2000-2 (sucessor do BS 15000-2). As suas últimas revisões sederam, respectivamente, em 2011 e 2005.

A forma mais fácil de se obter o padrão ISO 20000 é no próprio website oficial da instituição:http://www.iso.org. Esse padrão completo pode ser adquirido por, aproximadamente,U$ 300.

2.1.3 COBIT

COBIT é um framework para governança de TI. Ele foi elaborado e continua sendo mantido

pela ISACA (Information Systems Audit and Control Association), que foi fundada nos EUAem 1967. O website oficial da ISACA é o www.isaca.org.

O COBIT é destinado primordialmente a auditores, sejam eles internos ou externos. Issoporque ele enfatiza o que pode ser auditado e como isso pode ser feito. Ele não norteia deforma detalhada os profissionais que operam de fato os processos auditáveis.

É importante perceber que o COBIT e a ITIL não são publicações concorrentes, nem mesmomutuamente excludentes. Elas podem ser utilizadas em conjunto pela organização. A ITILprovê as melhores práticas para o gerenciamento e a melhoria continua dos processos desti-nados à entrega de serviços de TI de alta qualidade. Já o COBIT provê um guia de como os


http://www.iso.org/http://www.isaca.org/http://www.handbookdeti.com.br/http://www.handbookdeti.com.br/http://www.isaca.org/http://www.iso.org/


18/230


processos devem ser auditados e avaliados no intuito de se verificar se tais processos estãosendo operacionalizados a contento, gerando o máximo de benefícios à organização.

2.1.4 CMMI

CMMI (Capability Maturity Model Integration) é um modelo de maturidade proprietário de-senvolvido pela Software Engineering Institute (SEI), um órgão da Carnegie Mellon Univer-sity. Essa universidade fica nos EUA. Ela mantém um website com mais informações sobre oCMMI: www.sei.cmu.edu/cmmi.

Apesar do CMMI e da ITIL tratarem de assuntos com vários pontos de interseção, entende-se que eles também não são mutuamente excludentes. O CMMI provê as melhores práticasaplicadas aos processos de desenvolvimento, manutenção e integração de sistemas computa-cionais. Já a ITIL provê as melhores práticas para o gerenciamento e a melhoria continua dosprocessos, mais relacionados à infraestrutura de TI (software e hardware), destinados a en-trega de serviços de TI de alta qualidade.

Perceba, portanto, que enquanto o foco do CMMI é auxiliar a organização a ganhar cada vezmais competência e experiência em como desenvolver, manter e integrar sistemas; o foco daITIL é auxiliar o alinhamento de todos os processos de TI em relação aos processos da área denegócio da organização.

2.2 Histórico e Principais Diferenças entre as Versões do ITIL

A sua primeira versão, denominada ITIL Original, durou de 1986 até 1999. Ao longo da suaexistência, ela chegou a ser composta por cerca de 40 livros. Essa é a razão do termo “bib-

lioteca”.

A sua segunda versão (ITIL V2) durou de 1999 até 2007. O foco principal dessa revisão foia consolidação das publicações anteriores em conjuntos lógicos que agrupam os processosrelacionados aos diferentes aspectos do gerenciamento de TI. O conjunto de Gerenciamento deServiço de TI (Service Support e Service Delivery) é o mais conhecido e aplicado. Contudo,a biblioteca provê um conjunto de melhores práticas bem mais extenso, que alcança tambémo gerenciamento estratégico, de operações e até mesmo financeiro. Os sete principais livros(volumes) da versão 2 da ITIL são:

• Grupo de Gerenciamento de Serviço de TI

1. Service Delivery (Entrega de Serviço)

2. Service Support (Suporte de Serviço)

• Grupo de Guias Operacionais

3. ICT Infrastructure Management (Gerenciamento de Infraestrutura de TI e Comu-nicações)

4. Security Management (Gerenciamento de Segurança)

5. The Business Perspective (A Perspectiva do Negócio)

6. Application Management (Gerenciamento de Aplicação)

7. Software Asset Management (Gerenciamento de Recursos de Software)


http://www.sei.cmu.edu/cmmihttp://www.sei.cmu.edu/cmmihttp://www.handbookdeti.com.br/http://www.handbookdeti.com.br/http://www.sei.cmu.edu/cmmi


19/230


Visando auxiliar a implementação das melhores práticas sugeridas pela ITIL, um novo livrofoi publicado posteriormente.

8. Planning to Implement Service Management (Planejamento para a Implementaçãoda Gestão de Serviço)

Sem dúvida, os dois livros (volumes) mais importantes da ITIL V2 são: Service Support eService Delivery. Abaixo estão listadas as suas disciplinas (processos):

• Service Support (Suporte de Serviço)

– Incident Management (Gerenciamento de Incidente)

– Problem Management (Gerenciamento de Problema)

– Configuration Management (Gerenciamento de Configuração)

– Change Management (Gerenciamento de Mudança)

– Release Management (Gerenciamento de Liberação)

• Service Delivery (Entrega de Serviço)

– Service Level Management (Gerenciamento de Nível de Serviço)

– Financial Management (Gerenciamento Financeiro)

– Availability Management (Gerenciamento de Disponibilidade)

– Capacity Management (Gerenciamento de Capacidade)

– Service Continuity Management (Gerenciamento de Continuidade de Serviço)

A Figura 2.2 sintetiza as interfaces entre os volumes da ITIL V2 e também os relacionamentosentre eles, o negócio e a própria tecnologia da informação.

Figura 2.2: interfaces entre os volumes da ITIL V2.

Em dezembro de 2005, a OGC anunciou uma nova revisão da biblioteca, denominada ITIL V3,que se tornou disponível em maio de 2007. Essa mais nova versão reorganiza os processos em

função das 5 fases do ciclo de vida de serviço TI. A saber:




20/230


• Service Strategy (Estratégia de Serviço), com 4 processos

• Service Design (Desenho de Serviço), com 7 processos

• Service Transition (Transição de Serviço), com 7 processos

• Service Operation (Operação de Serviço), com 5 processos

• Continual Service Improvement (Melhoria Contínua de Serviço), com 3 processos

As principais novidades da versão 3 em relação à versão anterior são:

• abordagem mais clara de TI como serviço;

• reorganização dos processos ao longo das fases do ciclo de vida de serviço TI;

• casamento de um ciclo de melhoria contínua dos serviços (PDCA) com as próprias fasesdo ciclo de vida de serviço;

• o núcleo passou a ser os processos da fase Service Strategy, deixando de ser os processosdo Grupo de Gerenciamento de Serviço de TI. Compare as Figuras 2.2 e 2.3.

2.3 Principais Instituições Envolvidas com a ITIL

Como já foi mencionado, a ITIL é mantida pela Office for Government Commerce. Essa in-stituição assegura, em alto nível, a qualidade da estrutura atual e futura da ITIL. Além dessainstituição, há outras envolvidas com o tema de gerenciamento de serviços de TI.

APM Group Ltd

Após o lançamento da versão 3 da ITIL, a OGC responsabilizou o APM Group por definir ospadrões dos exames, os provedores de treinamento, os instrutores e os próprios materiais detreinamento. Além disso, a APM Group também passou a definir as instituições examinadores.São as instituições examinadores que têm os instrutores e executam de fato os treinamentos eexames.

Atualmente, há várias instituições examinadores certificadas:

• APMG-International

•

BCS-ISEB• CERT-IT

• CSME

• DANSK IT

• DF Certifiering AB

• EXIN

• Loyalist Certification ServicesLoyalist Certification Services

• PEOPLECERT Group




21/230


• TUV SUD Akademie

itSMF

O Fórum de Gerenciamento de Serviço de TI (itSMF) foi criado na própria Inglaterra em 1991.A partir daí “filiais” foram sendo abertas em vários países do globo, por exemplo: África doSul, Alemanha, Austrália, Áustria, Bélgica, Brasil, EUA, Holanda e Suíça. Cada “filial” é legal-mente independente das demais.

O itSMF busca promover experiências que permitem as organizações de TI melhorarem osseus serviços. Ele organiza congressos, encontros técnicos e outros eventos ligados a gerenci-amento de serviços de TI. Cabe ressaltar que o itSMF é uma organização independente e semfins lucrativos. Ele representa atualmente uma rede com mais de 6000 instituições e 40000profissionais membros.

2.4 Os Livros da ITIL V3 e as suas DisciplinasSão descritas nesta Seção todas as 26 disciplinas (processos) da terceira versão da ITIL. Emgeral, o próprio nome do processo já revela o seu principal objetivo. Por conta disso, as de-scrições dos processos são breves e objetivas.

Como já foi comentado na Seção anterior, praticamente todas as disciplinas e conceitos forampouco alterados ao longo das 3 versões existentes até então. Em geral, as definições e práticassugeridas nos processos da ITIL v2 estão alinhadas respectivamente com as novas publicaçõesna versão 3. Por conta disso, todas a abordagens a partir deste ponto são feitas em relação àvisão organizacional da ITIL V3.

A Figura 2.3 resume em formato gráfico os relacionamentos entre as 5 fases (livros) do ciclo devida de serviço de TI. Como se pode perceber também nessa figura, a ITIL V3 traz além dos 5livros outras publicações e serviços de suporte na web.




22/230


Figura 2.3: resumo gráfico dos livros da ITIL V3. Figura retirada do documento

itSMF_ITILV3_Intro_Overview.pdf, disponível em http://www.itsmfi.org.


http://www.itsmfi.org/http://www.handbookdeti.com.br/http://www.handbookdeti.com.br/http://www.itsmfi.org/


23/230


A Figura 2.4 também ajuda muito no entendimento da estrutura da ITIL V3. Nela pode-sevisualizar como são as interações entre as fases do ciclo de vida de serviço de TI e o próprionegócio. Em resumo, é possível identificar o seguinte fluxo a partir desse diagrama.

Figura 2.4: relacionamento entre as fases do ciclo de vida de serviço e o próprio negó-cio. Figura retirada do documento itSMF_ITILV3_Intro_Overview.pdf, disponível em http://www.itsmfi.org.

O ciclo de vida inicia a partir de requisições do negócio. Essas requisições são identificadase acordadas durante a fase de Service Strategy no chamado Service Level Package (SLP). OSLP é passado como entrada da próxima fase do ciclo (Service Design), onde as soluções de

serviços e o Service Design Package (SDP) são desenvolvidos. O SDP por sua vez é entregueà fase de Service Transition. Nesse ponto o serviço é avaliado, testado e validado. O ServiceKnowledge Management System (SKMS) é atualizado e o serviço é transferido para o ambi-ente de produção, quando inicia então a fase de Service Operation. Sempre que possível, emqualquer uma das fases do ciclo, a Continual Service Improvement identifica oportunidadesde melhorias dos pontos fracos ou de falha.

2.4.1 Service Strategy (Estratégia de Serviço)

O Volume Service Strategy fornece orientações sobre como projetar, desenvolver e implemen-tar a gestão de serviços de TI, não apenas como uma capacidade organizacional, mas também

como um ativo estratégico da organização como um todo. São fornecidas orientações sobre os


http://www.itsmfi.org/http://www.itsmfi.org/http://www.handbookdeti.com.br/http://www.handbookdeti.com.br/http://www.itsmfi.org/http://www.itsmfi.org/


24/230


princípios subjacentes à prática da gestão de serviço que são úteis para o desenvolvimento depolíticas de gestão de serviços, diretrizes e procedimentos em todo o ciclo de vida do serviço.

Service Strategy é consideravelmente útil no contexto da Service Design, Service Transition,

Service Operation, e Continual Service Improvement. Como se trata da primeira fase do ciclode vida de serviço, as decisões tomadas em relação à Service Strategy têm consequências delongo alcance, incluindo aquelas com efeito retardado.

As organizações podem utilizar as orientações da Service Strategy a fim de definir objetivos eexpectativas de desempenho para servir os clientes e o mercado, e também para identificar, se-lecionar e priorizar oportunidades. Service Strategy consiste em garantir que as organizaçõesestão em uma posição para lidar com os custos e os riscos associados aos seus portfólios deserviços de TI, e estão posicionadas não apenas para a eficácia operacional, mas também paraum desempenho distinto.

Em última instância, este volume fomenta a reflexão e a definição de questões da seguintenatureza:

• quais serviços devem ser oferecidos?

• para quais clientes os serviços serão oferecidos?

• como se diferenciar em um mercado competitivo?

• como criar valor para esses clientes?

• como fazer com que eles percebam o valor criado?

• como desenvolver planos de negócio para obter capacidades e recursos necessários aosserviços?

• como otimizar a alocação desses recursos?

• como medir o desempenho dos serviços?

Perceba que a Service Strategy expande de certa forma o âmbito da estrutura da ITIL além datradicional platéia de profissionais de TI.

Este volume utiliza alguns termos e conceitos específicos. Conhecê-los é importante.

4 Ps da Estratégia de Serviço

• perspective (perspectiva): direcionamento e visão estratégica;

• position (posição): estratégia de diferenciação;

• plan (plano): tradução da estratégia para operação;

• pattern (padrão): características essenciais dos serviços.

Valor do Serviço

Entende-se que o valor do serviço é composto por:




25/230


• Service Utility (Utilidade do Serviço): mede o quão o serviço é adequado em relação aoseu propósito;

• Service Warranty (Garantia do Serviço): mede o quão o serviço é adequado em relaçãoao seu uso (disponibilidade, capacidade, continuidade e segurança).

Há 3 Tipos de Provedores de Serviço

• Tipo 1: interno, atende uma única unidade do negócio;

• Tipo 2: interno, atende várias unidades do negócio;

• Tipo 3: externo, atende várias organizações.

Há 3 Modelos de Provimento de Serviço

• managed (gerenciado): totalmente custeado por uma unidade de negócio, que controlao serviço;

• shared (compartilhado): custos rateados por várias unidades;

• utility (utilitário): serviços providos (e pagos) sob demanda.

A Service Strategy é composta por 4 processos, que são resumidos a seguir.

Strategy Generation (Geração de Estratégia)

Este processo provê um guia de planejamento estratégico de como elaborar, desenvolver e im-plementar gerenciamento de serviços de TI. Ele é um processo conceitual que auxilia as organi-zações a promoverem um melhor alinhamento entre as necessidades de negócio e os serviços

de TI. Além disso, a Strategy Generation também aborda boas práticas para desenvolvimentoe otimização dos recursos e capacidades de TI.

Financial Management (Gerenciamento Financeiro)

Financial Management cobre as atividades relacionadas à gestão de orçamento. Esse gerencia-mento possibilita a quantificação, em termos financeiros, dos valores dos serviços de TI presta-dos ao negócio. São quantificados e demonstrados também os custos operacionais dessesserviços.

Service Portfolio Management (Gerenciamento de Portfólio de Serviço)

Service Portfolio Management envolve a gestão pró-ativa do investimento em todo o ciclo devida do serviço, incluindo os serviços no conceito, no design e no pipeline de transição. Ele éum processo contínuo que inclui:

• definição: garantir oportunidades de negócios, construir e atualizar portfólio;

• análise: maximizar valor do portfólio, alinhar, priorizar e balancear produção/demanda;

• aprovação: finalizar portfólio proposto, autorizar serviços e recursos;

• formalização: comunicar decisões, alocar recursos.

Cabe ressaltar que a proposta de se gerenciar serviço como um portfólio passou a ser feita na

versão 3 da ITIL. As suas versões anteriores não englobavam esse conceito.




26/230


Demand Management (Gerenciamento de Demanda)

Sempre que uma demanda é mal gerida, os riscos dela resultar em uma prestação de serviçocom qualidade inferior passam a ser mais altos. Serviços sub-dimensionados quase sempresão de baixa qualidade. Já os serviços sobre-dimensionados acarretam em custos elevados.

Por esses motivos o Demand Management é considerado um ponto chave do processo deprestação de serviços de TI como um todo.

A ideia central do Demand Management é relacionar as demandas dos usuários pelos serviçoscom os aprovisionamentos de capacidade. Com esse relacionamento, os ajustes necessáriospara uma melhor prestação de serviço são mais perceptíveis.

Principais Papéis e Responsabilidades

Os principais papéis e responsabilidades definidos no Volume Estratégia de Serviço são:

• Business Relationship Manager (BRM): responsável por estabelecer o relacionamentoentre a área de TI e o negócio. É indicado que este papel seja executado por alguém quetenha pleno conhecimento dos processos e das necessidades do negócio. Em algumasorganizações ele pode ser conhecido também como Account Manager;

• Chief Sourcing Officer (CSO): responsável por estabelecer a estratégia de contrataçãode serviços terceirizados;

• Financial Manager: responsável por gerenciar o orçamento do provedor de serviços deTI;

• IT Steering Group (ISG): responsável por estabelecer a estratégia para os serviços de TI.

Geralmente esse grupo inclui membros do negócio e da área de TI. Outras duas respons-abilidades atribuídas ao ISG são: alinhar as estratégias do negócio com as da área de TI eestabelecer prioridades em relação ao desenvolvimento de novos projetos e programas;

• Product Manager (PM): responsável por desenvolver e gerenciar os serviços ao longodos seus ciclos de vida;

• Service Portfolio Manager: responsável por definir a estratégia de prestação de serviçosde TI em conjunto com o ISG.

2.4.2 Service Design (Desenho de Serviço)

O Volume Service Design fornece orientações para a concepção e o desenvolvimento de serviçosde TI. Ele também orienta sobre os processos de gestão de serviços. Nele são cobertos os princí-pios de design e os métodos para a conversão de objetivos estratégicos em portfólios e bens deserviços.

O âmbito do Service Design não se limita a novos serviços. Ele inclui também as melhoriasnecessárias para se aumentar ou manter o valor dos serviços de TI percebidos pelos clientes.Em resumo, ele guia as organizações sobre como desenvolver capacidades de design paragestão de serviços.

O principal conceito específico deste volume é descrito a seguir.




27/230


4 Ps do Desenho de Serviço

Diz-se que a eficiência do Service Design depende de quatro quesitos. São eles:

• people: pessoas e suas habilidades e competências;

• products: produtos tecnológicos e sistemas de gerenciamento;

• processes: processos e os seus papéis e responsabilidades;

• partners: fabricantes, fornecedores e colaboradores.

O Service Design é composto por 7 processos, que são resumidos a seguir.

Service Catalogue Management (Gerenciamento de Catálogo de Serviço)

Catálogo de Serviço é um documento que contém além da lista dos serviços fornecidos, to-

das as informações sobre eles, tais como: descrição, níveis de serviço, custo, clientes e a pes-soa/departamento responsável pela manutenção. O conteúdo do Catálogo de Serviço varia deacordo com os requisitos da organização de TI.

O Service Catalogue Management provê uma fonte centralizada de informações sobre os serviçosde TI providos, garantindo que as áreas de negócios possam exibir uma imagem precisa e con-sistente dos serviços de TI disponíveis, seus detalhes e status.

O propósito do Service Catalogue Management é fornecer uma fonte única e consistente de in-formações sobre todos os serviços acordados, e garantir que elas estejam amplamente disponíveispara aqueles que tenham permissão para acessá-lo. As informações-chave dentro do processo

de Service Catalogue Management estão contidas no Service Catalogue.

Uma observação importante é que este é um dos novos processos da ITIL V3. A segundaversão já utilizava o termo Catálogo de Serviço, mas não havia sugestões de boas práticas parao seu gerenciamento.

Service Level Management (Gerenciamento de Nível de Serviço)

Nível de serviço se refere à qualidade com a qual os serviços de TI devem ser entregues aosusuários. Tais níveis são discutidos e firmados entre o departamento de TI e os seus clientes, oque dá origem aos chamados Acordos de Nível de Serviço (ANSs) ou Service Level Agreement

(SLA). Esses acordos visam garantir:

• a confiabilidade do suporte de TI ao negócio;

• a qualidade (disponibilidade e desempenho) dos serviços prestados;

• o custo dos serviços prestados;

• a visão do gerencimento baseada em processos.

O processo de Gerenciamento do Nível de Serviço se preocupa, como o seu próprio nomerevela, se os ANSs estão sendo de fato cumpridos. O foco deste processo é possibilitar pelo

menos a manutenção da qualidade dos serviços através de um ciclo constante de monitoração,




28/230


geração de relatórios, negociações e novos acordos. Ele é estrategicamente focado no negócio,mantendo o alinhamento entre o negócio e os serviços de TI.

É importante manter em mente que este processo provê outras saídas também importantes.

Três delas são: Operational Level Agreement (OLA), Service Improvement Plan (SIP) e o Ser-vice Quality Plan.

Capacity Management (Gerenciamento de Capacidade)

O Capacity Management visa garantir o atendimento das necessidades futuras do negócio,estabelecendo sempre um equilíbrio entre demandas e custos. Além disso, ele também con-templa as necessidades de capacidade dos próprios serviços e componentes de TI ao longo dosseus ciclos de vida.

A principal saída deste processo é um documento chamado Capacity Plan (Plano de Capaci-dade). Nele são especificadas as previsões de carga de hardware e de software, de custos e deoutras recomendações. Os principais modelos para elaboração de um Plano de Capacidadesão os seguintes:

• Modelagem por Referência: modelagem a partir de um modelo válido pré-existente;

• Análise de Tendências: projeções futuras com base em dados históricos;

• Modelagem Analítica: validação de um modelo matemático com a situação real;

• Modelagem por Simulação: utilização de dados fictícios para dimensionamento de no-vas aplicações;

• Testes de Laboratório: testes com dados reais em um ambiente real.

A ITIL prega que utilizar um Capacity Management Information System (CMIS) é essen-cial para o gerenciamento de capacidade. Esse sistema armazena todas as informações rela-cionadas a gerenciamento de capacidade. Essas informações são analisadas por todos os sub-processos para as realizações dos aprovisionamentos e para as gerações de relatórios, inclusiveo próprio Plano de Capacidade.

Availability Management (Gerenciamento de Disponibilidade)

Dizemos que um serviço esta disponível quando os usuários o recebem dentro das condições

estabelecidas no acordo de nível de serviço (ANS).

O processo de Gerenciamento de Disponibilidade visa garantir que os serviços de TI estarãodisponíveis sempre que os seus usuários necessitarem deles, de acordo com os níveis de disponi-

bilidade acordados. A ITIL chama a atenção para a importância desta disciplina principal-mente em relação aos serviços que suportam o que ela chama de Vital Business Function (VBF),ou seja, aqueles serviços que suportam sistemas que são considerados vitais para o negócio.

O Gerenciamento da Disponibilidade depende de muitas entradas para funcionar correta-mente. Entre elas temos:

•

os requisitos relacionados à disponibilidade do negócio;




29/230


• informação relacionada à confiabilidade, sustentabilidade, capacidade de recuperação eoficiosidade dos ICs;

• informação de outros processos, incidentes, problemas, ANSs e níveis de serviços al-cançados.

As saídas do processo geralmente são:

• recomendação relacionada à infraestrutura de TI para assegurar a resiliência da infraestru-tura de TI;

• relatórios sobre a disponibilidade dos serviços;

• procedimentos para assegurar a disponibilidade e recuperação de cada serviço em TInovo ou aperfeiçoado;

• planos para aperfeiçoar a disponibilidade dos serviços em TI, inclusive o Availability

Plan.

Ao longo das descrições das boas práticas em relação a este processo são utilizados váriostermos inter-relacionados. Os mais relevantes são:

• disponibilidade: tempo durante o qual o serviço está disponível;

• confiabilidade: capacidade de se manter operacional dentro de um determinado períodode tempo;

• sustentabilidade: capacidade de retorno ao estado normal após algum incidente;

• resiliência: capacidade de se manter operacional mesmo na falta de um ou mais compo-nentes;

• oficiosidade: obrigações contratuais com terceiros (Contratos de Apoio).

IT Service Continuity Management (Gerenciamento de Continuidade de Serviço de TI)

A proposta desta disciplina é prover sugestões sobre como as instituições podem manter a ca-pacidade de recuperação de serviços de TI em caso de desastre. Isso, é claro, levando-se emconta os requisitos do negócio, como por exemplo a escala de tempo. Afinal, há certos negóciosque exigem recuperações mais ágeis e podem pagar por isso.

O IT Service Continuity Management inclui uma série de recomendações para manter osplanos de continuidade e de recuperação alinhados às prioridades do negócio e também aoBusiness Continuity Plan (BCP) (Plano de Continuidade do Negócio). Em geral, essa manutençãoé feita por meio de dois exercícios regulares: Business Impact Analysis (BIA) (Análise de Im-pacto ao Negócio) e Risk Management (Gerenciamento de Risco).

Information Security Management (Gerenciamento da Segurança da Informação)

O seu objetivo central é garantir confidencialidade, integridade, disponibilidade e não-repúdiodas informações, dos dados e dos serviços de TI prestados. Geralmente este gerenciamentosegue alinhado às estratégias do gerenciamento da segurança como um todo da organização.




30/230


Supplier Management (Gerenciamento de Fornecedor)

O Gerenciamento de Fornecedores, como o nome já sugere, engloba uma série de recomen-dações para a garantia de que todos os contratos sejam respeitados e que todos os fornecimen-tos necessários sejam efetivados. Fornecimentos esses que auxiliam na prestação dos serviços

de TI à organização.

A ITIL sugere a utilização de uma Supplier and Contract Database (SCD), que deve contertodas as informações a cerca dos fornecedores, seus contratos e os seus serviços relacionados.


Os principais papéis e responsabilidades definidos no Volume Desenho de Serviço são:

• Availability Manager: responsável por analisar, planejar, mensurar, definir e otimizartodos os aspectos relacionados a disponibilidade dos serviços de TI;

• Capacity Manager: responsável por garantir que os serviços e a própria infraestruturasão adequados para a entrega da capacidade e do desempenho acordados dentro de umcusto efetivo e cronograma especificados;

• Security Manager: responsável por garantir confidencialidade, integridade e disponibil-idade dos ativos, informações, dados e serviços de TI;

• IT Designer/Architect: responsável por toda a coordenação e desenho das tecnologiasnecessárias, da arquitetura, das estratégias e dos planejamentos;

• IT Planner: responsável pela coordenação e produção dos planos de TI;

• IT Service Continuity Manager: responsável por gerenciar os riscos que podem im-pactar seriamente os serviços de TI. É ele quem deve garantir que o provedor de serviçode TI é capaz de respeitar os ANSs, mesmo em caso de desastre;

• Service Catalogue Manager: responsável por manter o Catálogo de Serviço preciso eatualizado;

• Service Design Manager: responsável por incluir qualidade, segurança e resiliência nodesign dos serviços novos e melhorados. Ele deve, inclusive, gerar e manter toda a doc-umentação de design;

• Service Level Manager: responsável por negociar os ANSs e garantir que eles sejam

cumpridos;

• Supplier Manager: responsável por garantir que os fornecimentos contratados sejamefetivamente obtidos. Ele garante também que os contratos com os fornecedores su-portem de fato as necessidades do negócio;

• Service Owner: responsável por entregar um serviço específico em conformidade com oANS estabelecido.




31/230


2.4.3 Service Transition (Transição de Serviço)

O Volume Service Transition fornece orientações para o desenvolvimento e a melhoria decapacidades para transição de novos serviços que serão colocados em operação e tambémserviços que já se encontram em operação e que precisam ser alterados. Esta publicação fornece

orientações sobre como as exigências da Service Strategy codificadas em Serviço Design sãoefetivamente realizadas no Service Operation enquanto identifica, gerencia e controla os riscosde fracasso e ruptura em todas as atividade de transição. A publicação combina, dentre outrosconceitos, práticas de Gerenciamento de Liberação, Programa de Gestão e Gerenciamento deRiscos, colocando-os no contexto da prática de gerenciamento de serviço.

O volume fornece também orientações sobre como gerenciar a complexidade relacionada aalterações de serviços e de processos de gestão de serviço, evitando indesejáveis consequên-cias, além de permitir que a inovação ocorra paralelamente.

A Service Transition é composta por 7 processos, que são resumidos a seguir.

Transition Planning and Support (Planejamento e Suporte da Transição)

Resumidamente, esta disciplina trata sobre planejamento e coordenação de recursos para garan-tir que as definição feitas nas fases Service Strategy e Service Desing sejam de fato realizadasna fase Service Operation com o mínimo de impacto para o negócio. Tudo isso respeitandoos critérios de custo, tempo e qualidade. Este processo se mostra ainda mais importante emambientes que exigem alto volume de mudanças e/ou atualizações.

Este é mais um dos novos processos da ITIL. Na versão 2, alguns aspectos relacionados aeste processo eram tratados no processo Release Management. Já na versão 3, este assunto é

mais bem explorado e descrito por meio de um processo próprio.

Change Management (Gerenciamento de Mudança)

No presente contexto, uma mudança em serviço é a adição, modificação ou remoção de qual-quer serviço suportado ou documentação associada. Na prática, isso quer dizer que qualqueralteração do ambiente de produção é uma mudança. Como exemplo, podemos citar o seguinte:alteração do nome lógica de um servidor, instalação de atualização de sistema operacional, at-ualização de vacina de anti-vírus, desinstalação de software, etc.

Apesar dos exemplos citados acima serem apenas referentes à parte operacional do gerencia-

mento de serviço, cabe ressaltar que o escopo do processo Gerenciamento de Mudança tambéminclui outros níveis. Ou seja, as mudanças decorrentes de todos os três níveis de abstração dogerenciamento de serviço de TI são endereçadas nesta disciplina, dando origem às: mudançasestratégicas, mudanças táticas e mudanças operacionais. A Figura 2.5 sintetiza muito bem esserelacionamento entre os três tipos de mudança.

Este processo tem como missão gerenciar todas as mudanças que possam causar impacto nahabilidade da área de TI em entregar seus serviços. Isso é feito por meio de um processoúnico e centralizado para aprovação, programação, priorização, documentação, teste e cont-role das mudanças. A proposta é que esse processo único assegure que a infraestrutura de TIpermaneça alinhada aos requisitos do negócio, com o menor risco possível.




32/230


Figura 2.5: escopo do processo Gerenciamento de Mudança. Figura retirada do documentoitSMF_ITILV3_Intro_Overview.pdf, disponível em http://www.itsmfi.org.

É muito importante manter em mente que este processo não tem como objetivo executar de fatoa implementação das mudanças. As implementações são realizadas por uma equipe técnica

responsável pela área de mudança, como a área de redes, sistemas ou hardware. O processode Gerenciamento de Mudança controla as mudanças para que elas sejam implementadas deforma eficiente e eficaz.

Para que se possa fazer uma análise de riscos adequada, é importante o uso de uma Basede Dados de Gerenciamento da Configuração (BDGC), que forneça uma listagem de todos osserviços e recursos relacionados ao item de configuração que sofrerá a mudança.

Cabe ressaltar que a ITIL V3 passou a diferenciar as mudanças em relação as suas abrangên-cias. Mudanças mais significativas passam a ser submetidas e tratadas de modo especial peloprocesso Evaluation. Já as mudanças consideradas pequenas são gerenciadas pelo subprocesso

Minor Change Deployment.

Service Asset and Configuration Management (Gerenciamento de Configuração e Ativo deServiço de TI)

O foco deste gerenciamento é prover ao negócio informações precisas sobre todos os ativos,e seus inter-relacionamentos, que compõem a infraestrutura de TI da instituição, inclusive osativos “não TI” e de provedores de serviços (internos e externos). As práticas sugeridas nestadisciplina se destinam a identificar, a controlar e a contabilizar todos os ativos de serviços eitens de configuração (ICs), garantindo que todas as informações permaneçam íntegras du-rante todo o ciclo de vida do serviço.


http://www.itsmfi.org/http://www.handbookdeti.com.br/http://www.handbookdeti.com.br/http://www.itsmfi.org/


33/230


A ITIL prega que os valores históricos, planejados e correntes desse tipo de informação sejam mantidos em um sistema de apóio chamado Configuration Management System (CMS),modelo lógico de dados introduzido pela ITIL V3.

Knowledge Management (Gerenciamento de Conhecimento)Knowledge Management tem como objetivo garantir que a pessoa certa tenha o conhecimentocerto, no momento certo para entregar e suportar os serviços requeridos pelo negócio. Um pro-cesso de Gerenciamento de Conhecimento adequado minimiza o custo e o tempo necessáriosa qualquer redescoberta de conhecimento.

As práticas elencadas nesta disciplina fornecem meios para o provimento de:

• serviços mais eficientes e com maior qualidade;

• compreensão clara e comum do valor fornecido pelos serviços;

• informações relevantes que estão sempre disponíveis.

Vários aspectos relacionados a Gerenciamento de Conhecimento já eram endereçados pelaITIL V2, mas de forma interna a outros processo, como Gerenciamento de Problema, que eraresponsável por manter a chamada Base de Erros Conhecido. Contudo, na versão 3 a ITILdedicou um processo específico para o macro-assunto de gestão de conhecimento.

A principal saída deste processo é sem dúvida o Service Knowledge Management System(SKMS), sigla traduzida como Sistema de Gestão do Conhecimento de Serviço.

Service Validation and Testing (Validação e Teste de Serviço)Para que o processo de teste seja efetivo, é necessário uma visão holística dos serviços presta-dos. Todos os serviços desenvolvidos interna ou externamente devem ser apropriadamentetestados. É necessário também validar se os requerimentos do negócio são respeitados e seos eventuais riscos são aceitos. O propósito chave do Service Validation and Testing é proverevidências objetivas relacionadas a esses testes e validações.

A ITIL defende que este processo é vital para a área de gerenciamento de serviços de TI, pois seum serviço não é suficientemente testado, a sua introdução no ambiente operacional causaráum aumento no número de incidentes, de requisições de suporte, de problemas e de erros. Issotudo acarreta em elevação de custo e diminuição do valor dos serviços prestados.

Este é mais um dos processos introduzidos na ITIL V3.

Release and Deployment Management (Gerenciamento de Liberação e Implantação)

O objetivo deste processo é construir, testar e implantar atualizações do ambiente de produção.Ao transferir novas versões de serviços ou novos serviços para a fase Service Operation, esteprocesso estabelece uso efetivo desses serviços pelos seus usuários, o que significa em últimaanálise entrega de valor real ao cliente. Maior será esse valor se as atualizações foram aplicadasde forma adequada, com o menor tempo de transição, menor risco e menor custo.

Release and Deployment Management é responsável por planejar, programar e controlar os




34/230


momentos em que as atualizações devem ser realizadas nos ambientes de teste e de operação.A sua preocupação primordial é garantir que o ambiente de produção permaneça integro eque as atualizações corretas sejam feitas.

Cabe ressaltar que este processo abrange atualizações do ambiente de produção tanto no sen-tido da adição de novos serviços quanto da aplicação de novas versões de serviços já existentes.

Evaluation (Avaliação)

O propósito do processo Evaluation é prover uma forma consistente de cálculo de variação dedesempenho em função de uma possível efetivação futura de mudança em um serviço de TI.Ou seja, ele apresenta práticas de se medir o quão benéfica uma mudança é, justamente parase criticar a sua viabilidade em termos financeiros, de custo e risco.

Este processo também endereça técnicas de avaliação regular dos serviços, incluindo (1) a iden-tificação daqueles cujo ANS não está eventualmente sendo mais respeitado e (2) a abordagemadequada para a manutenção do alinhamento entre os níveis de serviços acordados e as neces-sidades do negócio.

A saída do processo Avaliação é de extrema relevância para o Continual Service Improvement.


Os principais papéis e responsabilidades definidos no Volume Transição de Serviço são:

• Change Advisory Board (CAB): grupo de pessoas responsável por aconselhar o ChangeManager em relação às estimativas, priorizações e cronogramas de mudanças;

• Change Authority: responsável por emitir autorização formal para cada mudança;

• Change Manager: responsável por controlar o ciclo de vida de todas as mudanças. É elequem autoriza as mudanças mais significativas;

• Configuration Manager: responsável por manter todas as informações sobre ICs necessáriaspara a entrega dos serviços de TI. Na prática, ele é responsável por manter o CMS integroe atualizado;

• Emergency Change Advisory Board (ECAB): subgrupo do CAB responsável por tomardecisões em relação às mudanças emergenciais;

• Knowledge Manager: responsável por garantir que a organização de TI é apta a reunir,analisar, armazenar e compartilhar conhecimentos e informações. O seu objetivo maioré maximizar a eficiência deste processo de forma a reduzir os custos associados à re-descoberta de conhecimento;

• Project Manager: responsável por planejar e coordenar recursos para que as transiçõessejam feitas respeitando-se os custos, tempo e qualidade estimados;

• Release and Deployment Manager: responsável por planejar e controlar o momentoem que as atualizações devem ser testadas e aplicadas no ambiente de produção. A suaresponsabilidade maior é em relação a integridade do ambiente de produção;




35/230


• Service Transition Manager: responsável pelas atividades do dia a dia executadas pelasequipes envolvidas com o processo Transição de Serviço;

• Test Manager: responsável por garantir que os resultados das implementações das atu-alizações atinjam as expectativas. Ele é responsável também por verificar se a operaçãode TI está apta a suportar novos serviços.

2.4.4 Service Operation (Operação de Serviço)

Este volume incorpora as práticas de gestão de operações de serviços de TI. Ele inclui orien-tações sobre como alcançar a eficácia e a eficiência na entrega e no suporte de serviços, demodo a garantir o cumprimento dos ANSs estabelecidos e também a entrega efetiva de valorao cliente por meio de uma adequada prestação de serviços.

Os objetivos estratégicos são, em última análise, realizados através de operações de serviço,tornando-se, portanto, numa capacidade crítica. Neste processo, são fornecidas orientações

sobre formas de manter a estabilidade nas operações de serviços, permitindo mudanças nodesign, na escala, no âmbito e em níveis de serviço.

Organizações são providas com detalhadas orientações de processos, métodos e ferramentaspara uso em duas perspectivas de controle: reativa e pró-ativa. Já os gestores e os profissionaissão providos com conhecimentos que lhes permitem tomar melhores decisões em áreas comoa gestão da disponibilidade dos serviços, controle de demanda, otimização da capacidade uti-lizada, agendamento de operações e resolução de problemas.

As orientações são fornecidas em apoio às operações por meio de novos modelos e arquite-turas, tais como: serviços compartilhados, computação sob demanda, serviços web e comércio

eletrônico utilizando dispositivos móveis.

A Service Operation é composta por 5 processos, que são resumidos a seguir.

Event Management (Gerenciamento de Evento)

A ITIL traz a seguinte definição em relação a eventos. “Um evento é uma mudança de estadoque tem significância para o gerenciamento de um item de configuração ou serviço de TI.”.

O Gerenciamento de Evento trata do monitoramento, da detecção, da filtragem, da classifi-cação e do tratamento de todos os eventos que ocorrem na infraestrutura de TI como um todo,

de forma a possibilitar uma operação normal dos seus serviços. Este processo também provêmecanismos de notificação a cerca dos serviços de TI e dos itens de configuração. Notificaçõesessas que incluem informações operacionais, alertas e erros. De uma maneira geral, tais mecan-ismos são utilizados para a automatização de diversas atividades relacionadas a operação deserviços de TI.

A título de exemplificação, podemos citar as seguintes causas de evento:

• problema de funcionamento que cause ou possa vir a causar incidentes;

• necessidade de execução de tarefas de produção ou manutenções rotineiras;

• restabelecimento de serviços.




36/230


É importante notar que a pesar do Event Management depender de monitoramento, ele nãose resumi a isso. Isso porque além de realizar monitoramento, ele também realiza geração dospróprios eventos.

Incident Management (Gerenciamento de Incidente)A definição de incidente no contexto da ITIL é a seguinte. “Um incidente é uma interrupçãoprogramada de um serviço de TI, ou a redução na qualidade de um serviço de TI. Falha de umitem de configuração que ainda não impactou um serviço também é um incidente.”. Algunsexemplos de incidentes são:

• falha de hardware;

• erro de software;

• rompimento de cabo de rede;

• queima de fonte elétrica;

• infecção por praga digital.

Os incidentes de uma maneira geral podem ser percebidos por muitos agentes, humanos ounão. Alguns exemplos são: usuários, equipes de operação e ferramentas de monitoramento.

O processo de Gerenciamento de Incidente tem como missão restaurar a operação normal dosserviços, em face ao surgimento de um incidente, o mais rápido possível com o mínimo deinterrupção, minimizando os impactos negativos nas áreas de negócio. Os seus principaisobjetivos são:

• resolver os incidentes o mais rápido possível, restabelecendo o serviço normal dentro doprazo acordado nos ANSs (Acordos de Nível de Serviço);

• manter a comunicação dos status dos incidentes com os usuários;

• escalonar os incidentes para os grupos de atendimento para que seja cumprido o prazode resolução;

• fazer avaliação dos incidentes e suas possíveis causas, informando ao processo de Geren-ciamento de Problemas.

É muito importante perceber que o foco do Gerenciamento de Incidentes não é a resoluçãoda causa raiz do incidente, e sim a eliminação dos seus efeitos. Em muitos casos a própriaidentificação da causa raiz não é trivial, o que demandaria um esforço inicial grande e umaconsequente demora no restabelecimento dos serviços.

Este processo como um todo é dividido em sete partes principais, que são apresentadas naFigura 2.6 e descritas a seguir.

1. Detecção do Incidente: todos os incidentes devem ser registrados em termos de sin-tomas, dados de diagnóstico básico e informações sobre o item de configuração e serviçosafetados. Independente dos mecanismos com que os incidentes são registrados, o servicedesk deve receber alertas apropriados e manter controle total;




37/230


Figura 2.6: ciclo de vida de incidente.

2. Classificação do Incidente: novos incidentes registrados devem ser analisados para sedescobrir a razão do incidente. Incidentes também devem ser classificados e é nessesistema de classificação que se baseiam as ações posteriores de soluções;

3. Suporte Inicial: o usuário deve ser provido com os meios para continuar seu trabalho omais rápido possível, sendo necessário muitas vezes oferecer soluções paliativas (workar-rounds) para os incidentes;

4. Investigação e Diagnóstico: todo o esforço deve ser feito para minimizar o impacto doincidente no negócio e encontrar uma solução definitiva para o incidente o mais rápidopossível;

5. Resolução e Recuperação: ações no sentido de recuperar os níveis dos serviços devemser conduzidas. O sistema de gerenciamento de incidentes deve permitir o registro

139282791 livro governanca de ti

Documents