A Isaca disponibilizou no fim de Outubro o download do Framework Cobit 5 em Português.
Acesse o site da Isaca, realize o seu cadastro e faça o download.
http://www.isaca.org/COBIT/Pages/COBIT-5-Portuguese.aspx
Abs
Luiz
A Isaca disponibilizou no fim de Outubro o download do Framework Cobit 5 em Português.
Acesse o site da Isaca, realize o seu cadastro e faça o download.
http://www.isaca.org/COBIT/Pages/COBIT-5-Portuguese.aspx
Abs
Luiz
A ITIL® traz uma série de boas práticas de gerenciamento, organizadas para cobrir todo o ciclo de vida de um serviço, focando em cinco fases:
Ok, mas qual é a relação da ITIL® com um show de rock?
Tendo como verdade a ideia de que um show de rock é uma das ofertas disponíveis em um serviço de entretenimento, promovido por empresas de eventos (os provedores de serviço) ao público em geral (os clientes do serviço), vamos ao seguinte cenário:
Imagine o custo total do espetáculo de uma banda mundialmente conhecida. As toneladas de equipamentos, a logística e a enorme quantidade de profissionais envolvidos. A responsabilidade por garantir a satisfação de 50, 100, 200 mil pessoas que pagam para ver o melhor espetáculo possível ao vivo, em um tempo relativamente curto (de 1 a 3 horas). Apesar de um pouco específicos, estes desafios podem ser identificados em quaisquer outros serviços vistos no dia a dia, sejam eles de TI ou não.
Há algum tempo atrás, a banda U2 adotou uma forma diferente de se apresentar, em um palco de 360 graus. Toda essa inovação faz parte de uma estratégia definida para introduzir um novo conceito, uma nova experiência para o público. E sabemos que funcionou muito bem.
Provavelmente foram necessários muitos meses de estudo, cálculos, envolvimento de engenheiros de som, arquitetos, especialistas em efeitos visuais, etc. Além disso, considerar quantidade máxima de público por show, valores de ingressos, limitações de locais em que este show poderia ser instalado, segurança, etc. Tudo isso para desenhar como esta nova abordagem do espetáculo poderia ser viabilizada ao público.
Você já deve ter visto aqueles profissionais que vivem correndo de um lado para o outro, montando e testando os equipamentos das bandas ou artistas antes de um show, trocando os instrumentos em questões de segundos, arrastando cabos de lá pra cá, e quando ocorre algum imprevisto, atua na linha de frente na tentativa de resolvê-lo o mais rápido possível.
Outro exemplo: cada equipamento, desde a ordem de ligação, configuração de parâmetros e informações relevantes dos equipamentos como voltagem, modelo, etc. devem ser controlados minuciosamente para que o timbre característico do artista permaneça sempre o mesmo. Provavelmente, o artista deve sempre ser consultado, e aprovar quaisquer mudanças em seus equipamentos, avaliando o impacto que elas podem trazer em uma performance ao vivo.
E se tudo der errado? Qual é o plano caso ocorra um desastre e tudo pare de funcionar?
Pra finalizar, tudo isso deve estar explícito nos contratos milionários fechados com os organizadores do evento, juntamente com os níveis de serviço esperados (duração do show, músicas a serem tocadas, etc).
Apenas neste pequeno cenário, já foram citados ao menos 5 processos de gerenciamento de serviços sugeridos pela ITIL®.
Fonte: ITSM na Prática
Abs
Luiz
Gravação em vídeo dos Hangouts dos dias 10/04/2014 e 17/04/2014 em parceria com a PMG Academy
ITIL em pequenas empresas |
tema: ITIL em pequenas organizações – parte 01: Estratégia de Serviços de TI. O material utilizado durante o evento também está disponível para download.
Este evento é mais um resultado de uma parceria entre o Portal GSTI e a PMG.
Agradecemos a toda a equipe da PMG que sempre nos oferece apoio e suporte, garantindo a realização dos eventos que temos conduzido juntos.
Perfil do palestrante:
Fonte: Portal GSTI
Abs
Luiz
Quando pensamos na nossa base de dados de erros conhecidos, por exemplo, colocamos tudo que queremos registrar em nossa operação dentro dela. Mas não é assim que funciona. Você não pode pegar a base de dados que utiliza na gestão de problemas e de incidentes, onde estão as soluções de contorno para erros conhecidos e até o passo-a-passo do atendimento ao usuário, e jogar tudo lá dentro. Você pode ter um software para gestar informações e conhecimento tanto da gestão de problemas e incidentes, mas este softwareprecisa te dar ferramentas de controle de acesso adequadas. Percebe como tudo se relaciona? A gestão de problemas, dos incidentes, a gestão dos acessos e também do conhecimento. Quem trabalha solucionando os problemas tem um acesso diferente de quem trabalha como analista de primeiro nível, por exemplo. Acho que você já entendeu o recado, certo? Fique sempre atento ao relacionamento entre os processos.
Além destes exemplos aí de cima, temos também o portfólio de serviços, onde estão serviços ainda em desenvolvimento (ou na “pipeline”), que podem vir a entrar em operação, os serviços em operação e aqueles que foram desativados. Este portfólio também é gerido e tem informações importantes para o provedor de serviços e para o cliente. Aquilo que o cliente vê é diferente do que o provedor de serviços e seus colaboradores visualizam, e estas informações estão divididas em camadas diferentes. A questão é: como tudo isso se relaciona? Pelo sistema de gestão de conhecimento. É preciso ter uma ferramenta ou pelo menos uma abordagem definida para trabalhar com tudo que temos e para fazer com que estes dados, informações e conhecimento trabalhem a favor da nossa organização.
E por que estudamos a gestão de conhecimento na transição de serviços? Porque precisamos ter o conhecimento como um farol. Estabelecer uma linha de base para mudanças depende do que sabemos a respeito da nossa operação e isso está lá, no nosso sistema de gestão de conhecimento.
Além disto, temos que ter em mente que uma daquelas matérias que está além da gestão do serviços é a gestão de projetos. Pensamos em transição de serviços e temos que sempre pensar em um projeto se esta transição envolver mudanças sérias e impactos relevantes para o negócio. Não estamos falando em alterações de senha, então não se confunda. Muita gente apela e diz que uma coisa é uma coisa e outra coisa é outra coisa, gestão de serviços não se confunde com gestão de projetos. Já tem um tempo que estou tentando te mostrar, caro leitor, justamente o contrário: ambas as matérias são lados distintos de uma mesma moeda!
Fonte: Portal GSTI
Abs
Luiz
Uma discussão muito comum quando falamos sobre ITIL é a respeito da distinção entre gestão de serviços e de projetos. A maior parte das pessoas salta e diz que a diferença entre o PMPe o ITIL Expert é justamente esta, um é para serviços e outros para projetos. É verdade, mas eles estão mais próximos do que você imagina!
É verdade que um PMP é um gerente de projetos certificado. Também é verdade que um ITIL Expert é um gestor de serviços devidamente certificado. Isso não significa, todavia, que são certificações excludentes ou que um ITIL Expert não fará gestão de projetos.
Quando estudamos transição de serviços, por exemplo, é fundamental entender que uma mudança é muitas vezes regida por um plano de projeto.
Isso porque uma mudança pode ser uma alteração de senha, mas também pode ser a mudança de um serviço. Se quisermos alterar uma característica complexa em um software e isto for feito internamente e esta alteração resultar na alteração de um serviço, uma série de requerimentos terão de ser cumpridos. Fazendo uma recapitulação básica das melhores práticas veremos que para fazer esta alteração precisaremos de uma justificativa baseada em um caso de negócio. Este caso de negócio deverá conter uma análise da demanda daquele serviço que justifique a alteração nas funcionalidades do software em questão e assim por diante. Estes artefatos e estudos estão dentro da ITIL, mas e na hora de por a mão na massa e alterar o software? Quem vai gerir esta alteração? Onde está o plano para a alteração e o plano que embasa e análise financeira da gestão estratégica dos serviços? No fim das contas, a alteração será melhor gerida desde o princípio se nos utilizarmos das boas práticas de gestão de projetos.
Ser ITIL Expert ou PMP, por si só, já é um grande diferencial. Conforme o mercado se torna mais competitivo, os mais fortes prevalecem e quem vai ficar na ponta são os melhor preparados.
Se você quer trabalhar com a adoção de ITIL, então é relevante ser PMP e ITIL Expert. Cada passo a ser dado na direção da maturidade em uma organização no que diz respeito à gestão de serviços deve ser orientado por um plano de projeto. Em outro artigo falarei mais sobre acertificação Prince2.
Infelizmente, o Brasil é um país muito pouco evoluído em termos de gestão e se você quer ser reconhecido por analistas de recursos humanos e headhunters precisa ter certificações que eles reconheçam. A certificação ITIL Expert ainda é, acreditem, pouco reconhecida. Um Prince2 Professional terá muito menos chances no nosso mercado do que um PMP.
Fonte: Portal GSTI
Abs
Luiz
Muitas empresas acham que “estão bem como estão” e não querem nem saber de adotarmelhores práticas nem de mudanças. Este tipo de organização me deixa triste, porque é uma organização que põe em risco sua própria existência e o trabalho de seus colaboradores. Não interessa se a empresa vai sobreviver ou não, o que interessa é que algumas pessoas não são acomodadas e gostam de melhorar. Alguns tem o perfil “melhoria contínua” enquanto outros são simplesmente acomodados.
Se sua empresa ainda não trabalha com ITIL, mas tem o que é preciso para evoluir, então você precisa buscar formas de implantar (ou implementar, em outro artigo discutiremos a questão) as melhores práticas. Algumas coisas são mais importantes que outras, então fiz uma lista para ajudar você a conseguir o tão famoso “buy-in” da sua equipe e da alta direção.
Quando eu era Gestor de Produtos Corporativos em uma grande distribuidora de TI eu tinha muita dificuldade em oferecer treinamentos porque, pela lei, treinamentos fora do horário de trabalho devem ser oferecidos e pagos como hora extra. O diretor não queria pagar hora extra e a equipe não queria ficar até mais tarde estudando sem receber qualquer adicional. Isso já era um problema enorme por si só, então imagine como trabalhar com ITIL se não tivermos público para ensinar a base nem apoio da alta direção? A solução estava no meio termo. O diretor da empresa aceitou pagar por cursos EAD, que eram realmente em conta se calculado o investimento em relação ao pagamento de horas extras. Os funcionários, bom, nem todos quiseram fazer o curso – o que me permitiu filtrar os interessados e criar um grupo de interesse e de implementação. Você alia os interesses da gestão, apresentando os benefícios, e encontra aqueles profissionais dedicados para formar seu primeiro grupo de “pontas de lança”. É um belo primeiro passo!
Muitos acham que dar o curso de ITIL Foundation e depois pagar a prova de certificação é o primeiro passo. ERRADO! O primeiro passo é ter alguns processos já mapeados, mesmo que eles tenham evoluído até então de forma orgânica, e fazer com que todos os envolvidos saibam que aqueles processos existem e que estão sendo tratados como tal. É importante deixar claro para a equipe de analistas, por exemplo, que a gestão operacional é formada por um conjunto de processos e que o trabalho deles é planejado com base nestes processos. Eles precisam entender os processos, seus papéis e atividades em cada um deles. Isso vai fazer com que a equipe entenda o que é um processo e o que realmente é esperado de cada um dos profissionais.
Pode parecer óbvio, mas se eu for hoje em 10 empresas distintas e perguntar como funciona o processo de requisição de serviço muitos não vão nem saber o que é isso – sendo que é o processo mais comum em uma central de serviços.
Então você já mapeou os processos, já fez com que todos soubessem exatamente o que tinham de fazer e que existia alguém no comando e que este comando era organizado e planejado. Os diretores da empresa estão prontos para investir algum dinheiro, mesmo não sendo muito. Você tem uma ideia de quem pode abraçar a causa ITIL e está na hora de investir. O que fazer? Faça, como sugerido na primeira dica, o investimento nas pessoas certas e não gaste com quem não vai dar retorno. Pegue tudo que puder e invista em quem vai defender a causa. Ensine e certifique estes embaixadores das melhores práticas e forme seu grupo de combate. Lembre-se: Alexandre O Grande conquistou o mundo com um punhado de soldados e estratégias geniais. O segredo está no plano mais do que no contingente!
Fonte: Portal GSTI
Abs
Luiz
Grande parte dos departamentos de TI ainda não se comporta com foco de sua gestão voltada para o serviço, e esta limitação impacta na abordagem inadequada de processos como o gerenciamento de disponibilidade.
O resultado é que ainda gerenciamos componentes de forma isolada do serviço, indicadores por departamentos em vez de processos, visão interna onde deveria estar expressa a necessidade do cliente (externa).
Em cenários como estes, é comum encontrarmos o nível de disponibilidade sendo calculado e reportado com ajuda de métodos como “a capacidade de executar um ping no servidor XYZ”.
Podemos admitir, claro, que tal servidor pode representar sim uma função vital para um determinado serviço, mas existem muitos outros fatores que também podem afeta-lo, todos os quais têm impacto na experiência do usuário: esta sim, a que realmente importa e deve ser medida e reportada.
Sem querer transformar este artigo em um discurso crítico, proponho uma desdramatização do cenário através de uma interpretação do que a ITIL denomina de Princípios do Gerenciamento da Disponibilidade. Eles podem nos ajudar a reconhecer o processo em sua abordagem adequada para o cliente do serviço.
A ênfase dos 05 princípios a seguir é – simplesmente – compreender e atender às necessidades do negócio e clientes, através da gestão da disponibilidade dos serviços de TI. Faço breves comentários sobre cada um deles.
Segundo as boas práticas, a disponibilidade é o centro das atenções quando se trata da expectativa e cumprimento das necessidades. Uma vez não cumprida, a expectativa não pode ser atendida. É a base da satisfação para a área de negócio.
Não há forma melhor de explicar este princípio senão citar o exemplo que a ITIL descreve desde a versão 02 (Service Delivery): um cliente que teve seu serviço interrompido por 30 minutos de forma planejada e comunicada, com certeza estará mais satisfeito do que outro cliente que teve o serviço interrompido por 30 segundos, porém de forma inesperada.
Basta que um dos componentes do serviço tenha um nível inadequado de confiabilidade, sustentabilidade ou resiliência para que o serviço como um todo apresente um nível também inadequado de disponibilidade. Caso este fato pareça estranho para você, talvez a definição de Ponto Único de Falha o ajude.
Gerenciar disponibilidade dos serviços não é monitorar a rede. Planejamento da disponibilidade e uso de técnicas proativas são necessários, tanto quanto atividades e técnicas reativas para a gestão adequada deste processo.
Em outras palavras, reagir sempre custará mais caro do que ser proativo. Quem acompanhou meu artigo sobre Função Vital do Negócio(FVN) na prática chegou a mesma conclusão ao comparar o custo da proatividade e reatividade no Gerenciamento de Continuidade.
Quem trabalha com gestão da qualidade ou correlatos, pode me ajudar a falar dos custos de reagir quando comparados ao de pro agir, com muitos outros exemplos.
Além disso, devemos lembrar que um serviço que desenvolve má reputação, naturalmente criará dificuldades para reverter sua imagem perante o cliente, não é mesmo?
Como podemos verificar, os princípios da disponibilidade nos remetem reflexões relevantes. Para o amigo que chegou até aqui, espero que o artigo o tenha ajudado a tirar conclusões, praticar algo, ou pelo menos tenha dado vontade de mostrar para o coordenador de infra estrutura do seu departamento de TI.
Fonte: Portal GSTI
Abs
Luiz
É recomendável que a norma seja utilizada em conjunto com a ISO 27001, mas pode ser também consultada de forma independente com fins de adoção das boas práticas.
Outro fato curioso é que esta é a única norma em gestão da segurança para qual existem certificações profissionais, do centro de exames Exin. Caso deseje saber um pouco mais, consulte o nosso guia para certificação ISO 27002.
ISO/IEC 27008: esta norma complementa a ISO 27007 ao concentrar-se na auditoria dos controles em segurança da informação (que estão dispostos na ISO 27002), enquanto a 27007 concentra-se na auditoria dos requisitos a do SGSI (definidos na 27001).
ISO/IEC 27010: aborda um guia para a comunicação em gestão da segurança da informação tanto no escopo da organização como fora dela (sobretudo para entre empresas do mesmo setor). Perceba que o objetivo não é delimitar controles de segurança para a informação e sim prover auxílio para quem deseja evoluir com as práticas através de contatos e network entre partes de um mesmo segmento de mercado que buscam aprimorar a gestão da segurança da informação.
Pessoalmente, tenho pouca intimidade com esta norma, assim como muitas citadas deste ponto em diante. Entretanto, uma das questões mais interessante que observei ao ter um primeiro contato com esta, é o fato de orientar a como compartilhar informações que precisam ser acessadas por outras empresas ou órgãos governamentais mesmo sendo classificadas como sigilosas.
ISO 27012: no histórico da ISO, esta norma foi proposta para gestão da segurança da informação em organizações da administração pública, mas foi cancelada. No site oficial da ISO ela hoje não está entre as normas publicadas oficialmente.
Existem informações também de uma nova proposta com a numeração ISO 27012 o padrão específico da indústria de finanças, mas este papel acabou sendo assumido pela ISO 27015, descrita adiante.
ISO 27019: controles específicos para industria de energia.
_____________________________________________________________________
Observação: não estranhe o fato de saltarmos para a ISO 27031. As normas numeradas entre 27020 e 2030 não estão publicadas ou já estão publicadas para temas que não dizem respeito a gestão da segurança da Informação. A ISO 27020, por exemplo, é “aplicável a suportes e tubos para uso em aparelhos ortodônticos fixos”, enquanto a 27027 “especifica as definições, os requisitos de desempenho e métodos para determinar o desempenho de controladores de potência (remotas) de estado sólido para uso em sistemas de energia elétrica do setor aeroespacial.”
_____________________________________________________________________
ISO 27031: propõe um guia de princípios/conceitos por trás do papel da segurança da informação para TIC no sentido de garantir a continuidade dos negócios. Inclui diretrizes de mensuração do nível de proteção da organização para a gestão da continuidade na ótica da tecnologia e comunicação.
ISO 27033-1: esta é uma das 06 partes da norma 27033. O conjunto de normas 27033-1 a 27033-6 são derivadas das 05 partes da norma de segurança em redes: ISO/IEC 18028. A ISO 27033-1 trata sobre a introdução e conceitos gerais para segurança em redes.
ISO 27033-2: guia para o planejamento, desenho, implementação e documentação da segurança em redes.
ISO 27033-3: tem o objetivo de definir os riscos específicos, técnicas de projetos e controles relacionados a segurança em redes.
ISO 27033-4: propõe uma visão geral e requisitos para identificação e análise de ameaças para a segurança da informação relacionadas a gateways de segurança da informação que compõem a arquitetura de segurança em redes.
ISO 27033-5: protegendo a comunicação entre redes usando Virtual Private Networks (VPNs).
ISO 27033-6: define riscos, técnicas de projeto e desenho e controles específicos para asegurança da informação em redes sem fio e rádio.
ISO 27034-1: segurança da informação em aplicações – parte 01. Nesta primeira parte, é definida e abordada uma introdução e conceitos. As partes 02 a 06 encontram-se em desenvolvimento, mas já é possível obter informações sobre elas, conforme descrições a seguir.
ISO 27034-2: segurança da informação em aplicações – parte 02. A segunda parte trata sobre a organização normativa para segurança em aplicações.
ISO 27034-3: guia para o processo de gestão da segurança em aplicações.
ISO 27034-4: validação de requisitos de segurança em aplicações.
ISO 27034-5: Protocolos e estrutura de dados de controle de segurança de aplicativos.
ISO 27034-6: guia de segurança da informação para aplicações específicas.
_____________________________________________________________________
Comentários: as próximas normas especificam em maiores detalhes muitas das seções da norma ISO 27002
_____________________________________________________________________
ISO 27035: guia detalhado para a gestão de incidentes de segurança da informação, cobrindo o processo de mapeamento de eventos, incidentes e vulnerabilidades em de segurança.
Inclui guias para declaração de uma política de gestão de incidentes de segurança, divisão das responsabilidades envolvidas, entre outros aspectos relevantes para quem adota as boas práticas se gestão da segurança.
ISO 27036: segurança da informação para o relacionamento com fornecedores. Oferece orientações sobre a avaliação e tratamento de riscos de segurança da informaçãoenvolvidos na aquisição de informações ou produtos relacionados com as TIC (Tecnologia de Informação e Comunicação) de outras organizações.
_____________________________________________________________________
Comentários: as duas próximas normas (ISO 27037 e ISO 27038) tratam sobre segurança forense, e este tema volta a ser citado nas normas ISO 27041 e ISO 27042“. Já as ISO 27038 e ISO 27039 tratam sobre ferramentas que automatizam atividades para SI.
_____________________________________________________________________
ISO 27037: orientações para a identificação, coleta, aquisição e preservação de evidências forenses digitais. Esta norma está focada na manutenção da integridade destas evidências. Sem dúvidas, uma das normas mais relevantes para profissionais que seguem ou pretendem seguir carreira de perito forense (caso não tenha intimidade com este tema, consulte publicações no Portal como estas 04 vídeo aulas de Segurança Forense, este vídeo sobre análise de malware em forense computacional, ou este ebook gratuito sobre Análise Forense.
ISO 27038: especificação para redação digital. Uma norma qual considero bem interessante por conta do seu grau de especifidade: trata sobre requisitos para a redação e compartilhamento da informação digital de forma adequada, seja ela publicada internamente na organização ou a partes externas.
ISO 27039: sistemas detecção de intrusos: um guia para seleção, contratação, desenho, operação e administração de sistemas IDS (Intrusion Detection Systems).
ISO 27040: aspectos de segurança da informação para sistemas e infraestrutura de storage.
ISO 27041: regula sobre a conformidade para métodos de investigação de evidências digitais, sendo mais uma norma entre as disponíveis para análise forense computacional / segurança forense.
ISO 27042: mais uma entre as normas forenses, sendo que esta prevê diretrizes para a análise e interpretação de evidências digitais. Existem especulações de que todas estas normas forenses sejam re-estruturadas, no futuro, em uma norma com diversas partes assim como está definida a ISO 27034.
ISO 27043: princípios e processo de investigação de incidentes da segurança da informação. Esta é mais uma norma voltada exclusivamente para gestão de incidentes de segurança, assim como a ISO 27035.
ISO 27044: diretrizes específicas para o Gerenciamento de Eventos de Segurança da Informação (SIEM).
ISO 27099: gerenciamento de segurança da informação para a área de saúde.
Para saber mais sobre cada uma destas normas, basta consultá-las no site oficial daISO (International Organization for Standardization).
Diversas outras normas desta família estão em fase de estudos e/ou sendo propostas, afinal podemos notar que diversas outras áreas de negócio ainda não são contempladas, assim como assuntos específicos na estrutura de segurança da informação e sessões específicas da norma 27002.
Essa notícia é para aqueles que só reclamam que a Microsoft tem a famosa segunda chance.
A Exin está com essa promoção agora, onde, marcando o exame, e utilizando o Voucher, você pode refazer o exame caso seja reprovado! Até 31 de Dezembro de 2013!
Clique aqui e solicite seu voucher!
Sorte!
Abs
Luiz