Como Implementar ITIL em pequenas e médias empresas – Parte 4

Salve, salve pessoal do Cooperati, vamos continuar com a nossa série de Como Implementar ITIL em Pequenas e Médias Empresas. No último post demos início a fase de Desenho de Serviço, e como na fase de Estrategia de Serviço, essa fase é mais “pensante”, ela discute como o serviço de TI deve funcionar e quais são os suportes que ele deve ter.

Isso foi mostrado nos processos de Gerenciamento de Capacidade, Gerenciamento de Disponibilidade, Gerenciamento de Nível de Serviço e Gerenciamento de Fornecedores. Esses processos são bastante interligados entre si, um exemplo disso é que para você definir o quanto um sistema pode ficar disponível, você precisa saber com qual capacidade irá trabalhar, pois não adianta falar que um sistema vai ficar 99% disponível, se os recursos que você possui não te darão isso e de acordo com essas informações você pode definir qual será os acordos de Nível de Serviço pois você não pode assinar algo que não pode fazer e se caso viu que não pode atingir os níveis desejados pela empresa, você pode optar por serviços terceirizados e de brinde você terá que gerenciar os seus fornecedores para ver se eles estão te atendendo ou não.

Mas a fase de Desenho de Serviço, não se limita somente a esses processos, ela possui mais 3 processos sendo 2 altamente ligados: o Gerenciamento de Segurança da Informação e o Gerenciamento de Continuidade do Serviço e como podem ver os próprios nomes já falam por si só e são dois processos importantíssimos, pois eles lidam diretamente com a segurança da informação.

Porém, como a Continuidade do Serviço, tem ligação com a Segurança? Simples, a segurança é baseada em 3 pilares que juntos são chamados de CID (Confidencialidade, Integridade e Disponibilidade) e a Continuidade lida diretamente com a Disponibilidade e Integridade dos dados. Mas como assim? Bom ele lida, como o nome diz, com a continuidade dos serviços, principalmente com a recuperação de desastres, ou seja, caso algo falhe na sua empresa é esse processo que irá decidir o que deve ser feito para que tudo volte o mais rápido possível, então a disponibilidade está diretamente ligada a esse fator.

Contudo temos que tomar cuidado com uma coisa, quando fala-se em desastre, logo vem a cabeça: “Meu Deus, o predio da empresa caiu!”, mas não é bem assim, um desastre no conceito de TI pode ser um servidor de aplicação que caiu, por causa de um desligamento indevido, e esse servidor é o que tem a liberação dos pagamentos da empresa e esse fato ocorre justamente no dia do pagamento, então a sua volta tem que ser feita rapidamente, se esse servidor tivesse caido um dia depois, talvez a criticidade não fosse tão alta. Então um “desastre” no conceito da Continuidade de Serviço e algo que afeta diretamente o funcionamento da empresa e pode causar um grande dano seja ele financeiro ou a sua imagem.

Para implementar esse processo em uma pequena ou média empresa, a primeira coisa a se fazer e ter um backup, pois em caso de perda de dados (um dos maiores “desastres” que pode ter), você está precavido. E ter uma solução de backup hoje não custa muito caro, hoje pequenos storages estão com preços bastante acessíveis, (no Cooperati já foi falado de um micro server da HP, onde pode ser instalado o FreeNas nele e ser transformado em um storage) e junto com o software de backup Bacula, que possui um ótimo gerenciamento do que foi feito, te informando logs, tempo de retenção do backup, e realização dos vários niveis de backup (normal, diferencial e incremental), formam uma solução bem robusta. Para usuários de Windows a versão Server 2003, possui o NTBackup, está certo que não é uma ferramenta completa de backup, mas pelo menos os recursos básicos de realização e restauração de backup ele faz e no Windows Server 2008 também existe um ferramenta de backup, mas se você possuir uma licença do Server 2003 que está encostada, convém instalá-la para usar esse servidor como gerenciador de Backup, pois a ferramenta nativa do 2008 tem muitos poucos recursos (menos ainda que o NTBackup). Mas lembre-se o importante é ter um.

Contudo um backup feito em uma midia somente, pode não ser o suficiente, já que esta pode falhar, então a continuidade lida com isso, ditando outras técnicas que podem ser feitas, entre elas estão o armazenamento em mais de um dispositivo e até mesmo fora da localidade, e nesse quesito uma simples prática pode ser eficaz que é o caso de entregá-lo para alguém do alto escalão, e melhor se for um reserva, pois caso realmente um desastre aconteça como o predio cair, a empresa não perderá tudo, e caso esta opção seja adotada a pessoa que sair com o backup, tem que assinar um termo que ele está sob responsabilidade dela. Uma outra técnica que está ganhando bastante adeptos é colocar os dados na nuvem porém o preço de armazenamento talvez não seja atrativo e outro fator é o caso da confidencialidade, pois se os dados não estão em suas mãos você não tem como controlá-los.

Outro fator que o processo de Continuidade de Serviço também lida é testar as soluções para quando realmente elas precisam ser usadas vão funcionar. Todos nós sabemos que em pequenas e medias empresas, as vezes isso é dificil, mas isso é de vital importância pois lida com o segundo pilar da segurança que é a integridade, pois se o dado não está consistente tudo o que foi feito anteriormente não terá valido de nada. No caso das soluções de backups, uma data propicia para ser realizado esses testes e no final de semana, onde você poderá deixar rodado uma restauração em um local de testes (pode até ser um pc velho) e quando chegar ao trabalho verificar se tudo saiu conforme era esperado.

Um ponto importante também é a documentação do que é considerado um desastre, e tudo isso deve estar bem explicado em um documento, porém nas PMEs isso é complicado, pois os recursos são escassos, mas uma forma de mitigar isso é fazer um documento por tópicos dando uma breve explicação do que pode ser feito e quais os procedimentos (mas isso é claro se você não tem como detalhar o processo do inicio ao fim, pois quanto mais detalhado maiores são as chances de sucesso), outro ponto importante é ter uma cópia desse documento impresso e não só em versão digital, pois imagina se algo acontece e o servidor onde está guardado a cópia é o que precisa ser restaurado? E também avise mais de uma pessoa sobre os procedimentos, mesmo que o departamento de TI seja o EU-TI-smo. Caso isso seja a sua situação o escolhido pode ser alguém perto do departamento que conheça algo de TI.

E não se esqueça, tudo isso deve passar pela aprovação da alta gestão, porque se você não tiver a aceitação deles as chances da implantação dar certa é quase nula.

Com isso podemos ver que o processo de Continuidade do Serviço é um processo muito importante, pois lida com casos extremos de paralisações nos serviços, além de cuidar da segurança dos métodos de como elas são guardadas e restauradas e o outro processo que segue essa linha é o Gerenciamento de Segurança da Informação, que como o nome diz cuida da segurança dos dados da empresa.

Nesse processo além de determinar como as informações devem ser protegidas ele lida também como elas devem ser usadas.

Como todos nós sabemos a segurança é um tópico que está em alta e deve ser gerenciada de forma correta, pois o nível dela é medido pelo elo mais fraco que ela possui, ou seja, fazendo uma analogia, não adianta você ter uma casa ultra protegida se a chave da porta de entrada está escondida debaixo do tapete de entrada. Além como dito anteriormente não adianta você ter implantado, mas não sabe se está funcionando.

O primeiro passo para gerenciar a segurança dos serviços é definir quais são as informações mais sensíveis da empresa e categorizar por níveis, onde o nível mínimo é que a informação é do caráter público e o máximo o nível é confidencial onde somente alguns membros da empresa saberão que ela existe.

Nota: Essa categorização é exemplo e você pode escolher o seu.

Um bom inicio para deixar bem claro como as pessoas devem funcionar no quesito da segurança é definir um modelo de segurança, onde será descrito quais são as politicas de segurança, a maneira como deverá ser usado os recursos da empresa de uma maneira que não comprometa os dados, guias para auxiliar na adoção de maneiras seguras de proteger os dados e etc.

E você pode ter vários modelos de segurança dentro da sua empresa, um para o público em geral, dividido por setores e os para a área de TI, assim você pode colocar de uma forma clara para cada um, assim as informações chegam claras a quem elas precisam chegar. Um exemplo: um modelo de segurança para pessoas não técnicas deve ter uma linguagem mais simples e de fácil entendimento tal que, as para o setor de TI pode já ter mais recursos técnicos que explica de uma forma mais detalhada como a segurança funciona.

Mas tudo isso deve ser baseado no CID (Confidencialidade, Integridade e Disponibilidade), pois se uma informação for acessada por uma pessoa não autorizada ou vir com dados errados ou não estar disponível na hora que for requisitada pode causar um enorme estrago.

Mas uma coisa no processo de Segurança da Informação não será implantado a segurança por si só, neste processo será somente definido como será a estrategia de segurança da empresa e definir os rumos para isso, a segurança será implantada na fase de Operação de Serviço.

Com isso, finalizamos quase todos os processos da fase de Desenho, faltando somente o Gerenciamento do Catálogo de Serviços, que são onde os serviços que a empresa possui são apresentados e disponíveis ao público, a principio esse processo pode ser um pouco simples, mas ele é de suma importância, pois ele evita casos de contratações de serviços que já existem na empresa.

Um exemplo disso, seria o setor financeiro possui um sistema de pagamentos e ele queira implementar um serviço de débito automático em suas contas, porém ele tenta fazer no sistema atual e não consegue, então ele mesmo faz os contatos com outras empresas que possuem isso, adquirem e chega no departamento de TI para implementar, só que o sistema que eles usam executa essa função, mas não estava documentado no catálogo de serviço.

Viram como um catalogo bem atualizado pode livrar de vários problemas? E também ele é dividido em duas formas: um catálogo de negócios, onde estará todos os produtos que existe na empresa e suas funções e um catálogo técnico que é voltada para o setor de TI, onde consta como são feitas as funções ou seja o que cada uma faz para chegar ao resultado que o usuário quer chegar.

Um jeito simples de fazer um catálogo de serviços é usar uma intranet, pois ela é de fácil acesso a todos, além de ser uma forma centralizada de informação.

Uma ferramenta bem eficaz para isso é o Sharepoint e não precisa ser a versão server, já que para as PMEs não necessita de muitos recursos e a versão Foundation dele possui recursos bastante uteis além de que se você possui um Windows Server 2008 licenciado você pode instalá-lo sem custo adicional algum.

Caso você queira partir para uma solução totalmente grátis, pode usar uma ferramenta que cria uma wiki, tais como o Dokuwiki ou o MediaWiki, falado aqui também no Cooperati, mas independente da ferramenta, lembre de sempre ter ele atualizado e de uma forma clara.

Depois desse processo fechamos a fase de Desenho de Serviço, que é a fase onde os procedimentos começam a tomar uma forma e de vital importância pois qualquer coisa desenhada errada pode gerar enormes problemas no futuro, já que as próximas fases simplesmente coletam as informações vindas dela e as transformam em real valor para o cliente. Então pessoal até o próximo post onde iniciaremos a fase de Transição do Serviço, onde tudo que foi desenhado será testado para ver se nada está errado e se tiver voltar para ser melhor feito.

    Comments

    1. Muito bom o texto, mostra bem a inter-relações entre os processos!! Parabéns

    Deixe uma resposta

    O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

    © 2019 All Rights Reserved. Cooperati.