1. Introdução ao PPO
1.1. Desenho de serviço
1.1.1. Propósitos
1.1.1.1. Desenhar serviços de TI, junto com as práticas que o regem, processos e políticas requeridas para realizar a estratégia do provedor de serviços.
1.1.1.2. Facilitar a introdução de serviços nos ambientes suportados, assegurando a entrega de serviço com qualidade, satisfação do cliente e provisão de serviço a custo efetivo.
1.1.2. Objetivo
1.1.2.1. Desenhar serviços de TI de forma tão eficaz que seja requerido o mínimo de melhoria durante o seu ciclo de vida.
1.1.3. Valor para o negócio
1.1.3.1. Reduz o custo total de propriedade (CTP)
1.1.3.2. Melhora a qualidade do serviço
1.1.3.3. Melhora a consistência do serviço
1.1.3.4. Melhora a implementação de serviços novos e alterados
1.1.3.5. Melhora o alinhamento do serviço com as necessidades de negócio
1.1.3.6. Melhora o desempenho do serviço
1.1.3.7. Melhora a eficácia do gerenciamento de serviços e processos de TI
1.1.3.8. Melhora o alinhamento com os valores e estratégia de cliente
1.2. Processos de PPO
1.2.1. Gerenciamento de demanda
1.2.2. Gerenciamento de capacidade
1.2.3. Gerenciamento de disponibilidade
1.2.4. Gerenciamento de segurança da informação
1.2.5. Gerenciamento de continuidade de serviços de TI
1.3. Conceitos importantes
1.3.1. Pacote de desenho de serviço (PDS)
1.3.1.1. Esta é a principal saída produzida pelo estágio de desenho de serviço.
1.3.1.2. Inclui todas as informações necessárias para gerenciar o ciclo de vida de um serviço novo ou alterado.
1.3.1.3. Conteúdo
1.4. Coordenação de desenho
1.4.1. Processo responsável pela coordenação de todas as atividades de desenho do serviço, seus processos e recursos.
1.4.2. Fornece um único ponto de coordenação e controle dos processos necessários para produzir um pacote de desenho de serviço (PDS) com qualidade.
2. Sobre o mapa
2.1. Desenvolvido pela TIEXAMES
2.2. Contempla a revisão da estrutura dos processos do PPO
2.3. O uso deste mapa não garante aprovação no exame
3. Gererenciamento de demanda
3.1. Propósitos
3.1.1. Identificar, compreender e influenciar a demanda por serviços.
3.1.2. Assegurar a existência de capacidade adequada para satisfazer a demanda.
3.2. Objetivos
3.2.1. Identificar e analisar os padrões de atividade de negócio (PANs).
3.2.2. Definir e analisar perfis de usuário (PUs).
3.2.3. Assegurar que os serviços são desenhados para atender aos PANs.
3.2.4. Trabalhar com gerenciamento de capacidade para garantir a disponibilidade de recursos.
3.2.5. Antecipar e prevenir casos em que a demanda excederá a capacidade.
3.2.6. Engrenar a utilização dos recursos que entregam serviços para atender os níveis flutuantes de demanda para estes serviços.
3.3. Escopo
3.3.1. Identificar e avaliar o PAN que inicia a demanda por serviços.
3.3.2. Identificar perfis de usuário e analisar seus padrões de uso de serviço.
3.3.3. Identificar, acordar e implementar medidas para influenciar a demanda em conjunto com o gerenciamento de capacidade.
3.4. Valor para o negócio
3.4.1. Atinge o equilíbrio entre o custo de serviço e os resultados de negócio que são suportados.
3.4.2. Define os vínculos entre resultados de negócio, serviços, recursos e habilidades.
3.4.3. Avalia o investimento requerido para alcançar os resultados de negócio a partir dos níveis de variação de uma atividade de negócio.
3.5. Conceitos
3.5.1. gerenciamento de demanda durante o ciclo de vida
3.5.1.1. Estratégia de serviço
3.5.1.1.1. Identifica os serviços e resultados, e padrões de atividades de negócio que são gerados pelo atingimento destes resultados.
3.5.1.1.2. Faz previsão de demanda com base nos cenários de utilização e comunica às equipes de desenho.
3.5.1.1.3. Suporta o gerenciamento de portfólio de serviço a partir da estimativa dos níveis de atividade para alcançar os resultados específicos.
3.5.1.2. Desenho de serviço
3.5.1.2.1. Confirma com o cliente os requisitos relacionados a disponibilidade e capacidade.
3.5.1.2.2. Valida os ativos de serviço a fim de verificar que eles foram desenhados para atender a estes requisitos.
3.5.1.3. Transição de serviço
3.5.1.3.1. Envolve-se no teste e validação dos serviços para prever a utilização e padrões de atividade de negócio.
3.5.1.3.2. Também pode testar a habilidade de influenciar e gerenciar a demanda.
3.5.1.4. Operação de serviço
3.5.1.4.1. Conta com o apoio das funções de gerenciamento técnico, de aplicativos e operações para monitorar os ativos de serviço e os níveis de utilização.
3.5.1.4.2. Realiza ajustes ou ações corretivas conforme necessário.
3.5.1.5. Melhoria contínua de serviço
3.5.1.5.1. Trabalha para identificar as tendências nos PANs.
3.5.1.5.2. Inicia mudanças nas habilidades do provedor de serviços ou no comportamento do cliente conforme necessário.
3.5.2. PAN
3.5.2.1. É um perfil de carga de trabalho de uma ou mais atividades de negócio.
3.5.2.2. Pode conter
3.5.2.2.1. Classificação
3.5.2.2.2. Atributos da atividade de negócio
3.5.2.2.3. Requisitos das atividades de negócio
3.5.2.2.4. Requisitos de ativos de serviço
3.5.3. PU
3.5.3.1. Padrão de demanda de usuário por um serviço de TI.
3.5.3.2. Baseado em papéis e responsabilidade dentro das organizações.
3.5.3.3. Pode ser um(a): Pessoa; Aplicativo; Processo de negócio.
3.5.3.4. Pode estar associado a um ou mais PAN
3.5.4. Pacotes de serviços
3.5.4.1. São criados para atender às necessidades únicas de cada cliente
3.5.4.2. Conjunto composto por serviços principais, de apoio e intensiviado
3.6. Atividades
3.6.1. Identificar as fontes de previsão de demanda
3.6.2. Identificar os PANs
3.6.3. Categorizar Pus
3.6.4. Entender a demanda baseada em atividade
3.6.5. Desenvolver ofertas diferenciadas
3.6.6. Gerenciar a demanda operacional
3.7. Gatilhos, Entradas, Saídas, Interfaces
3.7.1. Gatilhos
3.7.1.1. Solicitações de um serviço novo ou alterações em um existente pelo cliente.
3.7.1.2. Criação de novo serviço para atender a uma iniciativa estratégica.
3.7.1.3. Modelo de serviço que precisa ser definido juntamente com e PANs e PUs.
3.7.1.4. Taxas de utlização que afetam o desempenho ou causam uma violação de um ANS.
3.7.1.5. Execeções que exigem previsão de PANs.
3.7.2. Entradas
3.7.2.1. Iniciativa para criar um novo serviço ou alteração em um existente.
3.7.2.2. Modelos de serviço que precisam ser validados.
3.7.2.3. Portfólio de clientes, portfólio de serviços e portfólio de acordos de clientes contendo informações sobre demanda e oferta de serviços.
3.7.2.4. Itens cobráveis que precisam ser validados.
3.7.2.5. Oportunidades e planos de melhoria que precisam ser avaliados.
3.7.3. Saídas
3.7.3.1. Perfis de usuário.
3.7.3.2. Padrões de atividade de negócio.
3.7.3.3. Políticas para o gerenciamento de demanda.
3.7.3.4. Políticas para lidar com situações em que a utilização de serviços é diferente das expectativas do cliente.
3.7.3.5. Documentação de opções para ofertas diferenciadas.
3.7.4. Interfaces
3.7.4.1. Gerenciamento estratégico para serviços de TI.
3.7.4.2. Gerenciamento de portfólio de serviço.
3.7.4.3. Gerenciamento financeiro para serviços de TI.
3.7.4.4. Gerenciamento relacionamento com o negócio.
3.7.4.5. Gerenciamento de nível de serviço.
3.7.4.6. Gerenciamento de capacidade.
3.7.4.7. Gerenciamento de disponibilidade.
3.7.4.8. Gerenciamento de continuidade de serviço de TI.
3.7.4.9. Gerenciamento de mudança.
3.7.4.10. Gerenciamento de configuração e ativos de serviço.
3.7.4.11. Validação e teste de serviço.
3.7.4.12. Gerenciamento de evento.
3.8. Informações gerenciadas
3.8.1. Imagem
3.9. FCSs e PIDs
3.9.1. FCS: O provedor de serviço tem identificado e analisado os PANs e pode usá-los para entender os níveis de demanda que serão colocados em um serviço.
3.9.1.1. PID: Padrões de atividade de negócio são definidos para cada serviço relevante.
3.9.1.2. PID: Os padrões de atividade de negócio foram traduzidos em informações de carga de trabalho pelo gerenciamento de capacidade.
3.9.1.3. PID: PUs documentados existem e cada um contém um perfil de demanda para os serviços utilizados por esse tipo de usuário.
3.9.2. FCS: Uma interface com o gerenciamento de capacidade garante que recursos adequados estejam disponíveis nos níveis adequados de capacidade para atender à demanda por serviços.
3.9.2.1. PID: Os planos de capacidade incluem detalhes de PANs e cargas de trabalho correspondentes.
3.9.2.2. PID: Os monitores de utilização mostram cargas de trabalho equilibradas com um mínimo excesso de utilização e uma quantidade máxima de capacidade não utilizada. Isso evita que grupos técnicos invistam demais na capacidade para não serem responsabilizados por excesso de utilização.
3.9.3. FCS: Existe um meio de gerenciar situações em que a demanda de um serviço excede a capacidade de entregá-lo.
3.9.3.1. PID: As técnicas para gerenciar a demanda foram documentadas em planos de capacidade e, quando apropriado, em ANSs.
3.9.3.2. PID: Cobrança diferencial (como um exemplo de uma tal técnica) resultou em uma demanda ainda maior no serviço ao longo do tempo.
3.9.4. FCS: Existe um processo pelo qual os serviços são desenhados para atender aos PANS e aos resultados de negócio.
3.9.4.1. PID: As atividades de gerenciamento de demanda são rotineiramente incluídas como parte da definição do portfólio de serviço.
3.10. Desafios e riscos
3.10.1. Desafios
3.10.1.1. A disponibilidade de informação sobre as atividades de negócio.
3.10.1.2. A dificuldade para os clientes decomporem as atividades em termos que fazem sentido para o provedor de serviços.
3.10.1.3. A falta de um processo formal de gerenciamento de portfólio de serviço ou de um portfólio de serviços formal.
3.10.2. Riscos
3.10.2.1. Falta ou imprecisão de informações de configuração.
3.10.2.2. Falha no GNS para definir, negociar e acordar compromissos para níveis mínimos e máximos de utilização de serviços.
3.11. Papéis
3.11.1. Dono deste processo
3.11.1.1. Desempenha o papel genérico de dono do processo para o gerenciamento de demanda.
3.11.1.2. Trabalha com outros donos de processo para assegurar que exista uma abordagem integrada para desenhar e implementar o gerenciamento de demanda.
3.11.2. Gerente deste processo
3.11.2.1. Desempenha o papel genérico de gerente de processo para o gerenciamento de demanda.
3.11.2.2. Identifica e analisa os PANs.
3.11.2.3. Define e analisa PUs.
3.11.2.4. Ajuda a desenhar serviços para satisfazer os PANs e resultados de negócio.
3.11.2.5. Assegura que sejam disponibilizados recursos adequados em níveis apropriados de capacidade para satisfazer a demanda por serviços.
3.11.2.6. Antecipa e impede ou gerencia situações em que a demanda por um serviço excede a capacidade de entregá-lo.
3.11.2.7. Engrena a utilização de recursos que entregam serviços para atender aos níveis flutuantes da demanda por esses serviços.
4. Gerenciamento de capacidade
4.1. Propósitos
4.1.1. Assegurar que a capacidade dos serviços de TI e infraestrutura de TI atenda a capacidade acordada e os requisitos de desempenho relacionados de uma maneira mais efetiva em custo e mais oportuna.
4.1.2. Atender às necessidades atuais e futuras de negócio por capacidade e desempenho.
4.2. Objetivos
4.2.1. Produzir e manter um plano de capacidade apropriado e atualizado.
4.2.2. Guiar o negócio e a TI nas questões relacionadas à capacidade.
4.2.3. Gerenciar o desempenho dos serviços e recursos.
4.2.4. Assegurar que o desempenho dos serviços atenda ou exceda todas as metas acordadas.
4.2.5. Auxiliar com o diagnostico e resolução de incidentes e problemas relacionados ao desempenho e capacidade.
4.2.6. Avaliar os impactos das mudanças no plano de capacidade.
4.2.7. Garantir que medições para melhorar o desempenho dos serviços estejam implementadas com um custo justificado.
4.3. Escopo
4.3.1. É um ponto focal para todas as questões de capacidade e desempenho de TI
4.3.2. Envolve todas as áreas de tecnologia, tanto de hardware como de software, para todos os ambientes e componentes de tecnologia de TI
4.3.3. Lida com certos aspectos de recursos humanos onde uma falta de tal recurso poderia resultar em: Uma violação das metas de ANS e ANO;
4.4. Valor para o negócio
4.4.1. Melhora o desempenho e disponibilidade dos serviços de TI que o negócio precisa, através da redução de incidentes e problemas relacionados à capacidade.
4.4.2. Assegura que a capacidade e desempenho requeridos são fornecidos com a melhor efetividade de custo.
4.4.3. Contribui para a melhoria da satisfação do cliente e produtividade do usuário.
4.4.4. Melhora a habilidade do negócio e a ser ambientalmente responsável.
4.4.5. Melhora a confiabilidade do orçamento relacionado à capacidade.
4.4.6. Suporta o desenho eficiente, eficaz e a transição de serviços novos ou alterados.
4.5. Conceitos
4.5.1. Plano de capacidade
4.5.1.1. Documenta os níveis atuais de utilização de recursos e desempenho de serviço
4.5.1.2. Deve ser publicado pelo menos anualmente alinhado com o ciclo de vida do orçamento da área de TI
4.5.1.3. Inclui quaisquer recomendações quantificadas em termos de
4.5.1.3.1. Recurso requerido
4.5.1.3.2. Custo
4.5.1.3.3. Benefícios
4.5.1.3.4. Impacto
4.5.2. Gerenciamento de capacidade durante o ciclo de vida
4.5.2.1. Estratégia de serviço
4.5.2.1.1. Observa o plano de orçamento para estimar o custo da capacidade.
4.5.2.1.2. Observa os serviços contidos no Padrão de Atividade do Negócio (PAN) para estimar os requisitos de capacidade.
4.5.2.2. Desenho de serviço
4.5.2.2.1. Cria e mantém o plano de capacidade visando eficácia e eficiência.
4.5.2.2.2. Define os requisitos de desempenho dos componentes da infraestrutura de TI.
4.5.2.3. Transição de serviço
4.5.2.3.1. Testa e valida a capacidade de atender e gerenciar a demanda.
4.5.2.4. Operação de serviço
4.5.2.4.1. Fornece suporte a incidentes e problemas relacionados à capacidade e desempenho.
4.5.2.4.2. Realiza ajustes ou ações corretivas conforme necessário.
4.5.2.5. Melhoria contínua de serviço
4.5.2.5.1. Identifica melhorias e atualizações para os hardwares e softwares.
4.5.2.5.2. Atualiza o plano de capacidade de acordo com as demandas.
4.5.3. Limite
4.5.3.1. O valor de uma métrica que pode causar a geração de um alerta ou a tomada de uma ação de gerenciamento.
4.5.3.2. Por exemplo: “incidente Prioridade 1 não resolvido em até 4 horas", “mais de 5 erros de disco em uma hora" ou “mais do que 10 mudanças que falharam em um mês”.
4.5.3.3. Convém que os limites sejam abaixo das metas no ANSs.
4.6. Atividades
4.6.1. Reativas
4.6.1.1. Monitorar, medir, reportar e revisar o desempenho atual tanto de serviços como de componentes.
4.6.1.2. Responder a todos os eventos relacionados a “limites” de capacidade e instigar ações corretivas relacionadas a capacidade.
4.6.1.3. Reagir e auxiliar com questões específicas de desempenho.
4.6.2. Proativas
4.6.2.1. Tomar ações para evitar questões de desempenho.
4.6.2.2. Estimar os requisitos futuros, produzindo tendências de utilização atual dos componentes.
4.6.2.3. Modelar e levantar tendências das mudanças previstas nos serviços de TI.
4.6.2.4. Garantir que atualizações estejam orçadas, planejadas e implementadas antes que as metas de ANS e serviço sejam violadas ou questões de desempenho ocorram.
4.6.2.5. Melhorar o desempenho de serviço onde quer que seja justificável em termos de custo.
4.6.2.6. Ajustar e otimizar o desempenho dos serviços e componentes.
4.7. Gatilhos, Entradas, Saídas, Interfaces
4.7.1. Gatilhos
4.7.2. Entradas
4.7.3. Saídas
4.7.4. Interfaces
4.8. Informações gerenciadas
4.8.1. O processo de gerenciamento da capacidade produz:
4.9. FCSs e PIDs
4.9.1. FCS: Previsões de negócio precisas
4.9.1.1. PID: Produção da carga de trabalho em tempo oportuno.
4.9.1.2. PID: Porcentagem das previsões de tendências de negócios que estão corretas.
4.9.1.3. PID: Adoção oportuna de planos de negócio dentro do plano de capacidade.
4.9.1.4. PID: Redução do número de variações dos planos de negócio e planos de capacidade.
4.9.2. FCS: Conhecimento das tecnologias atuais e futuras
4.9.2.1. PID: O aumento da habilidade de monitoramento do desempenho de todos os serviços e componentes.
4.9.2.2. PID: Justificativa e implementação de novas tecnologias de acordo com os requisitos de negócios (tempo, custo e funcionalidade) em tempo oportuno.
4.9.2.3. PID: Redução no uso de tecnologia antiga, causando violações de ANSs devido a problemas com o suporte ou o desempenho.
4.9.3. FCS: Habilidade de demonstrar a efetividade de custo
4.9.3.1. PID: Redução na compra de última hora para tratar de questões urgentes de desempenho.
4.9.3.2. PID: Redução do excesso de capacidade de TI.
4.9.3.3. PID: Previsões precisas de despesas/gastos.
4.9.3.4. PID: Redução da interrupção dos negócios causada pela falta de capacidade adequada de TI.
4.9.3.5. PID: Redução relativa no custo de produção do plano de capacidade.
4.9.4. FCS: Habilidade de planejar e implementar a capacidade de TI apropriada para corresponder à necessidade de negócio
4.9.4.1. PID: Percentual de redução no número de incidentes devido ao mau desempenho.
4.9.4.2. PID: Redução percentual em perdas do negócio devido à capacidade inadequada.
4.9.4.3. PID: O aumento da porcentagem de recomendações feitas pelo gerenciamento de capacidade que são postas em prática.
4.9.4.4. PID: Redução do número de violações de ANS, devido a um desempenho ruim de serviço ou desempenho pobre de componente.
4.10. Desafios e riscos
4.10.1. Desafios
4.10.1.1. Obtenção de informações de planos estratégicos de negócio para auxiliar esse processo.
4.10.1.2. Combinar todos os dados do gerenciamento de capacidade de componente em um conjunto integrado de informações que possa ser analisado de uma maneira confiável para fornecer detalhes de uso de todos os componentes do serviço.
4.10.2. Riscos
4.10.2.1. Falta de informação sobre os planos e estratégias futuras.
4.10.2.2. Processos se tornam demasiado burocráticos ou manualmente intensivos.
4.10.2.3. Processos que se concentram demais nos hardwares e softwares em vez de focar nos serviços e/ou negócio.
4.10.2.4. Relatórios com informações em linguajar muito técnico e incompletos para os clientes e negócio.
4.10.2.5. Falta de comprometimento da alta administração ou a falta de recursos e/ou orçamento para o processo.
4.10.2.6. Falta de compromisso da empresa com processo.
4.11. Papéis
4.11.1. Dono deste processo
4.11.1.1. Presta contas pelo processo.
4.11.1.2. Trabalha com outros processos para assegurar que o gerenciamento de capacidade está integrado em todo o ciclo de vida do serviço.
4.11.2. Gerente deste processo
4.11.2.1. Coordena as interfaces com outros processos, especialmente gerenciamento de nível de serviço, gerenciamento de disponibilidade, gerenciamento de continuidade de serviços de TI e gerenciamento de segurança da informação.
4.11.2.2. Assegura que haja capacidade de TI adequada para atender aos níveis exigidos de serviço.
4.11.2.3. Identifica com o gerente de nível de serviço os requisitos de capacidade.
4.11.2.4. Compreende o uso atual da infraestrutura e serviços de TI e a capacidade máxima de cada componente.
4.11.2.5. Prevê as necessidades futuras de capacidade.
5. Gerenciamento de disponibilidade
5.1. Propósitos
5.1.1. Assegurar que o nível de disponibilidade entregue a todos os serviços de TI atendem às necessidades de disponibilidade e/ou de metas de nível de serviço com um custo efetivo e de maneira oportuna.
5.1.2. Definir, analisar, planejar, medir e melhorar todos os aspectos da disponibilidade do serviço, garantindo que toda a infraestrutura de TI, processos, ferramentas, papéis, etc., sejam apropriados para as metas de nível de serviço.
5.2. Objetivos
5.2.1. Produzir e manter os planos de disponibilidade refletindo as necessidades de negócio atuais e futuras.
5.2.2. Garantir que as realizações de disponibilidade de serviço atendam ou excedam as metas acordadas.
5.2.3. Ajudar nos diagnósticos e resoluções de incidentes e problemas relacionados à disponibilidade.
5.2.4. Avaliar o impacto das mudanças sobre os planos de disponibilidade de serviço.
5.2.5. Aconselhar e guiar outras áreas dos negócios e de TI em relação à questões de disponibilidade.
5.2.6. Implementar medidas de custo justificado para melhorar a disponibilidade dos serviços.
5.3. Escopo
5.3.1. Cobre o desenho, implementação, medição, gerenciamento e melhoria da disponibilidade tanto de serviços como de componentes de TI.
5.3.2. Todos os serviços operacionais e tecnologia, particularmente àqueles que estejam cobertos por ANSs.
5.3.3. Todos os aspectos dos serviços de TI, componentes e organizações de suporte que podem impactar na disponibilidade, incluindo treinamento, habilidades, efetividade de processo, procedimentos e ferramentas
5.3.4. Atividades reativas
5.3.4.1. Envolve monitoramento, medição, análise e gerenciamento de todos os eventos, incidentes e problemas relacionados à indisponibilidade.
5.3.4.2. Atividades desempenhadas principalmente por papéis operacionais
5.3.5. Atividades proativas
5.3.5.1. Envolve o planejamento proativo, desenho e melhoria da disponibilidade.
5.3.5.2. Atividades desempenhadas principalmente como parte dos papéis de desenho e planejamento.
5.4. Valor para o negócio
5.4.1. Assegura que a TI entrega os níveis de disponibilidade requeridos para satisfazer os objetivos de negócio.
5.4.2. Garante a satisfação do cliente em relação confiabilidade e disponibilidade dos serviços de TI.
5.4.3. Apoia as necessidades de negócio para implementar estratégias ambientalmente responsáveis.
5.5. Conceitos
5.5.1. Aspectos da disponibilidade
5.5.1.1. Disponibilidade
5.5.1.1.1. É habilidade de um serviço de TI ou outro item de configuração de desempenhar sua função acordada quando requerida.
5.5.1.2. Confiabilidade
5.5.1.2.1. É uma medida do tempo na qual um serviço de TI ou outro item de configuração pode executar a sua função acordada sem interrupção.
5.5.1.2.2. Geralmente medida como TMEF (tempo médio entre falhas) ou TMEIS (tempo médio entre incidentes de serviço).
5.5.1.3. Sustentabilidade
5.5.1.3.1. É uma medida de quão rápido e eficaz um serviço de TI ou outro item de configuração pode ser restaurado à operação normal após uma falha.
5.5.1.3.2. A sustentabilidade é frequentemente medida e reportada como TMRS (tempo médio para reparar serviço).
5.5.1.4. Funcionalidade do serviço
5.5.1.4.1. É a habilidade que um terceiro tem de atender aos termos do seu contrato. Este contrato incluirá níveis acordados de confiabilidade, sustentabilidade e disponibilidade para um item de configuração.
5.5.2. Função vital de negócio – FVN
5.5.2.1. É parte de um processo de negócio que é crítico para o sucesso do negócio.
5.5.3. Plano de disponibilidade
5.5.3.1. Plano que garante que requisitos de disponibilidade existentes e futuros de serviços de TI possam ser fornecidos com efetividade em custo.
5.5.3.2. Convém que este plano cubra um período de 1 a 2 anos, com visão de informações detalhadas para os 6 primeiros meses.
5.5.3.3. Convém que este plano seja revisado regularmente, com revisões pequenas a cada trimestre e revisões maiores a cada 6 meses.
5.5.3.4. É recomendado que este plano seja considerado um complemento ao plano de capacidade e financeiro, e a sua publicação precisa estar alinhada ao ciclo orçamentário do negócio.
5.6. Atividades
5.6.1. Atividades reativas
5.6.1.1. Monitorar, medir, analisar, relatar e revisar disponibilidade de serviço e componente
5.6.1.2. Investigar toda a indisponibilidade de serviço e componente, além de instigar ação de remediação
5.6.2. Técnicas reativas
5.6.2.1. Monitorar, medir, analisar, relatar e revisar a disponibilidade de serviço e componente.
5.6.2.2. Análise de indisponibilidade.
5.6.2.3. Gerenciamento de ciclo de vida expandido de incidente.
5.6.2.4. Análise de falha de serviço.
5.6.3. Atividades proativas
5.6.3.1. Avaliação e gerenciamento de riscos
5.6.3.2. Avaliação e gerenciamento de riscos
5.6.3.3. Revisar todos os serviços novos e alterados, testando todos os mecanismos de disponibilidade e resiliência
5.6.3.4. Implementar contramedidas com custo justificado
5.6.3.5. Revisão e melhoria contínua
5.6.4. Técnicas proativas
5.6.4.1. Definições de requisitos.
5.6.4.2. Desenho para a disponibilidade.
5.6.4.3. Desenho de disponibilidade de serviço.
5.6.4.4. Análise de impacto de falhas em componentes (AIFC).
5.6.4.5. Análise de ponto único de falha (PUF).
5.6.4.6. Análise da árvore de falha (AAF).
5.6.4.7. Simulação, modelagem e teste de carga.
5.6.4.8. Gerenciamento e análise de riscos.
5.6.4.9. Cronograma de teste de disponibilidade.
5.6.4.10. Manutenção planejada e preventiva.
5.6.4.11. Produção de documentos de indisponibilidade de serviço planejada.
5.6.4.12. Revisão e melhoria contínua.
5.7. Gatilhos, Entradas, Saídas, Interfaces
5.7.1. Gatilhos
5.7.1.1. Necessidades de negócio novas ou alteradas ou serviços novos ou alterados.
5.7.1.2. Metas novas ou alteradas dentro dos acordos.
5.7.1.3. Violações de serviço ou componentes, eventos e alertas de disponibilidade.
5.7.1.4. Atividades periódicas como revisão ou relatórios.
5.7.1.5. Revisão de planos e previsões do gerenciamento de disponibilidade.
5.7.1.6. Revisão e correção de planos e estratégias de TI e negócio.
5.7.1.7. Requisição do GNS.
5.7.2. Entradas
5.7.2.1. Informações do negócio (estratégia, planos, requisitos)
5.7.2.2. Informações de impacto no negócio.
5.7.2.3. Análises de riscos anteriores, avaliações, relatórios e registros de riscos.
5.7.2.4. Informação de serviço.
5.7.2.5. Informação financeira.
5.7.2.6. Informação de mudança e liberação.
5.7.2.7. Gerenciamento de configuração.
5.7.2.8. Metas de serviço.
5.7.2.9. Informação de tecnologia.
5.7.2.10. Desempenho anteriores.
5.7.2.11. Informação de indisponibilidade e de falhas.
5.7.3. Saídas
5.7.3.1. SIGD.
5.7.3.2. Plano de disponibilidade.
5.7.3.3. Disponibilidade e critério de desenho de recuperação e metas propostas de serviço.
5.7.3.4. Relatórios de realizações de disponibilidade, confiabilidade e sustentabilidade de serviço em relação às metas.
5.7.3.5. Relatórios de disponibilidade de componente, confiabilidade e sustentabilidade.
5.7.3.6. Revisões de análises de riscos e relatórios e um registro de riscos atualizado.
5.7.4. Interfaces
5.7.4.1. Gerenciamento de nível de serviço.
5.7.4.2. Gerenciamento de capacidade.
5.7.4.3. Gerenciamento da continuidade de serviço de TI.
5.7.4.4. Gerenciamento de segurança da informação.
5.7.4.5. Gerenciamento de mudança.
5.7.4.6. Gerenciamento de incidente.
5.7.4.7. Gerenciamento de acesso.
5.8. Informações gerenciadas
5.8.1. O processo de gerenciamento de disponibilidade precisa manter um SIGD que contenha todas a medições e informações requeridas para completar o processo.
5.8.1.1. Fornece a base para o desenvolvimento do conteúdo de um plano de disponibilidade.
5.8.1.2. Estas informações, cobrindo serviços, componentes e serviços de apoio, fornecem a base para os relatórios de disponibilidade e identificação de tendências.
5.9. FCSs e PIDs
5.9.1. FCS: Gerenciar a disponibilidade e a confiabilidade dos serviços de TI.
5.9.1.1. PID: Redução percentual na indisponibilidade de serviços e componentes.
5.9.1.2. PID: Aumento percentual na confiabilidade dos serviços e componentes.
5.9.1.3. PID: Revisão efetiva e acompanhamento de todas as violações de ANSs, ANOs e contratos de apoio relacionados com a disponibilidade e confiabilidade.
5.9.1.4. PID: Melhoria percentual na disponibilidade do serviço de ponta a ponta.
5.9.1.5. PID: Redução percentual no número e impacto das interrupções de serviço.
5.9.1.6. PID: Melhoria dos TMEF, TMEIS e TMRS.
5.9.2. FCS: Satisfazer as necessidades do negócio no acesso aos serviços de TI.
5.9.2.1. PID: Redução percentual na indisponibilidade dos serviços.
5.9.2.2. PID: Redução percentual do custo de horas extras do negócio devido às indisponibilidades de TI.
5.9.2.3. PID: Redução percentual no horário das falhas críticas (por exemplo, picos específicos do negócio e necessidades prioritárias de disponibilidade que estão previstas).
5.9.2.4. PID: Melhoria percentual nos negócios e usuários satisfeitos com o serviço (através dos resultados da pesquisa de satisfação com cliente).
5.9.3. FCS: Disponibilidade da infraestrutura de TI e aplicativos, como documentado em ANSs, fornecidos a custos ótimos.
5.9.3.1. PID: Redução percentual do custo de indisponibilidade.
5.9.3.2. PID: Melhoria percentual nos custos de prestação de serviços.
5.9.3.3. PID: Conclusão oportuna da revisão regular da avaliação de riscos e sistema.
5.9.3.4. PID: Conclusão oportuna de análise de custo-benefício estabelecida para AIFC de infraestrutura.
5.9.3.5. PID: Redução percentual em falhas de desempenho de terceiro em TMRS/TMEF em relação às metas de contrato.
5.9.3.6. PID: Redução do tempo necessário para completar (ou atualizar) uma avaliação de riscos.
5.9.3.7. PID: Redução do tempo necessário para revisar a resiliência do sistema.
5.9.3.8. PID: Redução do tempo necessário para completar um plano de disponibilidade.
5.9.3.9. PID: Produção antecipada de relatórios gerenciais.
5.9.3.10. PID: Redução percentual na incidência de revisões operacionais não cobrindo exposições de segurança e confiabilidade nos desenhos de aplicativo.
5.10. Desafios e riscos
5.10.1. Desafios
5.10.1.1. Cumprir e gerenciar as expectativas de negócio.
5.10.1.2. Integração de todas as informações relacionadas à disponibilidade.
5.10.1.3. Convencer o negócio das necessidades para gerenciamento de disponibilidade proativo.
5.10.2. Riscos
5.10.2.1. Falta de comprometimento do negócio para o processo de gerenciamento de disponibilidade.
5.10.2.2. Falta de comprometimento do negócio e uma falta de informação apropriada sobre planos e estratégias futuras.
5.10.2.3. Falta de comprometimento da gerência sênior ou falta de recursos e/ou orçamento para o processo de gerenciamento de disponibilidade.
5.10.2.4. Trabalho intensivo para produzir relatórios.
5.10.2.5. O processo foca muito na tecnologia e não o suficiente em serviços e nas necessidades de negócio;
5.10.2.6. O SIGD é mantido isolado e não é compartilhado ou consistente com outras áreas de processo, especialmente GCSTI, gerenciamento de segurança da informação e gerenciamento de capacidade.
5.11. Papéis
5.11.1. Dono deste processo
5.11.1.1. Desempenha o papel genérico de dono de processo para este processo.
5.11.1.2. Trabalha com gerentes de todas as funções para assegurar a aceitação deste processo como um ponto único de coordenação para questões de disponibilidade.
5.11.1.3. Trabalha com outros donos de processo para garantir uma abordagem integrada.
5.11.2. Gerente deste processo
5.11.2.1. Assegura que todos os novos serviços são desenhados para oferecer os níveis de disponibilidade exigidos pelo negócio.
5.11.2.2. Ajuda na investigação e diagnóstico de todos os incidentes e problemas que causam problemas de disponibilidade ou indisponibilidade de serviços ou componentes.
5.11.2.3. Participa do desenho de infraestrutura de TI, incluindo a especificação dos requisitos de disponibilidade de hardware e software.
5.11.2.4. Especifica os requisitos para sistemas de gerenciamento de eventos novos ou aprimorados para o monitoramento automático de disponibilidade de componentes de TI.
5.11.2.5. Coordena as interfaces com processo de disponibilidade.
5.11.2.6. Assegurar que todos os serviços existentes entregam os níveis de disponibilidade acordados com o negócio através de ANS.
6. Gerenciamento de continuidade de serviço de TI (GCSTI)
6.1. Propósitos
6.1.1. Suportar o processo de gerenciamento de continuidade de negócios (GCN).
6.1.2. Garantir que o provedor de serviços de TI possa sempre fornecer os níveis de serviço mínimos relacionados à continuidade.
6.1.3. Entender e reduzir os riscos de serviços TI para os níveis aceitáveis para o negócio.
6.1.4. Planejar e preparar para a recuperação dos serviços TI.
6.2. Objetivos
6.2.1. Produzir um conjunto de planos de continuidade de serviços de TI que apoiam as necessidades gerais de continuidade do negócio.
6.2.2. Garantir que os planos de continuidade estão precisos, através de exercícios regulares de análises de impacto no negócio (AIN).
6.2.3. Regularmente avaliar e tratar os riscos dos serviços de TI.
6.2.4. Aconselhar o negócio sobre as questões relacionadas à continuidade.
6.2.5. Estabelecer mecanismos de continuidade alinhados com as metas de continuidade do negócio.
6.2.6. Entender e avaliar o impacto das mudanças nos serviços de TI nos planos de continuidade de serviços de TI.
6.2.7. Estabelecer medidas proativas para melhorar a disponibilidade dos serviços de TI com custo justificado.
6.2.8. Negociar e acordar contratos com os fornecedores de serviços relacionados à continuidade em conjunto com o gerenciamento de fornecedores
6.3. Escopo
6.3.1. Foca em eventos significativos para o negócio
6.3.1.1. Desastres (conforme determinado pela organização)
6.3.1.2. Interrupções significativas além do normal nas operações diárias.
6.3.2. Considera primariamente
6.3.2.1. Ativos de TI e configurações usados no suporte aos processos de negócio.
6.3.2.2. Necessidade de realocação para um local alternativo após um desastre
6.3.2.3. Ativos necessários em locais alternativos: Ativos e configurações; Acomodação do pessoal; Registros críticos e documentos; Instalações de comunicação.
6.4. Valor para o negócio
6.4.1. Suporta o processo de GCN.
6.4.2. Aumenta a consciência dos requisitos de continuidade e recuperação.
6.4.3. Frequentemente utilizado para justificar e implementar um GCN.
6.4.4. É orientado pelo risco no negócio conforme identificado pelo GCN.
6.4.5. Assegura que os arranjos de recuperação para os serviços de TI estão alinhados ao: Impacto de negócio Riscos no negócio Necessidades do negócio
6.5. Conceitos
6.5.1. Ciclo de vida do GCSTI
6.5.1.1. Imagem
6.6. Atividades
6.6.1. Estágio 1: Iniciação
6.6.1.1. Estabelecimento de política
6.6.1.2. Definição de escopo e termos de referência
6.6.1.3. Iniciação de um projeto de continuidade
6.6.2. Estágio 2: Requisitos e estratégia
6.6.2.1. Realiza a avaliação de riscos e AIN.
6.6.2.1.1. Tem que considerar impactos tangíveis e intangíveis
6.6.2.2. A estratégia deve documentar como os riscos serão gerenciados através de medidas de redução de riscos e opções de recuperação requeridas.
6.6.2.2.1. Opções de recuperação de GCSTI
6.6.3. Estágio 3: Implementação
6.6.3.1. Desenvolver planos e procedimentos de continuidade de TI
6.6.3.2. Planejamento organizacional
6.6.3.3. Testes iniciais
6.6.3.4. Implementação de arranjos de redução de riscos/recuperação
6.6.4. Estágio 4: Operação contínua
6.6.4.1. Educação, conscientização e treinamento
6.6.4.2. Revisão e auditoria
6.6.4.3. Testes
6.6.4.4. Gerenciamento de mudanças
6.7. Gatilhos, Entradas, Saídas, Interfaces
6.7.1. Gatilhos
6.7.1.1. Novas necessidades de negócio, serviços novos ou alterados.
6.7.1.2. Metas novas ou alteradas (nos RNSs, ANSs, ANOs e CAs).
6.7.1.3. Ocorrência de um incidente grave.
6.7.1.4. Atividades periódicas (AIN e avaliação de riscos)
6.7.1.5. Avaliação de mudanças e potencial de invocação.
6.7.1.6. Revisões dos planos e estratégias de TI e de negócio.
6.7.1.7. Reconhecimento ou notificação de uma mudança de risco ou impacto de processo de negócio ou FNV, serviço de TI ou componente.
6.7.1.8. Iniciação de testes de continuidade e planos de recuperação.
6.7.1.9. Lições aprendidas de eventos de continuidade anteriores.
6.7.2. Entradas
6.7.2.1. Informação de negócio.
6.7.2.2. Informação de TI.
6.7.2.3. Planos e estratégias de continuidade de negócio.
6.7.2.4. Informação de serviço do processo GNS.
6.7.2.5. Informação financeira de serviços de TI: Custo do fornecimento de serviço; Custo dos recursos e componentes.
6.7.2.6. Informações de mudanças: Cronograma de mudanças; Impacto nos planos GCSTI.
6.7.3. Saídas
6.7.3.1. Políticas e estratégias de GCSTI revisadas.
6.7.3.2. Conjunto de planos GCSTI.
6.7.3.3. Documentação do gerenciamento de crise.
6.7.3.4. Planos de resposta de emergência.
6.7.3.5. Planos de recuperação de desastres.
6.7.3.6. Planos de contratos de apoio com fornecedores de serviço de recuperação.
6.7.3.7. Exercícios AIN e relatórios.
6.7.3.8. Revisão de análises de riscos e relatórios.
6.7.3.9. Cronograma de testes de GCSTI, cenários, relatórios e revisões.
6.7.4. Interfaces
6.7.4.1. Gerenciamento de nível de serviço.
6.7.4.2. Gerenciamento de capacidade.
6.7.4.3. Gerenciamento de disponibilidade.
6.7.4.4. Gerenciamento de segurança da informação.
6.7.4.5. Gerenciamento de mudança.
6.7.4.6. Gerenciamento de configuração e ativo de serviço.
6.7.4.7. Gerenciamento de incidente.
6.7.4.8. Gerenciamento de problema.
6.8. Informações gerenciadas
6.8.1. Informação da última versão da AIN.
6.8.2. Registro de riscos, avaliação de riscos e resposta a riscos.
6.8.3. Estratégia de GCN e plano de continuidade de negócios.
6.8.4. Detalhes de todos os testes completados.
6.8.5. Cronograma de testes planejados.
6.8.6. Detalhes de todo o plano de GCSTI e seus conteúdos.
6.8.7. Detalhes de todos os outros planos relevantes.
6.8.8. Detalhes de todas as instalações de recuperação existentes, fornecedores de recuperação, acordos de recuperação e de equipamentos de reposição.
6.8.9. Detalhes de todos os processos de backup e recuperação, cronogramas, sistema e mídias, junto com seus respectivos locais.
6.9. FCSs e PIDs
6.9.1. FCS: Serviços de TI são entregues e podem ser recuperados para atender aos objetivos de negócio.
6.9.1.1. PID: Aumento no sucesso de auditorias regulares dos planos de GCSTI para garantir que, em todas as vezes, os requisitos acordados de recuperação do negócio possam ser alcançados.
6.9.1.2. PID: Validação regular confirmando que todas as metas de recuperação de serviço acordadas e documentadas nos ANSs são alcançáveis dentro dos planos de GCSTI.
6.9.1.3. PID: Testes regulares e abrangentes dos planos de GCSTI são alcançados constantemente.
6.9.1.4. PID: Revisões regulares são realizadas, pelo menos anualmente, dos planos de continuidade de TI e de negócio com as áreas de negócio.
6.9.1.5. PID: Validação regular confirmando que TI negocia e gerencia todos os contratos de GCSTI com terceiros.
6.9.1.6. PID: Redução geral no risco e impacto de possíveis falhas dos serviços de TI.
6.9.2. FCS: Consciência em toda a organização sobre os planos de continuidade dos serviços de TI e do negócio.
6.9.2.1. PID: Aumento na consciência validada referente ao impacto no negócio, necessidades e requisitos em toda a TI.
6.9.2.2. PID: Aumento nos resultados de teste com sucesso, garantindo que todas as áreas de serviços de TI e equipe estejam preparados e aptos para responder a uma invocação dos planos de GCSTI.
6.9.2.3. PID: Comunicação regular validada dos objetivos de GCSTI e responsabilidades dentro das áreas apropriadas do negócio e de TI.
6.10. Desafios e riscos
6.10.1. Desafios
6.10.1.1. Planejamento na ausência dos processos de GCN.
6.10.1.2. Negócio não engajado (acham que continuidade é uma responsabilidade exclusiva da TI).
6.10.1.3. Alinhamento e integração com processos de GCN.
6.10.2. Riscos
6.10.2.1. Falta de processos de GCN.
6.10.2.2. Falta de comprometimento do negócio com os procedimentos e processos de GCSTI.
6.10.2.3. Falta de informação apropriada sobre os planos e estratégias futuros de negócio.
6.10.2.4. Falta de comprometimento da gerência sênior ou falta de recursos e/ou orçamento para o processo de GCSTI.
6.10.2.5. Os processos focam demais em questões de tecnologia, mas não o suficiente nos serviços de TI, nem nas necessidades e prioridades de negócio.
6.10.2.6. Avaliação e gerenciamento de riscos são conduzidos de forma isolada e não em conjunto com o gerenciamento de disponibilidade e gerenciamento de informação de segurança
6.10.2.7. Planos e informações de GCSTI se tornam desatualizados e perdem alinhamento com as informações e planos de negócio e GCN.
6.11. Papéis
6.11.1. Dono deste processo
6.11.1.1. Realiza o papel genérico de dono de processo para este processo.
6.11.1.2. Trabalha com o negócio para assegurar coordenação e comunicação entre o GCN e GCSTI.
6.11.1.3. Trabalha com os gerentes de funções para assegurar a aceitação do processo de GCSTI como um ponto único de coordenação para estas questões.
6.11.1.4. Trabalha com outros donos de processos para assegurar uma abordagem integrada.
6.11.2. Gerente deste processo
6.11.2.1. Realiza o papel genérico de gerente de processo deste processo.
6.11.2.2. Coordena as interfaces do GCSTI.
6.11.2.3. Realiza a AIN para todos os serviços existentes e novos.
6.11.2.4. Implementa e mantem o processo.
6.11.2.5. Garante que os planos e todas as atividades de GCSTI atendem às metas acordadas.
6.11.2.6. Realiza avaliação e gerenciamento de riscos para prevenir desastres a um custo justificado.
6.11.2.7. Desenvolve e mantem as estratégias de continuidade.
6.11.2.8. Invoca o plano de continuidade de serviço se necessário.
6.11.2.9. Realiza revisão post-mortem dos testes de continuidade e invocações.
6.11.2.10. Desenvolve e gerencia os planos de GCSTI.
6.11.2.11. Garante que todas as áreas de TI estão preparadas para responder a uma invocação dos planos de continuidade.
6.11.2.12. Mantem um cronograma abrangente de testes.
6.11.2.13. Negocia e gerencia contratos com fornecedores de serviços de recuperação.
7. Gerenciamento de segurança da informação (GSI)
7.1. Propósito
7.1.1. Alinhar a segurança de TI com a segurança do negócio para assegurar que a confidencialidade, integridade e disponibilidade dos ativos de informação, dados e serviços de TI combinem com as necessidades do negócio acordadas.
7.2. Objetivo
7.2.1. Proteger os interesses daqueles que dependem da informação, e dos sistemas e comunicações que entregam a informação, de danos resultantes de falha de confidencialidade, integridade e disponibilidade.
7.3. Escopo
7.3.1. Ser o ponto focal para todas as questões de segurança de TI.
7.3.2. Garantir que uma política de segurança da informação seja produzida, mantida e aplicada (reforça a adoção).
7.3.3. Entender o ambiente de segurança do negócio e de TI incluindo:
7.3.3.1. Política e planos de segurança do negócio
7.3.3.2. Operação de negócio atual e seus requisitos de segurança;
7.3.3.3. Planos e requisitos futuros do negócio;
7.3.3.4. Requisitos legislativos e regulatórios;
7.3.3.5. Obrigações e responsabilidades relacionadas à segurança contida dentro dos ANSs;
7.3.3.6. O negócio e riscos de TI e seu gerenciamento;
7.3.4. Estabelecer e manter um SGSI (Sistema de Gestão de Segurança da Informação) para orientar o desenvolvimento e gerenciamento de um programa de segurança da informação.
7.4. Valor para o negócio
7.4.1. O GSI fornece valor para o negócio mantendo e impondo uma política de segurança de informação que satisfaz: As necessidades da política de segurança do negócio; Os requisitos da governança corporativa
7.4.2. O GSI gerencia todos os aspectos da TI e da segurança de informação, por meio de controles apropriados de segurança, garantindo que os serviços de TI que suportam os processos de negócio estejam alinhados com as diretrizes do negócio e dos processos de gerenciamento corporativo de riscos
7.5. Conceitos
7.5.1. CIDA
7.5.1.1. Confidencialidade
7.5.1.1.1. A informação é acessada ou divulgada apenas por quem tem direito de acesso.
7.5.1.2. Integridade
7.5.1.2.1. A informação está completa, precisa e protegida contra modificação não autorizada.
7.5.1.3. Disponibilidade
7.5.1.3.1. A informação está disponível e usável quando requerida e os sistemas que a fornecem podem resistir apropriadamente à ataques.
7.5.1.4. Autenticidade
7.5.1.4.1. Transações de negócio, assim como intercâmbios entre empresas ou com parceiros, podem ser confiáveis (autenticidade e não-repúdio).
7.5.2. Políticas
7.5.2.1. Convém que as atividades do GSI sejam focadas e guiadas pela política de segurança da informação geral e um conjunto de políticas de apoio de segurança específicas.
7.5.3. Política de segurança da informação (PSI)
7.5.3.1. A política que governa a abordagem da organização quanto ao gerenciamento de segurança da informação.
7.5.3.2. Seções
7.5.3.3. Boas práticas para políticas
7.5.3.3.1. Amplamente disponíveis para todos os clientes e usuários;
7.5.3.3.2. Assinadas pela alta administração;
7.5.3.3.3. Revisadas ao menos anualmente e revisada quando necessário;
7.5.3.3.4. Estejam em conformidade com todos os RNSs, ANSs, contratos e acordos.
7.5.4. Avaliação e gerenciamento de riscos no GSI
7.5.4.1. Precisa ser feita de forma colaborativa com os processos de GCSTI e de disponibilidade.
7.5.5. Sistema de Gestão da Segurança da Informação (SGSI)
7.5.5.1. Contempla a estrutura de políticas, processos, funções, normas, orientações e ferramentas que garantem que uma organização possa atingir os seus objetivos de gerenciamento de segurança da informação.
7.5.5.2. Elementos
7.5.5.2.1. Controlar
7.5.5.2.2. Planejar
7.5.5.2.3. Implementar
7.5.5.2.4. Avaliar
7.5.5.2.5. Manter
7.5.6. Medidas de segurança
7.5.6.1. Preventiva
7.5.6.1.1. Previne um incidente de segurança de acontecer. Exemplo: alocar os direitos de acesso a um grupo limitado de pessoas autorizadas.
7.5.6.2. Redutiva
7.5.6.2.1. É aplicada para minimizar o avanço de um possível dano que pode acontecer. Exemplos: fazer backups regulares e desenvolver planos de contingência.
7.5.6.3. Detectiva
7.5.6.3.1. Ajuda a detectar a ocorrência de um incidente de segurança. Exemplo: monitoramento vinculado a um procedimento de alerta
7.5.6.4. Repressiva
7.5.6.4.1. Usada para barrar qualquer continuação ou repetição do incidente de segurança. Exemplo: bloquear uma conta ou um endereço IP de acesso, após um número de várias tentativas fracassadas.
7.5.6.5. Corretiva
7.5.6.5.1. Serve para reparar, o mais rápido possível, o dano causado pelo incidente. Exemplos: restaurar o backup ou retornar para a situação anterior (roll-back)
7.6. Atividades
7.6.1. Produção e manutenção de uma política de segurança da informação geral e um conjunto de políticas de apoio específicas.
7.6.2. Comunicação, implementação e aplicação das políticas de segurança.
7.6.3. Avaliação e classificação de todos os ativos de informação e documentação.
7.6.4. Implementação, revisão e melhoria de um conjunto de controles e avaliação de riscos e respostas.
7.6.5. Monitoramento e gerenciamento de todas as violações e incidentes graves de segurança.
7.6.6. Análise, relato e redução de volumes e impacto de violações e incidentes de segurança.
7.6.7. Programação e finalização de revisões, auditorias de segurança e testes de penetração.
7.7. Gatilhos, Entradas, Saídas, Interfaces
7.7.1. Gatilhos
7.7.1.1. Diretrizes de governança corporativa novas ou alteradas.
7.7.1.2. Política de segurança de negócio nova ou alterada.
7.7.1.3. Processos ou diretrizes de gerenciamento de riscos corporativos novos ou alterados.
7.7.1.4. Novas necessidades de negócio ou serviços novos ou alterados.
7.7.1.5. Requisitos novos ou alterados em RNSs, ANSs, ANOs ou contratos
7.7.1.6. Revisão de planos e estratégias de negócio e de TI.
7.7.1.7. Violações de segurança ou avisos, eventos e alertas.
7.7.1.8. Reconhecimento de uma mudança de risco ou impacto de um processo de negócio de FNV, serviço de TI ou componente.
7.7.1.9. Requisições de outras áreas, particularmente o GNS.
7.7.2. Entradas
7.7.2.1. Informação de negócio.
7.7.2.2. Informação de serviço.
7.7.2.3. Informação de mudança.
7.7.2.4. Gerenciamento de configuração.
7.7.2.5. Informação de tecnologia.
7.7.2.6. Relatórios e processos de análises de riscos.
7.7.2.7. Governança corporativa e políticas de segurança.
7.7.2.8. Informação de TI.
7.7.2.9. Detalhes de todos os eventos e violações de segurança.
7.7.3. Saídas
7.7.3.1. Uma política de gerenciamento de segurança da informação.
7.7.3.2. SGSI.
7.7.3.3. Relatórios e processos de avaliação de riscos de segurança revisados.
7.7.3.4. Um conjunto de controles de segurança.
7.7.3.5. Auditorias de segurança e relatórios de auditoria .
7.7.3.6. Planos e cronogramas de testes de segurança.
7.7.3.7. Um conjunto de ativos de informação classificados.
7.7.3.8. Revisão e relatórios de violações e incidentes graves de segurança.
7.7.3.9. Políticas, processos e procedimentos para gerenciamento de parceiros e fornecedores.
7.7.4. Interfaces
7.7.4.1. Gerenciamento financeiro para serviços de TI.
7.7.4.2. RH e jurídico precisam ser considerados quando houver questões de investigação de segurança.
7.7.4.3. GCSTI.
7.7.4.4. Gerenciamento de nível de serviço.
7.7.4.5. Gerenciamento de capacidade.
7.7.4.6. Gerenciamento de disponibilidade.
7.7.4.7. Gerenciamento de fornecedores.
7.7.4.8. Gerenciamento de mudança.
7.7.4.9. Gerenciamento de configuração e ativo de serviço.
7.7.4.10. Gerenciamento de incidente.
7.7.4.11. Gerenciamento de problema.
7.7.4.12. Gerenciamento de acesso.
7.8. Informações gerenciadas
7.8.1. SGSI
7.8.1.1. Inclui todos os controles de segurança, riscos, violações, processos e relatórios necessários
7.8.1.2. Inclui informação necessária para manter a política de segurança e o SGCSI
7.8.1.3. Fornece entrada para auditorias e revisões de segurança
7.9. FCSs e PIDs
7.9.1. FCS: Negócio é protegido contra violações de segurança.
7.9.1.1. PID: Redução percentual das violações de segurança relatadas para a central de serviços.
7.9.1.2. PID: Redução percentual no impacto da violação e incidentes de segurança.
7.9.1.3. PID: Aumento percentual na conformidade com o ANS referente as cláusulas de segurança.
7.9.2. FCS: A determinação de uma política clara e acordada, integrada com as necessidades de negócio.
7.9.2.1. PID: Redução percentual de não conformidades do processo de gerenciamento de segurança da informação com a política e processos de segurança do negócio.
7.9.3. FCS: Procedimentos de segurança que estão justificados, apropriados e apoiados pela gerência sênior.
7.9.3.1. Aumento na aceitação e conformidade dos procedimentos de segurança.
7.9.3.2. Aumento no apoio e comprometimento da gerência sênior.
7.9.4. FCS: Marketing e educação efetiva nos requisitos de segurança e consciência do pessoal de TI da tecnologia de apoio dos serviços.
7.9.4.1. PID: Aumento da consciência das políticas de segurança e seus conteúdos, em toda a organização.
7.9.4.2. PID: Aumento percentual na completude dos serviços de apoio em relação aos componentes de TI que fazem parte destes serviços.
7.9.4.3. PID: Central de serviços suportando todos os serviços.
7.9.5. FCS: Um mecanismo para melhoria.
7.9.5.1. PID: O número de melhoras sugeridas para os procedimentos e controles de segurança.
7.9.5.2. PID: Redução no número de não-conformidades de segurança, detectadas durante auditorias e testes de segurança.
7.9.6. FCS: Informação de segurança é uma parte integral de todos os serviços de TI e todos os processos de GSTI.
7.9.6.1. PID: Aumento no número de serviços e processos em conformidade com os procedimentos e controles de segurança.
7.9.7. FCS: A disponibilidade dos serviços não está comprometida pelos incidentes de segurança.
7.9.7.1. PID: Redução percentual no impacto de incidentes e violações de segurança.
7.9.7.2. PID: Redução percentual no número de incidentes de serviços indisponíveis ligados a violações de segurança.
7.9.8. FCS: Propriedade clara e consciência das políticas de segurança na comunidade de clientes.
7.9.8.1. PID: Aumento percentual nas pontuações aceitáveis nos questionários de consciência de segurança, completados pelos clientes e usuários.
7.10. Desafios e riscos
7.10.1. Desafios
7.10.1.1. Garantir que exista apoio adequado do negócio, segurança de negócio e gerência sênior.
7.10.1.2. Estabelecer as política de segurança da informação apropriadas com apoio efetivo de processos e controles.
7.10.1.3. Garantir alinhamento contínuo e integração do gerenciamento de segurança da informação com o gerenciamento de segurança do negócio, incluindo planos e políticas.
7.10.2. Riscos
7.10.2.1. Requisitos de aumento de disponibilidade.
7.10.2.2. Potencial aumento para uso indevido de informações e sistemas de informações.
7.10.2.3. Perigos externos de hackers e comprometimento das informações e informações de sistema.
7.10.2.4. Uma falta de comprometimento da gerência sênior do negócio.
7.10.2.5. Processos focados em tecnologia e negligência dos serviços e necessidades de negócio.
7.10.2.6. Avaliação de riscos sendo realizada isoladamente.
7.10.2.7. Políticas e processos de gerenciamento de segurança desatualizados ou burocráticos, ou políticas que não adicionam valor nenhum ao negócio.
7.11. Papéis
7.11.1. Dono deste processo
7.11.1.1. Desempenha o papel genérico de dono de processo.
7.11.1.2. Garante a coordenação com o negócio.
7.11.1.3. Garante a integração com todos os outros processos e funções.
7.11.2. Gerente deste processo
7.11.2.1. Desempenha o papel genérico de gerente de processo.
7.11.2.2. Coordena as interfaces entre o GSI e outros processos.
7.11.2.3. Desenvolve e mantém as políticas de GSI.
8. Considerações sobre tecnologia e implementação
8.1. Práticas importantes
8.1.1. Comece com o processo e não com a ferramenta.
8.1.2. Prefira não modificar o processo para se adequar à ferramenta.
8.1.3. As ferramentas sozinhas não resolvem as dificuldades. Ferramentas são implementadas para suportar um processo e são altamente dependentes das pessoas e suas habilidades.
8.2. Uso de ferramentas no desenho de serviço
8.2.1. Agilizar o desenho de processos
8.2.2. Assegurar a conformidade com normas e convenções
8.2.3. Oferecer facilidades para prototipagem, modelagem e simulação
8.2.4. Possibilitar que cenários “E se?” sejam examinados
8.2.5. Habilitar a checagem de interfaces e dependências
8.2.6. Validar desenhos antes de começar a implementação para assegurar que eles satisfazem os requisitos
8.3. Critérios de avaliação para tecnologias e ferramentas
8.3.1. Pontos ao observar ao avaliar ferramentas
8.3.1.1. Estrutura de dados, tratamento de dados e integração
8.3.1.2. Integração de componentes de infraestrutura de múltiplos fornecedores
8.3.1.3. Conformidade com padrões abertos internacionais
8.3.1.4. Flexibilidade na implementação, uso e compartilhamento de dados
8.3.1.5. Usabilidade – a facilidade de uso permitida pela interface de usuário
8.3.1.6. Suporte ao monitoramento de níveis de serviço
8.3.1.7. Clientes distribuídos com uma base de dados compartilhada (cliente-servidor);
8.3.1.8. Requisitos de conversão para dados anteriores (importação);
8.3.1.9. Backup, controle e segurança de dados; Opções de suporte fornecidas pelo fornecedor da ferramenta
8.3.1.10. Escalabilidade para aumentar a capacidade (número de usuários, volume de dados, etc.);
8.3.2. Técnica MoSCoW
8.3.2.1. M - MUST
8.3.2.1.1. Um requisito "must" significa que ele é necessário e não é negociável. Pode ser uma funcionalidade que precisa estar disponível na ferramenta.
8.3.2.2. S - SHOULD
8.3.2.2.1. Convém que o requisito “should" esteja disponível na ferramenta, mas não é absolutamente necessário.
8.3.2.3. C - COULD
8.3.2.3.1. Um requisito “could" é algo que a ferramenta pode ter se não afetar negativamente qualquer um dos requisitos obrigatórios.
8.3.2.4. W - WON'T
8.3.2.4.1. Um requisito “won’t" é um algo que a ferramenta não tem no momento, mas pode ser bom ter no futuro.
8.3.3. Rormas de atender aos requisitos
8.3.3.1. Sem necessidade de adaptações (melhor opção)
8.3.3.2. Configuração requerida (segunda melhor)
8.3.3.3. Personalização requerida (considerar como última opção)
8.4. Boas práticas para implementação de processos
8.4.1. Abordagem de melhoria contínua de serviço (MCS)
8.4.1.1. 1. Qual é a visão?
8.4.1.2. 2. Onde estamos agora?
8.4.1.3. 3. Onde queremos estar?
8.4.1.4. 4. Como chegaremos lá?
8.4.1.5. 5. Chegamos lá?
8.4.1.6. 6. Como mantemos o impulso?
8.5. Planejando e implementando tecnologias de gerenciamento de serviços
8.5.1. Fatores ao considerar ao implementar a ferramentas de suporte
8.5.1.1. Tipos de licenciamento
8.5.1.2. Planejamento de implantação
8.5.1.3. Verificações de capacidade nos dispositivos onde as ferramentas/agentes serão instalados
8.5.1.4. Tempo de implantação
8.5.2. Atividades para implantar ferramentas
8.5.2.1. Preparar a plataforma-alvo.
8.5.2.2. Instalar o software.
8.5.2.3. Popular os dados iniciais e existentes.
8.5.2.4. Definir os tempos para testes, implementação e atividades para colocar em produção.
8.5.2.5. Assegurar que os recursos estejam disponíveis em todos os estágios da implementação.
8.5.3. Desenhando arquiteturas de tecnologia e arquiteturas de gerenciamento
8.5.3.1. Definição de arquitetura
8.5.3.1.1. A estrutura de um sistema ou de um serviço de TI, incluindo os relacionamentos dos componentes uns com os outros e com o ambiente em que se encontram. A arquitetura também inclui os padrões e as orientações que guiam o desenho e a evolução do sistema
8.5.3.2. Tipos de arquiteturas que precisam ser desenhadas
8.5.3.2.1. Arquitetura de serviço
8.5.3.2.2. Arquiteturas de tecnologia
8.5.3.2.3. Arquitetura de gerenciamento