como as boas práticas de gestão de serviços de ti podem...
TRANSCRIPT
9º Encontro do GAIPGrupo dos Auditores Internos do Paraná
Como as Boas Práticas de Gestão de Serviços de TI podem ajudar na avaliação de Compliance em
Organizações não TI
Luciano Johnson, CISM, [email protected]
GAIPGrupo dos Auditores Internos do Paraná
ISO27000Grupo de Segurança da Informação
Agenda
Conformidade / Compliance
A Gestão de Serviços de TI
CSC – Centro de Serviços Compartilhados
Aplicando a visão de Gestão de Serviços
2
Exemplos / Casos
GAIPGrupo dos Auditores Internos do Paraná
ISO27000Grupo de Segurança da Informação
Aviso Importante!!!
A Gestão de Serviços de TI (ITSM) deriva diretamente da visão administrativa de organização. Durante esta apresentação é possível, viável e recomendável fazer uma extrapolação do conceito, então propomos:
ITSM
Todas as oportunidades podem e devem ser vislumbradas dentro do contexto de toda organização e
não apenas no contexto de TI.
X
3
GAIPGrupo dos Auditores Internos do Paraná
ISO27000Grupo de Segurança da Informação
Conformidade / Compliance
• Conformidade é a condição de alguém ou grupo de pessoas, de alguma coisa ou um ser, ou de um conjunto deles, estar conforme com o pretendido ou previamente estabelecido.
4
GAIPGrupo dos Auditores Internos do Paraná
ISO27000Grupo de Segurança da Informação
Conformidade / Compliance
• Nos Sistemas da Qualidade, a conformidade se traduz pelo atendimento às especificações do produto ou processo, avaliada por meio de medições, testes ou auditorias.
5
GAIPGrupo dos Auditores Internos do Paraná
ISO27000Grupo de Segurança da Informação
Conformidade / Compliance
• A conformidade dentro das organizações está baseada principalmente em 4 pilares
Conformidade
Reg
ula
tóri
o
Lega
l
Técn
ico
Inte
rno
Empresa / Organização
6
GAIPGrupo dos Auditores Internos do Paraná
ISO27000Grupo de Segurança da Informação
Conformidade / Compliance
– Requisitos Regulatórios
7
GAIPGrupo dos Auditores Internos do Paraná
ISO27000Grupo de Segurança da Informação
Conformidade / Compliance
– Requisitos Legais
8
GAIPGrupo dos Auditores Internos do Paraná
ISO27000Grupo de Segurança da Informação
Conformidade / Compliance
– Requisitos Técnicos:
9
GAIPGrupo dos Auditores Internos do Paraná
ISO27000Grupo de Segurança da Informação
Conformidade / Compliance
– Requisitos Internos:
• Políticas Corporativas
• Normas Internas
• Processos Internos
• Procedimentos Operacionais
10
GAIPGrupo dos Auditores Internos do Paraná
ISO27000Grupo de Segurança da Informação
Conformidade / Compliance
• Até onde a conformidade faz bem para o negócio da organização?
– E o time-to-market ...
– E a flexibilidade de negociação ...
– E a burocracia ...
– E a resiliência ...
– E a capacidade de reação ...
– E o custo/benefício ...
11
GAIPGrupo dos Auditores Internos do Paraná
ISO27000Grupo de Segurança da Informação
Conformidade / Compliance
A conformidade* é o carcereiro da liberdade e o
inimigo do crescimento!
John F. Kennedy
12
*conformity = conformismo
GAIPGrupo dos Auditores Internos do Paraná
ISO27000Grupo de Segurança da Informação
A Gestão de Serviços de TI
Por que usar boas práticas de Gestão de Serviços de TI?
• Pesquisas do Gartner indicam que 85% das operações de negócio são dependentes dos serviços de TI das organizações.
• Como estas operações seriam sem os Serviços de TI?
13
GAIPGrupo dos Auditores Internos do Paraná
ISO27000Grupo de Segurança da Informação
A Gestão de Serviços de TI
O que são boas práticas?
• Busca pela eficiência e competitividade
• Inovações que se transformam em melhores práticas
• Compartilhamento destas práticas: uso comum
• Práticas que se tornam padrões e normas
Inovações de Sucesso
Melhores Práticas
Uso Comum
Padrões/Normas
14
GAIPGrupo dos Auditores Internos do Paraná
ISO27000Grupo de Segurança da Informação
Operação de Negócio x Serviços de TI
15
Capacidade da TI
Demanda do Negócio
Entrega de ValorQualidade
Menos CustosMais Serviços
Agilidade
Turn OverFalhas
TecnologiasFornecedoresInfraestrutura
A Gestão de Serviços de TI
GAIPGrupo dos Auditores Internos do Paraná
ISO27000Grupo de Segurança da Informação
A Gestão de Serviços de TI
Como o ITIL pode ajudar no ITSM?
• O Gerenciamento de Serviços é um conjunto especializado de habilidades organizacionais para fornecer valor para o cliente em forma de serviços.
• Estas habilidades tomam a forma de um conjunto de funções e processos para gerenciar os serviços durante o seu ciclo de vida.
16
GAIPGrupo dos Auditores Internos do Paraná
ISO27000Grupo de Segurança da Informação
A implantação do gerenciamento de serviços de TI ajudará a preparar e planejar o uso eficiente e eficaz dos 4P´s:
17
• Definir papéis nos processos e funções dentro da TI
Pessoas
• Definir e coordenar atividades para entregar o serviço de TI
Processos
• Necessidade de fornecedores externos para entrega de serviços
Parceiros
• Uso de tecnologia alinhada com os requisitos de negócio
Produtos
A Gestão de Serviços de TI
GAIPGrupo dos Auditores Internos do Paraná
ISO27000Grupo de Segurança da Informação
• Provedor de Serviço: é uma organização que fornece serviços para um ou mais clientes.
• Cliente: alguém que compra bens ou serviços.
• Negócio: O Provedor de Serviços de TI fornece serviços para um cliente que está dentro do Negócio.
18
Provedor de Serviços
Serviços de TI
Cliente / Negócio
A Gestão de Serviços de TI
GAIPGrupo dos Auditores Internos do Paraná
ISO27000Grupo de Segurança da Informação 19
Provedor de Serviços
Provedor Externo
Provedor Interno
Provedor Interno
Provedor Interno
Provedor Interno
Provedor Externo
Provedor Interno
ClienteCatálogo de Serviços
A Gestão de Serviços de TI
GAIPGrupo dos Auditores Internos do Paraná
ISO27000Grupo de Segurança da Informação
Onde os processos ITIL podem nos levar!
A Gestão de Serviços de TI
Fonte: TI Exames
20
GAIPGrupo dos Auditores Internos do Paraná
ISO27000Grupo de Segurança da Informação
Valor do Serviço
• O valor de um serviço pode ser algo subjetivo.
• O valor é determinado pela percepção do cliente, sua preferência e resultados no negócio.o A percepção do cliente é influenciada por:
experiência anterior
comparação com concorrentes
a imagem em si
o Os clientes também tem suas preferências.
o Os resultados no negócio também orientam a perspectiva de valor.
21
A Gestão de Serviços de TI
GAIPGrupo dos Auditores Internos do Paraná
ISO27000Grupo de Segurança da Informação
Características dos Processos
22
• (para que fazemos isto?)
Resultados específicos
• (para quem fazemos isto?)
Orientado ao cliente
• (como vamos controlar as metas?)
Mensurável
• (o que inicia isto?)
Responde a eventos específicos
A Gestão de Serviços de TI
GAIPGrupo dos Auditores Internos do Paraná
ISO27000Grupo de Segurança da Informação
Medição e Controle
23
Você não pode gerenciar o que você não pode controlar!
Você não pode controlar o que você não pode medir!
Você não pode medir o que você não pode definir!
A Gestão de Serviços de TI
GAIPGrupo dos Auditores Internos do Paraná
ISO27000Grupo de Segurança da Informação
CSC – Centro de Serviços Compartilhados
Serviços Compartilhados (Shared Services)
• Têm orientado a reestruturação de grandes empresas no Brasil e no mundo na busca de um melhor desempenho da estrutura organizacional através da criação de estruturas organizacionais de alto desempenho.
• Como principal característica: Provedor de Serviços Internos.
• Principais áreas participantes do CSC:
– TI, Finanças, Controladoria, Compliance e Auditoria;
– Qualidade, Projetos, Jurídico, Assuntos Estratégicos;
– Infraestrutura e RH.
24
GAIPGrupo dos Auditores Internos do Paraná
ISO27000Grupo de Segurança da Informação
Tipos de Provedores de Serviços
Tipo IProvedor de Serviço Interno
PS = Provedor de Serviços
Tipo IIUnidade de Serviço
Compartilhada
Tipo IIIProvedor de Serviço Externo
empresa
unidade B
unidade A
unidade C
empresa
Serviços Compartilhado
s
unidade A
unidade
C
empresa
unidade
Bunidade
A
PSPS PSRH
TI
COMPRAS
RH
TI
COMPRAS
Catálogo de
Serviços
Fornecedores
CSC – Centro de Serviços Compartilhados
25
GAIPGrupo dos Auditores Internos do Paraná
ISO27000Grupo de Segurança da Informação
Aplicando a visão de Gestão de Serviços
• Definindo e/ou seguindo padrões estabelecidos;
• Buscando melhorar a maturidade dos processosorganizacionais;
• Implantando sistemas de melhoria baseados no STP (Sistema Toyota de Produção), entre eles:– Kaizen
– Lean Six Sigma
– PDCA
– SDCA
Baseados em Padrões e Processos
26
GAIPGrupo dos Auditores Internos do Paraná
ISO27000Grupo de Segurança da Informação
Aplicando a visão de Gestão de Serviços
Operação de Serviço
Transição de Serviço
Desenho de Serviço
Estratégia de Serviço
Porque precisamos controlar o ambiente de operação (ongoing)
27
GAIPGrupo dos Auditores Internos do Paraná
ISO27000Grupo de Segurança da Informação
Operação de Serviço
Transição de Serviço
Desenho de Serviço
Estratégia de Serviço
Porque precisamos controlar as mudanças e a gestão de conhecimento para suportar o ambiente de operação
Aplicando a visão de Gestão de Serviços
28
GAIPGrupo dos Auditores Internos do Paraná
ISO27000Grupo de Segurança da Informação
Operação de Serviço
Transição de Serviço
Desenho de Serviço
Estratégia de Serviço
Porque precisamos definir como será o futuro ambiente de operação e como
os serviços devem se comportar
Aplicando a visão de Gestão de Serviços
29
GAIPGrupo dos Auditores Internos do Paraná
ISO27000Grupo de Segurança da Informação
Operação de Serviço
Transição de Serviço
Desenho de Serviço
Estratégia de Serviço
Porque precisamos entender como o negócio é e será suportado pelo
ambiente de operação
Aplicando a visão de Gestão de Serviços
30
GAIPGrupo dos Auditores Internos do Paraná
ISO27000Grupo de Segurança da Informação
Aplicando a visão de Gestão de Serviços
Operação de Serviço
• Gestão de Incidentes– Service Desk
– Níveis de Atendimento (SLA)
– Critérios de Categorização e Escalonamento.
– Formalização dos Incidentes e Tratamento
31
GAIPGrupo dos Auditores Internos do Paraná
ISO27000Grupo de Segurança da Informação
Aplicando a visão de Gestão de Serviços
Operação de Serviço
• Gestão de Eventos– Processo de Monitoração
– Critérios e Fluxos de Alertas
– Pro-atividade x Reatividade
32
GAIPGrupo dos Auditores Internos do Paraná
ISO27000Grupo de Segurança da Informação
Aplicando a visão de Gestão de Serviços
Transição de Serviço
• Gestão de Mudanças– Fluxo de Mudanças
– Critérios de Mudanças Emergenciais
– Limites de Aprovação de Mudanças
– Segregação de Funções
33
GAIPGrupo dos Auditores Internos do Paraná
ISO27000Grupo de Segurança da Informação
Aplicando a visão de Gestão de Serviços
Transição de Serviço
• Gestão da Configuração e Ativos– Elaboração da Linha Base de Controle
– Alteração da Linha Base mediante Gestão de Mudanças
– Definição de propriedade de ativos
– Controle dos Ativos (idade, legado, manutenção)
– Suporte direto a operação (Gestão de Incidentes)
34
GAIPGrupo dos Auditores Internos do Paraná
ISO27000Grupo de Segurança da Informação
Aplicando a visão de Gestão de Serviços
Transição de Serviço
• Gestão de Conhecimento– Instruções de trabalho
– Procedimentos
– Processos desenhados e medidos
– Visão clara e atualizada de como funciona a operação
Sabedoria
Conhecimento
Informação
Dados
35
GAIPGrupo dos Auditores Internos do Paraná
ISO27000Grupo de Segurança da Informação
Aplicando a visão de Gestão de Serviços
Desenho de Serviço
• Gestão do Nível de Serviço– Definição do Acordo formal de Nível de Serviço (SLA+)
– Critérios de Monitoração e Medição
– Lições Aprendidas
36
GAIPGrupo dos Auditores Internos do Paraná
ISO27000Grupo de Segurança da Informação
Aplicando a visão de Gestão de Serviços
Desenho de Serviço
• Gestão da Capacidade– Assegurar que existe capacidade para entrega de serviço
– Critérios de priorização dos serviços
– Entendimento do PAN (Padrão de Atividade do Negócio)
– Critérios de Monitoração e Medição
37
GAIPGrupo dos Auditores Internos do Paraná
ISO27000Grupo de Segurança da Informação
Aplicando a visão de Gestão de Serviços
Desenho de Serviço
• Gestão da Continuidade de Serviço– Definir os serviços da organização (Catálogo de Serviço)
– Entender como são fornecidos estes serviços (Configuração)
– Identificação de riscos na oferta de Serviços?
– Elaboração do Plano de Continuidade de Negócios
38
GAIPGrupo dos Auditores Internos do Paraná
ISO27000Grupo de Segurança da Informação
Aplicando a visão de Gestão de Serviços
Desenho de Serviço
• Gestão de Fornecedor– Definição clara dos serviços contratados
– Procedimentos e critérios de medição de desempenho
– Relatórios e Análises de desempenho
– Banco de dados de fornecedores
39
GAIPGrupo dos Auditores Internos do Paraná
ISO27000Grupo de Segurança da Informação
Aplicando a visão de Gestão de Serviços
Estratégia de Serviço
• Gestão de Demanda– Processo de identificação e gestão
– PAN (Padrão de Atividade de Negócio)
– Alinhamento com a Capacidade
– Formalização do Portfólio de Serviços
40
GAIPGrupo dos Auditores Internos do Paraná
ISO27000Grupo de Segurança da Informação
Aplicando a visão de Gestão de Serviços
Estratégia de Serviço
• Gestão Financeira– Entendimento claro do custo do serviços
– Planos de otimização do custo
– Critérios de Monitoração e Medição
41
GAIPGrupo dos Auditores Internos do Paraná
ISO27000Grupo de Segurança da Informação
1º Exemplo / Caso
Transporte Coletivo
• Serviços: linhas de ônibus
• Gestão Financeira
• Gestão de Capacidade e Demanda (usuários x ônibus)
• Gestão de Fornecedores (ônibus, combustível)
• Gestão do Nível de Serviço
• Gestão de Mudanças (motoristas, ônibus)
• Gestão de Eventos (gps, previsão de chegada)
Provedor de Serviços
Provedor Interno
Provedor Interno
Provedor Interno
Provedor Interno
Provedor Externo
Provedor Interno
ClienteCatálogo de Serviços
42
GAIPGrupo dos Auditores Internos do Paraná
ISO27000Grupo de Segurança da Informação
2º Exemplo / Caso
Provedor de Serviços
Provedor Interno
Provedor Interno
Provedor Interno
Provedor Interno
Provedor Externo
Provedor Interno
ClienteCatálogo de Serviços
Recursos Humanos
• Serviços: R&S, Treinamento,
• Gestão Financeira
• Gestão de Capacidade e Demanda
• Gestão de Fornecedores (empresas de consultoria)
• Gestão do Nível de Serviço (metas, turn-over)
• Gestão de Eventos (desempenho, frequência)
43
GAIPGrupo dos Auditores Internos do Paraná
ISO27000Grupo de Segurança da Informação
3º Exemplo / Caso
Provedor de Serviços
Provedor Interno
Provedor Interno
Provedor Interno
Provedor Interno
Provedor Externo
Provedor Interno
ClienteCatálogo de Serviços
Operador Logístico
• Serviços: Armazenagem, Transporte
• Gestão Financeira
• Gestão de Capacidade e Demanda
• Gestão de Fornecedores (empresas de transporte)
• Gestão do Nível de Serviço (acuracidade, just-in-time)
• Gestão de Eventos (gps, WMS)
44
GAIPGrupo dos Auditores Internos do Paraná
ISO27000Grupo de Segurança da Informação 45
9º Encontro do GAIPGrupo dos Auditores Internos do Paraná
Obrigado !
Luciano Johnson, CISM, [email protected]