Archive by Author | Valdyr M. Amorim

Curso + Certificação ITIL v3 em Recife

 

Pessoal,

Rhino Consulting (http://www.rhinoconsulting.com.br), empresa especializada em soluções de GRC (Governance, Risk and Compliance), Gerenciamento de Serviços e Gerenciamento Operacional de TI,  com grande atuação no Brasil desde 2006 e diversos Cases de sucesso com empresas como Grupo Boticário,  Ferrero do Brasil, está ofertando um curso aberto nos dias 17 e 18/07, com aplicação de uma prova de certificação em 23/07 em Recife!

Segue o endereço do folder de divulgação e se você mencionar que viu pelo Debyte, terá 10% de desconto!!

http://www.rhinoacademy.com.br/hotsite/CursoRecife2012/

Aproveite para se atualizar e ter conhecimento em um dos frameworks mais utilizados e visados do mundo.

Um abraço!

Anúncios

ISO/IEC 27.002 (Gerenciamento da Segurança da Informação)

Bom dia pessoal,

Logo após o crescimento das comunidades hackers e ataques as grandes corporações, segurança tornou-se uma tendência mundial, as corporações estão cada vez mais despertando para os aspectos da segurança da informação e preocupação com os aspectos da continuidade dos fatores vitais ao negócio.

Para quem não conhece ,  ISO – International Organization for Standardization – é a maior organização para desenvolvimento e publicação de normas do mundo. Ela faz o relacionamento entre os órgãos nacionais de normatização de diferentes países. Mais de 160 países integram esta importante organização internacional, especializada em padronização e cujos membros são entidades normativas de âmbito nacional. O Brasil é representado pela Associação Brasileira de Normas Técnicas – ABNT.

Quem quiser mais informações é só consultar o site: www.iso.org

Através da ISO 27.002, focamos a Segurança da Informação buscando a proteção da informação contra diversos tipos de ameaças para garantir a continuidade, minimizar os danos e maximizar o ROI das oportunidades de negócio. Ela também é um guia que orienta a utilização de um conjunto completo de controles de segurança da informação,  baseado nas melhores práticas.

Atentem que essa ISO  é muito mais abrangente do que simplesmente proteção à rede contra hackers, concessões de privilégios ou detecção de incêndios. Ela define controles de segurança que englobam desde a parte de segurança predial, infraestrutural, até a parte da segurança dos ativos de negócios, como no caso de se um desastre ocorrer, um Plano de Continuidade e Plano de Restauração pré-estabelecidos entrem em ação para que o desastre seja minimizado e que ao menos os mínimos requisitos necessários estejam disponíveis para que o negócio consiga manter-se ativo e a empresa funcionando.

Inicialmente  a ISO traz consigo o conceito de Análise de Riscos, que atua nas seguintes frentes e busca os seguintes objetivos:

Frentes:
– Identificar que ameaças são relevantes aos processos operacionais e identificar os riscos associados.
– Produzir uma lista de ameaças e suas importâncias.
– Identificar para cada ameaça importante, uma ou mais medidas que podem reduzí-la.

Objetivos:
– Determinar os riscos e as ameaças que podem realmente causadar danos aos processos operacionais e ao negócio.
– Determinar o equilibrio entre custos de um incidente e custos das medidas de segurança

Logicamente que toda empresa ao fazer uma Análise de Riscos deve atentar inicialmente aos seus Ativos de Negócios, ou seja, o que realmente é mais importante para a empresa e buscar as atividades ou processos que se afetados atingirão diretamente os negócios, ou seja, o que é mais vital e o que garante a sustentabilidade da corporação. Obviamente que sempre em busca de um balanceamento entre tomar atitudes de segurança ( investir, ou seja, gasto) em relação as ameças(ou seja, algo que talvez nunca ocorra).

O principal é que a empresa esteja consciente de quanto que vale a pena investir em segurança, prevenção, detecção em relação as vulnerabilidades, ameaças e riscos que assombram suas atividades e processos que diretamente afetariam o negócio. Aqui que entrará o bom senso.

Também através dessa ISO buscamos o aprimoramento da confiabilidade das informações preocupando-se com 3 critérios da informação: Confidencialidade, Integridade e Confiabilidade.

Confidencialidade:
– Assegurar que a informação é acessível somente às pessoas autorizadas.

Disponibilidade:
– Assegurar que os usuários autorizados tenham acesso à informaçãoe a tivos associados, quando necessário.

Integridade:
– A informação deverá estar consistente e íntegra em relação aos seus dados.

Finalizando,  após  mapear todos os fatores e identificar as reais necessidades,  essa ISO sugere que seja utilizado 3 tipos de medidas de controle:  Físicas, Técnicas e Organizacionais.

Por exemplo, atitudes que poderiam ser tomadas em relação aos riscos mapeados pela análise e estimados que seriam efetivos na ação contra os fatos que ameaçam os ativos:

Exemplo de Medidas Físicas:
– Biometria, cartão de acesso
– Áreas restritas, perímetros de segurança
– Extintores, filtros de linha, Cameras de vigilancia
– Cabeamento, cerca, arame farpado, Vigilantes(guardas),
– Detectores infravermelhos, alarmes, etc

 

 

 

 

 

Exemplo de  Medidas Técnicas:
– Controle de acesso, criptografia
– Concessão de acesso (identificação, autenticação e autorização)

 

 

 

 

 

 

Exemplo de  Medidas Organizacionais:
– Definição de Políticas
– Definição de Processos
– Segregação de funções
– Códigos de Conduta, acordos de confidencialidade, etc.

 

 

 

 

 

 

Bom pessoal, tentei resumir o assunto e ficou muito sucinto, mas pelo menos  deu para dar uma pincelada  no que essa ISO sugere. Garanto que quem for estudar essa norma ou buscar uma certificação ficará admirado com as possibilidades e conhecimentos adquiridos.

Dúvidas ou sugestões fiquem a vontade para comentar!

Até a próxima.

Valdyr M. Amorim
debyte.wordpress.com
GSTI, Governança, Internet e Tecnologia!

Empresa com Service Desk que não adotou a ITIL

Olá pessoal,

Segue um vídeo divertido sobre o que acontece nas empresas que não adotaram a ITIL.

Qualquer semelhança é mera coincidência! Vale muito a pena assistir!

 

 

Se você trabalha com TI, será que em algum momento de sua carreira você se identificou em alguma parte deste vídeo?

Até mais,

Valdyr M. Amorim

 

P.S.: Esse vídeo não é de minha autoria, está disponível no Youtube.

Melhore seus processos! Ciclo de Deming – PDCA

Olá pessoal,

Hoje vou falar sobre um método de como melhorarmos nossos serviços, atividades e processos.

Esse método é amplamente aplicável e já bastante conhecido por todos. É o ciclo PDCA(PLAN-DO-CHECK-ACT).

Do que se trata?

O PDCA é também conhecido como ciclo de Shewhart ou ciclo de Deming, é um método de desenvolvimento que tem foco na melhoria contínua. Esse ciclo foi idealizado por Shewhart e divulgado por Deming, quem efetivemante o difundiu, isso ainda nas décadas de 20 e 30.

Deming

Contudo, não se deixem levar por desconfianças quanto a este método que só foi difundido em meados da década de 20, muito pelo contrário, nunca esteve tão em alta se tratando de Gestão e nunca esteve tão em tendência por ser adotado por métodos e padrões de qualidade reconhecidos  e amplamente utilizados no mercado como ITIL, COBIT, PMBoK, ISOs…

Quem atua ou já sentiu o cheiro de Gestão de processos/atividades/serviços conhece  muito bem este método. Se não o conhecer, muito provável que você já o tenha aplicado ou até o está aplicando e não o sabe!  Muito por conta dele estar implicitamente ligado aos padrões de qualidade mais adotados do mercado, como citei acima. :)

Sua facilidade de aplicação se dá por conta de sua simplicidade de atuação. Seus princípios são de tornar mais claros e ágeis os processos envolvidos na execução da gestão, como por exemplo, na gestão da qualidade.

Evolução e maturidade

O PDCA evoluiu com os princípios de que as pessoas ou as organizações que desejam atingir um objetivo, necessitam planejar e controlar as atividades a ela relacionadas(Lembrem-se disso, esse é o fundamento básico da Governança e como eu tinha-lhes dito, o PDCA é de meados da década de 20 e a Governança é um conceito recente e olha a Governança ai usando fundamentos do PDCA…).

Nos seus princípios preconiza-se que é necessário se estruturar uma estratégia focando ações para tentar-se atingir um objetivo. Com as ações em curso, acompanhar e identificar o que se está fazendo de errado ou o que poderia ser melhorado.

O interessante é que ao se passar por um primeiro ciclo,  geralmente não se consegue alcançar o objetivo, mas é identificado vários fatores que o impediram de ter sido alcançado. Um foco inicial nos impedimentos que evitaram que o objetivo fosse alcançado. E ai sim, nos próximos ciclos, esses impedimentos serão cada vez minimizados até nos ciclos posteriores se conquistar o objetivo.

Lembrem-se nem Rocky derrubou Apolo no primeiro punch. Como nós, meros mortais desbravadores dos emaranhados de processos da TI conseguiremos atingir um objetivo competitivo de primeira?

 Quais seus objetivos e tipos de metas a serem atingidos?

Há dois tipos de metas:  metas para se manter e metas para se melhorar.

Metas para manter:

Processos que a importância maior está em manter a funcionalidade básica ou continuar com uma meta padrão já estabelecida. Como por exemplo,  manter um backlog  de ligações sem atendimento sempre em 0. Teríamos, então, qualidade padrão, custo padrão, prazo padrão, etc.

     Metas para melhorar:

         Praticar novas ações com finalidade de obter resultados ainda melhores. Por exemplo, reduzir o índice de atraso de um projeto de 20% para 10%.

Além disso, importante salientar que  a utilização do PDCA promove um aprendizado contínuo dos processos e a sua “melhoria contínua” ocorre quanto mais “ciclos” forem executados. Mais conhecimento dos processos se obtém e uma maior maturidade é adquirida sempre que o ciclo se completar.

“Não preciso melhorar o que já está razoável.”

Lembro-os que mesmo os processos considerados bons são passíveis de melhorias, nada é excepcionalmente bem estruturado que nada mais possa se fazer. Principalmente para nós,  da área da Tecnologia da Informação, cujos métodos, processos, infraestruturas e tecnologias se modificam e se inovam cada vez mais velozmente.

O Ipod não foi uma obra-prima? Depois veio o Ipod Touch, depois o Iphone, depois o IPad….. Já pensou se Steve Jobs estivesse satisfeito desde o primeiro ipodzinho?

 Como esse ciclo PDCA de fato é utilizado?

PDCA significa PLAN-DO-CHECK-ACT ou PLANEJAR-EXECUTAR-VERIFICAR-AGIR. E seus 4 principais passos mais especificamente são:

Plan(Planejamento)

Aqui que devemos elaborar um plano de ação focando em:  estabelecer os objetivos a serem alcançados,  estabelecer o caminho a ser traçado até que o objetivo seja atingido e definir o método que deve ser utilizado para consegui-los.

É nessa etapa que devemos estabelecer metas ou identificar os problemas que impedem o atingimento dos objetivos.

    Do (Execução):

É a parte da execução propriamente dita e o seu acompanhamento com base em relatórios para uma posterior análise.

É aqui que se realiza e se executa as atividades conforme o plano de ação estruturado na fase Plan.

    Check (Verificação):

                Nessa parte devemos monitorar e avaliar periodicamente os resultados, avaliar processos e confrontá-los com o resultado planejado.

Nesta fase onde se é  detectado os erros ou falhas do percurso inicialmente traçado.

    Act (Ação):

Por final, nesta parte deveremos agir de acordo com o avaliado e os seus relatórios, e com base nessas informações, se necessário, determinar novos planos de ação,  de forma a melhorar a qualidade, eficiência e eficácia e corrigindo eventuais falhas.

Em suma, é aqui que será aplicado as ações corretivas, ou seja, a correção da falhas encontradas no passo anterior. E a partir daqui, terminada a investigação das causas das falhas ou desvios no processo, deve-se repetir, novamente o ciclo de forma a melhorar cada vez mais o sistema e o método de trabalho.

Bom pessoal, espero que vocês tenham gostado. Fiquem a vontade para discutirmos nos comments.

Até a próxima.

Valdyr M. Amorim

www.debyte.wordpress.com

Podcast – 5´ falando de ITIL

Olá pessoal,

Após alguns Posts falando sobre ITIL e  Gerenciamento de Serviços de TI (GSTI),  resolvi fazer um Podcast de 5 minutos fazendo um raciocínio básico sobre o que se trata ITIL e o porquê da sua importancia para as empresas de TI.

Se vocês já leram os Posts vão identificar muita coisa que eu já postei no Blog.

É um overview básico de 5 minutos e SEM EDIÇÃO!!

Em futuros Podcasts poderei falar mais tempo e mais profundamente sobre seus processos, funções, conceitos e como se alinha perfeitamente com a Governança.

Fiquem à vontade para comentar e dar opiniões para os próximos Podcasts!

Até mais!

Valdyr M. Amorim

P.S.: Quem não conseguiu ouvir podem baixar a .mp3 do link: https://sites.google.com/site/debytepodcasts/PodcastITIL.mp3

Por dentro da ISO/IEC 20.000 (Gerenciamento de Serviços de TI)(2/2)

Bom dia pessoal,

Nesse Post abordarei de um ponto de vista estratégico e empresarial sobre a ISO/IEC 20.000 e  seu conceito sobre Gerenciamento de Serviços de TI, ITIL e os entraves das corporações na adoção de novos padrões de qualidade e mudanças de paradigmas.

Retomemos sobre a discussão em relação a alguns entraves:

 

• Recursos insuficientes (tempo, pessoas, orçamento)

• Resistência cultural a mudanças

• Falta de apoio dos executivos

 

Recursos Insuficientes

Iniciativas de adoção de novos padrões de qualidade, muitas vezes decorrem do desejo de fazer algo para quebrar o ciclo de combate a incêndios que consomem os recursos de TI. Cada padrão de qualidade tem os seus casos de sucesso, porém também existem os casos que não deram certo.

É preciso se informar, se estruturar, se organizar para que uma quebra de paradigma e uma mudança de cultura sejam aplicadas e para isso, geralmente leva-se tempo e tempo é dinheiro. Contratação de consultorias, análises de mercado, estudos de caso, alocação de mais recursos, tudo isso e muito mais é necessário antes de atuar com uma mudança de política e mudança de padrões e rotinas atualmente adotadas pelas corporações. Além disso, é mais  difícil ainda você tentar projetar um futuro de céu azul, enquanto se está atualmente lutando para controlar o que ainda encontra-se  desorganizado.

Analisar suas necessidades, estimar os esforços necessários e após tudo isso, estudar se o ganho vale a pena. Semelhante a quem quer abrir uma empresa. Após o investimento, não se obterá o retorno do investimento no primeiro mês. Passa-se por fases, aumenta-se os níveis de maturidade e somente com o tempo e estruturação que o retorno virá. É um processo natural. Leva tempo…

Hoje em dia chegamos a um patamar empresarial que MAIS tempo é risco. É preciso trabalhar com o AGORA e isso está se tornando cada vez mais um ciclo vicioso.

 

Resistência Cultural

Muito por consequência do primeiro item, recursos financeiros que precisam ser alocados e investimento para as empresas precisa-se de um retorno para ser justificado. Se não os tem, alguém precisa demonstrar  porquê, como, quando e garantias. Além de que geralmente  as  operações de TI continuam com foco em tecnologia, geralmente não são receptivos aos benefícios de processos e não tem uma afinidade natural à gestão de serviços.

Ninguém gosta de mudanças, de quebra de rotinas e de sair da sua “zona de conforto”.

 

Falta de apoio dos executivos/gestores

Muito também por consequencia dos 2 itens acima. Todos esses entraves praticamente se complementam. Um está interligado com os outros.

A ITIL e consequentemente a ISO20.000 enfatizam a necessidade de uma maior transparência e melhoria de comunicação entre o setor de negócios e a área de TI. Nisto, um responsável da área de TI, deveria ser sempre consultado nas reuniões de decisões de negócios.

 

 

Em um estado de desestruturação, não seria incomum a área de  TI compreender mais a área de negócios por conta da demanda encaminhada. Afinal, a TI precisa se “adequar a qualquer custo” ao que a área de negócios necessita.

Por conseguinte, o negócio pode não entender a real importância da área de TI em relação aos negócios e não procurar entender a real capacidade de entrega de serviços da área de TI e vê-la apenas como mais um recurso para atingir um objetivo. Continuando com o estigma e a rotulando de um setor que produz pouco e que ali existe alguma coisa errada.

E desse jeito, SEMPRE estará algo errado.

 

Os executivos precisam se conscientizar que a TI precisa ser alinhada com o negócio. Eles(Negócio e TI), na verdade, são um só. Atualmente, poucas empresas viveriam sem a área de TI. Quantas empresas atualmente são totalmente independentes da área de TI?

Imaginem empresas como companhias aéreas, agências bancárias, telefonia e concessionárias de cartão de crédito trabalhando sem áreas de Ti. Até microempresas precisam de um computador e um sistema básico para gerenciar estoque, faturamento, orçamento e fluxo de caixa…

 

Bom meus amigos, e por aqui se encerra, pelo menos esse primeiro ciclo de debates sobre Gerenciamento de Serviços de Ti. Nos próximos Posts, vamos discutir sobre o melhor complemento que existe para o gerenciamento de serviços, a Governança!

 

Um abraço e até mais.

Valdyr M. Amorim

Por dentro da ISO/IEC 20.000 (Gerenciamento de Serviços de TI)(1/2)

 Bom dia,

Após discutirmos um pouco sobre ITIL e Gerenciamento de Serviços de Ti, vamos pegando o embalo e também falaremos sobre essa ISO/IEC.

E o que essa ISO tem a ver com Gerenciamento de Serviços de TI? Note que sempre que algo for pesquisado/estudado sobre ITIL,  sempre haverá referencias a essa ISO. Justamente porque ela é a primeira norma editada pela ISO que trata de Gerenciamento de Serviços de TI.

Ok, mas antes de irmos mais a fundo, vamos fazer um rápido overview sobre o que significa ISO. ISO – International Organization for Standardization, que significa Organização Internacional para Padronização, é uma organização/grupo de entidades de padronização de normas internacionais aceitos por todo o mundo. Não é a toa que mesmo quem desconheça o que significa ISO,  mesmo assim já deve ter  ouvido  falar da ISO9001, ISO9000, etc.

Essa organização não atua somente na padronização nos campos tecnológicos, mas também em diversos outros campos técnicos e até sobre responsabilidades Sociais, como as ISO14000 e ISO26000 que dão destaque às ações sociais/ambientais das empresas merecedoras.

ISO26000

ISO14000

Algumas das ISOs mais conhecidas:

ISO 2108 Sistema internacional de identificação de livros, ISBN.              

ISO 8859 Codificação de caracteres em fontes, as quais incluem o ASCII.

ISO 9001 Especifica requisitos para um Sistema de Gestão da Qualidade.

Caso vocês queiram se aprofundar no assunto, entrem no site oficial:  http://www.iso.org/iso/home.html, lá existem uma gama de descrições sobre as ISOs, incluindo ISOs sobre Gerenciamento de Riscos, dentre outros. Vale à pena conferir.

Após a apresentação, voltemos a focar sobre a ISO20.000. Basicamente é a ISO que define as melhores práticas de Gerenciamento de Serviços de TI e já nasceu querendo se integrar com a ITIL. Além disso, ela virou norma brasileira, certificada pela Associação Brasileira de Normas Técnicas (ABNT).

A ISO/IEC 20000 é um padrão internacionalmente aceito para o Gerenciamento de Qualidade no Serviço de TI. Ela fornece um framework e especificações reconhecidas mundialmente como padrão de avaliação dos Serviços de TI. Propõe processos baseados no ciclo de Deming, mais conhecido como PDCA (Plan-Do-Check-Act).

Como qualquer outra ISO, define um conjunto mínimo de requisitos que todos os prestadores de serviços que desejem a alcançar precisam atender.

Como explicitado nos meus outros Posts, a ITIL atua como se fosse uma “biblioteca” de melhores práticas e não se precisa  adotá-lo integralmente, nem certifica as empresas. Já a ISO, define um conjunto mínimo de requisitos que todas as prestadoras de serviços que desejem a alcançar precisam atender.

Justamente pela necessidade de atender esses requisitos que é reforçado o compromisso de melhoria continuada, precisando-se, como qualquer outra ISO, ser periodicamente auditado interna e externamente  para a manutenção do selo.

Lembrando que a “perda do selo” geralmente é considerada como um dano à imagem da empresa, através da percepção dos clientes ou de quem usufrui os serviços de uma perda direta de qualidade, sem falar em talvez a perda de uma licitação na qual as empresas participam ou aspiram participar.

A empresa que adotar a ISO20.000 e conjuntamente com a necessidade de cumprimento de seus requisitos (que é baseada na ITIL), com certeza ajudaria a criar uma cultura voltada a gestão de serviços de TI e melhoria continuada e na adequação dos processos.

Analogamente (e particularmente adoro fazer analogias), é como se a sua empresa fosse um CARRO e você o motorista. A ITIL é a “sua mãe” (a biblioteca de melhores práticas) que “sugere” que você “use o cinto”. Você usa se quiser, não é obrigado. Se atender as suas necessidades, se você o desejar e for viável, só tem-se a ganhar com adoção de tal “conselho”.

Enquanto que  a ISO é o ” agente de trânsito”, que se você não estiver usando o cinto e ele lhe pegar, você sofreria “uma perda” ( no caso a empresa perderia o selo) no caso análogo, uma multa. E bem merecida por sinal. :)

               Depois de determinado período, se tudo bem estruturado e organizado, perde-se o sentimento de “sacrifício” e torna-se uma prática corriqueira o que antes seria uma melhor prática.

Vale salientar mais uma vez que cada caso é um caso. Adoção de uma ISO ou qualquer outro padrão de qualidade requer cautela, análise das necessidades e até bom senso está na jogada. O importante está justamente em que as empresas sigam um padrão de qualidade que atendam as suas necessidades e elevem o nível de maturidade de seus processos.

E quais os principais entraves, não só na adoção da ISO 20.000, mas geralmente de todos os padrões de qualidade nas corporações?

• Recursos insuficientes (tempo, pessoas, orçamento)

• Resistência cultural a mudanças

• Falta de apoio dos executivos/gestores.

Bom pessoal, para esse Post não ficar muito extenso, no próximo falarei sobre o porquê desses entraves e farei o desfecho.

Fiquem à vontade para comentar e debater qualquer tópico levantado.

Até mais!

Valdyr M. Amorim