Tag Archives: Implementação

Implementação de uma Central de Serviços

by

2


Resumindo a Central de Serviços, pode ser a única porta de entrada, focada, pela especialização nos diferentes tipos de atendimento, permitindo que os processos do negócios sejam integrados aos processos que compõe o Gerenciamento dos serviços de TI.

A baixo é uma preposição de um projeto para implementação de uma Central de Serviços em cinco etapas.

Etapa 1 – Levantamento de informações

Não existe estrutura de suporte que sobreviva sem procedimentos claros e de fácil assimilação.O analista deve ter em mãos fluxos, descritivos, scripts e lógica de escalonamento para quaisquer duvida ou incidentes abertos pelos usuários dos serviços de TI.  O primeiro passo é organizar, criar , adaptar ou revisar toda a documentação existente, instituindo uma base de conhecimento comum que sustente e padronize o atendimento, possa ser transferida para novos analistas e revisada por todos.

Prazo: esta etapa tem dependência direta da organização do ambiente e do tamanho da organização, demandando, geralmente, entre 30 a 90 dias.

Nessa etapa são definidas as categorias de atendimento, estabelecendo-se a estrutura do Acordo de Nível se Serviços (ANS), a ser oferecido pela organização.

Etapa 2  – Definição do nível de habilidade necessário para manter o processo.

Essa etapa pode acontecer em paralelo com a primeira etapa. Nesse caso se estuda o nível de conhecimentos dos analistas  que farão parte da equipe, escolhendo um dos seguintes perfis de Central de Serviços: 

  • Básica : As soluções se baseiam em scripts, que fazem o escalonamento para os níveis seguintes de suporte técnicos, de acordo com o processo de Gerenciamento de Incidente, e podem ser responsáveis pelo feedback ou follow-up da evolução do atendimento dos incidentes e soluções aos usuários.
  • Qualificada : Possui autonomia para resolver grande parte dos incidentes e conhecimentos sobre o ciclo completo de solução. Agrega também as funções da Central de Serviços básica.
  • Especialista : Profundos conhecimentos do ambiente de TI, adaptado as característica do negócios, englobando normalmente o segundo nível de atendimento do processo de Gerenciamento de Incidente e as tarefas da Central se Serviços Qualificadas.

Etapa 3 – Definição da forma mais eficaz par atender à demanda

Após a definição dos procedimentos que serão atribuídos à equipe de atendimento da Central de Serviços e ter-se o seu perfil traçado, é necessário estruturá-la para que a demanda seja atendida de forma eficaz. Nessa etapa decide-se a (já postado) arquitetura da Central de Serviços         

Etapa 4 – Definição de níveis de serviço

Nesta etapa são estabelecidas os níveis de serviço que serão aplicados para o atendimento, obedecendo-se ao :

  • Intervalo de qualidade dos serviços, ou seja, o ponto de equilíbrio entre o limite máximo para custos e o limite minimo para desempenho e segurança (prazo x resultado).
  • Nível de serviço aceitável em relação aos recursos disponíveis, ou seja, adaptação da disponibilidade de recursos aos requerimentos de desempenho exigidos pelas áreas usuárias dos serviços de TI.

Etapa 5 – Gerenciamento do resultado

As quatro etapas anteriores garantem que o serviço foi dimensionado de forma adequada aos processos da organização e aos níveis de serviços acordados entre as partes envolvidas. è necessário também que sejam criadas formas de gerenciamento das informações extraídas da Central de Serviços.

Leia Também : Check List de Aplicação em uma Central de Serviços

Dados retirados da serie Gerenciamento de TI – livro Gerenciamento de Serviços de TI na Prática – Uma abordagem com base na ITIL

Virtualização de Sistemas Operacionais II

by

3


PRINCIPAIS APLICAÇÕES DE MÁQUINAS VIRTUAIS

2.1 Introdução

A utilização da virtualização, tem-se revelado uma alternativa em diversos paradigmas da computação, entre eles estão a centralização e consolidação de servidores, as otimizações de hardware e a segurança da informação.

Com a consolidação de servidores, ao invés das empresas utilizarem vários servidores com seus respectivos sistemas operacionais, utiliza-se um servidor com máquinas virtuais abrigando vários sistemas operacionais com suas aplicações e serviços, reduzindo-se custos administrativos e operacionais.

Além disso, um sistema funcionando em uma máquina virtual fica disponível instantaneamente. Máquinas virtuais basicamente são arquivos armazenados no disco e podem ser mantidos em espera e restaurados em poucos segundos, com aplicações e serviços voltando a funcionar no mesmo ponto onde a máquina virtual foi suspensa, tornando prática sua administração.

O isolamento entre as máquinas virtuais e o sistema anfitrião torna certas tarefas arriscadas, completamente seguras. A avaliação de novos sistemas, testes com vírus e outras ameaças geralmente significa sujeitar o computador a operações onde nem sempre é possível sua reversão. Quando o teste é concluído, o estado completo da máquina virtual pode ser arquivado ou descartado. Se alguma ameaça danificar o sistema, a máquina virtual pode ser descartada e restaurada ao seu estado original

2.2 Consolidação de servidores

As empresas vêm cada vez mais buscando a centralização e diminuição do número de servidores físicos em suas instalações. Esse processo é conhecido como consolidação de servidores.

A virtualização é uma grande alternativa, pois, ao invés de possuirmos vários servidores físicos, podemos possuir apenas alguns ou mesmo somente um, reduzindo drasticamente a complexidade. Além disso, haverá também um melhor aproveitamento dos recursos computacionais, redução do custo total de propriedade e do custo operacional, a diminuição do consumo de energia elétrica , além do que, com o número de servidores físicos reduzidos, o espaço físico necessário para abrigá-los também ficará reduzido, garantindo vantagens como economia em administração, manutenção e refrigeração dos equipamentos.

A capacidade de executar softwares de diferentes sistemas operacionais num mesmo hardware reduz o “desperdício” de capacidade de processamento que ocorre nos servidores em determinados horários ou dias do mês.

A administração é outro benefício agregado e de grande importância no projeto de consolidação de servidores. Nesta proposta, tecnicamente os sistemas operacionais são abrigados em máquinas virtuais e cada máquina virtual geralmente é armazenada no disco da máquina física como um só arquivo, o que torna extremamente prático, por exemplo, operações de backup, mudança de máquinas virtuais de um servidor físico para outro, adicionar cópias de sistemas e testar novos sistemas. Alguns monitores de máquinas virtuais (como o VMware e o Xen, ) já possuem scripts automatizados de backup e mudança de máquina virtual de servidor.

As empresas que consolidarem seu parque de servidores poderão aproveitar os seus equipamentos descartados para outras finalidades. Elas podem utilizar estes equipamentos, por exemplo, para aumentar a disponibilidade e segurança de seus sistemas, implantando soluções de tolerância à falhas.

2.2.1 Implementação da consolidação de servidores

Na virtualização um servidor é “subdividido” em máquinas virtuais e cada máquina virtual tem sua própria CPU virtualizada, memória, e espaço em disco e podendo compartilhar outros dispositivos anexados à plataforma física.

Para implementarmos uma consolidação de servidores, primeiramente devemos considerar alguns pontos chaves [INTEL]:

* Avaliar os processos e as aplicações críticas. Onde aumentando o nível dos serviços, aumentariam os resultados?
* Verificar quais servidores são subutilizados e que poderiam compartilhar recursos. Muitos servidores web e de e-mails hoje funcionam na maioria do tempo abaixo de 10% de utilização. Esses são ótimos candidatos a uma consolidação.
* Algumas aplicações são más candidatas à consolidação. Nesta classificação estão enquadradas as aplicações de alta performance que utilizam o servidor na maior parte do tempo (ex: analisadores de grandes massas de dados), bem como, os de missão crítica ou de performance crítica, em que qualquer contenção de recursos poderia impactar negativamente nos resultados.

Deve-se proceder a seguinte metodologia para cálculo de capacidade:

Continuar a ler

Classificação da Informação – Parte 3

by

1


3 – Implementação

Vamos dar uma olhada agora  nos aspectos práticos ligados a sua implementações

3.1 – Identificando a situação atual

O primeiro passo é identificar quais os tipos de documentos que farão parte do escopo dos nossos trabalhos muitas das vezes esse é o primeiro problema que nos deparamos na implementação  : Falta uma definição clara dentro da organização do que é ou não um documento. Nem todas as informações podem se enquadrar na categoria “documento” o programa de classificação se aplica aos documentos formais :  relatórios , planos, projetos , atas etc ..

Devemos também identificar as proteções existentes hoje implantadas, bem como as pessoas que interagem com essas informações e seus respectivos papéis e responsabilidade

A identificação das proteções atuais permitirá a elaboração posterior de um gap analysis no qual serão mapeados todos os controles faltantes para cada nível de classificação. Essa análise será feita após a classificação das informações pelos seus proprietários

Além disso, as pessoas envolvidas também devem ser mapeadas, o que permitirá a divisão correta de responsabilidades bem como a conscientização

3.2 Levantamentos de requisitos

Uma vez identificados os ativos, devemos levantar os requisitos de proteção aos quais esses ativos estão sujeitos. Além dos aspectos legais devemos levar em conta uma série de outros detalhes que veremos a seguir:

a)      Requisitos legais – Fator importante na identificação dos requisitos de proteção que uma dada informação precisa atender é olhar a legislação / regulamentação à qual a organização está sujeita, analisando-a em detalhes em busca de determinações específicas sobre certos tipos de informações

b)      Analise de Riscos – A Analise de riso, depois dos aspectos legais, é o passo mais importante no levantamento dos requisitos de proteção. Os aspectos legais são inegociáveis. Já os aspectos mapeados na Analise e Avaliação de Riscos dependem de nosso discernimento, o que traz mais responsabilidades na tomada de decisões. Durante analise, temos uma idéia das principais ameaças às quais as informações estão sujeitas além do conjunto de proteções como um todo. Outro fator extremamente importante levantado nesta etapa é a quantificação de certos riscos, melhorando a eficiência do processo de tomada de decisão sobre as proteções contra eles

c)       (BIA – Business Impact Analysis ou Analise de impacto de negócios ) – é um processo executado  normalmente durante a elaboração e um BCP/PCN    (Business Continuity Plan ou Plano de continuidade de negócios) Sua finalidade é avaliar única e exclusividade os estragos causados por um evento indesejado., normalmente de grandes proporções como um furação ,  uma inundação ou um apagão . A principal diferença do BIA para uma analise de Riscos é o fato  que o primeiro não leva um conta a probabilidade de um evento ocorrer e sim as conseqüências que ele traria, bem como as necessidades do negócios termos de continuidades , enquanto as necessidades do negócios em termos de continuidade , enquanto que a Analise de Risco considera tanto a conseqüência quanto a probabilidade

A respeito “a classificação da informação, O BIA é importante por nos ajudar a avaliar os requisitos em termos de disponibilidade

d)      Valorização – Pelo nome não precisa nem comentar muito , é tudo aquilo que tem valor para a empresa , exemplo o balanço financeiro antes da sua publicação , ele tem o valor importante para os acionistas. É difícil obter uma valorização precisa, quase sempre, apenas uma estimativa já é suficiente escolher proteções adequadas.

Custo de Aquisição: São informações que podem ser adquiridas, isto é comprada

Custo de recriação: É custo para produzir novamente uma documentação, como um relatório, caso ele tenha sido perdido de uma maneira definitiva

Vantagem competitiva:Permite que uma organização tenha vantagem sobre outra em uma situação de competição. Situações que pode ser uma lançamento de um produto, um Home Site, pesquisa de mercado etc.. Nesse caso o valor da informação é normalmente avaliado perante o comprimento de sua confidencialidade. Existem muitas formas de estimar os prejuízos da divulgação não autorizada

3.3-  Desenvolvendo a Política de Classificação da Informação

Uma vez levantados os requisitos que auxiliam na elaboração das classificações, o passo seguinte é elaborar a Política de CI, Ao elaborarmos a política, convém analisar as recomendações da NBR ISSO /IEC  17799:2005 no que tange ‘A classificação da informação , Essas recomendações se encontram na Seção 7.2

Segue o trecho da norma

7.2 Classificações da informação

Objetivo: Assegurar que a informação receba um nível adequado de proteção.

Convém que a informação seja classificada para indicar a necessidade, prioridades e o nível esperado de proteção quando do tratamento da informação.

A informação possui vários níveis de sensibilidade e criticidade. Alguns itens podem necessitar um nível adicional de proteção ou tratamento especial. Convém que um sistema de classificação da informação seja usado para definir um conjunto apropriado de níveis de proteção e determinar a necessidade de medidas especiais de tratamento.

7.2.1 Recomendações para classificação

Controle

Convém que a informação seja classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para a organização.

Diretrizes para implementação

Convém que a classificação da informação e seus respectivos controles de proteção levem em consideração as necessidades de compartilhamento ou restrição de informações e os respectivos impactos nos negócios, associados com tais necessidades.

Convém que as diretrizes para classificação incluam convenções para classificação inicial e reclassificação ao longo do tempo, de acordo com algumas políticas de controle de acesso predeterminadas (ver 11.1.1)

Convém que seja de responsabilidade do proprietário do ativo (ver 7.1.2) definir a classificação de um ativo, analisando-o criticamente a intervalos regulares, e assegurar que ele está atualizado e no nível apropriado.

Convém que a classificação leve em consideração a agregação do efeito mencionado em 10.7.2.

Convém que cuidados sejam tomados com a quantidade de categorias de classificação e com os benefícios obtidos pelo seu uso. Esquemas excessivamente complexos podem tornar o uso incômodo e ser inviáveis economicamente ou impraticáveis. Convém que atenção especial seja dada na interpretação dos rótulos de classificação sobre documentos de outras organizações, que podem ter definições diferentes para rótulos iguais ou semelhantes aos usados.

Informações adicionais

O nível de proteção pode ser avaliado analisando a confidencialidade, a integridade e a disponibilidade da informação, bem como quaisquer outros requisitos que sejam considerados.

A informação freqüentemente deixa de ser sensível ou crítica após um certo período de tempo, por exemplo quando a informação se torna pública. Convém que estes aspectos sejam levados em consideração, pois uma classificação superestimada pode levar à implementação de custos desnecessários, resultando em despesas adicionais.

Considerar, conjuntamente, documentos com requisitos de segurança similares, quando da atribuição dos níveis de classificação, pode ajudar a simplificar a tarefa de classificação.

Em geral, a classificação dada à informação é uma maneira de determinar como esta informação vai ser tratada e protegida.

7.2.2 Rótulos e tratamento da informação

Controle

Convém que um conjunto apropriado de procedimentos para rotulação e tratamento da informação seja definido e implementado de acordo com o esquema de classificação adotado pela organização.

Diretrizes para implementação

Os procedimentos para rotulação da informação precisam abranger tanto os ativos de informação no formato físico quanto no eletrônico.

Convém que as saídas de sistemas que contêm informações classificadas como sensíveis ou críticas tenham o rótulo apropriado da classificação da informação (na saída).

Convém que o rótulo reflita a classificação de acordo com as regras estabelecidas em 7.2.1. Itens que devem ser considerados incluem relatórios impressos, telas, mídias magnéticas (fitas, discos, CD), mensagens eletrônicas e transferências de arquivos

Convém que sejam definidos, para cada nível de classificação, procedimentos para o tratamento da informação que contemplem o processamento seguro, a armazenagem, a transmissão, a reclassificação e a destruição.

Convém que isto também inclua os procedimentos para a cadeia de custódia e registros de qualquer evento de segurança relevante.

Convém que acordos com outras organizações, que incluam o compartilhamento de informações, considerem procedimentos para identificar a classificação daquela informação e para interpretar os rótulos de classificação de outras organizações.

Informações adicionais

A rotulação e o tratamento seguro da classificação da informação é um requisito-chave para os procedimentos de compartilhamento da informação. Os rótulos físicos são uma forma usual de rotulação. Entretanto, alguns ativos de informação, como documentos em forma eletrônica, não podem ser fisicamente rotulados, sendo necessário usar um rótulo eletrônico. Por exemplo, a notificação do rótulo pode aparecer na tela ou no display.

Onde a aplicação do rótulo não for possível, outras formas de definir a classificação da informação podem ser usadas, por exemplo, por meio de procedimentos ou metadados.

3.3.2- Estruturação

O conjunto de documentos que determina e especifica a forma que a SI é tratada na organização é dividido em três níveis diretrizes, normas e procedimentos/Instruções .

A forma como a Classificação da Informação é implementada em uma organização depende das diretrizes da Políticas de SI e precisa esta alinhada com elas, sempre lembrar que a finalidade SI é suportar o negócio da organização , as diretrizes foram elaboradas pela alta direção em parceria com a área de segurança justamente para deixar claro o que é esperado

O nível mais alto de documento que compõe a Política de CI é a norma que define aspectos genéricos como funcionará o programa e seus objetivos . Pelo Fato  de ser uma norma , não devemos entrar muito em detalhes de como rotular uma informação , apenas informar os aspectos que constituem o programa , como por exemplo :

  • Níveis de classificação – Detalham quais os níveis de existentes e quais os critérios a serem analisados para a aplicação de um deles a uma dada informação
  • Controles por classificação – Detalham quais os controles devem existir para proteger as informações classificadas sob um dado nível.
  • Duração – Prazo de validade de cada um das classificações
  • Reclassificação – Requisitos e permissões para a mudança nos níveis de classificação
  • Papeis e mudanças – Responsabilidades assumidas durante o trato das informações
  • Referencia aos procedimentos e instruções – Na norma, referenciamos todos os procedimentos e instruções existentes que auxiliarão nos aspectos práticos e operacionais do programa de classificação

3.3.3- Pontos de Atenção

Existem alguns pontos que devem ser considerados, o primeiro é o nível padrão de classificação para documentos não classificados. é comum adotar uma estratégia na qual, os documentos não são analisados e  classificados adequadamente, eles passam a se enquadrar em um nível padrão de classificação a parir da publicação da norma.

Dessa forma, tão logo o programa de classificação seja iniciado, todas as informações estarão classificadas em um nível intermediário, a não seque alguém analise e as tornem publicas ou então atribua a elas um nível de classificação ainda maior. Normalmente esse nível de classificação-padrão não exige maiores proteções e tem por objetivos apenas definir todas as informações como sendo não publicas até que alguém diga ao contrário

3.3.4- Material de apoio para usuários

Por fim, toda política só é efetiva se for claramente comunicada às pessoas de uma organização

Quando o programa é elaborado e as normas redigidas, devemos sempre ter em mente que a praticidade e a viabilidade  são as coisas que devem termina mente perseguidas

3.3.5- Treinamento de usuários

O  Treinamento de usuários é a ultima fase da implementação , devemos ter em mente que diferentes pessoas desempenham papeis diferentes papéis e possuem diferentes  responsabilidades no processo  classificação , por isso essa pessoal sejam treinadas de forma separada , pois a perspectiva do programa para um proprietário de informação é completamente diferente da de um custodiante ou usuário.

Devemos, inclusive, iniciar a conscientização por aqueles que têm as maiores responsabilidades e interesses associados ao programa, que são os proprietários.