Os 10 Mandamentos da ITIL

image

Quando falamos de ITIL®, NÃO existe a obrigação para se implementar os processos exatamente como os livros os descrevem. Um dia, várias empresas e pessoas envolvidas no gerenciamento de serviços de TI resolveram trocar experiências. Algum tempo depois, elas chegaram a um consenso sobre o que eram as melhores práticas de mercado e posteriormente registraram isso em livros que se tornaram a “famosa” biblioteca ITIL®. Porém, alguns erros e gargalos na implementação dos processos são tão óbvios e atrapalham tanto a prática de implantação, que resolvi inovar e criar os 10 “mandamentos” da ITIL® ( mas eles poderiam ser muito mais que 10… escrevam contribuições a respeito nos nossos comentários desse post). São eles:

1. Amarás a ITIL® com a ti mesmo.

Não desista! O gerenciamento de serviços de TI de uma organização e a melhoria dos níveis de maturidade dos processos tende a melhorar com o passar do tempo. Não adianta andar com a biblioteca da ITIL® debaixo do braço, estudar horrores e achar que do dia para a noite todos os “stakeholders” de uma organização vão migrar de uma cultura voltada a produtos para uma cultura voltada a serviços. É um processo lento, algumas vezes solitário e quase sempre árduo. Um processo de “catequização” que levará a mudança de cultura de uma organização. Siga em frente, motive seu time, mostre o valor agregado do gerenciamento de serviços, aposte nos ganhos rápidos e aos poucos essa cultura ganhará mais espaço em sua organização.

2. Não acharás que é TI (Tecnologia da Informação) quem dita as regras.

Um dos principais objetivos da ITIL® é fazer com que a TI contribua para que a organização atinja seus objetivos de negócio. Por isso, não adianta a área de TI assumir que entende o que é importante para a empresa e tomar as decisões por si mesma. É preciso OUVIR O CLIENTE. É preciso entender quais são os objetivos de negócio. Nenhum conhecimento técnico será suficiente para trazer resultados, se a TI tomar decisões que não auxiliam no atingimento das metas da organização. Provavelmente serão feitos investimentos em recursos e tecnologias desnecessários… Hoje em dia ninguém deseja “queimar” dinheiro, não é mesmo? Pecado mortal esse…

3. Não implementarás gerenciamento de configuração sem um bom processo de gerenciamento de mudanças para auxiliá-lo.

Parece simples, mas não é. É o Gerenciamento de Mudanças quem informa ao Banco de Dados de Gerenciamento de Configuração o que e quais serão os itens de configuração alterados durante uma alteração no ambiente de TI. Podemos, portanto, ter o melhor Banco de Dados de Gerenciamento de configurações do mundo, contratar a mais competente consultoria para implementá-lo, para definir o  escopo mais adequado e contratar ferramentas perfeitas para mantê-lo – sem um processo adequado de gerenciamento de mudanças,  os itens de configuração serão alterados, novos itens serão adicionados na infra e em pouco tempo, pouquíssimo tempo mesmo, o Banco de Dados de Gerenciamento de Configurações estará completamente desatualizado. Se você já começou um projeto de implementação de Gerencia de configurações em sua organização e ainda não tem um processo de mudanças, aconselho a rever o projeto ou tomar muito calmante para explicar para o CIO porque os benefícios que foram vendidos com o processo não estão chegando…

4. Jamais atribuirás o papel do Gestor de Problemas e de Gestor de Incidentes para a mesma pessoa.

Alguns processos têm interesses conflitantes e esse é um exemplo claro! A gerência de incidentes tem o objetivo de restabelecer a operação do serviço o mais rápido possível. A gerência de problemas tem o objetivo de investigar cuidadosamente para identificar a causa raiz de um incidente crítico ou vários incidentes recorrentes, não se preocupando com o tempo, mas com a qualidade da investigação. Imaginem o grande conflito de interesses, quando determinamos a mesma pessoa para ser gerente de incidentes e problemas? Ela priorizará o atendimento de incidentes ou a investigação? Essa nem vou responder, vou deixar para vocês pensarem…

5. Treinarás o pessoal da Central de Serviços periodicamente.

Já foi assunto de inúmeros posts, parece uma situação bem óbvia, mas quase sempre é negligenciado. Não adianta cobrar qualidade de atendimento de uma central de serviços, onde as pessoas responsáveis pelo contato com o usuário não são treinadas. Elas precisam receber, periodicamente , além de treinamento técnico, treinamento comportamental, saber como atender um telefonema, como lidar com o usuário e como responder as questões técnicas. Precisam saber utilizar a base de conhecimento, uma de suas principais ferramentas de trabalho. Sem treinamento, a Central de Serviços é um barco a deriva, esperando um vento mais forte (ou um evento mais crítico) para afundar.

6. Não subestimarás a satisfação dos usuários e dos clientes.

Ouça o cliente e instigue-o a expressar sua opinião a respeito do gerenciamento de serviços de TI. Revise os níveis de serviços atingidos e os não atingidos e atue na melhoria contínua de ambos (sim, também é possível melhorar o que já está bom, se isso for interessante para o negócio). Não deixe tudo parado, como se nada estivesse acontecendo. Não espere seu cliente lhe procurar para manifestar sua insatisfação, pergunte como ele se sente! Existem dois tipos de detectores de satisfação: o termômetro da satisfação do cliente é o gerente de nível de serviço e a voz dos usuários para TI é o Service Desk. Utilize esses meios e atinja os melhores fins!

7. Não acharás que uma certificação será suficiente para implementar os processos na prática.

Na teoria a prática é outra. Já ouviram essa frase? Pois é, essa é a mais fiel realidade quando falamos de gerenciamento de serviços de TI. Resumindo: somente conhecimento teórico, diplomas e certificados, apesar de ajudarem (e muito!), não garantem uma boa implementação. É preciso trocar experiências com pessoas que já vivenciaram uma implantação dos processos, é preciso pesquisar , conhecer o negócio e principalmente ter paciência. É como “andar de bicicleta”. Quanto mais você pratica, melhor fica. Atenção para a palavra: PRÁTICA.

8. Não recusarás o suporte dos outros modelos e frameworks.

As bibliotecas da ITIL® trabalham muito bem com outros frameworks e modelos, como o COBIT , a ISO 20000 e modelos de gestão de projetos. Através deles é possível obter maior controle para as melhores práticas, maior entendimento e maior eficiência e eficácia na operação e entrega de serviços. Pesquise como eles podem interagir. Na Internet existem inúmeros vídeos e publicações a respeito e em nosso site já colocamos alguns posts sobre esse assunto. Só aplicar as melhores práticas da ITIL® é muito bom, suportá-las por outros controles e modelos é melhor ainda!

9. Não acharás que a gerência de disponibilidade serve somente para medir quantas horas um recurso de TI está operando (ou não!).

Princípio 2 da Gerencia de Disponibilidade (retirado do livro versão  ITIL® – Entrega de serviços) :“Reconhecer que, mesmo que as coisas deêm errado,  ainda assim é possível alcançar o objetivo do negócio e a satisfação do Cliente”. Um servidor caiu. Será que mesmo assim é possível manter a satisfação do cliente? A gerência de disponibilidade garante que sim, porque ela não se preocupa apenas em manter o serviço operando. Quando algo errado acontece, ela também cria condições e pode suportar para que esse serviço seja recuperado mais rapidamente. Que tal “clusterizar” um servidor que suporta um processo crítico para o negócio após um estudo da gerência de disponibilidade?

Outra parte muito interessante dessa gerência é que ela também oferece técnicas interessantíssimas para avaliar qual será a disponibilidade projetada para um novo serviço. Essas técnicas podem ser aplicadas inclusive para aumentar a confiabilidade, disponibilidade e segurança de um serviço que ainda nem entrou em produção, alterando o desenho proposto para melhorá-lo. Sim, esse é um processo muito nobre da nossa biblioteca e muitas vezes esquecido ou subestimado…

10. Não acharás que o Gerenciamento Financeiro é um processo “chato” da biblioteca.

Eu entendo. A maior parte das pessoas que trabalham com TI, não gosta muito de finanças. É um mundo um pouco estranho para quem está acostumado com termos técnicos, sistemas e máquinas. Mas é um “mal” necessário. Aliás, imprescindível. A TI precisa começar a “se vender”. É preciso mostrar porque determinado investimento em TI custa caro muitas vezes, o retorno que aquele investimento trará para o negócio e como esses custos serão controlados. TI precisa profissionalizar-se, ser operada como uma área de negócio e não somente um processo de apoio dentro de uma organização. Entender termos como : Retorno sobre o investimento (ROI) e Custo Total de Propriedade (TCO), não é mais opcional. Afinal, você, diretor de TI, tem idéia de quanto custa para sua organização manter esse notebook que você está utilizando? Pergunte ao processo de gestão financeira. Ele terá a resposta.

Fonte: Communit.com.br

Anúncios

TI de volta à origem: a informação

O papel da área não é “vigiar” as pessoas, mas “os dados”, uma vez que a proteção da informação envolve a proteção do próprio negócio, do patrimônio e da reputação da empresa.

Uma coisa é investir em usabilidade e em ensinar o usuário a usar tecnologia do jeito certo, outra é ter de “cuidar das pessoas”. Essa perda de foco pode gerar riscos. O foco da Tecnologia da Informação (TI) tem de ser a INFORMAÇÃO! O papel da proteção da informação envolve na verdade a proteção do próprio negócio, do patrimônio e da reputação da instituição. No entanto, nos últimos anos, a TI passou a ter como papel “criação de cultura interna”, o que sempre foi da área de Recursos Humanos (cuidar do capital humano).

Quando o foco é a informação, é legítimo ir atrás da informação onde ela estiver. Não se está “vigiando” as pessoas, mas sim “os dados”. A melhor prática não é monitorar pessoas, e sim as informações. Logo, quando isso está claro evita-se uma série de problemas relacionados a monitoramento e privacidade. Ainda mais com o desafio que a TI tem atualmente de inovar e permitir cada vez mais disponibilidade dos dados em novos ambientes, de cloud computing a uso de tablets.

Um dos principais objetivos da TI é a disponibilidade. São requisitos, para que ela ocorra, permitir acesso aos dados de qualquer lugar, a qualquer tempo, por qualquer pessoa autorizada para tanto. É importante destacar a questão do “acesso”, pois acessar não é o mesmo que “portar”. A portabilidade de dados traz muito mais riscos de segurança da informação, não apenas no sentido do vazamento, mas também na perda absoluta dos dados (falta de backup por exemplo).

Ou seja, conforme se evolui em soluções que permitem mais acesso, pode-se obter ganho de segurança e não o contrário. Isso porque havendo um bom controle de autenticação (que tem de ser forte) e de confidencialidade (aplicar criptografia, por exemplo), o ideal é uma pessoa que precise ter uma informação consiga obtê-la. O maior risco para as empresas ainda é, na era da Sociedade da Informação, precisar de uma informação e não a conseguir no prazo necessário.

Por certo que se a informação parar nas mãos erradas gera riscos, assim como ocorre com qualquer outro ativo (tangível ou intangível), mas um dos princípios do direito de propriedade é a capacidade de exercer o usufruto do bem. Não dá para guardar tudo no cofre e ninguém poder acessar!

A TI precisa assumir, de uma vez por todas, que a Sociedade Digital exige três requisitos: perda de materialidade (independência de suporte físico), instantaneidade (capacidade de acesso e respostas em tempo real) e proteção de ativos intangíveis (processos fortes de proteção de propriedade intelectual que exigem contratos e SLAs mais blindados, principalmente para deixar claro quem é o “dono” do conteúdo, da base de dados).

Se a missão é a proteção do patrimônio que está em informações, então a TI precisa urgentemente implementar de verdade o Plano de Contingência e Continuidade (PCN). Não dá mais para aceitar que não há redundância e disaster recover.

O CIO é hoje um gestor de riscos, gestor de tecnologias, gestor de informações, gestor de ativos intangíveis!

E, além disso, um gestor de contratos devido ao crescimento da terceirização (ainda mais com a tendência de virtualização que atende completamente aos três requisitos da Sociedade Digital já mencionados).

Os contratos da área de TI, que hoje envolvem além de tecnologia, também telecomunicações, dados, uso de novos recursos (até redes sociais), precisam ser bem feitos. Um contrato blindadado tem: a) propósito claro; b) gestão de expectativas X custos; c) delimitação de responsabilidade; d) identificação de riscos invisíveis; e) padrão de nível de serviço com metodologia de medição e penalidades; f) cláusulas específicas de segurança da informação e de direitos autorais.

Não tem como uma empresa inovar e liderar um mercado sem assumir a mobilidade e as redes sociais. Hoje, já há uma medição do “social capital”, ou seja, do valor de presença da empresa em redes sociais (quantitativo e qualitativo). A TI tem de estar aderente ao negócio e permitir que o mesmo ocorra com o menor risco possível de disponibilidade, autenticidade, integridade, confidencialidade e legalidade.

Por isso, cada vez mais a proteção de dados exige implementar soluções que envolvam uso de Data Loss Prevention (DLP), softwares que fazem varredura em equipamentos espetados na rede (de terceiros), e nos que acessam a VPN (quando conecta, é feita a verificação do fluxo de informação para fora e para dentro e se o equipamento tem vírus, por exemplo), bem como também as próprias redes sociais.

Na questão das redes sociais, é essencial que a em- CIO presa realize monitoramento permanente, até pela necessidade de saber quais informações estão lá (e não que pessoas estão lá). O foco nas pessoas tem a ver com conscientização de usuários, e educação no hábito da segurança, e não com vigiar as mesmas. O que deve ser monitorado são os dados, onde quer que eles estejam e independentemente de quem os acesse.

A mobilidade passou a exigir também esse acompanhamento maior, ainda mais com disseminação barata de smartphones (em geral, os profissionais possuem o próprio, mesmo que a empresa não os forneça e estão portando e acessando dados que necessitam ser protegidos).

Mas também temos visto o crescimento de informações confidenciais em dispositivos de eReaders e ultimamente no iPad. Se aprendemos a ter pasta segura e senha no notebook, depois no celular, imagina então no iPad!

Interessante observamos que toda a preocupação em proteger notebooks não está sendo aplicada em proteger tablets, por quê? É bonito ver o alto escalão, que detém as informações mais sensíveis, confidenciais, restritas em reuniões com iPads e iPhones. Onde está o compromisso com a segurança do negócio?

A governança em TI está baseada em três pilares fundamentais: transparência, controles e sustentabilidade. E é claro que a TI tem de estar em conformidade legal! Por isso, a TI tem de voltar à sua origem, e os CIOs focarem nas informações e na integração com as demais áreas.

Precisamos de melhores contratos de infraestrutura para evitar o apagão digital (este sim trará mais prejuízo do que a fraude eletrônica). Não há como realizar o negócio sem isso em um mundo plano.

Autora: Patricia Peck Pinheiro / Fonte: CIO