O Information Technology Infrastructure Library (ITIL), é um conjunto de melhores práticas da gestão de serviços de TI, criado pelo Office of Government Commerce (OGC), Câmara de Comércio Britânico, nos meados da década de 80. O ITIL foi reformulado no ano de 2002 e passou a ser adotado com maior frequência, sendo dividida em oito volumes: Suporte aos serviços, entrega de serviços, planejamento e implementação, gerenciamento de aplicações, gerenciamento de segurança, gerenciamento da infraestrutura de TI e de comunicações, perspectiva do negócio e gerenciamento dos ativos de software. Em 2007, o ITIL sofreu nova revisão e passou a abordar a gestão do serviço através de um ciclo de vida do serviço. A terceira versão do ITIL dividiu o modelo em cinco livros: Estratégia de serviços, desenho de serviços, transição de serviços, operação de serviços e melhoria continua de serviços, conforme ilustrado na figura 4 (ITIL, 2007).
Figura 4: Visão geral do ciclo de vida da biblioteca das melhores práticas ITIL v3
No ITIL, tratando-se de plano de continuidade, três processos são de suma importância para a elaboração do plano de continuidade. A gestão da continuidade de serviços é abordada no desenho de serviços, possuindo um processo detalhado de continuidade. O gerenciamento do nível de serviço, que fornece suporte para a continuidade, também abordado no desenho de serviços. O processo de gerenciamento de incidentes é abordado nas operações de serviço. O ITIL não possui um processo definido para a gestão de riscos.
2.5.1 Gerenciamento de nível de serviço
O gerenciamento do nível de serviço é um processo fundamental do desenho de serviço. É neste processo que são alinhadas as necessidades do cliente com os serviços prestados e então estes são negociados, acordados e documentados. Objetivo do gerenciamento do nível de serviço é determinar acordo de nível de serviços, SLAs, o que é uma garantia de que um serviço será executado de uma forma dentro de um período de tempo aceitável. Os SLA são base para todos os processos do ITIL. O processo traz benefícios tanto para o cliente, que sabe o que pode esperar e exigir do prestador de serviço, e para o prestador, que saberá exatamente o que deve entregar e quando executá-lo. É de extrema importância que o nível de serviço seja especificado corretamente para garantir uma melhor entrega.
Os objetivos do processo de gerenciamento de nível de serviço são desenvolver relações de negócio, onde são negociados e acordados os requisitos anuais e os requisitos de nível de serviço para requisitos futuros, desenvolver e gerenciar as metas estabelecendo os acordos de nível operacional, OLAs, com as demais áreas da organização, revisar contratos de terceiros para avaliar as metas de fornecedores, prevenir pró ativamente falhas nos serviços, reportar e gerenciar serviços e elaborar o plano de aperfeiçoamento de serviço para gerenciar, planejar e implantar melhorias nos serviços e processos.
2.5.2 Gerenciamento da continuidade dos serviços de TI
Os objetivos do processo de gerenciamento de continuidade de serviços de TI (GCSTI), são desenvolver e manter os planos de continuidades de serviços de TI e suas ações de recuperação, realizar revisões regulares da análise dos riscos que impactam o negócio e atualizar seus planos de continuidade, aconselhar às demais áreas de negócio a importância da
continuidade de negócios, garantir que os mecanismos de continuidade e recuperação são eficientes em situações de desastre e operem dentro dos SLA definidos, avaliar o impacto das alterações nos planos de continuidade, assegurar medidas proativas parar otimizar a disponibilidade de serviços conforme custo e benefício e negociar os contratos necessários para atender os requisitos de recuperação para dar suporte em situações de desastre.
O foco do gerenciamento da continuidade de serviços são os eventos que podem interferir de maneira drástica no processo de negócios, um desastre, podendo variar de organização para organização. Eventos com menor impacto são lidados no processo de gerenciamento de incidentes. O impacto de um desastre com perda de serviços é medido através de análise de impacto, parte do processo de gestão de riscos.
O ITIL define um fluxo de atividades para a continuidade de serviços, ilustrados na figura 5. São quatro estágios: iniciação, requisitos e estratégia, implementação e gerenciamento operacional.
Figura 5: O processo de gerenciamento da continuidade de negócios
Fonte: ITIL, 2007
O ciclo de vida da continuidade se inicia na fase de iniciação, nesta fase deve-se estabelecer uma política para os planos de continuidade, estabelecer o escopo que os planos
terão e se iniciar um projeto para o desenvolvimento dos planos. Este processo contempla a organização como um todo.
A segunda fase, requisitos e estratégia, é quando se define a estratégia de continuidade do negócio, nela são realizadas as atividades de análise de impacto do negócio, a avaliação de riscos e a estratégia de continuidade dos serviços de TI.
A terceira fase, de implementação, é a etapa em que se desenvolvem os planos de continuidade de negócio, os planos de recuperação de desastre e se testa a estratégia. Nesta fase são criados os planos para implantar o processo de continuidade como os procedimentos de emergência, avaliação de danos, planos de recuperação, entre outros. Também são abordados nesta fase a implantação de medidas para a redução dos riscos e acordos para atender os requisitos de disponibilidade.
O plano de continuidade de serviços de TI é desenvolvido nesta fase, incluindo o plano de recuperação. Este plano deve incluir o seu período de atualização, a lista dos responsáveis para definir as ações, a iniciação da recuperação e o grupo de especialistas para cobrir as ações e suas responsabilidades. Estes envolvidos podem ser internos ou terceirizados, conforme a politica da organização. Os testes iniciais são executados nesta fase com objetivo de garantir que a estratégia implantada é eficiente em situações de desastre.
Como todo processo do ITIL, a ultima fase do ciclo é o gerenciamento operacional, são práticas cabíveis a educação, conscientização e treinamento dos envolvidos, buscando capacitar a equipe em operar os planos e lidar com as situações de desastre, a revisão e auditoria, os testes e simulações, contemplando não apenas a eficácia mas sim como a equipe se comportará em situações de desastre e como utilizar os recursos, o gerenciamento da mudança, procurando identificar as alterações de processo e de tecnologia que influenciam na continuidade de serviços de TI, e por último a garantia de que o processo está atingindo os requisitos de negócio de forma satisfatória.
O GCSTI pode ser medido em duas situações, durante a operação normal e durante / após um desastre. Em situações de operação normal são métricas os resultados dos testes feitos no plano e o custo do processo. Em situações de desastre pode-se avaliar os pontos fracos no plano, o tempo de recuperação em comparação com o tempo estimado e as perdas devido ao desastre.
O GCSTI possui diversas funções, conforme o ITIL, o papel responsável pela continuidade é o gerente de continuidade de serviços. Este responsável possui papéis diferentes em situações rotineiras e em situações de desastre. O gerente tem como responsabilidade desenvolver, implantar e manter o processo de gerenciamento da
continuidade do serviço conforme os SLA definidos, assegurar de que todos os envolvidos estejam preparados para situações de desastre, ajudar na execução da análise de riscos dos serviços existentes e de novos a serem implantados, gerenciar os testes de TI para todos os planos de continuidade, gerenciar os serviços de TI entregues durante o período de crise e avaliar as mudanças do ambiente e seus impactos nos planos de continuidade de negócio.
2.5.3 Gerenciamento de incidentes
O processo de gerenciamento de incidentes lida com todos os incidentes. Entende-se como incidente as falhas nos serviços de TI que impactam no processo de negócio. A meta deste processo é restaurar o serviço de acordo com os SLA definidos no gerenciamento de nível de serviço minimizando o impacto nas operações de negócio. O escopo deste processo inclui qualquer evento que possa interromper um serviço de TI, incluindo eventos conhecidos ou não e problemas identificados no gerenciamento de problemas.
O processo de gerenciamento de incidente consiste de nove etapas: a identificação do incidente, o registro do incidente, a classificação do incidente, a priorização do incidente conforme seu impacto no processo de negócio, o diagnóstico do incidente, a escalação ou transferência do incidente, a investigação e diagnóstico, a resolução e recuperação, e o encerramento da demanda do incidente.
O gerenciamento de incidentes deve levar em consideração os limites de tempo conforme o seu SLA, os modelos de incidente e as operações necessárias para trata-los, e incidentes graves, com maior impacto no processo de negócio da organização. Este ultimo deve ser tratado como desastre e ser o maior foco na gestão de riscos e continuidade de negócios. São atribuições do processo de gerenciamento de incidentes buscar a eficiência e eficácia do processo, produzir informações gerenciais, gerenciar o trabalho das equipes de suporte, gerenciar os incidentes graves, e desenvolver e manter processo e procedimentos para tratamento dos incidentes.