INTEGRAÇÃO DAS NORMAS ISO 20000 E ISO 27001
EM GESTÃO DE SERVIÇOS DE TI
Adriele Ferreira Cardoso, Edgar Zattar Dominoni Neto Instituto de Informática – Centro Universitário do Triângulo (UNITRI)
Caixa Postal 309 – 38.411-106 – Uberlândia – MG – Brasil
adrielefcardoso@gmail.com, edgar.zattar@gmail.com
Resumo. Este artigo tem o objetivo de analisar e mostrar o processo de uma implantação integrada das ISO 20000 e 27001 em gestão de serviços de TI. Atualmente, empresas que atuam no ramo de TI buscam cada vez mais garantir a qualidade da entrega final e para isso a preocupação com a segurança das informações está em evidência. Este artigo irá contribuir com o propósito das empresas que pretendem gerenciar melhor seus serviços de TI, apresentando duas normas que podem ser implantadas de forma integrada ISO 20000 e ISO 27001, evitando duplicação de esforços e facilitando a obtenção da certificação, já que o sistema de Gestão apresenta similaridade, o que possibilita uma sinergia na integração.
1. Introdução
Por mais de 100 anos, o British Standards Institute (BSI) e a International Organization for Standardization (ISO) fornecem referências globais para padrões operacionais de fabricação e de desempenho, sendo assim, as empresas que almejam constantemente expandir as suas fronteiras de negócios, garantindo a qualidade da entrega final, buscam algumas normas para serem implantadas. Estes provedores visam flexibilidade para que consigam interagir com as alterações competitivas do mercado, além de garantir valor ao serviço prestado. Neste contexto, as ISO/IEC 20000 e ISO 27001 surgem como uma diferenciação no mercado de Gestão de Serviços de TI.
Segundo o Fórum de Gestão de Serviço de TI (2007), “as organizações frequentemente dependem muito dos serviços de TI e esperam que estes não apenas as auxiliem como também apresentem novas opções para implementar os seus objetivos. Além disso as expectativas elevadas dos clientes de serviços de TI tendem a mudar significativamente com o tempo e exigem revisões constantes, sendo assim os servidores de serviços de TI, precisam considerar a qualidade dos serviços que oferecem’’ [Van Bom, 2007].
Estas normas possuem vários aspectos relacionados e podem ser implantadas de uma forma integrada, garantindo eficiência, redução de prazo, custo e aumento da qualidade na sua obtenção e manutenção. A ISO 20000:2005 e a ISO 27001:2005 estão há quase 10 anos disponíveis para certificação. Sendo assim, existem vários materiais para consulta que se referenciam a essas duas normas. Porém, praticamente todos abordam esse assunto de forma isolada.
Este artigo apresenta um estudo de caso, bem como os principais ganhos, benefícios e dificuldades de implantar e manter essas duas normas de forma integrada, pois faltam contribuições acadêmicas na área, que possam contribuir com a visão desta integração (ISO 20000 e ISO 27001) e seus resultados finais.
A implantação da ISO 27001 garante para clientes e fornecedores, que a segurança da informação é primordial nas corporações com as quais eles se relacionam, já que emprega processos de última geração para lidar com as ameaças e os riscos à segurança, à informação. A exemplo de outros importantes valores empresariais, é um ativo que agrega riqueza à corporação e como tal precisa ser protegida.
Conforme a ISO (2005), a ISO/IEC 20000 é o primeiro padrão internacional formal desenhado especialmente para o Gerenciamento de Serviços de TI. A norma foi publicada em 15 de dezembro de 2005. É baseada no ITIL, IT Infrastructure Library, conjunto de melhores práticas para Serviços de TI e sucedeu a norma britânica BS 15000 [ISO, 2005].
2. Definições
Segurança da Informação está diretamente relacionada à preservação de valor de algum conjunto de dados, valor este que é definido por uma organização. São
características primordiais da segurança da informação: confidencialidade, integridade e disponibilidade, não se limitando esta segurança a software e computadores, informações digitais ou sistemas de armazenamento. Este conceito é mais abrangente e complexo, pois pode ser aplicado a toda e qualquer informação e dado [Machado, 2012].
O conceito de valor se enquadra em todo o ciclo de vida dos serviços que a TI oferece ao negócio, conforme descrito no ITIL. A comprovação de valor só se efetiva quando a estratégia, o desenho, a transição, a operação e o monitoramento dos serviços são concretizados de forma integrada e equiparados a uma visão de valor geral, que respeite às necessidades e expectativas dos principais stakeholders [Van Bom, 2007].
“ITIL é um conjunto de conceitos e práticas para o Gerenciamento de Serviços de TI, através de um conjunto de livros, ela dá descrições detalhadas de várias práticas importantes de TI. A ITIL provê um abrangente e consistente conjunto de melhores práticas para a identificação de processos da área de TI e o alinhamento dos seus serviços às necessidades da organização, promovendo uma abordagem qualitativa para o uso econômico, efetivo, eficaz e eficiente da infraestrutura de TI ’’[Pereira, 2001].
Na definição de Azevedo Stakeholders descreve uma pessoa ou grupo que fez um investimento ou tem ações ou interesse em uma empresa, negócio ou indústria, ou seja, as pessoas diretamente ligadas e/ou interessadas no projeto de auditoria [Bonifácio, 2012].
RFP – Request for Proposal é o convite enviado a um grupo de fornecedores para apresentarem propostas de venda de produtos ou serviços [Silva, 2007].
3. Gerenciamento de Serviço de TI
O Gerenciamento de Serviços de TI não é uma receita de bolo que deve ser seguida, ou algo que pode ser executado somente observando outras empresas como benchmarking. Na verdade, é um desafio constante para manter altos níveis de serviço para os seus clientes, que necessita de um grupo de profissionais especializados e com uma visão integrada, gerenciadas por meio de parâmetros de qualidade, tempo e custo. Assim, as empresas provedoras de serviço de TI podem atender e entregar valor aos seus clientes.
A Gestão de Serviços de TI traz para as empresas a economia, a confiabilidade, a flexibilidade e a consistência dos processos. Muitos provedores de TI têm sido criticados por se concentrarem em assuntos técnicos ou de aspecto puramente interno. Numa época com demandas de negócios, a TI precisa mudar o seu foco e trabalhar de forma mais orientada ao cliente. Isso significa que um provedor de TI deve prover o que foi acordado com os seus clientes e desenvolver com eles uma relação profissional e comercial. [Santos, 2009]
Um bom gerenciamento de serviço de TI evita que empresas trabalhem de forma reativa e comecem a investir em planejamento, treinamento, análise e no relacionamento com os clientes. Essa proatividade facilita a integração de aspectos de marketing, operacionais, financeiros e gestão de pessoas que irá fornecer maior controle, eficácia e oportunidades de melhorias dentro da organização.
Segundo o instituto de certificação BSI, atualmente existem duas normas que representam este tipo de estrutura: A ISO/IEC 27001 é a única norma internacional auditável que define os requisitos para um Sistema de Gestão de Segurança da Informação (SGSI). Ela visa assegurar a seleção de controles de segurança adequados e proporcionais [BSI, 2014].
A certificação na norma internacional ISO/IEC 20000 permite à sua empresa demonstrar aos seus clientes, de forma independente, o cumprimento das melhores práticas de gerenciamento de serviços de TI.
3.1. A NBR ISO/IEC 20000
A ISO/IEC 20000 é uma norma com o objetivo de proporcionar melhores práticas para o gerenciamento de serviço de TI, para que as empresas possam operar com qualidade e segurança, além de ter uma cultura de melhoria contínua para todo tipo de corporação, grande ou pequena, seja qual for a área de atuação, ou para quem necessita de serviços de TI [Santos, 2009].
A norma é particularmente apropriada para prestadores de serviços de TI interno ou externo. Os benefícios têm grande importância e impacto para as instituições que se certificam, as instituições aumentam a proatividade aos serviços vinculados ao negócio, se tornam diferencial em questões competitivas e contratuais, já que os clientes exigem cada vez mais esse selo em suas RFP, melhora a confiabilidade, eficiência e consistência do Serviço de TI.
Segundo o instituto BSI Brasil (2014) a ISO/IEC 20000 é totalmente compatível com o ITIL (Biblioteca de Infraestrutura de TI) que é um guia de melhores práticas para processos de SGTI [BSI, 2014]. A ISO 20.000 foi desenvolvida a partir da antiga norma BS 15.000, mas parte de sua origem vem da ITIL, que se baseia em processos e está voltada para um conjunto de melhores práticas em TI. Já a ISO 20.000, como norma de qualidade, é focada na análise de evidência dos controles de processos, sendo, também, base para auditorias e certificação [Oliveira, 2007].
Segundo Oliveira (2007) “A empresa com certificação ISO 20000 assegura que a gestão de TI fornecerá serviços ou produtos conforme os requisitos definidos pelo cliente, demonstrando que atua com integridade de segurança, buscando a melhoria contínua de qualidade e garantindo uma vantagem competitiva em relação ás empresas que não cumprem os requisitos da Norma” [Oliveira, 2007].
3.2. A NBR ISO/IEC 27001
A ISO/IEC 27001é um conjunto de normas que ajuda as empresas na proteção de seus ativos de informação e na segurança para todos os envolvidos no processo, em particular seus clientes. A norma aderiu uma aproximação de processo para a formação, efetivação, operação, auditoria, controle, manutenção e melhoria de seu SGSI [Norma 27001, 2005].
Ocasiona um benefício competitivo por executar requisitos contratuais e comprovar para seus clientes que a segurança da informação é conduzida com alta relevância pela organização.
Segundo Ribas (2006), “esta norma promove a adoção de uma abordagem de processo para estabelecer e implementar, operar, monitorar, analisar criticamente, manter e melhorar o Sistema de gestão da segurança de informação de uma organização[Ribas, 2006].
Apesar de ter um escopo diferente da ISO 20000, se trabalhado a qualidade das entregas, levando em consideração todos os requisitos da 27001, como consequência os processos serão mais integrados e eficaz possibilitando uma visão sistêmica e completa.
4. ESTUDO DE CASO
A seguir será discutido e apresentado o estudo de caso realizado em uma empresa de grande porte, que atua no ramo de TI.
4.1. Metodologia
A estudo de caso teve como base a participação no projeto da ISO/IEC 20000 e sua integração com a ISO/IEC 27001 em uma empresa provedora de soluções de TI. Os fundamentos são voltados ao estudo de caso específico. Discutem-se os principais assuntos que norteiam as empresas para o entendimento e aplicação da norma ISO 20000 e Integração com a ISO 27001. A participação efetiva no projeto foi com o levantamento e mapeamento dos processos chaves e participação de auditorias internas. 4.2. Caracterização da Empresa
A empresa selecionada será apresentada com o nome fictício TI X, com o objetivo de não expor informações confidenciais.
O estudo de caso foi desenvolvido com base em uma empresa de origem nacional, provedora de soluções de TI com 11 centros de desenvolvimentos em cidades táticas do Brasil, possui três Data Centers, estrategicamente localizados, três fábricas de desenvolvimento, também oferece soluções em terceirização de serviços de TI, licenciamento de software, desenvolvimento e manutenções de aplicações(...). O provedor pesquisado possuía na época da pesquisa mais de 10.000 associados, sendo 50 diretamente relacionados aos serviços de escopo do projeto.
A empresa se certificou na ISO 20000 no ano de 2010 e logo em seguida no mesmo ano na ISO 27001, visando obter os benefícios para seu negócio. Executando um procedimento comum no mercado, a empresa “TI X” trabalhava e auditava seus processos de forma segregada e em momentos diferentes. Após a certificação, anualmente a empresa realizava auditorias externas para manutenção do selo de certificação, porém no ano de 2013 a empresa identificou que havia oportunidade de maiores ganhos econômicos, e benefícios qualitativos se trabalhasse as normas de forma integrada. Sendo assim, iniciou o processo e plano de trabalho para integrar as duas normas.
4.3. Integração ISO 20000 e ISSO 27001
O objetivo da Integração das normas é definir um conjunto de aspectos associados por meio de diretrizes e padrões que são comuns nas duas normas, para promover a melhoria da qualidade dos serviços prestados e aumentar a postura preventiva com relação às questões de segurança da informação, concorrência no mercado e entrega de valor ao cliente.
4.3.1 Requisitos de Sombreamento das Normas
Apesar de serem normas distintas, as ISO 27001 e ISO 20000 apresentam requisitos em seus conteúdos, que são semelhantes: Comprometimento da Direção, Controle de documentos e registros, Auditorias Internas, Ação corretiva, preventiva e Melhoria Contínua, são contemplados nas duas normas. Logo, se trabalhadas de forma integrada possibilitam redução de tempo e custo.
Este sombreamento de requisitos, conforme figura 1, foi um dos motivadores para a integração, já que a utilização do mesmo procedimento, processo e documentos descritivos desses requisitos podem ser construídos, avaliados e mantidos levando em consideração as duas normas.
Figure 1. Itens Comuns ISO 20000-1:2011 e ISO 27001:2006
Além dos itens de sombreamento, a empresa elencou alguns itens que podem ser considerados equivalentes e processos que podem ser trabalhados de forma complementar um com o outro, abaixo segue a lista dos itens e sua respectiva norma:
Análise de Risco (ISO 27001);
Autoridade, responsabilidade e comunicação (ISO 27001); Gerenciamento de Recursos (ISO 27001);
Avaliação de eficácia das ações tomadas (ISO 27001); Análise de eficácia do SGS (ISO 27001);
Análise Crítica da Direção (ISO 27001 e ISO 20000);
Realização do Produto/Desenho e transição de Serviços Novos ou Modificados (ISO 20000);
Aquisição/Relacionamento com Fornecedores/Gerenciamento de Serviços Terceirizados (ISO 20000);
Gerenciamento de Continuidade e Disponibilidade do serviço (ISO 20000); Gerenciamento da Capacidade (ISO 20000);
Gestão da Segurança da Informação (ISO 20000);
Gerenciamento de Incidentes e Requisições de Serviço (ISO 20000); Gerenciamento de Problemas (ISO 20000);
Gerenciamento de Mudanças (ISO 20000). 4.3.2 Motivadores da Implantação Integrada
Um dos principais motivadores para implantação das normas, de forma integrada, é a redução de esforços e recursos para implantação e manutenção dos requisitos. O processo de preparação para certificação e/ou manutenção do selo certificador das normas tem, em média, a duração de dois a quatro meses. Para a execução deste processo integrado, são alocados recursos de algumas áreas da própria empresa, esta otimização resulta em um ganho econômico considerável.
Outro fator que influenciou na decisão, são os ganhos de competitividade no mercado; pois algumas empresas que são potenciais clientes exigem em sua RFP a certificação em uma ou nas duas normas. Ao apresentar para esses potenciais clientes que a empresa trabalha as duas normas de forma integrada, há maior valorização da imagem da empresa.
Segundo informações repassadas pela empresa “TI X” ,
aproximadamente 50% da base atual de clientes da empresa “TI X” firmaram a parceria devido às certificações das duas normas. A figura 2 ilustra que desses 50%, cerca de 10%, só contrataram os serviços da empresa pelo diferencial da integração das normas, pois esses clientes acreditam que a empresa possui maior maturidade para terceirizar seus serviços e passam a enxergar todos os processos pertinentes as normas em uma visão sistêmica, garantindo que os requisitos em comum sejam trabalhados de forma mais integrada e eficiente.
Figure 2. Gráficos de Clientes Base devido as Normas
4.3.3 Vantagens da Integração
Os principais benefícios para as empresas certificadas nas normas são: um compromisso dos executivos da organização para com a segurança da informação, aumento da confiabilidade e a segurança da informação e dos sistemas, em termos de confidencialidade, disponibilidade e integridade, garantia da realização de investimentos mais eficientes e orientados ao risco, ao invés de investimento apenas baseados em tendências, aumento da confiança e satisfação dos clientes e parceiros, melhoria no desempenho operacional das organizações [Integrity, 2012].
A empresa “TI X”, elenca como as principais vantagens, os processos mais maduros e alinhados com o negócio da empresa, isso faz com que os clientes e potenciais clientes, comecem a enxergar a empresa como mais preparada para terceirização dos seus serviços de TI. Além disso, a redução de custos com os processos de implantação, manutenção e auditorias de certificação resultam em um grande ganho econômico, melhorando a saúde financeira da empresa.
O processo de integração trouxe um conhecimento global dos processos chave, o aumento da maturidade da empresa, e uma visão mais estratégica e sistêmica do ciclo de vida do produto/serviço prestado pela organização.
4.3.4 Fluxos da Integração das Normas
Para implantação de forma integrada, a empresa seguiu um fluxo de análise e procedimentos a fim de garantir que todas as possibilidades de otimização de recursos e custos fossem garantidas. As demais fases para o processo de integração têm como base essa fase inicial de análise e diagnóstico, sendo assim, ela é imprescindível e a mais importante para garantir que o processo de integração seja bem conduzido.
Após levantamento dos requisitos semelhantes e equivalentes, a empresa deve apresentar para as áreas envolvidas, para que cada área tenha conhecimento e responsabilidade na definição e desenho dos processos chaves sob sua responsabilidade.
Após essa etapa é necessário que os executivos da empresa tenham conhecimento dos processos e efetuem a validação e aprovação.
É indicado que a empresa mapeie e documente esses processos chaves, para divulgação e formalização. Esses processos mapeados devem ser de conhecimento e acessíveis a todos stakeholders. Desta forma, a empresa tem embasamento para efetuar auditorias internas e solicitar a auditoria externa para certificação das normas de forma integrada. A participação direta no projeto se deu através do mapeamento dos processos chaves, bem como a validação e auxilio na publicação, a figura 3 ilustra as sequências das atividades macro que devem ser seguidas para a implantação de forma integrada.
Figure 3. Fluxograma do Processo de Preparação pra Certificação
4.3.4.1 Etapas para Implantação
A empresa decidiu adotar e implantar o fluxo de integração das normas conforme descrito na seção 4.3.4. Porém, o processo de implantação é o mesmo, independente de trabalhar as normas de forma integrada ou não.
A figura 4 ilustra o processo de implantação que a empresa decidiu seguir para implantar nas normas de forma integrada.
Figure 4. Fluxograma do Processo de Implantação da Certificação
Identificação dos Processos e Responsáveis: Junto á Alta Direção foi identificado os processos chaves para a integração e para cada processo foram definidos os Dono dos processos e responsáveis por auxiliar nas auditorias.
Mapeamentos: Para cada processo chave definido de escopo das auditorias, foram realizados ajustes para a integração, para posteriormente ser mapeado e documentado.
Auditoria Interna: Passo fundamental para identificação das adequações dos processos conforme mapeamento e análise da efetividade da integração.
Levantamento de GAPs: Através das auditorias foram levantado GAPs que deveriam ser ajustados para a integração e adequação do SGS.
Pre auditoria: Para preparação da auditoria externa, foram contratadas consultoria com o organismo certificador.
Auditoria Externa: Após implantar os requisitos de forma integrada, realizar auditorias e verificar a adequação do processo, foi agendado a auditoria externa do órgão certificador.
4.4. Auditorias de Sistema de Gestão
Para garantir que os processos das empresas estejam devidamente implantados e mantidos conforme documentação, as empresas realizam auditorias. Essas devem utilizar como base um procedimento documentado e um programa de auditoria bem planejado conforme mostra a figura 5.
A empresa concluiu ser mais econômico e eficaz que o treinamento fosse único, que abordasse as normas de forma integrada. Para isso, ela adaptou o processo de auditoria e precisou treinar uma equipe de auditores internos nas duas normas em questão. As auditorias internas também são realizadas sempre levando em consideração o escopo das normas de forma integrada.
O sistema de gestão para registro e acompanhamento da auditoria também foi adaptado para as auditorias integradas.
Figure 5. Etapas do Processo de Auditoria Interna
Relatório da Auditoria Execução da
Auditoria
Elaboração da Minuta do relatório, encaminhamento da Minuta para validação e encaminhamento dos relatórios às partes interessadas. Criação de plano de ação para ações de melhorias e não conformidades identificadas.
Aplicação dos Procedimentos e apresentação dos pontos de Auditoria, assegurar a objetividade e imparcialidade do processo de auditoria e seguir um procedimento documentado e levantar oportunidades de melhorias e não conformidades.
Considerar o estado e a importância dos processos a serem
auditados, resultados de auditorias anteriores. Definir os critérios de auditoria, escopo, frequência, métodos, seleção e treinamento de auditores.
4.5 Análises dos Resultados
Os resultados obtidos podem ser classificados como quantitativos e qualitativos, pois além de um ganho econômico/financeiro a empresa obteve uma melhoria na eficácia de seus funcionários, já que proporcionou uma capacitação profissional em ISO 20000 e 27001, além disso as ferramentas de escopo da auditoria foram readequadas para atender a demanda, com isto, a implantação dos processos se tornou mais completa, trazendo benefícios na manutenção e gestão de cada requisito das duas normas.
Já os ganhos quantitativos foram estimados através de informações repassadas pela empresa “TI X” e estão exemplificados na tabela 1, as informações de redução de custos foram calculadas, levando em consideração apenas os custos internos com recursos, não levando em consideração os custos com consultoria.
A empresa leva cerca de dois a quatro meses na preparação da manutenção da certificação de cada norma, com aproximadamente 10 funcionários dedicados nesse período. Se o processo fosse realizado em momentos distintos a empresa teria em média um custo de R$ 436.560,00 anual, trabalhando de forma integrada o ganho financeiro/econômico pode ser em torno de 58%. Para estes cálculos foram considerados uma média salarial de R$3.000,00, conforme informação repassada pela empresa.
Tabela 1. Comparativo entre Cenários
Conforme repassado pela empresa “TI X” , o processo de manutenção do selo certificador de forma integrada não difere de preço com a certificação. A empresa realizou um investimento de em média R$50.000,00 contratando 5 ciclos de auditorias da ISO 27001, para sua implantação, sendo a de recertificação integrada um desses ciclos. Já para a ISO 20000, esse custo foi em média R$30.000,00.
A concorrência no mercado está cada vez mais ampla e extensa, principalmente para empresas que terceirizam serviços de TI, pois as empresas parceiras e clientes estão cada vez mais exigentes e preocupados com a segurança de seus ativos e
qualidade de serviço. A empresa “TI X” enfatiza que com os processos mais maduros e alinhados com o negócio da empresa, os clientes e potenciais clientes se motivaram a confiar na empresa para terceirizar os seus serviços de TI.
No decorrer do processo de integração e da utilização dos ganhos qualitativos e quantitativos como vantagem competitiva, a empresa conseguiu uma expansão da sua carteira de clientes de em média 10%, esse crescimento é muito bem utilizado e explorado pela empresa na utilização de CASES de sucesso para captar novos clientes. 4.5.1 Dificuldades Encontradas
Segundo Dinsmore, Pinto, Cavalieri e Carneiro (2007) existem diversas restrições e dificuldades encontradas nos projetos de certificação, sendo consideradas como críticas as relacionadas ao prazo. Porém se essa restrição for percebida no início do projeto, permite que a variável tempo seja considerada de forma adequada na tomada de decisões [Dinsmore, Pinto, Cavalieri e Carneiro 2007].
No projeto da empresa “TI X”, foram encontradas dificuldades que pouco se difere das dificuldades no processo habitual de manutenção, sendo elas:
Disponibilidade de agenda de todos auditores internos para disposição de um treinamento de carga horária de 40h.
Conciliação das demandas habituais com as demandas de integração das normas pelos stakeholders.
Distância física entre a empresa de consultoria que se localiza em São Paulo. Evitar que venha ocorrer resistência dos funcionários da empresa com as
auditorias internas ainda mais reforçadas e focadas.
Porem uma dessas dificuldade foi a mais preocupante para a empresa e marcante no processo de integração:
Interpretação das normas de forma sistêmica, olhando o cenário como um todo, para implementação dos requisitos integrados, independente do treinamento específico de forma conjunta.
4.5.2 Facilidades Encontradas
As facilidades vivenciadas, também tem pouca diferença com as do processo habitual de manutenção, porem para a integração o Auxilio e apoio da Alta Direção, foi essencial e crucial para que o projeto fosse bem conduzido, as demais facilidades são:
Funcionários já adaptados com a rotina de auditorias e requisitos das normas já implantadas anteriormente ao projeto de integração.
Sistema de registro e apoio de Auditoria de fácil customização para adequação. 5. Conclusão
Este trabalho teve como intuito demonstrar os ganhos e dificuldades que se pode adquirir e vivenciar trabalhando de forma integrada duas importantes normas (ISO 20000 e ISO 27001) para o mundo coorporativo dos prestadores de serviço de TI. O objetivo é referenciar estes ganhos para empresas que buscam essas certificações,
visando uma redução de custo, sem perder a qualidade e agregar valor ao seu diferencial competitivo, além de processos mais maduros e alinhados com o negócio da empresa.
A referência que foi apresentada nesse trabalho se caracteriza como prescritiva, através do uso da pesquisa-ação, devido à participação direta do autor no projeto, dessa forma pode ser adotada por qualquer provedor que deseja iniciar o projeto de certificação, desde que se leve em consideração o custo e benefício.
Foram abordados os resultados de forma clara e objetiva, servindo de base para estudos futuros sobre o assunto, realizando uma análise mais aprofundada sobre os benefícios qualitativos e quantitativos a longo prazo, após a integração, bem como, um estudo sobre a influência da integração no mercado.
6. Referencias
BONIFACIO SUELI – A IMPORTÂNCIA DO GERENCIAMENTO DE
STAKEHOLDERS NO PROJETO Disponível em:
http://www.avm.edu.br/docpdf/monografias_publicadas/K219670.pdf. Acessado dia 02 de Julho de 2014.
BSI. - ISO/IEC 27001 Segurança da Informação. Disponível em: http://www.bsibrasil.com.br/certificacao/sistemas_gestao/normas/iso_iec27001/. Acessado dia 06 de Abril de 2014
DINSMORE, P., PINTO, A., CAVALIERI, A., CARNEIRO, M.- PROJETOS BRASILEIROS: Casos Reais de Gerenciamento. Porto Alegre, Editora Brasport, 2007. 271p.
INTEGRITY. - Portal Informativo ISO 27001. Disponível em: < http://www.iso27001.pt/iso27001_4.html>. Acessado em: 08 de Abril de 2014.
ITIL v3. Introduction to the ITIL Service Lifecycle. 1a. ed. Londres: OGC, 2007.
MACHADO MARCEL - SEGURANÇA DA INFORMAÇÃO: Uma Visão Geral sobre as Soluções Adotadas em Ambientes Organizacionais – São Paulo, Editora: Agbook, 2012. 137p.
NORMA 20000. (2011) - ABNT NBR ISO/IEC 20000-1 – Tecnologia da Informação — Gerenciamento de serviços — Parte 1: Requisitos do sistema de gerenciamento de serviços. ABNT.
NORMA 27001. (2005) - Tecnologia da informação – Técnicas de segurança – Sistemas de gestão de segurança da informação – Requisitos. ABNT.
OLIVEIRA PAULO (2007) - Gestão da Tecnologia de Informação: Análise da Contribuição da Norma ISO 20000 na Qualidade da Gestão dos Serviços de Tecnologia da Informação. Disponível em: <http://www.flf.edu.br/revista-flf/monografias-computacao/monografia_paulo_marcelo.pdf> . Acessado em: 02 de Julho de 2014.
PEREIRA JULIANA (2001) - GERENCIAMENTO DE PROBLEMA: UMA ABORDAGEM COM BASE NA ITIL. Disponível em: < http://revistapensar.com.br/tecnologia/pasta_upload/artigos/a12.pdf> Acessado em: 02 de Maio de 2014.
SANTOS GILMAR (2009) - Integração das Normas ISO 20000 E ISO 9001 Em Gestão de Serviços de TI. Editora: SIMPÓSIO DE ADMINISTRAÇÃO DA PRODUÇÃO, LOGÍSTICA E OPERAÇÕES INTERNACIONAIS – SIMPOI. Disponível em: <http://www.alice.cnptia.embrapa.br/handle/doc/885269> Acessado em: 08 de Maio de 2014.
SILVA SANDRA - Estruturação e implementação de um Departamento de Compras: Um estudo de caso numa empresa
de serviços - Disponível em:
<http://www2.dbd.pucrio.br/pergamum/tesesabertas/0421053_07_pre
textual.pdf> Acessado em 07 de Julho de 2014.
VAN BOM, J. (2007) – Fundamentos do Gerenciamento de Serviço em TI baseado no ITIL. São Paulo, Editora:Van Haren Publishing, 2007. 247p.
