Prévia do material em texto
UNIP Universidade Paulista Projeto Integrado Multidisciplinar IV Curso Superior de Tecnologia em Redes de Computadores ANÁLISE DE UMA EMPRESA FICTICIA NO SETOR DE COBRANÇAS: OUTSOURCING EM GESTÃO DE TI E MELHORIAS EM REDES DE COMPUTADORES Campus Tatuapé 2014 UNIP Universidade Paulista Projeto Integrado Multidisciplinar IV Curso Superior de Tecnologia em Redes de Computadores ANÁLISE DE UMA EMPRESA FICTICIA NO SETOR DE COBRANÇAS: OUTSOURCING EM GESTÃO DE TI E MELHORIAS EM REDES DE COMPUTADORES Filipe de Freitas Monteiro R.A. B8565i-8. Jailton Rodrigues Farias Moura R.A. B9469H-8. Takeshi Ishikawa R.A. B698HB-4 Vinícius Bicalho Bertassoli R.A. B7560A-1. Tecnologia em Redes de Computadores 4° Semestre Campus Tatuapé 2014 UNIP Universidade Paulista Projeto Integrado Multidisciplinar IV Curso Superior de Tecnologia em Redes de Computadores ANÁLISE DE UMA EMPRESA FICTICIA NO SETOR DE COBRANÇAS: OUTSOURCING EM GESTÃO DE TI E MELHORIAS EM REDES DE COMPUTADORES Trabalho de conclusão do 4º módulo do curso superior de tecnologia em redes de computadores apresentado à Universidade Paulista – UNIP. Orientador: Prof.Davis Alves Campus Tatuapé 2014 UNIP Universidade Paulista Projeto Integrado Multidisciplinar IV Curso Superior de Tecnologia em Redes de Computadores ANÁLISE DE UMA EMPRESA FICTICIA NO SETOR DE COBRANÇAS: OUTSOURCING EM GESTÃO DE TI E MELHORIAS EM REDES DE COMPUTADORES Aprovado em: BANCA EXAMINADORA _______________________/__/___ Orientador: Profº Davis Alves _______________________/__/___ Profº Carlos Santiago _______________________/__/___ Profº Mark Tunu _______________________/__/___ Prof._______________________/__/___ DEDICATÓRIA Dedicamos este projeto ao nosso orientador Davis Alves, pelos apontamentos e sugestões que foram fundamentais para a produção deste trabalho e aos nossos familiares pelo apoio e paciência ao longo do curso. AGRADECIMENTOS Agradecemos o seguinte trabalho primeiramente a Deus, pela oportunidade de aprender e nos capacitar academicamente e pessoalmente no manejo dos contratempos e no gozo das congratulações. Aos mestres, que ao longo do curso nos capacitaram para a execução e planejamento de serviços de tecnologia e infraestrutura em redes de computadores e aos nossos familiares e amigos, pelo apoio nas horas difíceis e pelas palavras e atitudes de incentivo e motivação no nosso incansável percurso rumo ao conhecimento. "Seu trabalho ira tomar grande parte de sua vida e o único meio de ficar satisfeito é fazer o que você acredita ser um grande trabalho" Steve Jobs RESUMO Este documento tem por objetivo um estudo em uma empresa fictícia no setor de cobrança para terceirização e gerenciamento de todo o serviço que foi implantado na empresa. Em virtude de projetos passados onde a reestruturação da rede já foi implementada, foca-se esse semestre nas melhorias e implantação de segurança da informação em todos os ambientes da empresa. A metodologia utilizada foi através de pesquisas: de campo, documental, eletrônica e bibliográfica para encontrarmos a melhor forma de implantação desse tipo de serviço na empresa de cobrança Collection. Mediante a situação apresentada pela empresa Collection foi realizada a terceirização e gerenciamento de todos os departamentos da empresa, estes serviços serão realizados através das recomendações da ITIL conforme as normas da ISO 27002, implantando também serviços de governança de TI e gerencia de projetos através da PMBOK. Em cada ambiente da Collection serão implantados os serviços de ITO e BPO. Os resultados obtidos giram no entorno das mudanças físicas e lógicas com planejamento tático, estratégico e operacional da empresa, onde serão implantados também todos os níveis da segurança da informação, o que indica as alterações para a reorganização da Collection, apresentando exímia melhora no ambiente interno da empresa. Mesmo com a pré-disposição do estudo, se faz necessária à coleta de um número maior de informações para possíveis casos futuros, onde o crescimento da empresa é previsto contando com informações apresentadas no documento. Por fim considera-se que esta obra apresentará o fluxo dos processos da ITIL, a politica de segurança da informação, os orçamentos e a reestruturação de todo o ambiente da rede. Palavras Chave: Redes de Computadores, Governança de TI, ITIL, ISO 27002, PMBOK. ABSTRACT This document aims a study in a company in the collection industry for outsourcing and management at all service was deployed in the company. By virtue of past projects where the restructuring of the network has been deployed, if this half-focuses on improvements and implementation of information security in all environments of business. The methodology used was through research: of field, electronic and bibliographic to find the best way to implement this type of service in the billing company Collection. According to the situation presented by Collection Company was performed outsourcing and management of all departments of the company, this services will be performed through ITIL recommendations and ISO 27002 standards, implementing too services of IT governance and manages projects through PMBOK. In each environment the collection will be implemented services of ITO and BPO. The Results revolving around the physical and logical changes with tactical, strategic and operational planning of the company, which will be deployed all levels of information security, which indicates changes to the reorganization of Collection, featuring great improvement in the internal environment company. Even with a Pre Arrangement study it does necessary to collect a large number of information for possible futures cases, where the company’s growth is relying on information provided in the document. Finally it is considered that this work will show the flow of ITIL processes, the information security policy, budgets and restructuring of the entire network environment. Keywords: Computer Networks, IT Governance, ITIL, ISO 27002, PMBOK Listas de Siglas ISO: Internacional Organization Standard (Organização Internacional para Padronização) IEC: Internacional Eletrotechnical Commision (Comissão Internacional de Eletrotécnica) NBR: Norma Brasileira T.I: Tecnologia e Informação BSI: British Standard Institute (Instituto de Padronização Britânica) CCSC: Centro de Segurança de Informações DTI: Departamento de Comércio e Indústria PMBOK: Project Management Body of Knowledge (Conjunto de Conhecimentos em Gerenciamento de Projetos) ITIL: - Information Technology Infrastructure Library (Livro de Infraestrutura de Tecnologia da Informação) ITO: Insfrastructure Outsourcing (Terceirização em Infraestrutura) BPO: Business Process Outsourcing (Terceirização em Processo de Negócio) CIDAL: (Confidencialidade, Integridade, Disponibilidade, Autenticidade e Legalidade). ANS: Padrão Nacional Americano ANSI: Instituto de Padrões Nacional Americano SGSI: Sistema de Gestão de Segurança da Informação PSI: Política da Segurança da Informação ARPA: Advanced Research Projects Agency (Agência de Projetos de Pesquisa Avançada) PSTN: Public Switched Telephone Network (Rede Públicade Telefonia Comutada) PABX: Private Automatic Branch Exchange (Troca Automática de Ramais Privados) URA: Unidade de Resposta Audível IDS: Intrusion Detection System (Sistema de Detecção de Intrusão) HIDS: Host Intrusion Detection System (Sistema de Detecção de Intrusão baseado em Host) NIDS: Network Intrusion Detection System (Sistemas de Detecção de Intrusão baseado em Rede) DTI: Departamento de Comércio e Indústria CCSC: Centro de Segurança de Informações VOIP: Voice Over Internet Protocol ( Voz sobre Protocolo de Internet) EIA: Eletronic Industries Association (Aliança das Indústrias Eletronicas) TIA: Telecommunications Industries Association (Associação das Industrias de Telecomunicações) SUMÁRIO SUMÁRIO ................................................................................................................. 12 1. INTRODUÇÃO ...................................................................................................... 15 1.2 OBJETIVOS GERAIS ......................................................................................... 16 1.3 OBJETIVOS ESPECÍFICOS ............................................................................... 16 1.4 JUSTIFICATIVA .................................................................................................. 17 1.5 PERGUNTA PROBLEMA ................................................................................... 17 1.6 ORIGEM DE ESTUDO ........................................................................................ 17 1.7 DELIMITAÇÃO DO ESTUDO ............................................................................. 18 1.8 APRESENTAÇÃO DOS INTEGRANTES ........................................................... 18 1.9 DADOS ACADÊMICOS ...................................................................................... 19 2. REVISÃO DA LITERATURA ................................................................................ 20 2.1 REDES DE COMPUTADORES .......................................................................... 20 2.2 GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO .................................... 21 2.3 ISO/IEC/27002 .................................................................................................... 22 2.4 PMBOK ............................................................................................................... 23 2.5 ITIL ...................................................................................................................... 23 3.1 TIPOS DE PESQUISA ........................................................................................ 26 3.2 UNIVERSO DA PESQUISA ................................................................................ 27 3.3 CONTRIBUIÇÕES DA PESQUISA ..................................................................... 27 3.4 PROCEDIMENTOS PARA COLETA DE DADOS .............................................. 28 4 APRESENTAÇÕES E ANÁLISE DE RESULTADOS ........................................... 28 4.1 LEVANTAMENTO DAS INFORMAÇÕES ESTRATÉGICAS ............................. 28 4.2 AMBIENTES ATUAIS OPERACIONAL DO CLIENTE ....................................... 29 4.3 MELHORIAS DO AMBIENTE ............................................................................. 31 4.3.1 LISTA DE AQUISIÇÕES .................................................................................. 31 4.3.2 URA (UNIDADE DE RESPOSTA DE AUDÍVEL) ............................................. 31 4.3.3 INFRAESTRUTURA ........................................................................................ 32 4.3.3.1 SOLUÇÕES PARA FALTA DE PONTOS DE REDES ................................. 32 4.3.3.2 SERVIDOR DE EMAIL .................................................................................. 32 4.3.3.3 TELEFONIA VOIP......................................................................................... 32 4.4 GESTÃO DE TI ................................................................................................... 34 4.4.1 SERVIÇOS ....................................................................................................... 34 4.4.1.2 TERMOS DE SLA/OLA/CA .......................................................................... 34 4.4.1.3 GERENCIAMENTO DE MUDANÇAS ........................................................... 35 4.4.1.4 GERENCIAMENTO DE INCIDENTE ............................................................ 36 4.4.1.5 GERENCIAMENTO DE PROBLEMA ........................................................... 37 4.5 SEGURANÇA ..................................................................................................... 37 4.5.1 A ESTRUTURA HIERÁRQUICA DA DOCUMENTAÇÃO ............................... 37 4.5.2 FÍSICA .............................................................................................................. 38 4.5.2.1 BARREIRAS METODOLÓGICAS DE SEGURANÇA .................................. 38 4.5.3 LÓGICA ........................................................................................................... 39 4.5.4 ANALISE DE RISCO ....................................................................................... 39 4.5.6 TESTE DE ACEITE DE USUÁRIO .................................................................. 39 4.6.2 PLANO DIRETOR DE TECNOLOGIA DA INFORMAÇÃO ............................. 40 5. CONSIDERAÇÕES FINAIS .................................................................................. 41 6. REFERÊNCIAS ..................................................................................................... 43 ANEXO ..................................................................................................................... 46 ANEXO A: APPLIANCE CISCO ASA 5510 PARA HOT SITE ................................. 47 ANEXO B: CÂMERAS .............................................................................................. 50 ANEXO D: LICENÇAS DE ACESSOS ..................................................................... 56 ANEXO E: PLANO DE LIGAÇÕES FALE VONO .................................................... 59 ANEXO F: PATCH PANEL ....................................................................................... 61 ANEXO G: PATCH CORD ........................................................................................ 63 ANEXO H: NOTEBOOKS PARA O HOT SITE ........................................................ 65 ANEXO I: HOT SITE ................................................................................................. 69 ANEXO J: SERVIDOR .............................................................................................. 72 ANEXO K: SERVIDOR PARA AMBIENTE DE TESTE ............................................ 76 ANEXO L: SMARTPHONES .................................................................................... 80 ANEXO M: SWITCH DE BORDA ............................................................................. 82 ANEXO N: SENSORES ............................................................................................ 84 ANEXO O: CONTRATO DE LINK DE INTERNET GVT – VOIP .............................. 86 ANEXO P: CONTRATO DE LINK DE INTERNET LEVEL 3 – HOT SITE ................ 90 ANEXO Q: CONTRATO DE LINK DE INTERNET VIVO – CONTIGENCIA HOT SITE .......................................................................................................................... 95 ANEXO R: PDTI ...................................................................................................... 103 ANEXO S: ORÇAMENTO DO DATA CENTER ...................................................... 105 ANEXO T:ORÇAMENTO PABX MATRIZ .............................................................. 113 ANEXO U: ORÇAMENTO PABX HOT SITE.......................................................... 115 ANEXO V: ROTEADOR CISCO 2811 .................................................................... 117 APÊNDICE .............................................................................................................. 126 APENDICE A: POLÍTICA DE SEGURANÇA DA INFORMAÇÃO .......................... 127 APENDICE B: LISTA DE AQUISIÇÃO .................................................................. 130 APENDICE C: TERMO DE ABERTURA DO PROJETO DO VOIP ........................ 134 APENDICE D: PLANTA BAIXA 1º ANDAR ........................................................... 138 APENDICE E: PLANTA BAIXA 2º ANDAR ........................................................... 140 APENDICE F: PLANTA BAIXA 3º ANDAR ............................................................ 142 APENDICE G: FLUXOGRAMA DE GERENCIAMENTO DE MUDANÇA .............. 144 APENDICE H: FLUXOGRAMA DE ATENDIMENTO DE INCIDENTE ................... 146 APENDICE I: FLUXOGRAMA DE GERENCIAMENTO DE PROBLEMAS............ 148 APENDICE J: ANÁLISE DE RISCO DOS ATIVOS DA EMPRESA COLLECTION ......................................................................................................... 150 APENDICE K: TABELA DE ORÇAMENTO ........................................................... 155 APENDICE L: TABELA DE DIVISÃO DE TAREFA ............................................... 157 APENDICE M: TERMO DE ENCERRAMENTO DO PROJETO ............................. 159 APENDICE N: FORMULÁRIO DE REQUISIÇÃO DE MUDANÇA ......................... 162 APENDICE O: CATALOGO DE SERVIÇO ............................................................ 168 APENDICE P: ACORDO DE NÍVEL OPERACIONAL ........................................... 173 APENDICE Q: CONTRATO DE APOIO ................................................................. 177 APENDICE R: ACORDO DE NÍVEL DE SERVIÇO ................................................ 180 APENDICE S: ABERTURA DE CHAMADO ........................................................... 189 15 1. Introdução O projeto que segue apresenta um planejamento e definição da solução de TI para a empresa fictícia no setor de cobranças a Collection localizada no KM-12 da Rodovia Anchieta que tem como visão a melhorias do ambiente de TI, testes e implementações e oferecer suporte on-going do ambiente. Utilizando as melhores práticas de gerenciamento seguindo as recomendações da ITIL, melhorando sua central de serviços, são elas: gerenciamento de incidente, de requisições, de problema, de mudança, de liberação e de configuração. Será implantado o gerenciamento de nível de serviço, de capacidade, de disponibilidade, de financeiro e gerenciamento da continuidade dos serviços de TI. Com relação à segurança física e lógica da Collection, será implantado o sistema de gestão da segurança da informação ISO/IEC-27001 e a norma NBR ISO/IEC 17799:2001. Essas normas visam adotar controles físicos, tecnológicos e humanos personalizados, que viabilizem a redução e administração dos riscos, levando a empresa a atingir o nível de segurança adequado ao seu negócio. A principal técnica de proteção da informação é denominada CIDAL, que aponta quais os conceitos e aspectos principais que devem ser protegidos, são eles: Confidencialidade, Integridade, Disponibilidade, Autenticidade e Legalidade. Serão implantadas estratégias de controles PDCA – (Plan, Do, Check, Action) que significa Planejar, Executar, Checar e Agir, para análise e redução dos riscos. Para a execução do projeto de telefonia foi elaborado termo de abertura e termo encerramento do contrato de Reestruturação de telefonia. No termo de abertura será especificado o escopo, o tempo para a execução e o custo de todo o projeto. O termo de encerramento se refere ao aceite das duas partes entre a empresa Collection e a empresa PIM IV sobre a conclusão do projeto conforme as necessidades apresentadas no termo de abertura, que deverá ser assinado após o termino do projeto e realizados os testes de funcionamento do mesmo. Foi elaborada também a política de segurança da informação (PSI) que é o documento que orienta e estabelece as diretrizes corporativas para a proteção das informações, prevenção e responsabilidade de forma legalizada 16 para todos os usuários, que deve ser aplicada em todas as áreas da empresa. Tem como objetivo estabelecer diretrizes que permitam aos colaboradores e clientes da empresa seguirem padrões de comportamento a que se refere à segurança das informações se adequando as necessidades do negócio e proteção do indivíduo e da empresa. A Collection pretende lançar um novo produto (que ainda é classificado como confidencial pelo dono da informação) de cobrança com uso da tecnologia em triple-play (DVV – Dados, Voz e Vídeo), podendo assim atender seus clientes que possuem computadores e banda larga, porém para isso, é necessário modernizar o serviço de Internet Service Provider (ISP), atualmente há somente um link de 2 Mbps, sem Firewall, nem qualquer sistema de Intrusion Detection System (IDS). 1.2 Objetivos Gerais O seguinte projeto tem como objetivo reestruturar e implantar soluções que aperfeiçoem o serviço prestado pela empresa bem como seu ambiente de TI não só no que se refere à infraestrutura, mas também na conscientização e capacitação dos funcionários da empresa visando melhor eficiência no atendimento ao cliente, oferecendo agilidade, menor tempo de espera para ser atendido e rapidez na solução dos problemas dos clientes. A Collection necessita também aperfeiçoar seu ambiente de TI visto que além de se preocupar com o bom funcionamento do ambiente, a que se refere aos sistemas de trabalho e equipamentos, terá que implantar medidas que garantam a segurança das informações, bem como a segurança de toda a infraestrutura de TI, fazendo também as devidas manutenções preventivas. 1.3 Objetivos Específicos Para que o ambiente de TI e o sistema de atendimento da empresa sejam melhorados com eficiência, requer a aplicação de recomendações e algumas normas para alcançar este objetivo, são elas: ● Aplicar as melhores práticas da ITIL, com o objetivo de aperfeiçoar a central de serviços, referindo – se a Service Support e Service Delivery aplicando gerenciamento de incidente, de requisições, de problema, de mudança, de liberação e de configuração, gerenciamento de nível de serviço, 17 de capacidade, de disponibilidade, de financeiro e gerenciamento da continuidade dos serviços de TI. ● Aplicar as normas da ISO 27001, com o objetivo de gerenciar a segurança das informações da empresa de acordo com os padrões. ● Aplicar as normas da ISO 27002, com o objetivo de certificar os profissionais da empresa para a implementação e manutenção de sistema de gestão de segurança da informação (SGSI) de acordo com os padrões. ● Criar o ciclo PDCR: prevenir, detectar, corrigir e restaurar. ● Criar a PSI (Política da Segurança da Informação) constitui em: implantação de firewall, Proxy, implantação de servidores de para monitoramento seguindo PSI (Política da Segurança da Informação) ● PMBOK (Conjunto de Conhecimentos em Gerenciamento de Projetos): que tem um objetivo como boas práticas para uma gestão de projetos que tem os seguintes processos; Início, Planejamento, Execução, Monitoramento e Controle e Encerramento. 1.4 Justificativa Esse projeto será realizado porque as necessidades da empresa Collection citadas acima se deve ao fato de que a empresa sofre deficiências no que diz respeito à satisfação dos seus clientes, provenientes da falta de organização de toda a infraestrutura da empresa bem como falhas de comunicação e repasse das informações, desde simples informações até informações confidenciais da empresa. Devido a isso a empresa PIM IV realizará este projeto oferecendo uma melhororganização, qualidade e segurança no ambiente de TI. 1.5 Pergunta Problema Como aplicar as melhores práticas e manter o bom funcionamento do ambiente de TI para garantir a segurança da informação da empresa para este projeto? 1.6 Origem de Estudo A origem desse estudo se deve a um projeto acadêmico solicitado pela Universidade Paulista sobre uma empresa fictícia chamada Collection, 18 empresa que atua no setor de cobrança com a necessidade de melhorar seu ambiente de TI aplicando melhores práticas para aperfeiçoar seus serviços e a segurança das informações. 1.7 Delimitação do Estudo Esse projeto será delimitado a uma empresa fictícia, onde nós não iremos aplicar o seu conteúdo na prática, porém serão desenvolvidos os protótipos do fluxograma. 1.8 Apresentação dos Integrantes Segue abaixo a apresentação de cada integrante do grupo que contribuíram para o desenvolvimento do Projeto Integrado Multidisciplinar (PIM). Jailton Rodrigues Farias Moura – Líder - Analista Técnico na empresa Sondait atuando na avaliação técnica de equipamentos Cisco para serviços em smartnet de equipamentos e suportes contratuais com Garantias em fornecedor para Reposição de peças. Atualmente cursando Redes de computadores na Universidade Paulista, Campus Tatuapé. Pretensões Futuras: especialização no curso Cisco CCNA e CCNP. Vinícius Bicalho Bertassoli encarregado de gerar pesquisas externas, cursando Redes de Computadores na Unip, formado em língua estrangeira - Inglês na instituição de ensino C.N.A. (2006-2012). Cursou Técnico em Eletrônica na Instituição de Ensino Colégio Lavoisier. Atualmente na área de Centro de Gerencia de Rede da empresa Ericsson Telecomunicações S/A , com pretensões em obter certificação em redes Cisco, para especialização na área. Takeshi Ishikawa- Atualmente atuando como Técnico de Hardware na empresa Millennium Hardware atuando com suporte ao usuário e visitas técnicas e finalizando o curso de Redes de Computadores na UNIP, conhecimentos em hardware e informática ambos cursado pela instituição Databyte entre 2009-2011, pretensões futuras obter certificações para especialização na área. Filipe de Freitas Monteiro é o responsável por desenvolver a parte técnica do projeto e trabalha como Técnico em informática pela empresa 19 DIGISYSTEM atuando como técnico de campo atendendo três unidades do SESI/SENAI, atendendo o suporte de rede, suporte ao usuário e manutenção de máquinas. Atualmente cursa redes de computadores na Universidade Paulista, Campus Tatuapé. Pretensões Futuras: Administrador de rede e Gerente de projeto de rede. 1.9 Dados Acadêmicos NOME R.A. EMAIL Filipe de Freitas Monteiro B8565i-8 fylipemonteiro@gmail.com Jailton Rodrigues Farias Moura B9469H-8 jfariasmoura@gmail.com Takeshi Ishikawa B698HB-4 takeshi1933@hotmail.com Vinícius Bicalho Bertassoli B7560A-1 vbicalhobertassoli@gmail.com 20 2. REVISÃO DA LITERATURA 2.1 Redes de Computadores Segundo Kurose (2010, p.45) As redes de computadores tiveram início no período correspondente a década de 1960, justamente pela suma importância e do alto custo dos computadores na época mencionada e o surgimento dos computadores com multiprogramação, a partir disso apareceu o conceito natural de redes, que significa a interligação de dois ou mais computadores para que as informações entre os mesmos possam ser distribuídas e compartilhadas em posições geograficamente variadas. Conforme Kurose (2013, p.45) no ano de 1960 o Leonard Kleinrock um estudante que estava graduando na Universidade Massachusetts Institute of Technology (MIT) disponibilizou um trabalho sobre um método sobre comutação de pacotes, e no mesmo ano colega de Kleinrock, os estudantes J.C.R.Licklider e Lawrence Roberts sucessivamente comandaram o projeto de ciência de computadores na ARPA (Advanced Research Projects Agency ) nos Estados Unidos, através destas pesquisas e testes foram fundamentais para que rede de computadores e a internet para ser o que é atualmente. As redes de computadores foram feitas para organizar os dispositivos de processamentos de arquivos (Estações de Trabalhos) antes funcionando separadamente com a finalidade de permitir distribuição de recursos [...], ou melhor, uma rede de computadores, no qual na maioria das vezes as Redes de Computadores são compostas em algum tipo de cabo usado para interligar os equipamentos, através dos mesmos, é fundamental outro dispositivo para realizar ligação entre os equipamentos, no qual é nomeado de Dispositivo de Interface de rede (NIC), mais conhecido como placa de rede. (COSTA 2010, p. 5) Para Tanenbaum (1997, p.4) rede de computadores facilitou o envio e recepção de dados e informação e compartilhar periféricos em outra rede, ou seja, que estejam em locais diferentes e assim aproveitando mais recurso de uma rede e facilitando a comunicação de redes que estejam em locais diferentes distribuídos geograficamente. 21 2.2 Governança de Tecnologia da Informação Segundo (WEILL, 2005 p. 16) Governança de T.I. é a caracterização das autoridades decisórias e do framework de compromissos para causar decisões desejáveis na utilidade do T.I. Conforme (SILVA, 2010 p. 8) a Governança de T.I. é uma junção de recurso, governança, códigos, regulamentação e ilustração que regem o princípio como uma firma é conduzida, governada ou fiscalizada. “As necessidades da governança de TI originaram-se das demandas de controle, transparência e previsibilidade das organizações.” (MADEIRA Et.Al, 2011) Conforme Madereira Et.Al(2011, p.11) as ausências da governança de TI surgiram-se das buscas da administração, invisibilidade e previsibilidade das coordenações. Conforme citado por Cobit (2007 p.1) O Instituto de Governança de TI foi criado em 1998 para melhoria para aperfeiçoamento do pensamento e das normas do exterior de controle da T.I. nas administrações. A governança de T.I. auxilia a afirmar que a Tecnologia da Informação aceite o alvo do negocio, aprimore os investimentos na área de T.I. e apropriadamente os riscos e os interesses relacionados a T.I. Já Segundo (DOROW, 2010) A governança surgiu, pois ao passar dos anos a diversidade das administrações, adversários e dedicadas partes, os conhecidos stakeholders, cresceram demais. O fato de os empreendimentos estarem negociando seus valores na bolsa de valores auxiliou muito para a necessidade de uma grande translucidez, pra que os efetivos sócios conheçam bem as suas ações e para que sócios novos sejam se aproximem (Afastamos de um ambiente onde o empreendedorismo era governado pelos “acionistas” para um contexto onde os sócios nunca entraram na empresa). Isso explica o conceito de IBC “As Boas Práticas de Governança Coorporativa”onde tem a 22 intenção de acrescentar o mérito da sociedade, ter uma maior facilidade de acesso no capital e ajudar para a sua perenidade. 2.3 ISO/IEC/27002 Segundo Aparecido (2008, p.31) o Departamento de Comércio e Indústria (DTI) desenvolve um Centro de Segurança de Informações (CCSC) que foi o responsável por criar regulamentos de Segurança da Informação para o Reino Unido, desde então diversos arquivos foram desenvolvidos e anunciados pelo centro no ano de 1989. Conforme Aparecido (2008, p.31) a NBR ISO/IEC 27002 é uma norma com boas recomendações de segurança da informação para ser implementada em um ambiente de redes de computadores e ter uma boa gerência em segurança da informação é preciso ter um manejo adequado, aderindo á políticas, processos e ações de organizar uma estrutura física e lógica. “Gestão da Segurança da Informação tem como objetivo fornecer recomendações básicas e mínimas para a gestão de segurança de informação nas diversas organizações.” (FONTES, 2008)A NBR ISO/IEC 27002 foi desenvolvida em 2005 como NBR ISO/IEC 17799 e foi renomado posteriormente, onde habituado pela norma britânica BS 7799 que foi criado pela BSi (British Standard Institute) na Inglaterra em 1995 e julgado como uma norma completo para o gerenciamento da Segurança da Informação conforme Fontes (2008, p.223). Segundo ISSO (2013, p1) a ISO/IEC 27002 coloca como diretrizes para dar o início para programar, manter, manter em ordem a gestão de segurança da informação em uma empresa organizacional.As principais metas para alcançar para orientar e fornecer metas comumente para a gestão de segurança da informação, a ISO/IEC 27002: 2005 descrevem as recomendações mais benéficas a empresa além de monitorar os setores de gestão de segurança da informação: • Política de segurança; • Cumprimento; • Informação de gestão de incidentes de segurança; • Controle de Acesso; • Gestão dos ativos 23 • Segurança do recurso humanos, física e ambiental. As metas para controlar e atender as necessidades descoberta por uma avaliação de risco, a ISO/IEC 27002:2005 encaminha-se para um caminho simples de orientar o crescimento e as metas de Práticas eficazes de gestão de segurança ISO (2013, p.1). 2.4 PMBOK Segundo PMI (2008, p.10), o PMBOK é uma diretriz para a administração, coordenação, gerenciamento de projetos, que tem como objetivo estabelecer métodos pratica e processos, como em todos os cargos e atividades o conhecimento ira crescer quando o profissional de gerenciamento de projetos colaborarem com as boas pratica. Citado por Bonetti (2010, p.17) o PMBOK foi desenvolvido nos anos 70 pelo Project Manangement Institute (PMI) e a primeira pessoa que obteve este certificado foi nos anos 80 na Filadélfia nos Estados Unidos onde o PMI foi criado em 1969. Para Bonetti (2010, p.17) recentemente a PMI é uma instituição que se manter no topo de criar padrões para o gerenciamento de projetos no mundo, um dos padrões recém-criado foi o PMBOK guide (Guia PMBOK), aprovado como uma norma Nacional Americano (ANS) pelo Instituto de Padrões Nacional Americano (ANSI). Conforme o PMI (2004, p.20) a guia PMBOK foi feito para se ter um aspecto coletivo da sabedoria e a das normas aplicadas na maioria das fases dos projetos que tem um preço e aplicação dos conhecimentos e para obter o melhor resultado para o projeto de uma forma correta para se desenvolver. 2.5 ITIL Citado por Fontes (2012, p.64) A ITIL é um livro de recomendações de boas práticas que tem como objetivo de organizar pessoas, processos e tecnologias, para elevar a eficácia do gerenciamento de serviços, A ITIL foi criada em meados da década de 80 pelo governo britânico no Reino Unido. 24 “ITIL (Information Technology Infrastruecture Library) é uma estrutura que contém um conjunto de diretrizes e práticas recomendadas que visa estruturar pessoas, processos e tecnologia, ” (FERREIRA, 2008) Segundo Ferreira (2008, p.65) a ITIL foi desenvolvida com acervo de 60 livros que visa as melhores recomendações para administrar o TI no negócio, ITIL ao decorrer do tempo sofreu mudanças para se adequar a ao mercado e suas tecnologias, as adequações que mais se destacaram foi a primeira atualização que originou a ITIL V2, e a segunda atualização que originou a ITIL V3. De acordo com Gonçalves (2009 p.7) os processos da ITL são: * Estratégia de Serviço * Gerenciamento Financeiro de TI * Gerenciamento de Portfolios de Serviços * Gerenciamento da Demanda * Desenho do Serviço * Gerenciamento do Catalogo de Serviço * Gerenciamento do Nivel de Serviço * Gerenciamento da Disponibilidade * Gerenciamento da Capacidade * Gerenciamento da Continuidade de Serviço * Gerenciamento da Segurança da Informação * Gerenciamento de Fornecedor 25 * Transição do Serviço * Gerenciamento da Mudança * Gerenciamento da Configuração e de Ativo de Serviço * Gerenciamento da Liberação e Implantação * Validação e Teste de Serviço * Avaliação * Gerenciamento do Conhecimento * Operação do Serviço * Gerenciamento de Evento * Gerenciamento de Incidente * Gerenciamento de Problema * Gerenciamento de Acesso * Central de Seviço ou Service Desk * Gerenciamento Técnico * Gerenciamento das Operações de TI * Gerenciamento de Aplicação A base principal da ITIL conforme MadereiraEt.Al (2011, p.5) é de expor os métodos que são precisos para fornecer auxílio para administrar a estrutura de TI, e outra base fundamental da ITIL é dar melhor qualidade de serviços para as pessoas que necessitam de serviços de TI por um preço aceitável, e associar o preço do fornecimento do serviços de tecnologia para ter o melhor retorno do valor investido. 26 3 METODOLOGIA 3.1 Tipos de Pesquisa Com o intuito de provermos as melhores práticas e maneiras de trabalhar os processos dentre uma empresa, realizaremos as pesquisas bibliográficas, pesquisa eletrônica e a empresa fictícia no setor de cobranças, a Collection, como o nosso cenário. Após realizar as pesquisas é preciso ser feito uma análise e conhecer qual é o formato da empresa e qual é o produto que a empresa fictícia trabalha, pois assim, teremos conhecimento de qual será a forma de se aplicar as melhores práticas de gerenciamento seguindo as recomendações da ITIL em Sevice Support (Suporte ao Serviço) e referindo-se a Service Delivery (Entrega do Serviço) e seguir os conceitos de Governança de TI, o PDCA. Para controle de acesso as informações sigilosas da empresa, pesquisamos as normas de gestão da segurança da informação a ISO/IEC- 27001 e a norma NBR ISO/IEC 17799:2001, sendo assim: Encontraremos as melhores soluções para controlarmos o meio físicos utilizando as tecnologias como (Biometrias e reconhecimento facial) que viabilizem a redução e administração dos riscos, levando a empresa a atingir o nível de segurança adequado ao seu negócio. Realizamos a pesquisa eletrônica para visualizarmos as melhores formas de implementar técnicas de proteção da informação, denominada CIDAL, que aponta quais os conceitos e aspectos principais que devem ser protegidos, são eles: Confidencialidade, Integridade, Disponibilidade, Autenticidade e Legalidade. Realizamos a pesquisa eletrônica para visualizamos as melhor forma de implementar as estratégias de controles, barreiras metodológicas de segurança, bem como seguir os conceitos de segurança do Ciclo PDCR, com o objetivo de mitigar os riscos. Realizamos a pesquisa eletrônica para visualizamos a melhor forma de implementar uma Política de Segurança da Informação (PSI), para seguir, regras e padrões de comportamento referindo-se à segurança das informações para se adequar aos objetivos e necessidades do negócio e proteção do indivíduo e da empresa. 27 3.2 Universo da Pesquisa Nossa pesquisa baseou-se em uma análise utilizando a internet, para coleta de informações e dados utilizados no projeto tais como orçamentos sobre links de internet, solicitações via e-mail para que o projeto possa ser executado com eficiência. A pesquisa seguiu através de contatos via telefones e visitas em empresas que oferecem serviços dos quais serão necessários implantar na empresa Collection, visando adquirir informações conforme a proposta identificada durante o projeto, para melhor resultado essa abordagem tornou possível estudar e analisar as melhores opções entre elas para se aplicar em cada necessidade apontada pela empresa no projeto. A pesquisa foi realizada com o intuito de concluirmos o projeto com êxito, para acompanhar as etapas de execução do projeto é necessário o monitoramento das atividades reais, sendo assim, iremos acompanhar de perto todos os passos de implantação de cada um dos itens que foi proposto neste projeto. 3.3 Contribuições da pesquisa Essa pesquisa contribui apenas para fins de estudo e para trabalhos acadêmicos,pois se trata de um projeto elaborado para uma empresa fictícia, não sendo utilizado seu conteúdo na prática. O tema que esse trabalho aborda segue o conceito de como implementar e aperfeiçoar o gerenciamento de serviços e como implementar segurança física e lógica no ambiente de TI de uma empresa seguindo melhores práticas e normas através de estudos científicos sobre o tema a fim de contribuir em cada seguimento do trabalho para pesquisas futuras para o desenvolvimento apenas de trabalhos acadêmicos entre pessoas que tiver o interesse no conteúdo aqui divulgado cada tema tem seu fundamento de pesquisa bibliográfica e metodologias com referências a autores citados. Essa pesquisa dispõe de conteúdos de pesquisas em orçamentos reais de fornecedores, fabricantes e prestadores de serviços ligados ao projeto com intuito de atingir o mais próximo da realidade possível para que a pesquisa possa ser adaptada e com isso contribuir para que talvez seja possível desenvolver um projeto real baseado nas informações citadas aqui. 28 3.4 Procedimentos para Coleta de Dados Coleta de dados utilizados seguiu das pesquisas diretas em campo junto aos fornecedores através de solicitações via e-mail, contato telefônico, visitas com solicitações verbais elaboradas e documentadas gerando orçamento, bem como um plano de negócio. Indicações no ambiente de comércio em dispositivos de rede e empresas certificadoras nos seguimentos de governança de TI e normas de segurança da informação. Justificativa para validação dos fornecedores segue um padrão em qualidade de serviço consolidada no mercado, garantias pós venda, pontualidade na entrega da encomenda e de serviços prestados, tais como treinamentos, qualidade no atendimento, certificado no padrão ISO sobre comercialização de equipamentos e prestação de serviços e referências no mercado. 4 APRESENTAÇÕES E ANÁLISE DE RESULTADOS 4.1 Levantamento das Informações Estratégicas A empresa Colletion atualmente localizada no km 12 da Via Anchieta – São Paulo –SP, atuando no setor de cobrança empresarial. Hoje suas operações seguem padrões comerciais do mercado atuando de segunda a sexta das 08h às 18h, com o levantamento das informações a empresa apresenta o crescimento nos últimos 4 anos de 40% devido a contratação de 40 novos funcionários já atuando na empresa todos devidamente acomodados em seus ambientes de trabalho. Hoje a empresa apresenta seu quadro de trabalho da seguinte maneira: Uma equipe de 100 funcionários que atua diretamente no setor principal da empresa que é cobranças, divididos em dois turnos sendo 50 funcionários em cada turno (ambos atuando no mesmo setor). A segunda equipe com 20 funcionários atua com serviços de Back Office, com atividades internas como RH, recepção e outras em horário comercia das 08hs às 18hs. A terceira equipe atua com 10 profissionais de liderança como Presidente, Diretor e Gerentes. Conforme a plantas Baixas geradas no anexo: Com intuito de melhorias em sua empresa a Collection está disposta a utilizar serviços de BPO e ITO, hoje atua com serviços de 0800 para atender seus clientes com sistemas de URA, e-mail como ferramenta principal de 29 cobranças, a empresa também atua com sua estrutura de telefonia tradicional via Rede pública comutada PSTN e um PABX para contato frequentes com seus clientes, fornecedores e prestadores de serviços com ligações locais, interurbanas e Celulares. A Collection hoje está elaborando um novo produto para lançar no mercado o mesmo é mantido em sigilo pelos seus líderes mais tem proposito destinado a cobrança com uso da tecnologia Triple – play com Dados, Voz e vídeo. Sua estrutura em tecnologia e equipamentos de Rede com Hardware e Software hoje atua com serviços diários em sua Data Center, porem com a necessidade de melhorias para atender sua demanda de crescimento anual de 30% para o próximo ano e os três anos seguintes conforme estimativa de seus líderes. 4.2 Ambientes Atuais Operacional do Cliente O ambiente atual da Collection conta com sistema de telefonia tradicional via Rede pública comutada PSTN para comunicação diária com seus clientes, fornecedores, prestadores de serviço incluindo ligações para Celular, local e interurbano. Para esse serviço a Collection conta com equipamento de telefonia PABX para controle de ligações internas e externas esse serviço hoje está com custo muito elevado para empresa necessitando de melhorias ou substituição do serviço atual, com o serviço de 0800 para atendimento aos clientes está em funcionamento o sistema URA porem a empresa recebe constantes queixas do seus clientes sobre o sistema alegando ter dificuldades para entender o processo dos menus com quantidades excessivas e chegar no local desejado para concluir seu atendimento. A Collection recentemente fez uma reunião com sua equipe de planejamento estratégico e apontou que a empresa tem possibilidades reais de crescimento anual de 30% e para os próximos anos com isso a empresa vai precisar de mais estações de trabalho e dispositivos no ambiente da empresa conforme seu crescimento estipulado. A equipe de TI informou que seus dispositivos computacionais da empresa estão em seu limite que só pode acomodar mais 10 novas estações 30 de trabalho e usuários, seus Racks estão com espaço suficiente para as operações atual, porem os dispositivos de Rede(switches) está sem portas disponível para uso O setor de BackOffice está com sua capacidade atual normal e suporta até mais 200% sem as contratações. Com os serviços de e-mail a Collection usa como um de seus principais meios de comunicação entre seus clientes, fornecedores e prestadores de serviços, seus servidores estão em produção atual com a capacidade bem abaixo do limite garantindo e um bom desempenho, os mesmos são novos e podem suporta a demanda de crescimento conforme estipulada para os anos seguintes, mais a empresa não conta com sistema de redundância para os equipamentos atualmente. A sede principal da Collection conta com topologia de 3 pisos divididos da seguinte maneira 1º no primeiro andar com quatro salas de reuniões, um auditório um BackOffice e Recepção. 2º andar com BPO para atendimento, 2 salas de gerentes e o Data Center 3° andar com 5 salas de diretores, Gerentes e Presidente, academia, sala de massagem e uma sala destinada ao descanso com acesso à internet, TV, revistas entre outras. Conforme os APÊNDICES E, F e G gerado. Toda estrutura de Rede da Collection fica localizada na Data Center no segundo andar, o mesmo já está todo estruturado e em funcionamento e aparte de cabeamento também estão em perfeito funcionamento conforme as normas EIA/TIA 568-B e NBR 14565. 4.2.1 PDTI O objetivo do Documento PDTI- Plano Diretor de Tecnologia da Informação é para demonstrar uma visão geral do ambiente atual da empresa com sua infraestrutura de TI com tecnologia já aplicada e suas perspectivas de melhorias em possíveis cenários visando o retorno dos investimentos já feitos, do ambiente e dos que ainda vão ser realizadas ao decorrer do projeto. Por profissionais e especialistas, as instalações e manutenção são de grande importância para garantir os objetivos definidos desde de o inicio ao fim. Essa ação vem de um estudo elaborado e bem planejado para moldar e preparar a empresa para os próximos anos garantindo seu desenvolvimento 31 com a utilização dos seus recursos de informática e infra estrutura com eficiência técnica. 4.3 MELHORIAS DO AMBIENTE 4.3.1 Lista de aquisições Para serem apresentados os ativos que serão alterados foi criada a lista de aquisições, apresentando: Qual equipamento, quantidade, local, Motivo, Prioridade e o Impacto na velocidade da rede. Gerando o Apêndice B. 4.3.2 URA (Unidade de Resposta de Audível) A Unidade de Resposta Audível é um sistema deatendimento eletrônico que possui uma voz gravada, e que no momento que é acionado este serviço a voz eletrônica começa a citar opções que o cliente deseja. A empresa fictícia Collection que atua no setor de cobrança possui este serviço para facilitar o atendimento ao cliente e oferecer conforto, este serviço pode ser utilizado por ligações via celular ou telefone como um exemplo na imagem no Figura 1. Figura 1: Novo modelo do URA Com o decorrer do tempo à empresa Collection adotou um sistema de atendimento com base na ITIL que visa o processo de atendimento seguindo práticas do Gerenciamento de Incidente para atender os funcionários da 32 empresa, quando diagnosticar que o computador apresentar algum problema durante o trabalho. Com base na ITIL a empresa terceirizada PIM IV segue um fluxograma de atendimento, quando um usuário abre um chamado como a imagem abaixo no APÊNDICE H. 4.3.3 Infraestrutura 4.3.3.1 Soluções para falta de pontos de redes Conforme o gerente de TI da Collection informou que a espaço nos racks, porém não tem disponibilidade de pontos para o ambiente atual e para o crescimento conforme estipulado pela collection. Para solucionar esse problema será implantado o switch WS-C2960-48TC-L em cada andar, sendo assim, disponibilizando mais pontos para o crescimento dos números de funcionários. Conforme o ANEXO M. 4.3.3.2 Servidor de Email Uma das preocupações da collection é com o servidor de e-mail que não possuem redundância, sendo uma das ferramentas de cobrança da empresa. Para garantirmos a integridade desse serviço será inserido o servidor POWEREDGE T420 para redundância dessa ferramenta tão importante. Conforme o ANEXO J 4.3.3.3 Telefonia Voip A empresa Collection informou que atualmente com um dos meios de comunicação utilizam a telefonia de Rede Telefônica Pública Comutada (PSTN) e um PABX, porém a Collection no momento ela tua fazendo e recebendo chamadas na região sudeste do Brasil e o custo de telefonia é o maior contribuinte no Opex da empresa. Como o serviço 0800 implantado ajudou a collection a promoveu as chamadas inbound(chamadas entrantes), porém o custo com a telefonia está muito elevado. A Collection divulgou um relatório informando a quantidade em horas por mês com ligações no horário comercial. Conforme o quadro 1 abaixo: 33 Quadro 1: Relatório da Collection Conforme o relatório que a Collection disponibilizou para a empresa UNIP PIM 4, relatando seu alto custo com sua atual operadora de linha pública. Perspectivas com a solução apresentada pela empresa UNIP PIM 4: *Diminuir os curtos com ligações interurbanas e de longa distância *Reforma de estrutura física da empresa que após finaliza-la será necessário 50 novos ramais Telefônicos para suprir seu crescimento. Com o intuito de solucionarmos esses gastos excessivos a melhor solução recomendada é a implantação de linhas telefônicas com VOIP, através dos planos FALE VONO com a empresa GVT. A mesma possuem vários planos para empresa e com vários recursos para economia. Na Figura 2 podemos visualizar qual impacto terá no custo financeiro da Collection implantando a linha de telefonia VOIP com a nova tecnologia implantada. 34 Figura 2: Relatório dos custos com o voip 4.4 Gestão de TI 4.4.1 Serviços 4.4.1.2 Termos de SLA/OLA/CA Para melhorar a gerência da empresa Collection o mesmo adotou as boas práticas do framework da ITIL com esta aplicação o retorno para empresa pode abranger estes seguintes tópicos. • Diminuição dos custos; • Diminuição dos registros dos incidentes; • Diminuição dos registros de problemas; • Diminuição de constantes mudanças de infraestrutura e nos periféricos da empresa; • Maior disponibilidade dos sistemas; • Reduz os riscos; Estes tópicos acima caracteriza o aumento da qualidade em serviços de TI e tornando uma empresa mais organizada e gerando mais valor a empresa, seguindo a recomendação da ITIL a empresa Collection tem o objetivo de diminuir os gastos, riscos e manutenção em dispositivos e ativos de rede da empresa. 35 O apêndice Q que é o Contrato de Apoio da Empresa Collection com os fornecedores de serviços para que o contratante e o contratado tenha a ciência de que foi acordado entre as partes. O Catálogo de serviço é uma tabela onde estão todos os serviços oferecidos pelo Grupo UNIP PIM IV e o tempo de Service Level Agreement (SLA) para cada serviço que é oferecido pelo Grupo UNIP PIM IV contendo prioridade Baixa que tem o tempo de 2dias para ser executados, Média que leva 1dia para ser executados e o Alta que é onde devesse dar prioridade ao incidente ou problema para não causar maior impacto à empresa conforme o apêndice O. O apêndice P retrata o Service Level Operacional (SLO) onde a empresa Grupo UNIP PIM IV tem o objetivo de alcançar a meta de 100% para que a empresa Collection não tenha nenhum tipo de problema e o mínimo de erro tolerável pelo acordo é de 99,95% assim prevalecido pela Empresa Collection. O apêndice R que ilustra o Acordo de Nível de Serviço é onde a empresa e o cliente fazem um acordo de períodos de serviço que a empresa Grupo UNIP PIM IV irá fornecer para a Empresa Collection, e as metas que o Grupo UNIP PIM IV tentará atingir dentro da empresa para alcançar o objetivo. 4.4.1.3 Gerenciamento de Mudanças O fluxograma de gerenciamento de mudanças foi criado para avaliar, autorizar, priorizar, planejar, testar, implementar a mudança de uma forma controlada para que o cliente tenha o menor impacto durante o processo de mudança conforme APENDICE G. As atividades do apêndice G o fluxograma de gerenciamento de mudança onde o solicitante da mudança deve preencher o formulário de requisição de mudança, por exemplo, o modelo apêndice P onde depois de preenchido é revisado as partes que foram preenchidas para ser avaliado e para classificar e categorizar a requisição de mudança, onde deve se planejar, revisar, avaliar o risco e o impacto da mudança. Depois de planejado o responsável pela avaliação da mudança deve estimar um tempo para a execução da mudança e reunir com Comitê de Controle de Mudança e construir um plano de teste para testar os itens de mudança. 36 E depois de testado deverá ser montado um plano de liberação e encerrar a solicitação de mudança. 4.4.1.4 Gerenciamento de Incidente O APENDICE H foi criado para ilustrar como o gerenciamento de incidente vai ser executado na empresa Collection para restaurar um serviço o mais rápido possível para minimizar o impacto na empresa durante a operação de negócio, e os eventos não planejados podem ser comunicados ao usuário via central de serviços com uma ferramenta que monitoras possíveis incidentes para evitar transtornos ao cliente e executar o workaround para redução do impacto. Neste texto será explicado como funciona as atividades do apêndice H o fluxograma de incidentes onde o usuário reporta o incidente via telefone ou interface web. Após o reporte do incidente o técnico registra o incidente para poder classificar o incidente, sabendo que se têm três níveis que são baixo, médio e grave, onde o incidente de nível grave atende os problemas referentes ao roteador, servidor e switch, o nível médio atende o incidente relacionado a vírus no computador, queda de internet, o nível baixo atende os problemas relacionados à lentidão de computadores, problemas de Hardware e software e configuração de e-mail. Para o incidente grave existe um procedimento isolado e com o tempo de SLA menor que os outros incidentes por causa da prioridade e pelo impacto que a empresa pode sofrer por causa do incidente. Para o incidente médio e baixo se tem o outro procedimento que tem o maior tempo de SLA, pois a empresa tem o menor impacto pode ser resolvido remotamente caso se não resolvido umtécnico será enviado ao local para a solução do problema. Caso os procedimentos forem executados sem problemas o técnico deve atualizar o incidente e finalizar o incidente na atividade, caso não seja executada da forma correta e o problema não for resolvido será necessário enviar um técnico no local, e se caso não seja resolvido o problema o técnico responsável deve acionar um técnico superior e atualizar o incidente. 37 4.4.1.5 Gerenciamento de Problema O fluxograma de gerenciamento de problema foi desenvolvido para administrar o ciclo de vida do problema a partir da identificação, investigação, documentação e eventual resolução e fechamento, para buscar a minimizar os impactos adversos de incidentes causados pelo erro dentro da infraestrutura de TI conforme o APENDICE I que tem como objetivo de elaborar um processo para minimizar o impacto não planejado, eliminar recorrência de incidentes e prevenir problemas e incidentes na empresa, estas atividades serve para diagnosticar a causa raiz de incidentes e determinar a causa de soluções de contorno. O primeiro processo é onde se reporta o problema pelo Service Desk e pelo gerenciamento de incidente, onde se detecta o problema e registra o problema e após existe o processo de categorização do problema para ter a ciência da gravidade do problema, para priorizar o problema caso ele seja grave o problema será resolvido em menor tempo possível para ter o conhecimento da raiz do problema, após a classificação do problema o técnico de diagnosticar e investigar a causa raiz do problema caso seja possível, se não for possível achar a causa raiz do problema o técnico devera executar a restauração do sistema para voltar o ponto antes da causa do problema para poder evitar ou descobrir a causa raiz do problema, caso não solucionado o técnico deve registrar o erro desconhecido, após registrar o erro o técnico deve analisar se necessita da mudança caso sim deve acionar o gerenciamento de mudança e se caso não necessitar de mudança o técnico deve seguir para o fechamento e tomar a ação de finalizar o registro. 4.5 SEGURANÇA 4.5.1 A ESTRUTURA HIERÁRQUICA DA DOCUMENTAÇÃO Como forma segurança da informação do ambiente da Colllection quanto segurança fisicamente e segurança logica será utilizado os padrões da ISO 27002. Deixando claramente para a collection que a ISO 27002 será aplicada para todos imprescindivelmente para todos dentro da collection, incluindo: Diretores, coordenadores, gerentes e presidentes. Políticas: Dentro do ambiente da collection são estabelecidas a hierarquias de: Presidente, diretores, gerentes e coordenadores. Estes citados são os cargos que terão os privilégios de acordo com o seu cargo. Para os demais 38 departamentos com junção de todos os colaboradores terão os mesmos privilégios, porem com menos poderes de ação (de acesso) dentro da collection. Normas: A norma ISO 27001 é estabelecida como padrão internacional para a Segurança da informação Procedimentos: POLITICA DE SEGURANÇA DA INFORMAÇÃO PSI- Politica de segurança da Informação, documento que menciona toda parte de regras e procedimentos a ser aplicados em todo ambiente da empresa visando apresentar melhoras e prevenir possíveis incidentes em todos os setores, esse documento descreve toda as preocupações da alta direção da empresa sobre a segurança no sentido de Física, Logica e Humana essas normas são apresentadas aos colaboradores da empresa através de treinamentos para Disciplinar usuários sobre a violação de segurança e transforma essas normas de segurança em um esforço comum para todo o ambiente conforme o apêndice A. 4.5.2 FÍSICA 4.5.2.1 BARREIRAS METODOLÓGICAS DE SEGURANÇA Através do levantamento do produto da Collection, recomendamos a implantação de câmeras de seguranças, alarmes de segurança conectado diretamente com as empresas de segurança terceirizada da Collection e implantação de Portas corta fogo, sensores de fumaça e extintores de incêndio. Possíveis Ameaças: Ladrão, terremoto e incêndio. Barreiras Metodológicas: Desencorajar: Desencorajar é implantando Câmeras de segurança, empresa de Segurança para Vigilância e alarme com sensor de presença. Dificultar : Instalações de sistemas de biometria nos principais acessos dentro da empresa Discriminar : Cada Colaborador terá seu cartão de acesso dentro da empresa Detectar: Para detectar as situações de risco teremos antivírus, servidores IDS e o sistema de monitoramento da rede. Deter: Todas as medidas cabíveis para punições ou alertas aos colaboradores estão contempladas na PSI (Politica de segurança da informação) Ações 39 4.5.3 LÓGICA Como segurança Para o acesso ao ambiente da sala de servidores e no Data Center, a Collection optou por colocar Biometria e câmeras para aumentar a segurança e controlar o acesso a essas salas com o registro da digital da pessoa e cadastrar no banco de dados da empresa que indica se o funcionário pode entrar em locais restritas da empresa e cada funcionário tem um Token que nele pode se acessar os lugares. As câmeras estão localizadas em pontos de maior visibilidade para detectar pessoas não autorizadas a acessar as áreas restritas da empresa como mostra no apêndice D. 4.5.4 Analise de Risco Documento que define pós analisar e apontar os riscos dos ativos de TI e seu ambiente visado uma visão geral do tema com intuito de prevenir os gestores e dirigentes da empresa, essa analise tem como foco a classificação dos riscos conforme prioridade de mudanças através de investimentos ao quais seus dirigentes se responsabilizam caso não seja aplicado. Nível de exposição do ambiente de TI, identificação dos riscos existentes dentro e fora do ambiente, prioridade de investimento nas mudanças para sanar as vulnerabilidades Esse documento tem a necessidade ser explorado para prevenção de possíveis paralisações no ambiente de rede identificando os principais riscos conforme o apêndice J. 4.5.6 TESTE DE ACEITE DE USUÁRIO A empresa Collection adotou este teste para que a empresa UNIP PIM IV conforme o Quadro 02 para se ter a noção da satisfação dos usuários depois que a empresa sofreu as mudanças de melhorias na área de TI e implementando políticas e recursos. Teste de Aceite de Usuario Característica Sub-Característica Verificação Funcionalidade satisfaz as Adequação Propõe-se a fazer o que 40 necessidades? Acurácia Gera resultados corretos ou conforme acordados? Interoperabilidade É capaz de interagir com os sistemas especificados? Conformidade Está de acordo com normas e convenções previstas em leis e descrições similares? Confiabilidade é imune a falhas e estável? Tolerância a falhas Qual a reação quando ocorrem falhas? Recuperabilidade É capaz de recuperar dados após uma falha? Maturidade Qual a freqüência das falhas? Usabilidade é fácil de usar? Operacionabilidade É Fácil de operar e controlar? Inteligibilidade É fácil de entender os conceitos utilizados? Apreensibilidade É fácil de aprender usar o computador? Eficiência é rápido e eficiente? Tempo Qual é o tempo de resposta e de processamento? Recursos Qual recurso utiliza e por quanto tempo? Manutenibilidade É fácil de alterar e corrigir? Modificabilidade É fácil modificar e corrigir defeitos? Estabilidade Existe grande risco quando se efetuam alterações? Testabilidade É fácil de testar após alterações? Portabilidade é fácil de ser utilizado em outro ambiente? Adaptabilidade È fácil adaptar a outros ambientes? Instalabilidade É fácil instalar em outros ambientes? Conformidade Está de acordo com os padrões de portabilidade? Quadro 02: Teste de Aceite de Usuário 4.6.2 Plano Diretor de Tecnologia da Informação O objetivodo Documento PDTI- Plano Diretor de Tecnologia da Informação é para demonstrar uma visão geral do ambiente atual da empresa com sua infraestrutura de TI com tecnologia já aplicada e suas perspectivas de 41 melhorias em possíveis cenários visando o retorno dos investimentos já feitos, do ambiente e dos que ainda vão ser realizadas ao decorrer do projeto. Por profissionais e especialistas, as instalações e manutenção são de grande importância para garantir os objetivos definidos desde o inicio ao fim. Essa ação vem de um estudo elaborado e bem planejado para moldar e preparar a empresa para os próximos anos garantindo seu desenvolvimento com a utilização dos seus recursos de informática e infraestrutura com eficiência técnica 5. Considerações Finais O objetivo deste trabalho foi apresentar a terceirização de todo o sistema de uma empresa fictícia no setor de cobrança, chamada Collection. Foi exibido também os Processos da ITIL e PMBOK, e as normas da ISO27002, onde foram implantados também todos os serviços de ITO e BPO. Para chegar a essa conclusão foi exposta ao projeto uma ampla quantidade de informações que são de determinada forma imprescindíveis para a explanação do mesmo. Tantas informações levam ao decorrer de facilidades em decisões a serem tomadas para a implantação dos materiais utilizados no trabalho, pois: A evolução é rápida, não existe muito tempo para pensar, pesquisar e selecionar. É preciso agir, tomar decisões adequadas, [...] as organizações necessitam de informações precisas e eficazes, pois sem a informação, a tomada de decisão pode ser incorreta e/ou tardia. (SANTOS; FACHIN; VARVAKIS, 2003, v. 32, n. 2, p. 86). Foi também realizado um estudo de caso exploratório demandando as necessidades de expansão da empresa a serem supridas e, para a solução dos problemas expostos foram efetuadas alterações nos Hardwares e nos Softwares da Collection, com isso foram acrescentados, switches, roteadores, smartphones, servidores entre outros equipamentos no Hardware da empresa. Já para a parte de Software foram implantados ferramentas de gerenciamento, softwares de detecção de intrusão, visando uma maior segurança da rede além de otimização dos sistemas operacionais e restrições de acessos indevidos no estabelecimento e em suas dependências. Destaca-se que “[...] à medida que a informação assume importância cada vez maior nos dias atuais, os usuários de 42 serviços de informação passam a ser cada vez mais exigentes.” (SANTOS; FACHIN; VARVAKIS, 2003, v. 32, n. 2, p. 86). A sistematização dos conhecimentos apresentados nesta ocasião auxilia uma reflexão sobre a utilização dos sistemas de informações nos modelos de telecomunicações empresariais atuais e os métodos de interligação presentes no projeto, no entanto o mesmo não deve ser encarado como um documento conclusivo, mas como uma composição de informações para novas reflexões. Este projeto tem como recomendações futuras a implantação de um projeto na pratica, levando a serio a implementação hot site como modo de contingencia, implementando mais medidas de segurança, como portas corta fogo, detectores de fumaça, extintores de incêndio, conforme normas do prédio, como formas de segurança do ambiente. 43 6. Referências KUROSE, James.F .; ROSS, Keith.W . Redes de Computadores e a Internet uma abordagem top-down. 6. Ed, São Paulo:Pearson Education do Brasil 2013, p. 634. KUROSE, James.F .; ROSS, Keith.W . Redes de Computadores e a Internet uma abordagem top-down. 5. Ed, São Paulo:Pearson Education do Brasil 2010, p.618. COSTA, Jefferson. Apostila de Redes de computadores. 2010. 74f. Disponível em: <http://www.jeffersoncosta.com.br/Redes.pdf>. Acesso em: 06 Out 2014 TANENBAUM, Andrew S.Redes de Computadores.3.Ed, Amsterdam, Campus Elsevier, 1997.p. 923. WEILL, Peter.; ROSS, Jeanne.W. Governança de T.I. Tecnologia da Informação. 1 Ed, São Paulo: M.Books, 2006, p.276 FERREIRA, Fernando Nicolau. F.; ARAÚJO, Márcio. T. Política de Segurança da Informação. 2. Ed, Rio de Janeiro: Ciência Moderna Ltda, 2008, p.259 ROCHA, Henrique. A. Proposta de Cenário para aplicação da norma NBR ISO/IEC 27002 em Auditorias Governamentais do Sistema de Controle Interno: A norma NBR ISSO/IEC 27002. 2008. 63f. Monografia (pós- graduação) - Universidade de Brasília {UnB} Departamento de Ciência da Computação, 10 Dez. Disponível em <http://dsic.planalto.gov.br/documentos/cegsic/monografias_1_turma/henrique_ aparecido.pdf.>. Acesso em: 08 Out 2014 FONTES, Edilson Luiz. G. Praticando a Segurança da Informação. [s. n], Rio de Janeiro: Brasport, 2008, p.283. 44 SOARES, Thalita.T. GOVERNANÇA DE TI: Conceitos da Governança de TI. 2012. 41f. Trabalho de Conclusão de Curso (TCC), (Graduação) Faculdade de Tecnologia de São Paulo – FATEC-SP, 12 Dez. Disponível em <http://www.fatecsp.br/dti/tcc/tcc00048.pdf>. Acesso em 06 Out 2014 DOROW. E. O que é Governança de TI e para que existe? [2010]. Disponível em <http://www.governancadeti.com/2010/07/o-que-e-governanca- de-ti-e-para-que-existe/>. Acesso em 11 Out .2014. Project Manangement Institute.Inc (PMI), Um Guia Conhecimento em Gerenciamento em Projetos. 4. Ed. 2008, Newtown Square, Pennysylvania. EUA, 14 Campus Boulervard. Dísponivel em <http://baixadorlivre.blogspot.com.br/2013/01/guia-pmbok-4-edicao.html>. Acesso em 14 Out 2014 Maderiera.C. Et. Al. Governança em TI, ITIL, COBIT e ISO 20000: 2.1 Origens, 2011. 17f. ESADE – ESCOLA SUPERIOR DE ADMINISTRAÇÃO, DIREITO E ECONOMIA, Nov 2011. Disponível em <file:///C:/Documents%20and%20Settings/User/Desktop/governanca-em- ti%20(1).pdf>. Acesso em 15 Out 2014 Project Manangement Institute.Inc (PMI), um Guia Conhecimento em Gerenciamento em Projetos. 3.Ed. 2004. , Newtown Square, Pennysylvania. EUA, 14 Four Campus Boulervard. Dísponível em <file:///C:/Documents%20and%20Settings/User/Desktop/PMIBOOKPmbok%20( 1).pdf>. Gonçalves.P.A de Lima.ITIL-BIBLIOTECA DE INFRAESTRUTURA DE TI USO DAS BOAS PRÁTICAS NA APLICAÇÃO DE SOFTWARE PARA SERVICE DESK. 2009. 64f. Trabalho de Conclusão de Curso (Graduação)Centro Tecnológico da Zona Leste, Disponível em: <http://fateczl.edu.br/TCC/2009-2/tcc-44.pdf>. Acesso em 1/12/2014 45 IT Governance Institute wishes to recognize, Cobit 4.1 Excerpt [s.ed]. 2007, Algonquin Road Suite-USA, ITGI Disponível em <http://www.isaca.org/Knowledge-Center/CobiT/Documents/CobiT4.pdf>. ISO/IEC 27002: Information technology 25 de Setembro de 2013. Disponível em:<http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumb er=54533> Acesso em: 29 Novembro de 2014. 46 ANEXO 47 ANEXO A: APPLIANCE CISCO ASA 5510 PARA HOT SITE 48 49 http://www.goinfo.com.br/ecommerce_site/produto_21485_5363_APPLIANCE- DE-SEGURANCA-CISCO-ASA-5510-ASA5510-SEC-BUN-K9 Acessado em: 25/10 às 23h35min 50 ANEXO B: Câmeras 51 52 ANEXO C: Inspiron DT series 3000 53 54 55 56 ANEXO D: Licenças de Acessos 57 58 http://www.mdftecnologia.com.br/loja/Produtos.php?Product=520 Acessado em: 25/10 às 23h16min 59 ANEXO E: Plano de Ligações Fale Vono 60 http://www.falevono.com.br/empresarial/planos/Acessado em: 02/11 às 18h15min 61 ANEXO F: PATCH PANEL 62 63 ANEXO G: Patch Cord 64 http://www.atera.com.br/dispprod.asp?COD=CAT6-3M-CZ Acessado em: 25/10 às 23h20min 65 ANEXO H: NOTEBOOKS PARA O HOT SITE 66 67 68 69 ANEXO I: HOT SITE 70 71 http://www.vivareal.com.br/imovel/sala-jardins-zona-sul-sao-paulo-com-garagem- 263m2-aluguel-RS23400-id-44583748/ Acessado em 09/11 às 13h21min 72 ANEXO J: Servidor 73 74 75 http://configure.la.dell.com/dellstore/print_summary_details_popup.aspx?c=br& cs=brbsdt1&fb=1&l=pt&leadtime=19/11/2014&model_id=poweredge- t420&oc=ent-bpt420dpt-1&s=bsd&showleadtime=False&vw=classic&~lt=print Acessado em: 02/11 às 14h21min 76 ANEXO K: SERVIDOR PARA AMBIENTE DE TESTE 77 78 79 http://configure.la.dell.com/dellstore/print_summary_details_popup.aspx?~lt=pri nt&c=br&cs=brbsdt1&fb=1&l=pt&model_id=poweredge-r420&oc=ent-pr420apt- 1&s=bsd&vw=classic&leadtime=19/11/2014&showleadtime=False Acessado em: 02/11 às 18h45min 80 ANEXO L: SMARTPHONES 81 http://www.casasbahia.com.br/TelefoneseCelulares/Smartphones/Celular- Desbloqueado-Samsung-Galaxy-S5-SM-G900M-Preto-com-Tela-5-1-Android- 4-4-4G-Camera-16MP-e-Processador-Quad-Core-2-5GHz-2961096.html Acessado em: 25/10 as 23h04min 82 ANEXO M: SWITCH DE BORDA 83 http://www.shopti.com.br/produtos_cisco/Cisco-Switch-WS-C2960-48TC-L Acessado em: 02/11 às 13h20min 84 ANEXO N: SENSORES 85 86 ANEXO O: CONTRATO DE LINK DE INTERNET GVT – VOIP 87 88 89 90 ANEXO P: CONTRATO DE LINK DE INTERNET LEVEL 3 – HOT SITE 91 92 93 94 95 ANEXO Q: CONTRATO DE LINK DE INTERNET VIVO – CONTIGENCIA HOT SITE 96 97 98 99 100 101 102 103 ANEXO R: PDTI 104 105 ANEXO S: ORÇAMENTO DO DATA CENTER 106 107 108 ANEXO S: Plano de Celular 109 110 111 112 113 ANEXO T: Orçamento PABX Matriz 114 115 ANEXO U: Orçamento PABX Hot Site 116 117 ANEXO V: Roteador Cisco 2811 118 119 120 ANEXO W: Cisco ASA 5585 121 122 123 ANEXO Y: Linha Publica de Telefonia 124 125 126 APÊNDICE 127 APENDICE A: POLÍTICA DE SEGURANÇA DA INFORMAÇÃO 128 PSI - Política de Segurança da Informação A Política de Segurança da Informação – (PSI) documento que registra as principais regras de segurança a ser aplicado na empresa, para ser observados e seguido pelas equipes das áreas e seus colaboradores após já aplicado em sistemas de produção e gestão da empresa de informação, esse termo de segurança da informação para ser implantado depende da aceitação de todas as partes envolvidas no processo tais como os principais dirigentes e gestores param se tiver o melhor efeito. 1- ANALISE DE PERFIL DA EMPRESA A Collection empresa do setor de cobrança empresarial atua com contatos diários com seus clientes, parceiros e fornecedores prestando serviços contábil usando seus recursos internos e Infraestrutura de tecnologia de computadores para garantir melhorias aos seus clientes. 2- APROVAÇÃO DA POLITICA DE SEGURANÇA COM DIRETORIA. Para seguir com processo de implantação sobre PSI- política da segurança da informação necessária aprovação junto a diretoria da empresa para evitar qualquer rejeição junto as equipes e setores com solicitações de treinamento para orientar os usuários sobre violações da segurança, Assim repassar aos colaboradores as preocupações da alta direção sobre a segurança da informação transformando em um esforço comum. 3- ANALISE INTERNA E EXTERNA DOS RECURSOS A SEREM PROTEJIDOS Os recursos aqui apontados necessitam de segurança em todos os sentidos para garantir a integridade física e lógica na empresa de cada ambiente, informações, Software, Hardware, equipamentos de infraestrutura do ambiente, Telecomunicações, Data Center, áreas de circulação na empresa etc. Aplicando normas de segurança IEC/ISSO 27001, NBR 11515 e 17799 que abrange todo sistema de gestão da segurança, com isso evitar incidentes de diversas naturezas que pode interromper sistemas e serviços. 4- ELABORAÇÕES DAS NORMAS E PROIBIÇÕES FISICAS, LOGICAS E HUMANAS Nesta etapa consiste em aplicação de normas e proibições relativas a utilização dos recursos diários internet, acessos Físico e lógico, bloqueios de sites, utilização do email essas regras se aplica pois é indispensável para garantir o cumprimento as regras aplicadas em toda empresa, essas regras devem ser atualizadas sempre que necessário conforme as mudanças nos setores da empresa, por pessoas de departamentos qualificado e definido para acompanhar as mudanças e o comprimento da regras, através de auditorias internas pela próprias equipes da empresa. 129 5- APROVAÇÃO DA ARÉA RECURSOS HUMANOS As normas e procedimentos para ser aplicados na empresa devem passar pela equipe de Recursos Humanos para avaliação conforme as leis trabalhistas e se aprovadas serão repassadas para ser aplicadas em todos os setores seguindo os parâmetros já definidos conforme as normas PSI – Política de Segurança da Informação. 6- APLICAÇÃO E TREINAMENTO DAS EQUIPES Nessa