• (0)
    ISO-27001-ISO-22301-blog

    Blog ISO 27001 e ISO 22301

    Implementando a gestão de capacidade de acordo com o controle A.12.1.3 da ISO 27001:2013

    Tenho certeza de que você sabe, mas é sempre sobre atender acordos de nível de serviço (SLAs) estabelecidos com seus clientes (internos e/ou externos) da forma mais eficiente em termos de custo. Desempenho apropriado por um preço aceitável é o cálice sagrado de qualquer negócio de sucesso.

    Para conduzir um negócio de sucesso você precisa de um plano de negócio razoável, grande entendimento de seus serviços, maior entendimento do negócio e dos “hábitos” de seus clientes, e você deve sempre estar preparado para rapidamente adaptar sua capacidade para novos requisitos ou aumento de demanda de clientes.

    Bem, a gestão de capacidade é a base para tudo isto: a arte do equilíbrio entre preço e desempenho de forma a satisfazer clientes, ou melhor ainda – – empolgar clientes.

    A gestão de capacidade é um processo complexo onde pessoas e tecnologias deveriam interagir de forma próxima no planejamento, monitoramento e ajuste de recursos.

    Gestão de capacidade como resposta a requisitos de negócio

    Eu testemunhei uma grande ideia de negócio que resultou em uma decisão gerencial – uma nova versão do serviço suportado por nova tecnologia, deveria ser criada para o mercado. As fases de pesquisa, desenvolvimento e teste foram finalizadas com sucesso. Todas as partes e peças foram pedidas para a infraestrutura de TI (um certo número de discos, CPUs, RAM, largura de banda, ferramentas de monitoramento, etc.) do provedor de serviços de nuvem. O serviço foi liberado na plataforma de nuvem, e a diversão começou. Mas, vejamos como a gestão de capacidade se relaciona com esta situação.

    A propósito, como a ISO 27001:2013 não é tão detalhada sobre o processo de gestão de capacidade, uma descrição detalhada pode ser encontrada em ISO 20000 e ITIL and ISO 20000 – How to setup the Capacity Management process.

    Um mini estudo de caso: Antes de entrar em produção

    O processo de pesquisa analisará o ambiente de nuvem, tendo em mente os requisitos do novo serviço. De acordo com estes requisitos, o processo de desenvolvimento de informações criará o novo serviço com todas as funcionalidades definidas. Um processo contínuo de reunião com vendas / gestão de relacionamento com o cliente está em curso (para assegurar que os requisitos de negócio são atendidos ou talvez para ajustá-los). Caso haja falta de pessoal (para desenvolver tal serviço), o RH deveria ser solicitado a planejar capacitação adicional ou algo que disponibilize as competências requeridas. O processo de compras solicitará o serviço de outro provedor de nuvem e talvez alguns recursos humanos terceirizados. Como o novo serviço está planejado para ser publicado, o custo destas capacidades deveria ser comunicado aos processos financeiros.

    Um mini estudo de caso: Após entrar em produção

    Uma vez que o serviço está em ambiente de produção, usando ferramentas de monitoramento, o processo de monitoramento e medição da capacidade trabalha a toda velocidade. Parâmetros de monitoramento e medição podem ser variados, mas podem incluir: número de transações, número de usuários, número de novos clientes, disponibilidade de RAM e disco em horários de pico, tempos de resposta para algumas consultas grandes, etc.

    Estes dados (i.e., dados de capacidade, para ser preciso) são muito úteis para o processo de incidente (devido à baixa capacidade de alguns componentes de serviço, o serviço sofre com baixa velocidade), processo de desenvolvimento (algumas consultas tem que ser reprogramadas, porque atualmente estão levando muito tempo), processo de vendas (SLAs estão em risco durante horários de pico), e finalmente, processo financeiro (lucro não é como esperado, para resolver problemas em horários de pico mais dinheiro precisa ser investido em capacidade adicional).

    Assim, como você pode ver, há muita informação de capacidade que precisa ser monitorada e comunicada no momento certo para as pessoas certas de da forma certa para fazer as coisas realmente funcionarem.

    Requisitos da ISO 27001:2013 – controle A.12.1.3

    Para satisfazer o requisito da ISO 27001:2013 controle A.12.1.3, a organização deveria demonstrar que o uso de recursos é monitorado, ajustado, e que projeções de requisitos de capacidade futura são feitas. Tudo isto para assegurar o desempenho requerido do sistema.

    Como usual, a norma não é muito específica, assim use-a como melhor se adequar a você. De acordo como o princípio de preço vs. desempenho e o escopo da sua ISO 27001:2013 – esteja focado em serviços de missão crítica, aqueles que direcionam o seu negócio. Não desperdice seu tempo em partes e peças pequenas, mas investigue e monitore todas as capacidades dos serviços que “coloca o pão na mesa”.

    Algumas dicas sobre como abordar o assunto

    Devido ao fato de que a gestão da capacidade é muito importante, a criação de uma Política de Gestão de Capacidade faz sentido (que poderia estar incluída em um processo no caso de organizações de pequeno porte, mas como um documento próprio em organizações maiores). Ela deveria ser comunicada claramente dentro de sua organização.

    A melhor forma de apoiar uma política é definir claramente seu processo e desenhar um diagrama do processo. Claro que levará algum tempo, mas a representação visual do seu processo será algo que todos entenderão, e que pode ser facilmente comunicada. Criar um processo é uma sessão de brainstorming onde todos aprendem algo e novas ideias para melhorias são identificadas.

    Assegura que a criação de um diagrama de processo terá atividades como:

    • Identificação de requisitos de capacidade
    • Definição e implementação de controles detectivos (mecanismos usados para detectar problemas em tempo hábil)
    • Monitoramento e ajuste de sistema
    • Identificação e análise de tendências de uso
    • Projeções de requisitos de capacidade futuros
    • Criação de ações de melhoria
    • Criação/Ajuste de planos de capacidade

    Não esqueça de tratar da capacidade e competência de recursos humanos, assim como de componentes de serviço.

    Seu processo de gestão de capacidade pode elevar ou reduzir suas chances no mercado

    Antes da aprovação final do seu processo de gestão de capacidade, teste-o criando todos os documentos/registros (que também dependem do tamanho da organização, organizações menores criarão o mínimo de documentos/registros necessários) que são definidos para assegurar que ele é operacionalmente realístico. Estruture-o na forma que melhor se adequar as práticas e cultura da sua organização. A base de todo o processo é a criação de algum documento estruturado que pode ser chamado de Plano de Capacidade e será usado como uma ponte de comunicação dentro da organização (para saber mais sobre o Plano de Capacidade, veja The document you need but probably don’t have).

    Em minhas auditorias, para ser franco, não vi muitas abordagens estruturadas para a gestão de capacidade; é mais como uma daquelas coisas que os caras de TI precisam ter na veia. Eu espero que isto mude no futuro porque no mundo de hoje tudo está online e conectado. Um incidente sério de telecomunicações pode parar muitos dos negócios de hoje. E tomar cuidado sobre a capacidade pode ser uma ponderosa ferramenta para prevenir isso.

    Para melhorar seu conhecimento e habilidades na ISO 27001, tente nosso curso online gratuito:  ISO 27001:2013 Foundations Course.

    Nós agradecemos a Rhand Leal pela tradução para o português.