*Por Larissa Carvalho
Os problemas constantes no ambiente e serviços de Tecnologia da Informação (TI), sejam eles de menor ou maior gravidade, podem gerar impactos financeiros e de imagem significativos para a organização e que podem perdurar a curto, médio ou longo prazo. Estes problemas devem ser avaliados de forma precisa e no menor tempo para que os impactos gerados sejam menores e para que seja possível contorná-los.
O que é gerenciamento de problemas?
O processo de Gerenciamento de Problemas é responsável por administrar todo o ciclo de vida de problemas que irrompem até as áreas envolvidas por tratá-los. Em algum momento pode ser necessário escalonar ou acionar equipes externas para realizar ou apoiarem na resolução de um problema, por exemplo: fornecedores de soluções específicas. O gerenciamento de problemas tem como finalidade prevenir que problemas recorrentes aconteçam e minimizar o impacto deles, já que estes não podem ser evitados em sua totalidade. O processo não busca somente tratar e corrigir os problemas, mas procuradentificar e entender as causas associadas, assim como discernir o melhor método para eliminar a causa raiz.
Tipos Gerenciamento de Problemas
Gerenciamento de Problemas Reativo: A área de TI aplica uma solução de contorno para minimizar os impactos e, em seguida, procura investigar o problema depois que o evento ocorreu. Tal solução de contorno é uma ação aplicada de forma temporária e não definitiva cuja finalidade é restabelecer o serviço afetado. São realizadas as seguintes atividades: Identificação, registro, classificação, priorização, investigação e diagnóstico, avaliação sobre soluções de contorno, identificação de erros conhecidos, resolução, conclusão e revisão de problemas graves.
Gerenciamento de Problemas Proativo: A área de TI consegue prevenir problemas através da análise de eventos a fim de identificar tendências e possíveis fraquezas no ambiente de TI, ou seja, com estas informações disponíveis é possível realizar melhorias contínuas.
Benefícios do Gerenciamento de Problemas
Maior Proatividade, Menos Reatividade: É comum que a área de TI não tenha uma solução de contorno ou definitiva em tempo hábil para tratar o problema e, quando consegue, busca somente restabelecer o serviço sem identificar a causa raiz. Depois de um tempo, os problemas voltam a ocorrer. É vantajoso que a área designada para tratar o evento dispenda de tempo considerável para encontrar a causa raiz para evitar que eles voltem a ocorrer e assim sobra tempo para dedicar em melhoria contínua no ambiente de TI.
Melhor qualidade na Entrega dos Serviços de TI: Os eventos tratados sem soluções definitivas podem tornar-se recorrentes e gerar impactos cada vez maiores e desnecessários, incluindo perda financeira significativa e baixa confiança dos clientes internos e externos na entrega dos serviços fornecidos. O uso de uma base de dados de erros conhecidos (BDEC) pode acelerar o diagnóstico do evento e evitar que o mesmo problema aconteça. Tais bases de dados são conhecidas como repositório de informações com soluções de contorno e soluções completas para problemas conhecidos identificados e tratados.
A tratativa proativa e rápida da área de TI mostra a competência para lidar com a situação e isso gera satisfação e aumento de confiança dos clientes internos e externos.
Aprendizagem Organizacional Melhorada: A organização que está engajada e pratica o gerenciamento de problemas de forma assertiva deixa o ambiente tanto propenso a troca de experiências quanto aberto a discussões sobre os eventos, podendo ser compartilhados entre os membros responsáveis por tratar os problemas. As discussões e compartilhamento de informações sobre os problemas identificados não buscam encontrar culpados e puni-los, e sim soluções. A organização precisa apoiar o aculturamento de aprendizagem e compartilhamento de conhecimento entre os membros da área de TI para que possam realizar investigações contínuas e otimizar o tempo de solução dos eventos.
Monitoração e Acompanhamento de Problemas: É crucial que toda a rastreabilidade dos eventos seja registrada em uma ferramenta homologada, onde somente usuários autorizados consigam atualizar as informações e que seja realizado o acompanhamento do progresso de forma íntegra. As informações destes eventos são consideradas registros e podem ser solicitadas por um auditor no momento da execução de uma Auditoria Interna e Externa.
Gerenciamento de Problemas x Gerenciamento de Incidentes
Enquanto o incidente é a interrupção ou redução não planejada de um serviço de TI, o problema é a causa-raiz de um ou mais incidentes. Como analogia, pode-se dizer que os incidentes são os “sintomas” que indicam uma “doença” mais grave, denominada de problema.
O processo de gerenciamento de incidentes é responsável por restabelecer o serviço mais rápido para que os impactos sejam menores e o chamado pode ser tratado e encerrado, mas a causa raiz do incidente ainda será investigada e tratada no processo de Gerenciamento de Problemas. O gerenciamento de problemas é responsável por eliminar a fonte do problema e assegurar que um ou mais incidentes não voltem a se repetir.
Dessa forma é possível identificar que as ações realizadas no processo de gerenciamento de problemas e incidentes estão cada vez mais entrelaçadas e centralizadas. Dependendo do porte e segmento da organização, pode ser nomeada equipes distintas para a tratativa de cada um dos processos, por exemplo: enquanto uma área ou membros desta área concentram esforços para resolver o incidente, a outra procura investigar a causa raiz do incidente. À vista disso é necessária uma comunicação eficaz para tratar o incidente e restabelecer os serviços prejudicados.
Conclusão
Realizar o gerenciamento de problemas é complexo e requer que equipes centralizem esforços para atender os chamados de incidentes e problemas para que eles não voltem a ocorrer. O objetivo deste artigo é justamente trazer uma visão breve e a importância deste processo nas organizações para que ofereça melhorias na qualidade das entregas dos serviços para clientes externos e internos e, ao mesmo tempo, otimizar o custo e o tempo para lidar com incidentes.
O processo de gerenciamento de problemas é um requisito obrigatório estabelecido na norma NBR ISO/IEC 20000:2018. Esta norma possui boas práticas, padronização e recomendações utilizadas no mundo todo, e as organizações que obtém a certificação adquirem muitas vantagens, entre elas: a confiança dos clientes, vantagem competitiva no mercado e alcance de novos clientes.
A aquisição de um serviço terceirizado de implementação de ISO 20000 é o primeiro passo que a organização precisa seguir para estabelecer um Sistema de Gestão de Serviços para reestruturar e adequar os processos já existentes e instaurar novos processos para atender os requisitos estabelecidos na norma.
— Larissa Carvalho é GRC and Information Security Consultant na [SAFEWAY]
Como podemos Ajudar?
A SAFEWAY é uma empresa de consultoria em Segurança da Informação reconhecida pelos seus clientes por oferecer soluções de alto valor agregado por meio de projetos que atendam integralmente às necessidades do negócio. Em 14 anos de experiência, acumulamos diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte as 100 maiores empresas do Brasil.
Hoje por meio de 25 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas. Possuímos tanto a habilidade técnica quanto a experiência necessária para auxiliar sua empresa no processo de estruturação de controles e preparação do ambiente para implantação de SGSI, SGS ou SGCN e, consequentemente, certificação de operações, serviços ou empresas as normas ISO27001, ISO20000 ou ISO22301.
Com o intuito de apoiar as empresas nesse processo de avaliação e adequação aos requisitos da LGPD, a [SAFEWAY] possui em seu portfólio de serviços, o Cybersecurity Health Check cujo objetivo é executar um diagnóstico dos controles de CyberSecurity, Segurança da Informação e Privacidade de Dados implementados na sua empresa, contemplando os pilares de Processos, Pessoas e Tecnologia.
Por meio do Cybersecurity Health Check, são identificados os riscos associados a segurança da informação e privacidade dos processos e atividades internas, os controles existentes e avaliados novos controles de acordo com o porte de sua organização para aumentar o nível de maturidade e compliance, de acordo com as boas práticas de segurança da informação. Caso deseje mais informações, entre em contato com um de nossos especialistas!
