|
|
|
A árvore de características do SMI tem uma estrutura em vários níveis, com até três níveis de detalhes relacionados a cada característica principal.
Refere-se à facilidade com que um serviço pode ser restaurado a um estado operacional normal através de meios comuns (como o conhecimento existente, manuais e técnicas).
Refere-se à capacidade do provedor de serviços de fazer modificações no serviço para mantê-lo em uma condição de bom reparo.
Refere-se ao tempo que usa o provedor de serviços para resolver problemas identificados e retornar o serviço a um estado operacional.
Refere-se ao grau em que um serviço mantém disponibilidade ininterrupta devido ao próprio planejamento de risco e mitigação.
Refere-se à porcentagem de tempo em que o serviço está disponível e no estado esperado de operação.
Reflete uma medida do grau em que um serviço opera sem falhas sob determinadas condições durante um determinado período de tempo.
Refere-se ao grau em que o serviço é resistente à alteração, deterioração ou deslocamento.
O grau em que um serviço pode retornar ao seu estado autorizado de configuração após um evento planejado ou não planejado.
O grau em que um serviço é capaz de reiniciar um estado normal de operação após uma interrupção não planejada.
A capacidade de identificar a causa do comportamento de um determinado serviço dentro de um grau de certeza e de tempo.
A funcionalidade é uma medida da adequabilidade, integridade e precisão do serviço; é uma medida do grau de adequação do serviço à sua finalidade.
Uma medida da capacidade do serviço de atender à sua finalidade.
Refere-se à capacidade de um serviço de fornecer informações precisas.
Uma medida da capacidade de um serviço de estar sujeito a um conjunto de testes e de produzir resultados similares.
Refere-se à capacidade de serviços de operarem em conjunto de maneira eficiente, e sua capacidade de oferecer suporte a outros sistemas existentes na organização.
Refere-se a qualquer alteração em um serviço, como o novo recurso ou componente, se a alteração adere às interfaces externas anteriores enquanto modifica apenas o seu comportamento interno.
Refere-se à capacidade do serviço de fazer uma diferença perceptível em atingir um objetivo ou resultado identificado.
Refere-se à capacidade do serviço de oferecer suporte a uma estratégia de negócios, objetivo ou resultado específico.
Reflete a capacidade do serviço de executar tarefas específicas, sem desperdícios.
O tempo levado para executar uma determinada função fornecida pelo serviço.
Mede o uso da fonte de energia e de materiais que compõem o serviço, com o objetivo de minimizar o impacto ambiental e de conservar os recursos.
Indica a facilidade com a qual o serviço pode ser usado para atingir um determinado objetivo.
Refere-se ao grau em que um serviço pode ser colocado em funcionamento, com o mínimo de risco, por meio da configuração automática de seus componentes.
Refere-se à natureza de um serviço para oferecer suporte a um conjunto de recursos que seja fácil de adotar no dia a dia de um conjunto específico de requisitos.
Refere-se a quão fácil é usar a funcionalidade fornecida pelo serviço.
Refere-se à capacidade de um serviço de atingir o comportamento esperado em um determinado conjunto de circunstâncias
Indica a capacidade de criar e entrar com êxito em um acordo legal com um provedor em tempo hábil.
A capacidade é o conjunto de recursos e funções que constituem a funcionalidade do serviço e descrevem o serviço. Essas características variam de acordo com os recursos do serviço específico ou da categoria de serviço.
Conscientização e visibilidade medem o impacto do serviço sobre a percepção das organizações de suas operações de TI.
Portabilidade se refere à relativa facilidade com que os dados, aplicativos, processos ou procedimentos das organizações podem ser transferidos de um serviço para outro como serviço
Refere-se à capacidade de uma organização de se mover de um provedor de um serviço para outro provedor do mesmo serviço de maneira fácil, com pouco ou nenhum impacto nas operações comerciais.
O uso de serviços abstraídos de um provedor de serviços interno ou externo pode afetar a capacidade da organização de responder rapidamente a eventos comerciais.
Um recurso altamente desejável para muitos serviços é a habilidade de expandir a capacidade por demanda, seja por meio de uma solicitação manual ou de um processo automático. Além disso, a habilidade de diminuir gradualmente o uso de recursos e de reduzir a despesa das operações também é desejável.
O risco do fornecedor é um conjunto de riscos existenciais relacionados ao fornecedor de serviços, e ao modo como ele conduz os negócios.
Refere-se à consistência e a probabilidade de continuidade do provedor de serviços, e consiste em capacidade, finanças, estrutura organizacional e processos. Outros problemas de estabilidade, como garantia da qualidade e do desempenho, são tratados separadamente no processo de pontuação. Organizações com baixo desempenho financeiro são mais propensas a sofrerem interrupções nos serviços devido à incapacidade de contratar ou processar pagamentos a fornecedores, à incapacidade de atrair e reter pessoal e à incapacidade de aumentar a escala de operações para atender às necessidades dos clientes em constante mudança. Organizações menores nos mercados emergentes geralmente são o alvo de fusões e aquisições, os resultados podem ser maior estabilidade ao custo de riscos estratégicos ou de preços, e um possível período de instabilidade do serviço durante a fase de integração.
Refere-se ao risco de o provedor de serviços não possuir as certificações padrão apropriadas do setor para a segurança e operações de TI. As certificações tradicionais são ISO 27000, PCI DSS e SAS 70. Espera-se que os provedores de serviços que possuem estas certificações sejam menos arriscados do que aqueles que não as possuem, pois eles têm inúmeros controles documentados que abrangem o escopo da certificação e que são auditados por organizações de terceiros.
Refere-se ao risco de o provedor de serviços, independentemente de ser um provedor interno ou externo, não fornecer todo o espectro de compromissos de nível de serviço no SLA e/ou não fornecer métricas atuais facilmente acessíveis que possam ser usadas como indicadores de desempenho dos níveis de serviço necessários. Todos os requisitos importantes de um serviço devem ser identificados em um SLA com uma descrição da métrica que será usada para provar que o nível de serviço está sendo cumprido. O acesso (programação ou portais da web) a essas métricas deve ser conveniente para o cliente, de modo que ele possa verificar que os níveis de serviço estão sendo cumpridos continuamente ao longo do tempo.
Um provedor do servidor pode terceirizar determinadas tarefas especializadas de sua cadeia de produção. Nessa situação, o nível de segurança e confiabilidade do provedor pode depender do nível de segurança e confiabilidade de cada um dos elos na cadeia e do nível de dependência do provedor de terceiros. Qualquer interrupção ou corrupção na cadeia, ou uma falta de coordenação de responsabilidades entre as partes envolvidas pode levar a: indisponibilidade de serviços, perda de confidencialidade, integridade e disponibilidade de dados, perdas econômicas e reputacionais devido à falha ao atender à demanda do cliente, violação do SLA, falha do serviço em cascata, e assim por diante.
Refere-se à forma como o provedor de serviços conduz os negócios; isso inclui práticas e éticas de negócio fora do escopo da conformidade regulamentar. A ética inclui práticas justas com fornecedores, clientes e funcionários.
Inclui toda a amplitude da conformidade legal e regulamentar, e a capacidade da organização de cumprir e demonstrar obediência.
Refere-se ao risco de o provedor de serviços [1] não poder fornecer documentação dos controles de TI que são fornecidos no serviço e uma descrição de como são testados [2] não poder fornecer dados facilmente acessíveis e verificáveis que representam os resultados atuais e históricos dos testes dos controles [3] não suportar auditorias internas e externas dos controles regularmente programadas pelos clientes.
Refere-se ao risco de roubos, fraudes ou uso indevido dos serviços ou dados devido ao fato de funcionários, contratados e usuários terceirizados não serem adequados para suas funções. Os cargos de segurança dentro de um provedor de serviços devem ter descrições de cargo adequadas, processos de contratação e rescisão, e termos e condições de emprego adequados aos cargos confidenciais. Em particular, todo o pessoal de segurança deve ser adequadamente avaliado na contratação e daí por diante com regularidade. Além disso, o pessoal de segurança que cobre as operações 24 horas por dia, 7 dias por semana, deve ser treinado e certificado como profissionais de segurança de TI.
Refere-se ao risco de acesso não autorizado, danos e interferências nas instalações e informações do provedor de serviços. As instalações de processamento de informações confidenciais ou críticas devem estar alojadas em áreas seguras, protegidas por perímetros de segurança definidos, com barreiras de segurança e controles de entrada apropriados. Elas devem ser fisicamente protegidas contra acesso não autorizado, danos e interferências. A proteção fornecida deve ser proporcional aos riscos identificados.
Refere-se ao risco de operações incorretas ou inseguras do serviço nas instalações de TI. As responsabilidades de gerenciamento de TI do provedor de serviços e do cliente devem estar claramente definidas na função e na coordenação (se necessário). O provedor de serviços deve fornecer ao cliente as interfaces, recursos e processos de gerenciamento necessários, de modo que o cliente possa efetivamente gerenciar suas responsabilidades do serviço (isso envolve geração, monitoramento e segurança de logs). As arquiteturas de nuvem precisam de determinadas funções que são extremamente arriscadas, portanto a segregação dos controles das tarefas deve ser implementada, quando apropriado, para reduzir o risco de uso inadequado, negligente ou deliberado do sistema por pessoas mal-intencionadas da organização.
Refere-se ao risco de haver um controle inadequado do acesso ao serviço e a dados no serviço apropriado à diretiva de segurança do cliente e a requisitos regulamentares. Uma diretiva de controle de acesso, que envolve o provedor de serviços e o cliente, com os controles associados necessários, deve ser acordada, documentada e analisada regularmente. As regras de controle e direitos de acesso para o provedor de serviços e grupos de usuários do cliente devem estar claramente definidas em uma diretiva de controle de acesso. Os controles de acesso são lógicos e físicos, e devem ser considerados em conjunto. Isso inclui: gerenciamento de acesso de usuários, controle de acesso à rede, controle de acesso ao s/o, controle de acesso ao aplicativo, controle de acesso aos dados, controle de acesso móvel, e assim por diante.
Consiste nas medidas em vigor que protegem os dados do cliente. Isso inclui a obediência do provedor de serviços às diretivas estabelecidas, localização geográfica ou política dos dados, propriedade dos dados, privacidade e perda de dados e a integridade dos dados.
O provedor de serviços deve ter em vigor um abrangente conjunto de diretivas que abrangem a segurança e proteção total de dados, e deve ter controles em vigor para garantir a obediência da diretiva estabelecida. A diretiva deve estar disponível para a análise do cliente, bem como uma prova demonstrável de que tais diretivas estão sendo seguidas de forma consistente.
O provedor de serviços deve ter uma diretiva explícita de retenção e destruição de dados. Esta diretiva deve atender aos requisitos dos clientes para os limites de tempo de retenção necessários para a conformidade, isto é, as leis Sarbanes Oxley ou Graham Leach Bliley, deve ser capaz de acomodar uma retenção de dados prolongada em resposta à retenção legal necessária, e fornecer a destruição segura e completa de dados no momento em que não forem mais necessários.
O provedor de serviços deve ser capaz de demonstrar obediência às diretivas estabelecidas. Isso inclui a disponibilidade de logs, relatórios, resultados de auditorias internas ou externas, ou qualquer outro mecanismo que dê evidências de que o provedor de serviços segue as diretivas publicadas e mantém os registros adequados.
Refere-se ao risco de os dados do cliente poderem ser retidos em várias jurisdições, algumas das quais podem ser de alto risco. Se os centros de dados estiverem localizados em países de alto risco, por exemplo, aqueles que carecem de Estado de Direito e que possuem uma estrutura legal de aplicação imprevisível, Estados de política autocrática, Estados que não respeitam acordos internacionais, etc. Em alguns casos, devido aos regulamentos nacionais, os dados não têm permissão para deixar os limites geopolíticos.
Os dados armazenados, criados ou processados pelo serviço podem ter seu uso ou propriedade restritos de acordo com os termos da relação com o provedor de serviços. Isso pode afetar a capacidade dos usuários de atingir seus objetivos, de transportar ou reutilizar os dados.
Este é o risco de o provedor de serviços [1] não poder detectar a perda ou o vazamento de PI devido a problemas com a segurança do serviço e/ou processos em todo o ciclo de vida dos dados dentro do serviço e [2] não poder alertar o cliente (e, portanto, as vítimas potenciais de tal perda) sobre os detalhes da perda em um período de tempo apropriado às exigências regulamentares e à remediação requerida pelo Cliente.
A integridade de dados se refere à validade e constância dos dados armazenados, criados ou processados pelo serviço, a adequação do uso dos dados e a confiança que pode ser depositada nos dados.
Refere-se às despesas que incorrem da assinatura do serviço no momento da entrega inicial.
Refere-se às despesas (por exemplo, preços) que são incorridas pelo assinante do serviço para manter seus direitos de assinatura do serviço em uma programação perpétua.
O indicador direto de medição do custo do serviço.
| Copyright © 2012 CA. Todos os direitos reservados. | Enviar email à CA Technologies sobre este tópico |