Como os CxOs buscam outras maneiras de atender à crescente demanda de TI, muitos estão bem perto de passar a enxergar a computação em nuvem como uma opção real para as necessidades de sua empresa. A promessa da computação em nuvem é revolucionar o mundo dos serviços de TI transformando a computação em um utilitário ubíquo, aproveitando atributos, como, por exemplo, maior agilidade, elasticidade, capacidade de armazenamento e redundância, para gerenciar os ativos de informação. A influência e a utilização contínua da inovação da Internet tem permitido que a computação em nuvem utilize as infraestruturas existentes e a transforme em serviços que as empresas poderiam fornecer tanto para economias significativas de custos quanto para uma maior eficiência. As empresas estão percebendo que existe um potencial para aproveitar essa inovação para servir melhor a seus clientes e obter vantagens comerciais.
Por oferecer às Empresas a oportunidade de dissociar suas necessidades de TI de sua infraestrutura, a computação em nuvem é capaz de oferecer, a longo prazo, uma certa economia às empresas, incluindo a redução de custos de infraestrutura e modelos de oferta de pagamentos por serviço. Mudando os serviços de TI para o sistema de nuvem, as empresas podem tirar proveito do uso de serviços em um modelo sob demanda. A redução de despesas de capital inicial é necessária, o que permite às empresas maior flexibilidade com novos serviços de TI.
Por todas essas razões, é fácil compreender porque a computação em nuvem é uma oferta de serviços atraente para qualquer negócio em potencial que deseje aprimorar recursos de TI enquanto controla os custos. No entanto, convém notar que, junto com os benefícios, vêm riscos e preocupações com segurança que devem ser considerados. Como os serviços de TI são contratados fora da empresa, existe um risco adicional de contar com uma dependência maior de um provedor terceirizado para o fornecimento de serviços de TI disponíveis, flexíveis e eficientes. Enquanto muitas empresas estão habituadas a gerenciar esse tipo de risco, as mudanças são necessárias para expandir abordagens de administração e estruturas para tratar adequadamente as novas soluções de TI e melhorar os processos comerciais.
Como acontece com qualquer tecnologia emergente, a computação em nuvem oferece a possibilidade de recompensa elevada em termos de contenção de custos e recursos, como agilidade e velocidade de fornecimento. No entanto, como uma iniciativa “nova”, ela também pode trazer um alto risco em potencial. A computação em nuvem apresenta um nível de abstração entre a infraestrutura física e o proprietário da informação a ser armazenada e processada. Tradicionalmente, o proprietário dos dados mantém controle
direto ou indireto do ambiente físico que afeta seus dados. No sistema de nuvem, isso não ocorre mais. Devido a essa abstração, já existe uma demanda generalizada de maior transparência e garantia de abordagem robusta de segurança do ambiente de controle e de segurança do provedor de serviços de nuvem.Uma vez determinado que os serviços de nuvem são uma solução plausível para uma empresa, é importante identificar os objetivos comerciais, bem como os riscos associados à nuvem. Isso vai ajudar as empresas a determinar quais tipos de dados devem ser confiáveis para o sistema de nuvem, bem como quais serviços podem oferecer maior benefício. O que é exatamente a computação em nuvem? Uma das questões mais confusas em torno do sistema de nuvem e seus serviços relacionados é a falta de acordo sobre as
definições. Tal como acontece com todas as tecnologias emergentes, a falta de clareza e de acordo muitas vezes dificulta a avaliação e a aprovação dessa tecnologia. Os dois grupos que têm oferecido uma base de definições são o NIST (National Institute of Standards and Technology, Instituto Nacional de Padrões e Tecnologia) e a Cloud Security Alliance
(Aliança de Segurança da Nuvem). Ambos os grupos definem a computação em nuvem como um modelo para permitir o acesso à rede sob demanda, de forma conveniente, a um conjunto compartilhado de recursos de computação configuráveis (por exemplo, redes, servidores, armazenamento, aplicativos e serviços) que podem ser rapidamente fornecidos e lançados com o mínimo esforço de gestão ou interação do prestador de serviço. Outra forma de descrever os serviços oferecidos no sistema de nuvem é compará-los ao de um utilitário. Assim como as empresas pagam pelos serviços de eletricidade, gás e
água que utilizam, agora elas têm a opção de pagar pelos serviços de TI em uma base de consumo.
O modelo da nuvem pode ser composto por três modelos de serviço (figura 1), quatro modelos de implantação (figura 2) e cinco características essenciais (figura 3). Riscos e benefícios em geral poderão variar de modelo para modelo e vale ressaltar que, ao apostar nos diferentes tipos de serviços e modelos de implantação, as empresas devem considerar os riscos que os acompanham.
Como pode ser observado na lista de características na figura 3, existem muitas abordagens e constatações relacionadas à computação em nuvem. Os benefícios às empresas, bem como os riscos, serão variados, pois dependem dos tipos de serviço e dos modelos de implantação escolhidos.
Os benefícios comerciais da computação em nuvem
Embora a promessa de economia financeira seja um ponto bastante atraente da computação em nuvem, muito possivelmente, a melhor opção para as empresas é a simplificação de processos e o aumento de inovação. Com ela, é possível aumentar a produtividade e transformar os processos de negócio através de meios que eram extremamente caros antes do sistema de nuvem. As organizações podem se concentrar em seu negócio principal em vez de se preocuparem com o dimensionamento da infraestrutura. A solução das demandas de pico de negócios para o desempenho pode ser facilmente encontrada usando a computação em nuvem, ou seja, através de backups mais confiáveis, clientes mais satisfeitos, mais dimensionamento e margens ainda maiores.
Alguns dos benefícios-chave oferecidos pela computação em nuvem são:
• Contenção de despesas — O sistema de nuvem oferece às empresas a opção de dimensionamento sem sérios compromissos financeiros necessários para aquisição e manutenção de infraestrutura. Os serviços de nuvem exigem pouca ou nenhuma despesa de capital inicial. Tanto os serviços quanto o armazenamento são disponibilizados sob demanda e com preços definidos sob o sistema de pagamento Pay-As-You-Go. Além disso, o modelo de nuvem ajudaria a economizar no desperdício de recursos. A economia de espaço não utilizado nos servidores permite que as empresas reduzam seus gastos com relação às exigências de tecnologia existentes e experimentem novas tecnologias e serviços sem precisar de grandes investimentos. As empresas deverão comparar os custos atuais com as despesas do sistema de nuvem e levar em consideração os modelos TCO para compreender se os serviços de nuvem poderão oferecer uma economia em potencial para a empresa.
• Imediatismo — Muitos pioneiros da computação em nuvem citaram a capacidade de fornecimento e utilização de um serviço em um único dia. Isso se compara aos tradicionais projetos de TI que podem exigir semanas ou meses para serem desenvolvidos, configurados e aplicados aos recursos necessários. Esse processo tem um impacto fundamental sobre a agilidade de um negócio e a redução dos custos associados aos atrasos.
• Disponibilidade — Os provedores dos serviços de nuvem têm a infraestrutura e a largura de banda necessárias para fornecer acesso de alta velocidade, armazenamento e aplicativos. Como esses provedores frequentemente apresentam caminhos redundantes, existe uma chance para o balanceamento de carga a fim de garantir que os sistemas não sejam sobrecarregados e que os serviços não sofram algum atraso. Embora a disponibilidade seja uma promessa, os clientes devem se certificar de que eles terão as devidas provisões em caso de interrupção dos serviços.
• Dimensionamento — Com capacidade irrestrita, os serviços de nuvem oferecem mais flexibilidade e dimensionamento envolvendo as necessidades de TI. O fornecimento e a implementação são realizados sob demanda, permitindo aumento de tráfego e reduzindo o tempo para implementar novos serviços.
• Eficiência — A realocação das atividades operacionais de gestão de informações sobre realocação da nuvem oferecem às empresas uma oportunidade única para concentrar esforços na inovação e pesquisa e desenvolvimento. Esse processo abre as portas para o crescimento comercial, bem como o crescimento do produto, e ainda pode ser mais benéfico do que as vantagens financeiras oferecidas pelo sistema de nuvem.
• Resiliência — Os provedores do sistema de nuvem têm soluções espelhadas que podem ser utilizadas em um cenário de desastre, bem como no balanceamento de carga de tráfego. Se ocorrer um desastre natural que exija um local em uma área geográfica diferente ou apenas o tráfego pesado, os provedores de computação em nuvem afirmam ter resiliência e capacidade suficientes para garantir sustentabilidade em caso de um evento inesperado.
A premissa do sistema de nuvem é que com as partes terceirizadas do gerenciamento de informação e operações de TI, os funcionários da empresa estarão livres para melhorar os processos, aumentar a produtividade e a inovação, enquanto o provedor do sistema de nuvem trabalha com a atividade operacional de forma mais inteligente, mais rápida e mais barata. Supondo que seja este o caso, provavelmente serão necessárias alterações significativas nos processos de negócio existentes para aproveitar as oportunidades que os serviços de nuvem oferecem.
Os riscos e as questões de segurança relacionadas à computação em nuvem
Muitos dos riscos frequentemente associados à computação em nuvem não são novos e podem ser encontrados nas empresas de hoje. Bem planejadas, as atividades previstas sobre a gestão de riscos serão cruciais para assegurar que a informação seja disponibilizada e protegida simultaneamente. Talvez os processos comerciais e procedimentos que devem ser considerados com relação à segurança e gerentes de segurança da informação tenham que se ajustar às políticas e aos procedimentos da empresa para atender às necessidades do negócio. Dado o ambiente empresarial dinâmico e o foco na globalização, existem muito poucas empresas que não terceirizam parte de seus negócios. Participar de um relacionamento com um terceiro significa que o negócio não utiliza apenas os serviços e a tecnologia do provedor do sistema de nuvem, mas também precisa lidar com a forma como o fornecedor executa sua organização, a arquitetura
do provedor e a cultura e as políticas organizacionais do provedor. Alguns exemplos dos riscos da computação em nuvem para empresas que necessitam de gerenciamento incluem:
• As empresas precisam ser cuidadosas na escolha de um provedor. Reputação, história e sustentabilidade são fatores que devem ser considerados. A sustentabilidade é dos itens importantes para garantir que os serviços estejam disponíveis e que os dados possam ser monitorados.
• Muitas vezes, o provedor do sistema de nuvem assume a responsabilidade do tratamento da informação, que é uma parte crítica do negócio. A não realização dos níveis de serviços acordados pode comprometer não apenas a confidencialidade, mas também a disponibilidade, afetando severamente as operações comerciais.
• A natureza dinâmica da computação em nuvem pode acabar em confusão com relação às informações que realmente lhes dizem respeito. Quando a recuperação de informação é necessária, isso pode gerar atrasos.
• O acesso de terceiros às informações confidenciais cria um risco de comprometimento dessas informações. Na computação em nuvem, isso pode comprometer a proteção da propriedade intelectual (IP) e os segredos comerciais.
• As nuvens públicas permitem que os sistemas de alta disponibilidade sejam desenvolvidos em níveis de serviço muitas vezes impossíveis de serem criados em redes privadas, exceto a custos extraordinários. A desvantagem dessa disposição é a tendência de misturar os ativos de informação com os de outros clientes da nuvem, inclusive os concorrentes. De acordo com as leis e regulamentações de diferentes regiões, isso pode ser um desafio para as empresas. Neste momento, há pouco precedente jurídico em matéria de responsabilidade no sistema de nuvem. É imprescindível obter aconselhamento jurídico adequado para garantir um contrato que especifique as áreas onde o provedor do sistema de nuvem será responsável pelas
consequências decorrentes de algum tipo de problema em potencial.
• Devido à natureza dinâmica do sistema de nuvem, as informações podem não ser localizadas imediatamente em caso de desastres. Planos de continuidade de negócios e de recuperação de desastres devem ser bem documentados e testados. O provedor do serviço de nuvem deve compreender o papel que desempenha quanto aos procedimentos de backup, resposta a incidentes e recuperação. O tempo de recuperação (RTO, Recovery Time Objectives) deve ser indicado no contrato.
Estratégias para lidar com os riscos da computação em nuvem
Estes riscos, bem como outros que uma empresa pode identificar, devem ser gerenciados de forma eficaz. Recomenda-se o uso de um programa robusto de gerenciamento de riscos que seja flexível o suficiente para lidar continuamente com os riscos das informações. Em um ambiente onde a privacidade tornou-se fundamental para clientes empresariais, o acesso não autorizado aos dados na nuvem é uma preocupação significativa. Ao firmar acordo com um provedor de serviços de nuvem, a empresa deve fazer um inventário de seus ativos de informação e garantir que os dados sejam devidamente classificados e rotulados. Isso ajudará a determinar o que deve ser especificado na elaboração de um acordo de nível de serviço (SLA,
Service Level Agreement), de qualquer necessidade de criptografia de dados a serem transmitidos ou armazenados, além de controles adicionais de informações confidenciais ou de alto valor para a organização.
Assim como o vínculo que define o relacionamento entre a empresa e o provedor do sistema de nuvem, o SLA é uma das ferramentas mais eficazes que a empresa pode usar para garantir a proteção adequada das informações confiadas ao sistema de nuvem. O SLA será a ferramenta onde os clientes poderão especificar se os frameworks de controle serão utilizados e descrever a expectativa de uma auditoria externa de terceiros. Expectativas claras quanto ao manuseio, utilização, armazenamento e disponibilidade de informações devem ser descritas no SLA. Além disso, os requisitos para a continuidade dos negócios e a recuperação de desastres (discutido anteriormente) deverão ser comunicados no acordo.
A proteção das informações evoluirá como o resultado de um acordo SLA abrangente, apoiado em um processo de garantia igualmente forte, seguro e abrangente. A estruturação de um SLA completo e detalhado que inclui direitos específicos de auditoria ajudará a empresa no gerenciamento de suas informações, uma vez que elas saem da organização e são transportadas, armazenadas ou processadas no sistema de nuvem.
Problemas de alteração e administração relacionados à computação em nuvem
A direção estratégica do negócio e da tecnologia da informação em geral é o foco principal quando se considera o uso da computação em nuvem. Como as empresas procuram pelo sistema de nuvem para fornecer serviços de TI que têm sido tradicionalmente gerenciados internamente, será preciso aplicar algumas mudanças para ajudar a garantir que elas continuem cumprindo seus objetivos de desempenho, que suas tecnologias de fornecimento e de negócios sejam estrategicamente alinhadas e que os riscos sejam gerenciados. Garantir que a tecnologia da informação esteja alinhada com o negócio, que os sistemas estejam seguros e que os riscos sejam gerenciados é um desafio em qualquer ambiente e ainda mais complexo em um relacionamento terceirizado. As atividades típicas de administração, como a definição de metas, políticas e padrões de desenvolvimento, a definição de funções e responsabilidades, bem como a gestão dos riscos devem incluir considerações especiais quando o assunto é a tecnologia do sistema de nuvem e seus provedores.
Caso ainda não participe dos processos de governança corporativa ou do ciclo de vida de desenvolvimento de sistemas, a mudança para a computação em nuvem determina que o gerente ou diretor de segurança da informação (information security officer) passe a ser incluído nesses processos.
Tal como acontece com todas as alterações organizacionais, espera-se que alguns ajustes sejam aplicados na maneira como os processos de negócio são tratados. Os processos de negócio, assim como o processamento de dados, o desenvolvimento e a recuperação de informações são exemplos potenciais dessas áreas de alteração. Além disso, será necessário rever os processos que detalham o modo como as informações são armazenadas, arquivadas e copiadas para fins de backup. O sistema de nuvem apresenta muitas situações exclusivas para as empresas enfrentarem. Um dos maiores problemas é que o pessoal das unidades de negócio, que antes era obrigado a passar pela área de TI, agora pode ignorá-la e receber os serviços diretamente do sistema de nuvem. Portanto, é primordial que as políticas de segurança da informação utilizem os serviços do sistema de nuvem.
Considerações sobre a qualidade na computação em nuvem
Quando confrontados com a mudança de paradigma e a natureza dos serviços prestados através de computação em nuvem, existem muitos desafios para os fornecedores de qualidade. O que pode ser feito para melhorar os recursos do profissional de qualidade com o objetivo de fornecer aos usuários diretos e indiretos da computação em nuvem mais confiança no software e nos serviços de infraestrutura que compõem o sistema de nuvem? Algumas das principais questões sobre qualidade que devem ser abordadas são:
• Transparência — Os provedores de serviços devem demonstrar a existência de controles de segurança eficazes e robustos, assegurando aos clientes que seus dados estão devidamente protegidos contra o acesso não autorizado, a alteração e a destruição dos mesmos. As questões mais importantes que devem ser decididas são as seguintes: que nível de transparência é suficiente? O que é preciso para ser transparente? A transparência pode ser maléfica? As principais áreas onde a transparência do fornecedor é importante incluem: quais funcionários (do provedor) têm acesso às informações dos clientes? Há segregação de funções entre os funcionários do provedor de manutenção? Como as diferentes informações dos clientes são segregadas? Quais são os controles responsáveis por evitar, detectar e reagir às violações?
• Privacidade — Com a preocupação crescente com a privacidade em nível mundial, torna-se imperativo aos provedores de serviço de computação em nuvem provar aos clientes, existentes e potenciais, que os controles de privacidade estão em vigor e demonstrar sua real capacidade para evitar, detectar e reagir às violações em tempo hábil. A informação e a geração de relatórios das linhas de comunicação precisam estar em perfeito funcionamento e devem constar em contrato antes mesmo do início dos serviços. Tais canais de comunicação devem ser testados periodicamente durante as operações.
• Conformidade — A maioria das organizações atualmente deve cumprir uma série de leis, regulamentações e normas. Há preocupações com a computação em nuvem pelo fato de que os dados podem não estar armazenados em um único lugar e poderiam não ser recuperados facilmente. É essencial garantir que, caso os dados sejam exigidos pelas autoridades, esse procedimento possa ser cumprido sem comprometer outras informações. As auditorias realizadas pelas próprias autoridades regulamentadoras, padronizadoras e
legalizadoras demonstram que pode haver muitos excessos em tais apreensões. O uso dos serviços do sistema de nuvem não oferece garantias de que uma empresa poderá obter suas informações quando necessário, e alguns provedores ainda se reservam o direito de reter as informações das autoridades.
• Fluxo de informações além-fronteira — Quando a informação pode ser armazenada em qualquer lugar no sistema de nuvem, a localização física da informação pode se transformar em um problema. A localização física determina a jurisdição e a obrigação legal. Asleis que regem as informações pessoalmente identificáveis (PII, personally identifiable information) de um determinado país variam muito. O que é permitido em um país pode ser uma violação em outro.
• Certificação — Os provedores de serviços de computação em nuvem deverão fornecer a seus clientes a garantia de que estão agindo de forma correta. A garantia independente das auditorias de terceiros e/ou dos relatórios de auditoria dos serviços é de suma importância em qualquer programa de garantia.
Utilizar padrões e frameworks ajudará as empresas a obterem mais qualidade com relação à segurança e aos controles internos do fornecedor da computação em nuvem. No momento da formalização por escrito, não há padrões específicos disponíveis publicamente para o paradigma da computação em nuvem. Entretanto, as normas existentes devem ser consultadas para abordar as áreas relevantes e as empresas devem considerá-las para ajustar seus frameworks de controle já existentes. A computação em nuvem representa uma oportunidade de remodelar a segurança e os controles em TI.
Sem dúvida, muitas empresas aproveitam essa oportunidade para melhorar a eficiência e a segurança interna de seu portfólio de TI.
Conclusão
Enquanto a computação em nuvem está, certamente, pronta para proporcionar muitos benefícios, os profissionais de segurança de informação devem conduzir as análises de impacto dos negócios, assim como as avaliações de risco devem indicar aos líderes sobre riscos potenciais para a empresa. As atividades da gestão de riscos devem ser gerenciadas ao longo do ciclo de vida das informações e os riscos devem ser reavaliados periodicamente ou em caso de alterações.
As empresas que tendem a considerar o uso do sistema de nuvem em seus ambientes devem calcular a economia de custos que este sistema pode oferecer e a quais riscos adicionais está sujeito. Uma vez calculada a economia de custos e identificados os riscos, as empresas terão uma melhor compreensão sobre como podem aproveitar os serviços de nuvem. A empresa deve contar com profissionais da área jurídica, de segurança e de qualidade para garantir que os níveis adequados de segurança e privacidade sejam alcançados. A opção pela nuvem representa uma mudança importante na forma como os recursos de computação serão utilizados e, como tal, será uma importante iniciativa de governança nas organizações em que for adotada, exigindo o envolvimento de um amplo grupo de interessados.
Recursos adicionais relacionados à computação em nuvem: www.isaca.org/cloudcomputingresources
