1. Introdução
1.1 Conceito de Computação em Nuvem
Computação em nuvem ou “Cloud Computing” é o termo utilizado para designar os serviços de Tecnologia da Informação (TI) que são entregues por meio da internet, sob demanda e com pagamento baseado no uso. Com ela, é possível obter-se desde um simples aplicativo acessado online por qualquer computador até toda a infraestrutura de TI de uma empresa.
O conceito de“pague-pelo-uso”– do termo em inglês “pay-per-use”– de aplicativos, de infraestrutura para desenvolvimento de software e de infraestrutura computacional em geral provê um meio mais eficiente e otimizado de computação, no que se refere a disponibilidade, escalabilidade e agilidade no provimento de serviços de Tecnologia da Informação.
De acordo com o Instituto Nacional de Padrões e Tecnologias dos Estados Unidos (NIST, do inglês), os serviços da nuvem podem ser fornecidos com base em três modelos:
1– “Software as a Service”(SaaS) ou Software como serviço, que refere-se a aplicações desenvolvidas para usuários finais, entregues pela internet, providas e gerenciadas pelo provedor da nuvem. Exemplos dos serviços online da Microsoft e Google.
2– “Plataform as a Service”(PaaS) ou Plataforma como serviço, que constitui um conjunto de ferramentas e serviços entregues pelo provedor,voltados para desenvolvimento e entrega dos aplicativos do SaaS, de forma rápida e eficiente.Um exemplo é a plataforma do Microsoft Windows Azure.
3– “Infrastructure as a Service”(IaaS) ou Infraestrutura como serviço, disponibiliza toda a infraestrutura básica de TI (rede, hardware, sistema operacional, e software de virtualização), de acordo com as necessidades do cliente. Como exemplo temos a Amazon EC2 e Rackspace Cloud Servers.
Com base nessa descrição, podemos dizer que os três modelos de serviços supracitados possuem como características-chave a conveniência, o custo efetivo, serviços mensuráveis, a flexibilidade e a elasticidade – capacidade de incluir processamento e armazenamento adicional conforme a necessidade.
Quanto às formas de provimento, os modelos de serviços descritos podem ser fornecidos na forma de nuvem privada, operada por uma única organização, ou na forma de nuvem pública, com um único acordo de níveis de serviço (ANS) para todos os clientes, no qual os dados residem em recursos compartilhados. Em alguns casos limitados, uma nuvem híbrida pode ser construída através da conexão entre uma nuvem a pública e uma privada, compartilhando os serviços entre elas.
1.2 Evolução e mudanças
Nos últimos anos, a computação em nuvem cresceu tanto que evoluiu de uma perspectiva de negócio promissor para um dos seguimentos que mais cresce na indústria de TI. Devido a essa rápida evolução, ela tornou-se a nova arma estratégica da indústria computacional, passando a ser uma realidade que afeta diretamente todos os setores da sociedade. Empresas privadas, instituições educacionais e governamentais, entre outras organizações procuram na computação em nuvem a solução ideal para aumentar o foco no gerenciamento da informação e diminuir a preocupação com infraestrutura.
Para se ter uma ideia desse crescimento, em um relatório de 2013 produzido pela Forrester Research intitulado“Enterprises seeks the benefits of Hybrid Cloud and work to overcome the challenges”, foram entrevistados alguns tomadores de decisões de grupos de TI, hardware e software de grandes empresas, e o seguintes resultados foram obtidos:
Ainda de acordo com o mesmo relatório, os principais motivadores na escolha da nuvem híbrida são:
Outro caso interessante é o projeto “G-Cloud” do governo inglês. A proposta do governo é introduzir uma nuvem privada composta por alguns data centers, que irá gerar uma redução de 20% nos custos com TI, salvando £3.2b do orçamento anual de £16b. E não é só isso, além salvar uma grande quantia de dinheiro, o “G-Cloud” poderá resolver algumas preocupações do gerenciamento de TI, e focar os recursos do governo em pontos mais críticos.
Como se pode ver, a demanda da nuvem computacional está sendo impulsionada principalmente pelo crescimento explosivo dos dados, pela facilidade e agilidade na obtenção de recursos computacionais, e pela necessidade de acesso a esses dados de forma segura, de qualquer lugar e a qualquer hora. Outro fenômeno que acontece ao lado dessa crescente necessidade de virtualização dos dados é a explosão do mercado de dispositivos móveis, impulsionada pelo rápido desenvolvimento de plataformas destinadas a tablets e celulares, que facilita e expande enormemente as possibilidades de acesso a dados.
Em função dessa grande e rápida transformação, já é imperativa a necessidade de o desenvolvimento da tecnologia de nuvem computacional se estruturar em bases seguras e confiáveis, demandando foco na implementação dos melhores padrões de segurança disponíveis no mercado, uma vez que a facilidade de acesso também implica em risco e fragilidade face ao potencial impacto do acesso indevido à informação sensível.
2. Desafios nas Nuvens
Sabe-se que a nuvem computacional provê redução de custos, velocidade, agilidade e inovação, mas para isso a empresa precisa estar bem preparada e pronta para adaptar-se a uma nova realidade e aos desafios que decorrem dela. A sua adoção não é diferente de qualquer outro investimento: os projetos devem ser guiados e direcionados para garantir aumento de valor e minimização dos riscos.
Como toda mudança tecnológica, sua implantação exige da empresa a avaliação do cenário considerando questões de privacidade e segurança da informação – incluindo gerenciamento de acesso, de riscos e conformidades, além da garantia de integridade do serviço e da proteção da informação.
Quando as empresas passam por essa mudança, seu departamento de TI deve adaptar o processo de gerenciamento de dados em função de novas práticas que não estão mais sob o seu total controle. Apesar de continuar sob a responsabilidade da empresa, o gerenciamento de riscos, privacidade e segurança passam a ser feitos também pelo provedor de serviços da nuvem e isso exige mudanças na forma de realizar a governança de TI.
2.1 Governança de TI
Uma boa Governança tem se mostrado elemento-chave para o sucesso na adoção de nuvens computacionais e por isso tem se tornado o principal desafio que a empresa enfrenta para implantar essa nova tecnologia.
A consultoria da PricewaterhouseCoopers listou recentemente os desafios enfrentados por empresas pioneiras na adoção da nuvem computacional, quais sejam:
Percebe-se que a falta de planejamento e estratégia é o maior problema na mudança.
O departamento de TI de uma empresa normalmente é o responsável por pessoas, processos e infraestrutura relacionados à implantação de tecnologias. A empresa compra os equipamentos, licenças de software, gerencia a segurança dos data centers, define processos e procedimentos e contrata pessoal para deixar tudo funcionando.
No modelo de nuvem pública, muitas dessas responsabilidades podem ser atribuídas ao provedor de serviço de nuvem, de modo que os administradores de sistemas podem ser empregados próprios do provedor ou até mesmo um serviço terceirizado. Este cenário é semelhante ao da terceirização de serviços críticos de TI, porém alguns pontos legais, operacionais e de segurança são únicos na nuvem e requerem uma atenção especial.Normalmente as empresas não percebem essas nuances e não se aprofundam na avaliação de alternativas desse novo modelo de implantação da tecnologia.
Uma característica que normalmente acaba negligenciada em nome da aparente segurança no caminho da assunção própria do serviço é a flexibilidade e capacidade de expansão da nuvem, comum em soluções com hardware compartilhado entre os clientes.Os limites de segurança entre uma empresa e outra, nestes casos,passam a ser apenas virtuais, por meio do uso de compartimentos virtualizados.
Nesse contexto, a governança surge com a responsabilidade de gerenciar esse processo de mudança e garantir que os objetivos com a nuvem sejam alcançados.
Quando se fala em governança na nuvem, fala-se de planejamento com foco em segurança e gerenciamento dos gastos, incluindo conformidades, gerenciamento de risco, identidade e gerenciamento de acesso, integridade de serviço e proteção da informação. É necessária uma visão clara e objetiva dos processos, necessidades e da estrutura organizacional envolvida antes de levar à empresa tal inovação.
Percebe-se então que, para garantir o sucesso nessa empreitada, um Framework de governança é essencial. Existem diferentes tipos de Framework de governança para diferentes tipos de soluções, mas é importante ter em mente que a nuvem computacional demanda um Framework que dê muita importância e foco no tema segurança.
Assim como ocorre na governança de TI,o Framework de segurança na nuvem deve estender seu alcance desde a esfera individual até a visão organizacional. Deve-se trabalhar todos os riscos em suas diferentes facetas, gerenciá-los de forma adequada, garantindo a segurança e a conformidade de todo ambiente da organização na nuvem.
O sucesso da implantação dessa nova tecnologia depende de uma confiável política de segurança, aceita por todos na organização, atuando com sinergia,no intuito de manter o ambiente de compartilhamento seguro.Para garantir isso, alguns aspectos devem ser observados:
Enfim, com ou sem Framework, o objetivo da estratégia de gerenciamento da informação deve ser a garantia de que os dados suportem as prioridades do negócio de forma eficiente, efetiva e segura. Sem uma boa governança e estratégia de gerenciamento de serviços, o projeto de adoção na nuvem estará fadado a falhar, independente da adesão ao serviço por provedor especializado ou a construção de nuvem própria. A governança é imprescindível para o sucesso dessa empreitada, independente de abordagem ou recurso tecnológico utilizado.
2.2 Segurança e privacidade
A segurança é frequentemente determinada como a maior preocupação entre os consumidores da nuvem, principalmente pela dificuldade de se conseguir garantias contratuais necessárias do controle de dados, disponibilidade, riscos de perdas de informações e as dificuldades de reforçar políticas de segurança da organização. Um aspecto importante da segurança na nuvem computacional é a questão da privacidade das informações, principalmente quando se trata da nuvem pública. Aqui serão abordados dois pontos importantes: a autenticação e os reflexos da consumerização de TI.
1) Autenticação
Se os sistemas e computadores alocados ficam fora da empresa, é preciso adotar estratégias para garantir segurança no acesso aos recursos. As políticas de segurança estão relacionadas com a quantidade de equipamentos a serem controlados – quanto mais serviços e equipamentos, maior será o controle. Igualmente importante é saber se a organização está pronta para estender as políticas de segurança até a nuvem, mantendo um maior controle sobre o acesso e sobre a informação, tarefa que tipicamente fica sob responsabilidade dos próprios provedores de serviços.
Um dos métodos mais efetivos de se mitigar os riscos de segurança na nuvem é a utilização de um segundo fator de autenticação. Evidencias mostram que senhas estáticas não são suficientes contra ataques cibernéticos. Mesmo que os usuários estejam conscientes e utilizem senhas extremamente complexas, ainda assim a segurança não é garantida.
O segundo fator de autenticação implica no provimento de dois meios de identificação, um que é basicamente um token físico, como um cartão, e outro que é tipicamente algo memorizado, como um código de segurança. Nesse contexto, caracterizamos esses dois fatores como“algo que o usuário possui” e “algo que o usuário sabe”.
A segurança de acesso estruturada em dois fatores de autenticação pode reduzir drasticamente o incidente de roubo de identidade online, phishing e outras fraudes comuns, já que a apropriação da senha da vítima não é mais suficiente para permitir acesso às informações do usuário.
2) BYOD e a Shadow IT
Hoje em dia tornou-se comum funcionários levarem seus próprios dispositivos móveis para o trabalho e os utilizarem para compartilhar arquivos ou dados dentro e fora do escritório. Isso criou uma nova tendência chamada de consumerização de TI, que inclui o uso de serviços e aplicativos de fornecedores independentes, ligados diretamente na nuvem ou em redes sociais.Segundo o Gartner, a “consumerização da TI” será a tendência mais importante a afetar a TI nos próximos dez anos e isso inclui o gerenciamento de dispositivos móveis, gerenciamento de aplicativos, proteção de dados, segurança de TI e muito mais.
Um fenômeno que acompanha o crescimento do processo de consumerização da TI e atinge a segurança é a chamada “Shadow IT” ou computação invisível. A computação invisível ocorre quando equipamentos ou aplicativos são utilizados dentro das empresas sem possuírem autorização do departamento de TI.
No passado, a computação invisível era resultado de empregados impacientes que desejavam o uso imediato de um equipamento, aplicação ou algum serviço sem ter que seguir os passos e políticas necessárias para obter o acesso. Com a consumerização, o significado expandiu-se e passou a incluir a tecnologia pessoal que empregados utilizam no trabalho.
Esse fenômeno implica em grandes riscos de segurança pois hardware e software não autorizados não estão sujeitos às mesmas medidas de segurança aplicadas aos equipamentos suportados pela TI da empresa. Com isso, a infraestrutura da empresa entra em contato com tecnologias que operam sem o conhecimento do departamento de TI, podendo afetar de maneira negativa a experiência de outros usuários da empresa ao impactar o consumo de banda de internet, por exemplo,criando situações em que os protocolos de rede ou softwares entrem em conflito.
Para minimizar esses riscos de segurança e se beneficiarem do uso de equipamentos pessoais, com a redução de custos, agilidade e mobilidade, as empresas passaram a adotar a chamada política do “Bring your own device” ou apenas BYOD, outro aspecto da tendência de consumerização. O BYOD é um conjunto de regras para gerenciar e suportar os equipamentos pessoais dos empregados, incluindo computadores, tablets e celulares. Através do BYOD, os empregados possuem a autorização de uso de seus equipamentos por meio de um controle que permite mitigar os riscos de segurança, diferente do que ocorre com o Shadow IT.
Mas para muitas empresas o BYOD ainda representa um grande risco, muitos até se referem ao mesmo por “Bring Your Own Disaster”, principalmente pelo fato de que o processamento de dados pessoais fica sob responsabilidade da empresa. Como se não bastasse, os problemas do BYOD estão sendo agravados por algo chamado “Bring your own Cloud” (BYOC), considerado uma ameaça ainda maior.
Com BYOC, os empregados estão instalando serviços da nuvem pública como DropBox e ICloud em seus computadores de trabalho ou dispositivos moveis. O BYOC introduz uma nova ameaça à segurança nas empresas, não só pela exposição à vulnerabilidades adicionais trazidas pelos softwares, mas também por ofuscar as barreiras entre os dados pessoais e dados confidenciais da organização, tornando mais difícil a manutenção e controle de políticas de acesso e distribuição de informação corporativa.
O BYOC é um problema ainda maior em organizações públicas. Do ponto de vista legal, o uso desses serviços na esfera federal, por exemplo, parece afrontar o Decreto nº 8.135, de 4/11/13 e a Portaria Interministerial MP/MC/MD nº 141 de 02/05/2014, que indicam que as comunicações e o armazenamento das informações governamentais devam se dar por órgãos da administração pública. Ainda que as informações eventualmente não sejam confidenciais, deve-se cuidar de aspectos como disponibilidade e integridade. O servidor público pode confundir o público com o privado e, muitas vezes, acaba por disponibilizar dados públicos sensíveis em serviços privados de nuvem, como Dropbox ou Google Drive. O controle sobre a maneira como o usuário utiliza um serviço desses é muito difícil. Quando disponível, esse tipo de serviço em uma organização pública depende de uma política de uso muito bem construída e conhecida, para se tornar realmente efetiva.
Percebe-se que muito ainda deve ser feito para se garantir a segurança das informações das empresas que passam por esses dispositivos ou serviços, principalmente com relação ao risco compartilhamento de informações confidencias ou sensíveis fora da empresa. As empresas precisam buscar uma solução de gerenciamento de segurança unificada que forneça visibilidade e controle sobre todos os dispositivos e aplicativos que utilizam dados corporativos, permitindo que as organizações aproveitem os benefícios da consumerização. A TI não pode controlar o que ela não consegue perceber, logo, priorizar esse controle é crucial.
3. As Oportunidades que surgem
3.1 Mobilidade
Não há dúvidas de que a mobilidade empresarial será o caminho para o futuro. Com o novo padrão web HTML5 aliado ao aumento de cobertura da internet móvel e a necessidade de sempre estar conectado à empresa através dos serviços colaborativos, a “Nuvem Móvel” vem se mostrando uma grande oportunidade para ganho de flexibilidade e produtividade nas empresas.
De acordo com o estudo desenvolvido pela Juniper Research, esse mercado deve atingir em 2014 uma receita de $9.5 bilhões, um crescimento de 88% em relação ao ano de 2009. Além disso, existe a consequência inesperada do BYOD, que irá dobrar ou até triplicar o tamanho da força de trabalho de equipamentos móveis. Em pesquisa da Trend Micro, as 5 razões que fazem as empresas permitirem o uso de equipamentos pessoais para trabalho são:
Já a pesquisa da VDC Research reportou recentemente que 75% dos tomadores de decisão em TI estão implantando ou planejando o suporte ao BYOD, e recentemente a Kony revelou que 85% das empresas americanas estão adotando o BYOD. Esses resultados mostram claramente que a nuvem móvel é a bola da vez na nuvem computacional.
Através dos aplicativos em equipamentos móveis, usuários corporativos podem acessar os dados da empresa, compartilhar arquivos, colaborar em projetos e muito mais, e tudo isso de qualquer lugar e a qualquer hora, criando benefícios de produtividade e flexibilidade à empresa.O aplicativo móvel é acessado pela internet ao invés de ser instalado em todo dispositivo ou em algum servidor do usuário final. Removendo a aplicação, os dados e o processamento dos equipamentos, companhias podem reduzir de forma significativa o tempo de implantação dessas soluções. A nuvem computacional torna esses sistemas mais baratos e muito mais fáceis de manter, já que os fabricantes dos equipamentos são os responsáveis pela manutenção e atualização.
De acordo com dados da pesquisa da ABI, até 2015 mais de 240 bilhões de empresas consumidoras alavancarão os serviços da nuvem utilizando equipamentos moveis, levando a receita da nuvem móvel para U$5.2 bilhões.
Os aplicativos de gerenciamento de informação pessoal (e-mail, agenda, contatos, entre outros) continuam com a liderança na lista dos mais importantes, porém a tendência é que se desenvolvam aplicativos de CRM e dados de BI das empresas para se permitir o acesso aos dados e o gerenciamento da companhia em tempo real.
3.2 Acesso aos grandes softwares
Outro ponto que vale a pena destacar é que a nuvem tem democratizado os processos de aquisição de softwares e aplicações ao ponto em que até pequenas empresas possuem acesso a soluções consideradas essenciais nas estratégias e negócios de grandes empresas, já que o custo agora é baseado no uso do serviço, não inclui mais toda a infraestrutura de servidores, banco de dados e armazenamento necessários para suportar essas aplicações.
Essa mudança também abriu uma onda de inovações e aumentou a competitividade em aplicações legadas de empresas como a SAP, ORACLE, Microsoft e outras grandes companhia.
As pequenas empresas agora deixam de competir com base em estrutura e passam a competir com base no mercado de aplicações, tornando a nuvem uma importante arma estratégicas.
4. Conclusões
Com a redução da complexidade de implantação, companhias que aproveitam a vantagem da nuvem podem reduzir de maneira significativa os custos e aumentar o retorno sobre o investimento com o uso dessa tecnologia.
As reduções de custos são reflexos dos diminutos custos de implantação e da eliminação dos custos de manutenção de infraestrutura, como servidores dedicados e outros recursosou serviços.A flexibilidade das soluções facilita ainda a expansão e atualização das aplicações a custos muito menores.
Porém, antes de migrar para a nuvem, as empresas devem avaliar a sua própria capacidade de rede e os requerimentos de segurança para garantir que a infraestrutura possa ser transferida para o modelo de hospedagem de forma segura e sustentável. Deve-se avaliar se os fornecedores de serviços nas nuvens podem garantir que suas necessidades sejam atendidas, com a disponibilidade exigida e ponderar com a medida de impacto e a relação custo-benefício da mudança a longo prazo.
[Crédito da Imagem: Cloud Computing – ShutterStock]
Engenheiro de Computação pela Universidade Federal de Goiás
You must be logged in to post a comment.
