Escolar Documentos
Profissional Documentos
Cultura Documentos
Resumo
Os servios de computao na nuvem, vulgarmente conhecidos por Cloud Computing, so
presena cada vez maior no portflio de servios dos providers a operar no mercado das TI.
A passagem para a nuvem relaciona-se frequentemente com uma viso de menores custos
e maiores oportunidades de negcio, geradas por um novo modelo de distribuio de servios
de TI. Porm, existem riscos e ameaas que so necessrias mitigar contribuindo para isso
uma Governao eficaz desses servios, a definio de mtricas de desempenho e a
implementao de mecanismos de monitorizao permanente.
Nesse contexto o modelo de Cloud Computing reveste-se de particularidades que o
distinguem dos tradicionais modelos de computao na nuvem. Os riscos so diferentes
para cada modelo de servio de TI na Cloud e so diferentes para cada modelo de
implementao.
Nessa medida vital uma clarificao do conceito subjacente ao modelo e s reas crticas
de operao, como o caminho para identificar com maior rigor os riscos existentes e assim
avaliar o grau de ameaa que representam para as empresas.
Palavras chave: Cloud Computing, Governao de TI, Riscos, Auditoria de segurana das TI,
Cloud Services Provider, CobIT 5, SLA, Computao na nuvem, SaaS, IaaS, PaaS
Pgina 1
1. Introduo
Nos ltimos anos a oferta de servios de Tecnologias de Informao (TI) em infraestruturas,
plataformas e aplicaes na Cloud tem crescido de forma exponencial, como resposta aos desafios
dos mercados, sujeitas a variaes extremas que requerem respostas rpidas e flexveis por parte
das TI, mas tambm devido a constrangimentos econmicos que h muito deixaram de ser
conjunturais.
O ltimo relatrio da Capgemini, Word Quality Report 2013-2014 1 [ISACA Journal - BIG
DATA, 2014], estima que 32% de todos os testes de software se referem a aplicaes na Cloud
enquanto um outro estudo da Gartner Gartner Identifies Seven Major Projects CIOs Should
Consider During the Next Three Years 2 estima que o mercado de Cloud Computing atinja os
$150 bilhes USD em 2014 pelo que esta tendncia no deve ser menosprezada, nem pelos
fornecedores de servios de TI na Cloud, Cloud Services Providers (CSP), nem pelas empresas
clientes que podem beneficiar e alavancar o seu negcio a partir desses servios.
As principais razes que levam as empresas a optar pelo Cloud Computing esto geralmente
associadas s caractersticas do servio, onde se destaca uma maior eficcia na gesto dos recursos
de TI, maior agilidade e acesso a tecnologias inovadoras e, por conseguinte, a uma maior
competitividade no mercado em que operam e aos menores custos de investimentos em TI.
Os impactos na gesto e nas operaes dirias das empresas so, no entanto, inmeros:
Riscos de segurana, ameaas de exposio da privacidade dos dados sensveis das empresas,
riscos de disponibilidade dos servios ou riscos de conformidade com requisitos legais e
estatutrios [Thor Olavsrud, 2012].
As notcias do-nos conta, quase diariamente, de exemplos como estes que acabmos de referir.
Por exemplo a falha em larga escala dos servios da Amazon, em 2011, as vulnerabilidades da
Dropbox que permitiram o acesso de utilizadores aos dados de outros utilizadores sem autorizao
ou mesmo os casos recentes discutidos ao nvel da National Security Agency (NSA), de Edward
Snowden [ISACA Journal - BIG DATA, 2014]!
Enfim, riscos estimveis mas que so uma barreira difcil de ultrapassar para as empresas, os
Cloud Services Customer (CSC), ponderem migrar os seus servios de TI empresariais para um
modelo de Cloud Computing [COBIT5 Security, 2012].
Estes aspetos reforam o argumento da necessidade destes riscos serem tratados e controlados de
modo a no interferirem no alinhamento estratgico do Cloud Computing com os objetivos do
negcio do cliente, o CSC.
Neste artigo iremos refletir sobre esse conjunto de aspetos que devem ser considerados
previamente mudana dos servios de TI para a Cloud. Vamos comear por:
Definir com maior rigor o conceito Cloud Computing de acordo com a definio da
National Institute of Standards and Technology (NIST) e o atual paradigma BPaaS e
ITaaS 3, definidos mais adiante, e os principais aspetos que o caracterizam e distinguem
dos tradicionais modelos de computao na nuvem;
De seguida iremos identificar os principais riscos e ameaas que pesam sobre as decises
inerentes passagem dos servios de TI para a Cloud;
www.capgemini.com/thought-leardship/world-quality-report-2013-14
www.gartner.com/newsroom/id/1465614
2. Cloud Computing
Cloud Computing no apenas computao na nuvem! Com efeito, de acordo com a definio
do National Institute of Standard and Technology [NIST 2012], Cloud Computing um modelo
que permite o acesso a pedido do cliente (CSC) a um conjunto partilhado de recursos de
Tecnologias de Informao (TI), como por exemplo, componentes de rede, servidores,
armazenamento e aplicaes de computador, rapidamente fornecidos e disponibilizados, com um
mnimo de esforo e interao por parte do fornecedor de servios Cloud (CSP) [HARDING
2011]. Qualifica-se desta forma devido s suas cinco caractersticas essenciais, aos seus trs
modelos de servio e quatro modelos de implementao, ilustrados na figura 1.
Acesso a rede
global
Rpida
elasticidade
Servios
mensurveis
Servios a
pedido
Caractersticas
Essenciais
Pilha de recursos
Processos / TI / Sw
como Servio
(BPaaS / ITaaS / SaaS)
Plataformas
como Servio
(PaaS)
Infraestruturas
como Servio
(IaaS)
Modelos
Servio
Modelos
Pblica
Privada
Hbrida
Comunitria
Implementao
Figura 1 - Modelo visual da NIST de definio de Cloud Computing, adaptado [CSA 2012]
O conceito as a service pode ainda ser aplicado aos processos de negcio, apesar de no estar
ainda includo na taxonomia do modelo de Cloud Computing da NIST, (Cloud Computing 2.0),
como o payroll, CRM e billing, designando-se neste caso, por Business Process as a Service
(BPaaS) [IBM DeveloperWorks, 2012] . O BPaaS difere do SaaS por incluir servios na Cloud
em parte executados por pessoas e no apenas por aplicaes de software [Mike Kavis, 2013].
A um outro nvel temos ainda o IT as a Service (ITaaS), desde que fornecido por Cloud Services
Providers (CSP) que inclui a quantidade de servios de TI, designadamente hardware, software
e suporte, para que o Cloud Services Customer (CSC) possa gerir o seu negcio e os seus Sistemas
de Informao como um todo (SaaS, PaaS e IaaS) [VMWARE CIO, 2012].
Estes aspetos, fundamentalmente os que fazem parte da taxonomia NIST, no seu conjunto e em
simultneo distinguem o Cloud Computing de outros modelos tradicionais de computao na
nuvem.
So inmeras as vantagens econmicas e operacionais para as organizaes, mas existem tambm
muitos desafios e obstculos que as empresas, os CSC devem analisar. Vantagens que decorrem
da disponibilidade, rapidez, flexibilidade e escalabilidade no fornecimento dos servios de TI,
Pgina 3
que passam a ser disponibilizados a pedido do cliente e medida das suas necessidades. Por outro
lado, a motivao por um CAPEX4 mais reduzido, uma vez que se adota um conceito pay-as-yougo, sem investimento inicial em hardware ou software, ao mesmo tempo que se liberta a empresa
do peso e do nus da gesto tcnica das TI. Mas a migrao de uma infraestrutura de TI na parte
ou no todo para um CSP no isenta de responsabilidades a empresa cliente, o CSC, perante
terceiros, stakeholders e shareholders, dos resultados e impactos negativos possveis que da
possam resultar! Quando se opta por servios na Cloud vital que a empresa tenha o know-how,
as competncias e capacidades internas que assegurem uma adequada monitorizao da qualidade
dos servios fornecidos pelo Cloud Services Providers (CSP). Este tema ser, porventura, um dos
primeiros desafios dos profissionais de segurana das TI que passam a ter de lidar com um novo
paradigma de servios, paradigma esse em grande parte relacionado com o nvel de abstrao que
incorpora o modelo Cloud Computing, como alis iremos explicar mais adiante [ISACA Journal
- BIG DATA, 2014].
Os desafios seguintes resultam da perda do controlo direto e do sentido de localizao fsica dos
dados, dos potenciais riscos associados partilha de recursos, nomeadamente aplicacionais,
devido s caractersticas multitenancy5 do modelo, mas tambm, no menos importante,
dependncia e perda de autonomia para terceiros, dos servios de TI [CLOUD COMPUTING
2012].
Caracterstica que permite que uma instncia de software instalado num servidor possa servir mltiplos clientes de
vrias organizaes
Pgina 4
.
Figura 2 - Modelos de servio Cloud computing fonte: [CLOUD COMPUTING 2012]
De acordo com o ISACA, Security Considerations for Cloud Computing [CLOUD
COMPUTING 2012], so identificados e caracterizados os potenciais riscos geradores de eventos
com impacto negativo, classificados de acordo com a ameaa produzida ou seja o risco que
representam para a empresa cliente, os Cloud Services Customer (CSC). Estes riscos so
tipificados em Indisponibilidade da informao, Perda, Roubo, ou Divulgao de dados sensveis
e so listados a seguir, de acordo com cada um dos modelos de servio (IaaS, PaaS, SaaS) e
depois para cada um dos modelos de implementao Publica, Privada, Hibrida e Comunitria.
7 Riscos
Pgina 8
Apesar de tudo o que foi referido at aqui, os riscos identificados para cada modelo de servio e
para cada modelo de implementao no representam um nvel de ameaa igual para todas as
empresas. Esto sobretudo relacionados com a atividade e a dimenso do CSC e por isso cada
organizao deve avaliar o risco face aos eventos e aos impactos que possa produzir no seu
negcio. As aes tero de passar pela eliminao, mitigao, transferncia, ou mesmo aceitao
do risco, nos nveis considerados aceitveis para o negcio, figura 2.
Medidas
Avaliao
Gesto
Risco
Return of Investment
Pgina 9
5. Concluso
A Governao das TI, enquanto mecanismo subordinado Governao geral da empresa, assumese como instrumento sistemtico de boas prticas para suporte s grandes decises estratgicas e
maximizao dos investimentos em TI. A eficcia da Governao est intimamente ligada
utilizao de frameworks globalmente aceites e que so independentes da dimenso ou ramo de
atividade.
O Cloud Computing deve ser uma consequncia de decises estratgicas e exige prticas de
controlo e monitorizao permanente ao longo de todo o ciclo de vida dos servios, em que a
Auditoria de Sistemas de Informao desempenha uma funo vital com foco aspetos
fundamentais como a conformidade e o desempenho.
A confiana na relao que se estabelece entre o cliente-empresa e o CSP, fornecedor dos servios
de computao na nuvem tambm fundamental em todo o ciclo de servios da Cloud.
Mas na identificao e avaliao prvia dos riscos para o negcio nas suas vertentes especficas,
i.., quanto ao modelo de servio e quanto ao modelo de implementao e na respetiva mitigao,
que reside grande parte do sucesso do modelo de Cloud Computing que nos propomos validar e
detalhar num prximo artigo.
Pgina 12
6. Bibliography
CANNON, David L. 2011. CISA Certified Systems Auditor Study Guide. 3nd. Indianopolis : John
Wiley & Sons, Inc., 2011.
CISA. 2014. CISA Review Manual. USA : ISACA, 2014.
CLOUD COMPUTING. 2012. Security Considerations for Cloud Computing. 2012.
CLOUD GOVERNANCE. 2013. Cloud Governance: Questions Boards Of Directors Need to
Ask. 2013.
CMMI Product Team-Carnegie Mellon University. 2010. CMMI for Development, Version
1.3. s.l. : SEI publications, 2010.
COBIT5 Assurance. 2014. COBIT 5 for Assurance. Rolling Meadows, IL 60008 USA : ISACA,
2014.
COBIT5 Framework. 2012. COBIT 5 - A Business Framework for the Governance and
Management of Enterprise IT. Rolling Meadows USA : ISACA, 2012.
COBIT5 Security. 2012. COBIT 5 - For Information Security. 2012.
COBIT5 Vendor Management. 2014. Vendor Management: Using COBIT 5. Rolling Meadows,
IL 60008 USA : ISACA, 2014.
CSA. 2012. Security Guidance for Critical Areas of Focus in Cloud Computing. 2012.
HARDING, Chris. 2011. Cloud Computing for Business. Amersfoort, NL : Van Haren, 2011.
IBM DeveloperWorks. 2012. Delivering Business Process as a Service (BPaaS). s.l. : IBM,
2012.
ISACA. 2009. ISACA Serving IT Governance Professionals. 15 de Out de 2009.
ISACA Journal - BIG DATA. ISACA. 2014. Selecting the right Cloud operating model - Privacy
and Data Security in the Cloud, Rolling Meadows, Illinois, USA : ISACA, 2014, Vol. 3, p. 32.
ISO/IEC. 2004. ISO/IEC-15504 Information technology . Switzerland : ISO/IEC, 2004.
ISO/IEC-27002:2013. 2013. Information techonology - security techniques - ISO/IEC
27002:2013. Geneva : ISO/IEC, 2013.
ITGI - IT Governance Institute. 2008. Aligning CobiT 4.1, ITIL V3 and ISO/IEC 27002
for Business Benefit. EUA : ITGI, ISACA, OGC and TSO, 2008.
Mike Kavis, Esmeralda Swartz, Liz McMillan, Dana Gardner, Andreas Grabner. 2013.
Cloud BPM : Enabling the Emerging BPaaS Market. Cloud Computing Journal. [Online] 2013.
NIST. 2012. Definition of Cloud Computing. 2012.
OECD. 2002. OECD Guidelines for the Security of Information Systems and Networks. Paris :
OECD, 2002.
OGC CSI. 2007. ITIL Continual Service Improvement v3. London : TSO, 2007.
OGC SD. 2007. ITIL Service Design v3. London : TSO, 2007.
OGC SO. 2007. ITIL Service Operation v3. London : TSO, 2007.
OGC SS. 2007. ITIL Service Strategy v3. London : TSO, 2007.
OGC ST. 2007. ITIL Service Transition v3. London : TSO, 2007.
Thor Olavsrud, Dan Muse. 2012. How Secure Is the Cloud - IT Pros Speak Up. CIO Review.
2012.
Pgina 13
Vaz, Johann, et al. 2013. Securing the cloud: important steps to protect sensitive information as
data storage involves. 2013.
VMWARE CIO. 2014. Delivering IT as a Service. white paper | itaas. 2014.
Pgina 14