Os resultados deste trabalho apresentam diversas vantagens agregadas para a empresa PRODAP e as secretarias atendidas por ela, tais como: otimização de recursos, atendimento de necessidades conforme as demandas das secretarias, permitir as secretarias gerenciarem seus próprios recursos disponíveis na nuvem, garantir maior segurança da informação no ambiente, aumento de credibilidade da PRODAP. Estes resultados obtidos na proposta deste trabalho expõem vantagens previstas com a adoção de cenários de computação em nuvem que utilizem a técnica de virtualização como infraestrutura base para criar o ambiente de oferta de serviços. Jackson (2011) apresenta de forma explícita algumas das vantagens apresentadas neste trabalho, como por exemplo, a redução de consumo de energia, mitigação de risco com segurança da informação, inovação tecnológica com a adoção de nuvem.
A solução apresentada ilustra valor agregado para a PRODAP no modelo de oferta de serviços de TI para os clientes, uma vez que o novo cenário, agora escalável pode atender a demanda das necessidades de serviços de TI. Neste cenário de nuvem privada aplicada à empresa pública, alguns desses agregados já estão sendo implantados no âmbito governamental na esfera federal, especificamente para serviços SaaS (INFO, 2013).
A proposta deste trabalho apresentou uma metodologia a ser utilizada para criação de uma infraestrutura de computação em nuvem privada em uma empresa de processamento de dados, ofertando serviços de TI em seu ambiente. A proposta utilizou ferramental em software livre, trazendo redução de custos para o processo de implementação, e justificando a adoção da solução, além de agregar outras vantagens, como mitigação de riscos de segurança, padronização de modelo de oferta de serviços, garantia de SLA para as os clientes usuários dos serviços hospedados na nuvem.
Na solução da proposta deste trabalho, observou-se uma redução substancial referente ao quantitativo de máquinas utilizadas para ofertar os serviços de TI das secretarias,
apresentou ainda a oportunidade de escalar os serviços ofertados conforme a demanda e por fim aderir à conformidade de segurança da informação. O trabalho de Portella (2010) apresenta outros resultados substanciais no que tange à redução de custos com consumo de energia, resultados os quais foram apresentados também neste trabalho, como a redução do consumo de energia e diminuição na quantidade de máquinas físicas. Os resultados desse trabalho apresentaram não apenas a vantagem de se utilizar o cenário de computação nuvem privada, mas sim de se planejar um processo de mudança de cenário pensando em conformidade de normas e melhores práticas do mercado, e por fim, permitiu-se realizar um mapeamento de análise e avaliação de riscos e mitigá-los na fase de tratamento utilizando uma abordagem adaptada de (RAMOS, 2006) e regulamentada em (ISO_3, 2011).
No que tange à redução de riscos de segurança da informação, a proposta deste trabalho apresentou resultados que ilustram a redução de riscos de segurança com a adoção de computação em nuvem comparado com um ambiente que utiliza um modelo de oferta de serviços tradicionais, modelo apresentado no Capítulo 3, refere-se à empresa PRODAP, esta foi utilizada como estudo de caso para validar a proposta deste estudo. O trabalho apresentou como a adoção de nuvem pode ser utilizada para mitigar riscos de segurança da informação em ambientes computacionais. Observou-se que a média de redução de riscos após a implementação da proposta desta pesquisa foi de 60%, como ilustrado na Tabela 11, comparado ao cenário tradicional de oferta de serviços de TI da PRODAP.
Outro fator motivador que a proposta agregou para a PRODAP após sua implantação foi a aderência a melhores práticas e documentações que regem a segurança da informação e segurança em computação em nuvem, isso se torna primordial na empresa pública, pois esta armazena e trata informações que necessitam de tratamento atencioso no quesito de segurança da informação, já que são dados estratégicos das secretarias de governo. Assim, a proposta se preocupou em garantir conformidades com as melhores práticas do mercado e normas de segurança da informação, como, NIST (2011), CSA (2011) e ISO_2 (2005).
Outros fatores que trouxeram impactos positivos com a adoção de nuvem privada para a PRODAP foram redução de custos, menos consumo de energia, mais agilidade no atendimento das demandas das secretarias, garantia de SLA, atendimento de demandas de recursos e softwares conforme necessidade das secretarias, segurança com redundância dos dados, e outras vantagens já apresentadas ao longo deste trabalho. Isso mostra o quanto se torna vantajoso a aderência de cenário de nuvem privada para uma empresa pública que usa um modelo de provedor de serviços de TI como a PRODAP.
5.5 SUMÁRIO DO CAPÍTULO
Neste capítulo foi contextualizado o processo de implantação de um cenário de computação em nuvem privada para uma empresa pública de Processamento de Dados Estadual. Neste sentido, foram descritos os valores agregados da implementação da infraestrutura de nuvem para a PRODAP e seus clientes.
Por fim, a partir do ambiente implantado baseado em nuvem privada, foram apresentados os resultados positivos e impactos de adoção, como redução de custos, melhor administração e gerenciamento da infraestrutura, mitigação de riscos de segurança da informação, de conformidade com processos de normas e melhores práticas de segurança em computação em nuvem. Adoção esta que atendeu às demandas dos clientes da PRODAP.
C
APÍTULO
6
CONCLUSÃO E TRABALHOS FUTUROS
Visando atender aos objetivos específicos detalhados no primeiro capítulo, esta dissertação buscou expandir os horizontes da pesquisa sobre computação em nuvem, e mostrar ainda que impactos positivos à implantação de uma nuvem privada podem trazer para uma empresa governamental estadual em um modelo de provedor de serviços aderente às conformidades de segurança da informação, oportunizando mitigar preocupações de segurança computacional.
Neste sentido, a dissertação apresentou aspectos qualitativos e quantitativos os quais ilustram que benefícios uma organização de processamento de dados pública pode ter com a utilização de nuvem privada, benefícios esses como redução de custos, melhora de gerenciamento dos dados, padronização da infraestrutura computacional e documentação de processos e procedimentos utilizados na gerência do cenário.
A proposta abordou apenas a utilização de serviços na nuvem privada, não abordando nuvem pública ou híbrida. Isso ocorre por algumas regulamentações que tratam requisitos de segurança no armazenamento de dados, que deve ser realizado internamente pela organização. Sobretudo, já existem empresas públicas utilizando soluções híbridas e inclusive as soluções ferramentais de computação em nuvem já contemplam o tratamento de dados privado e público.
A proposta deste trabalho visou ampliar as discussões sobre vantagens de implantação de nuvem privada, utilizando a técnica de virtualização em organizações públicas, servindo como cenário para redução de custos operacionais e gerenciais. O trabalho apresentou os passos e soluções ferramentais necessário para a criação de um ambiente de nuvem privada utilizando software livre; Apresentou os benefícios que o cenário de nuvem privada agregou para os clientes que utilizam os serviços hospedados na PRODAP, dentre eles gerenciamento de recursos, definição de SLA, gerenciamento de mudanças, mitigação de riscos e redução de custos. A proposta ainda contemplou em sua análise de impacto na adoção do cenário de nuvem, a avaliação de redução de consumo de energia, proposta validada como expõe o trabalho de Portella (2010), que avalia a redução de consumo de energia com a utilização da tecnologia de virtualização, tecnologia esta proposta nesta pesquisa.
ambiente de nuvem privada com a técnica de virtualização, a solução foi a XCP. Necessita-se, no entanto, ler a documentação oficial disponível no site do projeto, pois a mesma por padrão vem com alguns problemas de customização, com exemplo, o template padrão de tamanho alocado de memória por máquina virtual. Assim, para solucionar este problema, existe um procedimento a ser realizado, descrito no site do projeto.
Este trabalho apresentou também os benefícios obtidos com a implantação da solução em nuvem privada para a PRODAP, comparado ao modelo anteriormente utilizado para oferta de serviços pela empresa pública. Além de todo cenário estar aderente às documentações de melhores práticas de segurança da informação e segurança em computação em nuvem como (NIST, 2011), (ISO_2, 2005) e (CSA, 2011). Possibilitando ainda a implementação realizar a mitigação de riscos no que tange à segurança da informação no processo de tratamento do risco, reduzindo assim a possibilidade de incidentes de segurança ocorrem no ambiente de oferta de serviços da PRODAP.
Para validar a proposta deste trabalho referente à mitigação de risco, foi adotada a metodologia avaliativa de análise e avaliação de riscos, metodologia essa adaptada de (RAMOS, 2006) e ainda regulamentada como norma em (ISO_3, 2011). Após a análise foi realizado o tratamento do risco e avaliado o quanto foi mitigado de risco com a adoção da proposta de nuvem.
O trabalho contribuiu para que empresas no segmento público possam melhorar a oferta de seus serviços utilizando um cenário de nuvem privada em sua própria infraestrutura, e garantindo a segurança dos dados nesse cenário. O trabalho ainda contribui academicamente apresentando passos utilizados para uma proposta de implementação em nuvem privada utilizando ferramental em software livre e avaliando o risco utilizando técnicas de análise e avaliação de risco qualitativa. Outro fator agregador é que a proposta deste trabalho contemplou a visão de garantir a segurança da informação na nuvem conforme é fomentado atualmente em instruções normativas pelo Governo Federal do Brasil.
Oportunidades futuras de pesquisa incluem o desenvolvimento de um framework e software web para que os clientes possam ter a autonomia de criarem e personalizarem a criação de sua infraestrutura ou escolha de softwares dentro da nuvem privada da PRODAP. Assim, teria-se um processo menos oneroso e daria-se mais autonomia para os clientes, não necessitando solicitar a PRODAP criar o cenário necessário da secretaria. Outro ponto que pode ser avaliado em trabalhos futuros, seria avaliar o processo de armazenamento de dados na nuvem privada da PRODAP. Hoje, a secretaria tem que solicitar formalmente a PRODAP a
necessidade e demanda de seu cenário para ser criado. E por fim, apesar de ter sido apenas comentado no decorrer do trabalho, seria interessante desenvolver uma proposta de avaliar a redução do consumo de energia em uma proposta de adoção em nuvem.
REFERÊNCIAS
ANDRADE, Hilson G. V. (2013). Estudo de viabilidade de um serviço de Cloud Storage, utilizando recursos ociosos, por uma Operadora de Telecomunicações. Dissertação de Mestrado Profissional. CIN/UFPE.
ARMBRUST, M.; FOX, A.; GRIFFITH, R.; JOSEPH, A. D.; KATZ, R.; KONWINSKI, A.; LEE, G.; PATTERSON, D.; RABKIN, A.; STOICA, I.; ZAHARIA, M. (2009). Above the Clouds: A Berkeley View of Cloud Computing. EECS Department, University of California, Berkeley. Disponível em: <http://www.eecs.berkeley.edu/Pubs/TechRpts/2009/EECS-2009- 28.pdf>. Acesso em 16/08/2012.
BUYYA, R.; YEO, C.; VENUGOPAL, S. (2008). Market-Oriented Cloud Computing: Vision, Hype, and Reality for Delivering IT Services as Computing Utilities. 10th IEEE International Conference on High Performance Computing and Communications, 5-13.
CAMPOS, André. (2007). Sistema de Segurança da Informação: Controlando os Riscos 2 edição. Visual Books. Santa Catarina.
CERT, Centro de Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil. (2012). Estatísticas dos Incidentes Reportados ao CERT.br. Disponível em: <http://www.cert.br/stats/incidentes/#2012>. Acesso em 22/11/2012.
CSA, Cloud Security Alliance. (2011). Security Guidance for Critical Areas of Focus in Cloud
Computing V3.0. Disponível em:
<https://downloads.cloudsecurityalliance.org/initiatives/guidance/csaguide.v3.0.pdf>. Acesso em 20/06/2012.
CSA_1, Cloud Security Alliance. (2013). The Notorious Nine: Cloud Computing Top Threats in 2013 V1.0. Disponível em: <https://cloudsecurityalliance.org/download/the-notorious-nine- cloud-computing-top-threats-in-2013/>. Acesso em 05/03/2013.
DATAPREV. (2013). Computação em Nuvem no Governo Federal. Disponível em <http://portal.dataprev.gov.br/tag/computacao-em-nuvem>. Acesso em 03/01/2013.
DELL. (2012). A História e o Futuro da Computação em Nuvem. Disponível em: <http://www.dell.com/learn/br/pt/brbsdt1/sb360/social_cloud?c=br&l=pt&s=bsd&cs=brbsdt1 &delphi:gr=true>. Aceso em 20/11/2012.
DD, Datacenter Dynamics. (2013). Computação em nuvem deve crescer 74,3% nos próximos
três anos. Disponível em
<www.datacenterdynamics.com.br/focus/archive/2013/03/computação-em-nuvem-deve- crescer-743-nos-próximos-três-anos>. Acesso em 03/08/2013.
DIDONÉ, D. (2011). Computação em Nuvem: Desafios e Oportunidades para a Forense Computacional. Dissertação de Mestrado. CIN/UFPE.
DSIC. (2013). Diretrizes para a utilização de tecnologias de computação em nuvem. Disponível em: <http://dsic.planalto.gov.br/legislacaodsic/51>. Acesso em 03/01/2013.
ENISA, European Network and Information Security Agency. (2009). Cloud Computing
Information Assurance Framework. Disponível em:
<http://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloud-computing- information-assurance-framework/at_download/fullReport>. Acesso em 20/11/2012.
FARMER, D.; VENEMA, W. (2007). Perícia forense computacional. Pearson Prentice Hall. São Paulo.
FARREL, Adrian. (2005). A Internet e seus Protocolos. Campus. São Paulo.
FERNANDO, N. et al. (2013). Mobile Cloud Computing: A Survey. Journal Future Generation Computer Systems. Volume 29, Issue 1. Pages 85-106.
FNDC. (2013). Rede Nacional de Pesquisa terá tecnologia baseada na computação em nuvem. Dísponível em: <http://www.fndc.org.br/clipping/rede-nacional-de-pesquisa-tera-tecnologia- baseada-na-computacao-em-nuvem-928191>. Acesso em 12/09/2013.
GARTNER, Inc. (2010). Gartner Says Worldwide Cloud Services Market to Surpass $68 Billion in 2010. Disponível em: <http://www.gartner.com/it/page.jsp?id=1389313>. Acesso em 22/04/2012.
GELLMAN, R. (2009). Privacy in the Clouds: Risks to Privacy and Confidentiality from
Cloud Computing. World Privacy Forum. Disponível em:
<http://www.worldprivacyforum.org/pdf/WPF_Cloud_Privacy_Report.pdf>. Acesso em
04/04/2012.
GROSMANN, D. et al. (2011). Estudo comparativo sobre o uso do VMware e Xen Server na
virtualização de Servidores. ERCEMAPI. Disponível em:
<http://www.die.ufpi.br/ercemapi2011/artigos/ST3_17.pdf>. Acesso em 01/08/2013.
HARRIS, J. G.; ALTER, A. E. (2010). Cloudrise: Rewards and Risks at the Dawn of Cloud Computing. Accenture, Institute for High Performance. Research Report. Disponível em: <http://www.accenture.com/us-en/Pages/insight-cloud-computing-rewards-risks-
summary.aspx>. Acesso em 20/09/2012.
HOFMANN, P.; WOODS, D. (2010). Cloud computing: the limits of public clouds for business applications. IEEE Internet Computing, New York, v. 14, n. 6, p. 90-95.
HUNT, Graig. (2004). Linux Servidores de Redes. Ciência Moderna. São Paulo.
INFO. (2013). Governo brasileiro ganha sistema de computação em nuvem. Disponível em: <http://info.abril.com.br/noticias/it-solutions/2013/08/governo-brasileiro-ganha-sistema-de- computacao-em-nuvem.shtml>. Acesso em 10/09/2013.
ISACA, Information System Audit and Control Association. (2011). Objectives Sample for Cloud Computing: Controls and Assurance in the Cloud. Disponível em: <http://www.isaca.org/Knowledge-Center/Research/Documents/ITCO_Cloud_SAMPLE_E- book_20July2011.pdf>
ISO_1, International Organization for Standardization. (2005). Information technology – Security techniques – Information security management systems – Requirements. ISO/IEC 27001:2005. Disponível em: <http://www.abntcatalogo.com.br/norma.aspx?ID=17494>. Acesso em 08/07/2012.
ISO_2, International Organization for Standardization. (2005). Information technology – Security techniques – Code of practice for information security management. ISO/IEC 27002:2005. Disponível em: <http://www.abntcatalogo.com.br/norma.aspx?ID=11549>. Acesso em 08/07/2012.
ISO_3, International Organization for Standardization. (2011). Information technology – Security techniques – Information security risk management. ISO/IEC 27005:2011. Disponível em: <http://www.abntcatalogo.com.br/norma.aspx?ID=87158>. Acesso em 08/07/2012.
JACKSON, Kevin L. (2011). The Economic Benefit of Cloud Computing. GM, Cloud
Services. Executive Summary. Disponível em: < http://www.njvc.com/form/download-
request/NJVC_The_Economic_Benefit_of_Cloud_Computing.pdf/>. Acesso em: 10/01/2013. KUROSE, James F.; ROSS, Keith W. (2011). Redes de Computadores e a Internet 5ª Edição. Pearson. São Paulo.
LOWE, William J. (2008). VMware Infrastructure 3 para Leigos. Alta Books. Rio de Janeiro. MARIN, Paulo S. (2011). Data Centers Desvendando cada passo: conceitos, projeto, infraestrutura física e eficiência energética. Erica. São Paulo.
MARINS, C. E. (2009). Desafios da informática forense no cenário de Cloud Computing. Proceedings of the Fourth International Conference of Computer Science. p. 78-85. ISSN 1980-1114. ABEAT (Ed.). Natal, RN, Brazil.
MARSTON, S. et al. (2011). Cloud Computing – The business perspective. Decision Support Systems, V. 51, p. 176-189. doi:10.1016/j.dss.2010.12.006.
MATHEWS, Jeanna N. et al. (2009). Executando o Xen: Um Guia Prático para a Arte da Virtualização. Alta Books. Rio de Janeiro.
MELL, P., GRANCE, T. (2011). The NIST Definition of Cloud Computing. National Institute of Standards and Technology (NIST), Computer Security Division, Information Technology Laboratory.
MENASCÉ, Daniel A.; ALMEIDA, Virgilio A. F. (2005). Planejamento de Capacidade para Serviços na Web. Campus. São Paulo.
MERIAT, Vitor. (2011). Arquitetura de Modelos de Serviços em Computação em Nuvem. Disponível em: <http://vitormeriat.wordpress.com/2011/07/08/modelos-de-serviona-nuvem- iaas-paas-e-saas/>. Acesso em 10/10/2012.
MOHAMED, A. (2009). A History of Cloud Computing. ComputerWeekly.com. Disponível em: <http://www.computerweekly.com/feature/A-history-of-cloud-computing>. Acesso em 12/04/2012.
NAKAMURA, Emilio T.; GEUS, Paulo L. (2007). Segurança de Rede em Ambientes Corporativos. Novatec. São Paulo.
NIST. (2011). SP 800-145 – The NIST Definition of Cloud Computing. Disponível em: <http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf>
NIST_800-61. (2012). SP 800-61 Rev. 2 – Computer Security Incident Handling Guide. Disponível em: <http://csrc.nist.gov/publications/nistpubs/800-61rev2/SP800-61rev2.pdf> NIST_800-144. SP 800-144 – Guidelines on Security and Privacy in Public Cloud Computing. 2011. Disponível em: <http://csrc.nist.gov/publications/nistpubs/800-144/SP800- 144.pdf>
NIST_800-146. SP 800-146 – Cloud Computing Synopsis and Recommendations. 2012. Disponível em: <http://csrc.nist.gov/publications/nistpubs/800-146/sp800-146.pdf>
OPEN CLOUD MANIFESTO. (2012). Cloud Computing Use Cases. Cloud Computing Use
Case Discussion Group. Versão 4. Disponível em:
<http://opencloudmanifesto.org/Cloud_Computing_Use_Cases_Whitepaper-4_0.pdf>. Acesso em 04/04/2012.
OPENCROWD. Cloud Taxonomy, Landscape, Evolution. Disponível em:
<http://www.opencrowd.com/assets/images/views/views_cloud-tax-lrg.png>. Acesso em 17/03/2012.
OWASP, Open Web Application Security Project. (2013). Projects Handbook 2013.
Disponível em:
<https://www.owasp.org/images/6/6a/OWASP_Projects_Handbook_2013.pdf>. Acesso em 15/03/2013.
OWASP_CLOUD. (2010). OWASP Cloud – Top 10 Security Risks. Disponível em
<https://www.owasp.org/images/4/47/Cloud-Top10-Security-Risks.pdf>. Acesso em
20/10/2012.
PITANGA, Marcos. (2008). Construindo Supercomputadores com Linux 3 edição. Brasport. Rio de Janeiro.
PMBOK, Project Management Body of Knowledge. (2008). Disponível em: <http://www.pmi.org/PMBOK-Guide-and-Standards.aspx>.
PORTELLA, Carlos Rafael S.; VASCONCELOS, Átila B. (2010). Redução do Consumo de Energia Utilizando Virtualização. Faculdade de Informática – Centro Universitário Ritter dos Reis [UNIRITTER].
QUEIROZ, Claudemir.; et al. (2010). Investigação e Perícia Forense Computacional. Brasport. Rio de Janeiro.
RAMOS, Anderson.; et al. (2006). Security Officer 1: Guia Oficial para Formação de Gestores em Segurança da Informação. Zouk. São Paulo.
RIBEIRO, Bruno; ALBURQUERQUE, Ricardo. (2002). Segurança no Desenvolvimento de Software. Campus. São Paulo.
RIBEIRO, Robériton Luís O. (2011). Gerenciamento de Projetos com Prince2. Brasport. Rios de Janeiro.
RUSCHEL, Henrique; et al. (2010). Computação em Nuvem. Especialização em Redes e Segurança de Sistemas. Pontifícia Universidade Católica do Paraná. Disponível em: <http://www.ppgia.pucpr.br/~jamhour/RSS/TCCRSS08B/Welton%20Costa%20da%20Mota% 20-%20Artigo.pdf>. Acesso em: 13/01/2013.
SAMPAIO, et al. (2010). Uni4Cloud – Uma Abordagem para Implantação de Aplicações sobre Múltiplas Nuvens de Infra-Estrutura. VIII Workshop em Clouds, Grids e Aplicações. SBRC – Simpósio Brasileiro de Redes de Computadores. Rio grande do Sul.
SANTOS, et al. (2010). Computação em nuvem: Conceitos e Perspectivas. Especialização em Gestão da Tecnologia da Informação. IETEC – Instituto de Educação Tecnológica. Belo Horizonte.
SDL, Secure Development Lifecycle. (2011). Simplified Implementation of the Microsoft SDL. Disponível em: <http://download.microsoft.com/download/F/7/D/F7D6B14F-0149- 4FE8-A00F-0B9858404D85/Simplified%20Implementation%20of%20the%20SDL.doc>. Acesso em 05/02/2013.
SPLUH, Security Programming for Linux and Unix Howto. (2003). Disponível em: <http://www.tldp.org/HOWTO/pdf/Secure-Programs-HOWTO.pdf>. Acesso em 15/01/2013. SPSM, Secure Programming Standard Methodology Manual. (2002). Disponível em: <http://www.isecom.org/mirror/spsmm.0.5.1.en.pdf>. Acesso em 20/01/2013.
SILVA, Carlo M. R.; et al. (2013). Security Threats in Cloud Computing Models: Domains