Guia para Terceirização de Armazenamento de Informações na Nuvem

profissionais arquivistas e outros afins no Reino Unido e na Irlanda. Em 2010, esta associação publicou, sob a autoria de Nicole Convery, um manual para orientar os profissionais na avaliação de serviços de computação em nuvem para o seu uso e armazenamento de informações e também para o desenvolvimento de estratégias de computação em nuvem adequadas às suas organizações.

O guia, segundo Convery (2010), pode ser usado para assessorar no desenvolvimento das estratégias organizacionais e precisa ser visto em conjunto com as políticas e estratégias organizacionais para o gerenciamento e segurança da informação, gerenciamento de risco, terceirização e contratos, conformidade e TI.

A autora dividiu o guia em três grandes áreas de interesse, quando se trata da migração para o paradigma de computação em nuvem: preparação, gerenciamento e operação na nuvem. Vejamos cada uma em detalhes:

1. Preparação para a nuvem

Convery (2010) baseia a sua proposta em uma ampla avaliação de risco que será o alicerce para as decisões a respeito das configurações de nuvem necessárias para suportar o negócio. Faz parte dessa avaliação de risco determinar quais requisitos podem ser flexibilizados e quais a organização não pode abrir mão. A fim de avaliar os riscos das informações armazenadas na nuvem, é necessário tê-las identificadas e classificadas quanto a sua criticidade para o negócio (CONVERY, 2010).

Para Convery (2010), uma vez realizada a avaliação de riscos, é preciso decidir quais aplicações serão migradas para o provedor da nuvem a fim que se obtenha os benefícios esperados. Em função dessas aplicações serão escolhidos os

modelos de serviço e de implantação que melhor se adaptam a elas. Para isso, deve-se considerar que nem todas as aplicações serão migradas em função de dois motivos: a extensão e a complexidade da integração entre os processos, se eles dependem de outros softwares legados, e do aumento potencial do risco de segurança e de disponibilidade de processos ou informações críticas ao negócio.

Para orientar as organizações na preparação para a computação em nuvem, Convery (2010) sugere as seguintes atividades:

 Selecionar os modelos de serviço e de implementação: identificar informações, processos e aplicativos que podem ser terceirizados para um provedor de computação em nuvem para a realização dos benefícios operacionais e de custos. Determinar para esses processos qual o melhor modelo de serviço e de implementação que se adaptam ao negócio.

 Classificação da informação: identificar todos os dados que serão transferidos, processados e armazenados no provedor do serviço e classificá-los de acordo com os padrões adotados na organização. Devem ser consideradas a confidencialidade e a criticidade de cada tipo de informação.

 Análise e avaliação de riscos: identificar, analisar e desenvolver uma resposta para os riscos de segurança e de governança associados à transferência de processos, aplicativos e informações para a nuvem.

2. Gerenciamento da nuvem

Segundo Convery (2010), quando há a transferência de serviços e informações para um provedor de computação em nuvem, também há a transferência de algumas responsabilidades por gerenciar e manter esses serviços e informações. No entanto, segundo a autora, a organização continua responsável por garantir que essa informação é mantida e gerenciada de forma adequada e, para essa finalidade, muitas organizações adotam frameworks para a gestão adequada da informação, porém, Convery (2010) lembra que esses frameworks não são totalmente aderentes às características da computação em nuvem.

Finalmente, a autora lembra que uma boa governança para a computação em nuvem é construída sobre a confiança entre todas as partes envolvidas, que reconhecem suas responsabilidades e atuam de acordo com as políticas e procedimentos estabelecidos.

Para gerenciar a nuvem de maneira adequada, a autora sugere o que se segue:

 Gerenciamento da informação: garantir que a informação armazenada na nuvem será gerenciada de acordo com os programas de conformidade da organização para manter a autenticidade, confiabilidade e integridade da informação ao longo do tempo, garantindo que a informação está acessível e pode ser recuperada para a conformidade às questões legais.  Conformidade legal: determinar as legislações e regulamentos que a

organização está sujeita e como o armazenamento e o processamento das informações na nuvem podem impactar a conformidade aos requisitos legais.

 Contrato: garantir que o contrato ou acordo de serviço com o provedor do serviço está de acordo com os requisitos de segurança e de conformidade da organização.

 Custo: calcular o custo total para a migração de informações e serviços para o paradigma de computação em nuvem e avaliar a relação custo- benefício para a organização.

 Monitorar, auditar e reportar: estabelecer os aspectos dos serviços do provedor de nuvem que precisam ser monitorados para assegurar a conformidade, segurança da informação e desempenho adequado para garantir que os serviços estão de acordo com os ANS e com requisitos de conformidade acordados.

 Estratégia de saída: garantir a disponibilidade de procedimentos para a recuperação de informações do provedor do serviço, para serem executados ao término do contrato. Os clientes precisam assegurar que os provedores permitem a migração fácil para outro provedor.

3. Operação na nuvem

Convery (2010) alerta que para que a computação em nuvem seja uma opção viável, as organizações precisam ter a certeza de que suas informações e seus aplicativos estão seguros e, para isso, precisam avaliar as políticas de segurança do provedor. Para a autora, as organizações precisam auditar o ambiente do provedor, que, por sua vez, precisa demonstrar suas certificações na área de segurança da

informação. No entanto, podem existir dois tipos de problemas a esse respeito: 1) os provedores podem alegar que precisam manter suas políticas em segredo e 2) os padrões existentes não foram criados para o paradigma da computação em nuvem e, por isso, podem não ser adequados.

Os itens abaixo demonstram questões relevantes para que o ambiente de computação em nuvem seja mantido de maneira adequada:

 Segurança: avaliar as políticas e procedimentos para a segurança física, pessoal, de infraestrutura, da informação e de acesso para garantir que o provedor mantenha um sistema adequado de procedimentos de segurança para proteger os centros de dados e os dados neles armazenados.

 Gerenciamento de disponibilidade e provisionamento de recursos: definir a disponibilidade e estabelecer níveis de serviço adequados a disponibilidade e provisionamento de recursos de sistemas do provedor.  Resposta a incidentes: definir respostas a incidentes aceitáveis e

procedimentos para o gerenciamento de atualizações.

 Gerenciamento de acesso: garantir que o provedor de serviço possui políticas e procedimentos para o gerenciamento de acesso para suportar a autenticação, a autorização e a auditoria de acessos de clientes internos e externos à infraestrutura da nuvem.

 Continuidade do negócio: avaliar quais medidas estão disponíveis para neutralizar as interrupções das atividades do negócio devido a falhas do provedor.

3.2.2.3 O Modelo Norte-Americano

O governo federal norte-americano possui sua estratégia de migração para o paradigma de computação em nuvem. O documento é assinado pelo seu CIO, Vivek Kundra, e seu maior objetivo é que as agências do governo façam um melhor uso da TI, aumentando o nível de utilização dos equipamentos e reduzindo a quantidade de soluções duplicadas, dentre outros benefícios esperados (KUNDRA, 2011). Kundra (2011) acredita que a computação em nuvem possui o potencial de melhorar esse cenário, fazendo com que as agências se tornem mais eficientes, ágeis e inovadoras e ainda melhorando os investimentos realizados em TI.

Na estratégia definida por Kundra (2011), as agências do governo são requisitadas, como parte do processo de orçamento, a avaliarem a solução baseada na computação em nuvem antes de realizar qualquer novo investimento em TI. Essa estratégia é dividida em três fases: selecionando serviços para a nuvem, provisionando serviços na nuvem e gerenciando serviços. Estes itens serão mais bem detalhados nas páginas seguintes.

1. Selecionando Serviços para a Nuvem

Para obter sucesso na migração para a nuvem, Kundra (2011) afirma que as agências devem considerar cuidadosamente todo o portfólio de TI e também criar roteiros para a implantação e migração para a nuvem. Estes roteiros priorizam os serviços que possuem alto valor e elevada prontidão para maximizar os benefícios e minimizar os riscos das entregas. Essa priorização é uma atividade fundamental da fase de iniciação do roteiro da organização.

A Figura 11 explica o processo de priorização proposto do Kundra (2011). O gráfico apresentado possui duas dimensões: valor e prontidão. A dimensão valor captura os benefícios da nuvem segundo três áreas: eficiência, agilidade e inovação. Já a dimensão prontidão captura a disposição do serviço de TI candidato para a migração para a nuvem no curto prazo, para isso são considerados a segurança, características do serviço e do mercado, disposição governamental e o estágio do serviço no ciclo de vida tecnológico.

Figura 11: seleção de serviços para migração para a nuvem

Os pesos para cada aspecto de valor e de prontidão podem ser ajustados segundo os interesses de cada órgão.

Kundra (2011) faz algumas considerações a respeito das dimensões consideradas para a priorização quanto ao valor da entrega:

 Eficiência: os ganhos em eficiência podem vir de diversas formas, incluindo os incrementos na utilização dos recursos computacionais devido à utilização de tecnologias para virtualização e na capacidade do administrador de sistemas através de ferramentas que ampliam a sua capacidade, reduzindo o custo do trabalho. Além disso, a natureza de alguns custos mudará os investimentos realizados em hardware e infraestrutura (CapEx) para um modelo onde se paga pelo o que se usa (OpEx). Serviços que possuem um alto custo por usuário, com baixa taxa de utilização e que são caros para manter e atualizar deverão receber uma prioridade alta.

 Agilidade: muitos provedores de computação em nuvem proveem um rápido e automatizado provisionamento de recursos para armazenamento e processamento. Os serviços existentes que necessitam de muito tempo para se atualizar ou incrementar e decrementar a capacidade de recursos computacionais devem receber uma prioridade alta, assim como os serviços novos e urgentes, para a redução do prazo de entrega. Serviços que são fáceis de atualizar, que não são sensíveis à variação de utilização ou que necessitam de pouca atualização podem receber uma prioridade menor.

 Inovação: as agências precisam comparar seus serviços disponíveis com as ofertas contemporâneas do mercado ou verificar a satisfação dos usuários, tendências de uso e as funcionalidades para identificar potenciais melhorias através da inovação. Os serviços que poderão se beneficiar através da inovação deverão receber uma prioridade maior.

Sobre as dimensões consideradas para medir a disposição para a migração dos serviços, Kundra (2011) diz:

 Requisitos de segurança: os programas de TI para o Governo Federal norte-americano devem considerar diversos requisitos de segurança para

a tomada de decisão sobre o modelo de nuvem a ser adotado. Para isso, diversos aspectos da segurança devem ser analisados, tais como: legalidade, características dos dados, privacidade e confidencialidade, integridade, políticas de controle dos dados e de acessos e governança.  Características do serviço: estas características devem considerar

interoperabilidade, disponibilidade, desempenho, medição de desempenho, confiabilidade, escalabilidade, portabilidade, confiabilidade do provedor e compatibilidade arquitetural. A organização precisa considerar os requisitos de escalabilidade considerando a habilidade da solução em nuvem de aumentar ou diminuir os níveis de processamento ou armazenamento ao longo do tempo. Também é preciso considerar o impacto nos processos de negócio se a conexão à rede do provedor falhar e também a probabilidade disso ocorrer. Por último, também devem ser consideradas questões administrativas como o horário de suporte do provedor e a resolução de problemas recorrentes.

 Características de mercado: as agências precisam considerar o panorama competitivo no mercado de computação em nuvem, incluindo provedores governamentais ou não. Também precisam avaliar se existe realmente um mercado competitivo ou se este é dominado por poucas empresas. Também precisam considerar se está demonstrada a capacidade de mover os serviços de um provedor para outro e também se existe a capacidade de distribuir os serviços entre mais de um provedor em nome da qualidade e da capacidade dos serviços. Também precisa avaliar a presença de padrões técnicos para se evitar a dependência de um provedor específico.

 Prontidão da infraestrutura de rede, aplicações e dados: antes de migrarem seus serviços para a nuvem, as agências precisam garantir que a infraestrutura de rede pode suportar uma alta demanda por aumento de banda e ainda que possua a redundância necessária para suas aplicações críticas. Outro fator importante é a avaliação de aplicações e dados legados, se serão migrados para a nuvem ou se serão substituídos por um serviço – SaaS – correspondente, disponibilizado pelo provedor. Um aplicativo com interfaces e regras de negócio bem definidas, com poucos

e simples acoplamentos a outras aplicações representa um bom candidato para a migração, segundo essa dimensão.

 Disposição governamental: as agências devem avaliar se estão prontas ou não para migrar os seus serviços para a nuvem. Os serviços que possuem gerentes capazes de negociar ANS adequados e apoiados por uma cultura de gerenciamento de mudanças devem receber uma prioridade maior. Os serviços que não possuem essas características, mas que são fortes candidatos para a migração para a nuvem, devem avaliar esses problemas como uma questão de prioridade.

 Ciclo de vida tecnológico: também deve ser considerado onde o serviço e a infraestrutura que o suportam estão em relação ao seu ciclo tecnológico. Serviços que estão próximos de uma atualização tecnológica, próximos da conclusão de seus contratos ou que são dependentes de recursos ineficientes de hardware ou de software devem ser priorizados em relação aos demais. Em contraste, os serviços que foram atualizados recentemente, suportados por contratos novos e baseados em tecnologias de ponta, podem esperar para a migração para a nuvem.

2. Provisionando Serviços na Nuvem

Para efetivamente provisionar os serviços de TI selecionados, as agências precisarão repensar seus processos como provisionamento de serviços ao invés de simplesmente comprar ativos. Para Kundra (2011), é preciso pensar em novas métricas para avaliar a qualidade do serviço. Para isso, os fatores abaixo devem ser analisados:

 Agregar as demandas: ao considerar os serviços comuns de TI, as agências devem aglutinar seu poder aquisitivo e agregar a procura, na medida do possível, antes de realizar a migração, na maior extensão possível. Os serviços podem ser agregados no âmbito departamental ou até governamental.

 Integrar os serviços: as agências precisam garantir que seus serviços de TI são integrados em um portfolio. Em alguns casos, técnicos deverão avaliar a compatibilidade arquitetural entre os serviços providos na nuvem e os demais existentes no portfolio.

 Contratar: as agências precisam garantir que os contratos realizados com os provedores sejam configurados para o sucesso. Para isso, as agências precisam minimizar o risco de dependência do provedor, garantir a portabilidade e incentivar a competição entre os fornecedores. Também devem ser garantidas, através de ANS, a continuidade e a qualidade dos serviços prestados. Por fim, os ANS devem descrever um processo mútuo de gestão para os níveis de serviço, relatórios e reuniões periódicas para avaliar os serviços prestados.

 Obter valor: do ponto de vista da eficiência, os servidores e os aplicativos legados devem ser desligados; o centro de dados deve ser fechado ou utilizado somente para apoiar atividades de alto valor; e, quando possível, os profissionais devem ser treinados para serem realocados em outras atividades da agência.

3. Gerenciando Serviços

Para obter sucesso, as agências precisam aprender a gerenciar os serviços da nuvem, ao invés de gerenciar os ativos de TI, como no paradigma tradicional. Kundra (2011) faz algumas considerações para que a agência gerencie efetivamente os serviços contratados:

 Mudar a mentalidade: as agências precisam reorientar todas as partes envolvidas para pensar em serviços e não mais em ativos. Para obter sucesso na migração, as agências precisam pensar em métricas externas, como os ANS, e não apenas mais em métricas internas.

 Monitorar ativamente: as agências precisam rastrear os ANS e assegurar a prestação de contas dos fornecedores por suas falhas. Para assegurar a qualidade, as agências também precisam considerar o envolvimento das áreas de negócio para a avaliação da qualidade dos serviços. Por fim, as agências também precisam monitorar as taxas de utilização dos serviços para garantir que não existirão cobranças indevidas.

 Reavaliar periodicamente: Para garantir a eficiência, a agilidade e a inovação, as agências precisam reavaliar constantemente as escolhas dos serviços e dos fornecedores contratados. Para essa reavaliação, as

agências também precisam considerar a portabilidade, o aumento do escopo dos serviços contratados e a avaliação de maturidade da computação em nuvem no mercado. Também não podem ficar de fora as oportunidades de padronização das soluções entre as agências nem as novas tecnologias disponíveis e os novos fornecedores.

3.2.2.4 Diretrizes da Presidência da República para o Uso de Computação em