Endülüs’ün fethi

A dependência dos Sistemas de Informação ao negócio, e o surgimento de novas tecnologias e forma de trabalho, como o comércio eletrônico, as redes virtuais privadas e os funcionários móveis, as organizações despertaram para a necessidade de segurança, uma vez que se tornaram vulneráveis a um número maior de ameaças.

A segurança da informação é a proteção dos sistemas de informação contra a negação de serviço a usuários autorizados, assim como contra a intrusão, e a modificação não-autorizada de dados ou informações, armazenados, em processamento ou em trânsito, abrangendo a segurança dos recursos humanos, da documentação e do material, das áreas e instalações das comunicações e computacional, assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaça a seu desenvolvimento (NBR 17999, 2003).

É evidente que os negócios estão cada vez mais dependentes das tecnologias e estas precisam estar de tal forma a proporcionar os três princípios básicos da segurança da informação conforme descrito na NBR 17999 (2003) a seguir:

 CONFIDENCIALIDADE: a informação somente pode ser acessada por pessoas explicitamente autorizadas; é a proteção de sistemas de informação para impedir que pessoas não autorizadas tenham acesso ao mesmo. O aspecto mais importante deste item é garantir a identificação e autenticação das partes envolvidas.

 DISPONIBILIDADE: a informação ou sistema de computador deve estar disponível no momento em que a mesma for necessária.

 INTEGRIDADE: a informação dever ser retornada em sua forma original no momento em que foi armazenada; é a proteção dos dados ou informações contra modificações intencionais ou acidentais não-autorizadas.

No que se refere ao modelo de nuvem, muitas organizações questionam como fazer para que as aplicações nas nuvens possam garantir os três princípios de segurança da informação descritos acima.

Field (2010), afirma que muitas organizações naturalmente querem reduzir custos e devem considerar o que usar no modelo de computação utilitária. Questões chaves como segurança de dados, confidencialidade e perda de controle, deve ser pensado cuidadosamente.

Segundo a revista IDC (2009), a questão segurança na nuvem já evoluiu bastante. O mesmo cuidado que é reservado para a proteção de dados em ambientes tradicionais, também são aplicados nas estruturas em nuvem. Portanto, não há motivos para alarde nesse quesito, desde que as regras de segurança tradicionais sejam seguidas.

No entendimento de Veras (2009), existem aspectos chaves a ser avaliado na opção de entregar os serviços de TI para a nuvem. Segundo ele, o risco da perda do controle dos dados internos de fato existe. O Gartner Group (2008) sugeriu alguns cuidados para migrar o risco referente à aquisição de serviços de provedor Computação em Nuvem.

1) Como é feito o acesso dos usuários?

2) Como o provedor obedece às normas de regulação; 3) Onde os dados são hospedados (localização geográfica)? 4) Como os dados são segregados?

5) Como os dados são recuperados? 6) Como é feito o suporte?

É importante ressaltar, que além das questões acima citadas, mais três aspectos devem ser considerados antes de contratar os serviços de nuvem, segundo o pensar de (DURKEE, 2010; DAMOULAKIS, 2010).

8) Qual o Nível de Acordo de Serviços (SLA)?

9) Qual a conectividade do provedor (Banda Larga de Internet)?

10) O conhecimento efetivo dos responsáveis pela política de segurança da informação está de acordo com a segurança do provedor de serviços de computação em nuvem?

Segundo Slabeva et al (2010), o cenário de negócios baseados nas tecnologias para adoção e implementação de computação em nuvem apresenta uma série de questões legais que devem ser tomadas pelas organizações ao contratar esses serviços. Ainda afirma que o principal assunto a ser tratado no contrato é o item SLA (Service Level Agreement), em português “Acordo de níveis de serviços”.

Os SLAs servem para definir pontos acordados sobre a qualidade dos serviços prestados pelo fornecedor, definidos no contrato. Eles especificam os níveis de serviços que o cliente pode esperar do fornecedor, incluindo metas de desempenho (BLOMBERG, 2008). Para Campelo (2009), é importante determinar os SLA´s antes da execução dos serviços. Dessa forma, se mantém um bom relacionamento entre a organização contratante e seu fornecedor. O desenvolvimento da confiança nas relações de terceirização de TI resulta da manutenção de troca de informações e de expectativas de futuras trocas seguras criadas por SLAs bem definidos e consistentes. (GOO; NAM, 2007).

Para Slabeva et al (2010), o provedor de serviços de computação em nuvem deve gerenciar todos os recursos computacionais, armazenamento, e desempenho de rede. E isso, é o mínimo que um contrato SLA deve conter, conforme descrito na tabela 2:

Tabela 2 - Descrições do Contrato SLA

DISPONIBILIDADE

Essa cláusula indica o percentual de tempo, normalmente num período mensal que os serviços de computação em nuvem ficarão disponíveis. Usualmente o índice de uma boa disponibilidade deve chegar próximo à 100%.

DESEMPENHO

O desempenho dos serviços de CN deve está de acordo com a capacidade de hardware e da banda de rede instalada. O conteúdo dessa cláusula depende da infraestrutura adotada pelo provedor e conseqüentemente da margem de negociação, principalmente se o usuário for pessoa física, onde normalmente os recursos são mais limitados.

SEGURANÇA

O provedor deverá garantir o nível de segurança de proteção dos dados e das informações, fornecidas pelo cliente. As informações fornecidas aos clientes deverão ter total integridade.

TAXAS

Esta cláusula deverá regular os preços que o consumidor irá pagar ao provedor de acordo com o tipo de serviço oferecido.

Fonte: Slabeva et al (2010, p. 51).

As empresas fornecedoras de serviços de Computação em Nuvem terão de garantir que os dados dos clientes estejam protegidos, e especialmente 100% disponíveis. Essa existência ainda se torna mais crítica quando se trata de informações empresariais altamente sensíveis como dados financeiros.

Ainda se tratando de segurança no que diz respeito aos aspectos legais de um contrato de prestação de serviços em computação em nuvem, é pertinente afirmar que existem dúvidas por parte dos executivos quanto à tomada de decisão no que se refere a que provedor de serviços mais se adéqua as necessidades de sua empresa. Muitos questionam o aspecto de contratar um provedor onde parte dos servidores está localizada em outros países, nos quais a legislação é diferente do nosso país?

Para Jimene (2010), a grande preocupação jurídica sobre a computação em nuvem é qual a legislação, de qual país, vai incidir sobre o local onde estão os servidores e onde os dados estão armazenados. Afirma ainda, que hoje os registros eletrônicos podem estar em servidores espalhados pelo mundo. Então, qual seria a legislação aplicável em uma situação em que um ato de concorrência desleal é praticado aqui no Brasil, com os dados alocados num servidor nos Estados Unidos e

com acesso gerado de um computador na China? Qual a legislação e o país competente para processar e julgar aquele crime?

Não há discrepância no pensar de Cervone (2010), quando afirma que o maior problema que as nuvens têm em hospedar aplicativos e dados internacionalmente, são as políticas e leis de cada nação. Afirma ainda, que desde que a nuvem foi considerada como uma variação de computação terceirizada, uma organização precisará exigir um alto grau de confidencialidade e segurança e protocolos de procedimentos por parte do provedor de computação em nuvem.

A segurança da informação desses dados também é a grande preocupação, pois muitos deles envolvem questões de privacidade. Como o provedor pode garantir que os dados e informações serão acessados somente por pessoas autorizadas? Quais são as regras de segurança que o provedor contratado utilizada para manter os dados dos clientes em qualquer lugar do mundo? Que garantia o cliente tem que os dados hospedados estão seguros, sob o ponto de vista de confidencialidade e da integridade e que as informações não serão manipuladas ou alteradas?

Segundo Jimene (2010), muitas dessas questões já estão sendo resolvidas no Brasil, pois os grandes provedores de serviços de computação em nuvem já possui escritório no país. Então, se uma empresa arca com os benefícios da atividade no Brasil, entende-se que ela tem que arcar com o ônus dessa atividade também aqui no Brasil.

Levando-se em consideração às premissas acima comentadas, é importante que a organização que pretende contratar os serviços de computação em nuvem, observe ainda algumas cláusulas importantes que devem conter no contrato SLA ou em outro contrato dependendo do caso, segundo Slabeva et al (2010) conforme apresentado na tabela 3:

Tabela 3 - Cláusulas que devem conter no contrato Sla DESCRIÇÃO DOS SERVIÇOS

É muito importante que os serviços estejam bastante claros na sua descrição. E que os serviços extras, devem apresentar minuciosamente suas taxas de pagamento.

MODIFICAÇÃO DO CONTRATO DE ACORDO DE SERVIÇOS

Essa cláusula deve descrever as modificações do contrato SLA podem ser feitas de forma unilateral (pelo provedor) ou se pode ser alterado pelas duas partes.

CANCELAMENTO DO CONTRATO

É importante que fique claro para o cliente a data de encerramento do contrato, e se ele pode ser renovado automaticamente ou após negociação e assinatura de novo contrato.

SERVIÇOS PROIBIDOS

É aconselhável que o provedor de Computação em Nuvem descreva claramente no contrato quais as cláusulas permitidas para uso da informação. Exemplo: o provedor não deve permitir que violações do tipo pornografia infantil, pedofilia, distribuição de vírus, spyware ou quaisquer outras aplicações maliciosas, violações de direitos autorais etc.

LICENÇAS

É importante que o contrato descreva detalhadamente quais licenças de softwares o cliente tem que fornecer.

CONFIDENCIALIDADE

Qualquer informação confidencial armazenadas nos provedores jamais poderão ser divulgadas ou abertas para pessoas não autorizadas.

PROPRIEDADE INTELECTUAL

Essa cláusula deverá declarar para cada parte os direitos de propriedade intelectual. Qualquer tecnologia ou software fornecido e qualquer conteúdo ou dados vendidos ou compartilhados.

Fonte: Slabeva et al (2010, p.95).

2.1.5 Estratégia para adoção da Computação em Nuvem

Nos dias atuais, é cada vez mais comum os executivos dizerem que já ouviram falar em CN e ainda questionam se realmente compensa adquirir novos servidores, já que existe a nuvem pública para armazenamento e processamento de informações. A resposta para essa questão depende muito da realidade de cada empresa.

A nuvem já é reconhecida como uma grande alternativa para Sites, hospedagem de e-mails, armazenamento escalável e computação sob demanda. Para àqueles que abraçaram a idéia da nuvem para esse propósito, dizem que a nuvem oferece o tipo de computação que eles precisam, principalmente em relação aos custos. Os projetos são

implementados rapidamente e a TI se torna melhor e mais bem preparada para padrões imprevisíveis de tráfego e situações emergenciais. Entretanto, Engates (2010) afirma que enquanto os benefícios da computação baseada em hospedagem torna-se cada vez mais convincente, ainda há resistência.

A resistência da maioria dos executivos quanto à adoção de computação em nuvem vem de duas frentes: a primeira diz respeito de como e quem irá gerenciar o hardware, e a segunda vem dos aspectos segurança, já que os dados de todas as organizações estão armazenados e entrelaçados num datacenter sem limites de armazenamento.

Para Engates (2010), mesmo havendo algumas resistências, os custos para utilização de computação em nuvem estão ficando cada dia mais convincente. Como a economia cava seu caminho para fora da recessão, deixando os orçamentos mais apertados e menos recursos para TI, os executivos buscam sua primeira experiência com nuvem e/ou a mais tradicional hospedagem gerenciada.

Miller (2010) entende que os seguintes requisitos devem ser contemplados para o sucesso da adoção da computação em nuvem:

a) Um bom entendimento entre o consumidor e o fornecedor; b) padrões abertos e de fácil utilização;

c) um claro entendimento do modelo de serviços que a organização necessita para contratar um fornecedor de computação em nuvem;

d) uma clara governança acima de tudo.

Baseando-se nas premissas descritas acima, qual a estratégia para adoção em nuvem? Esse novo modelo de terceirização está realmente pronto para tudo? A resposta provável é “não”, mas está pronto para qualquer pessoa ou tipo de organização.

Há respostas de computação em nuvem para cada aplicação e infraestrutura que a tecnologia da informação necessita nos dias atuais. Um fator importante a ser lembrado é que a nuvem não é um propósito de tudo ou nada. Ela pode ser um

componente estratégico de larga infraestrutura de TI que pode incluir um Datacenter interno (privado) e/ou um Datacenter externo.

O fato, é que uma combinação da nuvem com a infraestrutura tradicional pode ser a melhor alternativa para muitas organizações. Uma abordagem híbrida pode proporcionar uma economia de custos, uma infra-estrutura escalável sob demanda, e segurança que se precisa com muito poucos recursos.

O segredo então para iniciar os primeiros passos é utilizar nuvens híbridas, que permite que uma organização rode alguns aplicativos numa nuvem interna (privada) e outros, numa nuvem pública (ENGATES, 2010).

No planejamento de uma estratégia híbrida é aconselhável colocar as aplicações em três pacotes: aqueles com infraestrutura dedicada, aqueles que podem ir complemente para a nuvem, e aqueles que funcionam idealmente com a combinação da nuvem com a infraestrutura interna.

Para os serviços que requerem um alto grau de segurança ou tenha um alto processamento de banco de dados, provavelmente devem ficar na infraestrutura interna por enquanto. Para as aplicações de interface pública ou por demanda escalável são boas alternativas para a nuvem.

A tabela 4 apresenta as aplicações que devem ou não migrar para a nuvem.

Tabela 4 - Ligações que devem ou não migrar para a nuvem APLICAÇÕES QUE PODEM SE HOSPEDAR

NA NUVEM

APLICAÇÕES QUE PROVAVELMENTE PRECISAM DE UMA INFRAESTRUTURA

DEDICADA  BLOGS e WIKI de uma empresa.

 Serviços de E-mail

 Sites e Hot-Sites de vendas e marketing

 Portais Corporativos

 Arquivos de dados, arquivos de e-mails, backups, retenção de logs.

 Aplicações Web e novos sistemas de informações que ainda estão em desenvolvimento ou prontas para uso.

 ERP

 Data warehouse

 Serviços de Processamento de Cartão de Crédito.

 Códigos altamente sigilosos de áreas militares, armamentos etc.

Fonte: ENGATES (2010, p.198).

Para Field (2010), os funcionários de uma organização cada vez mais utilizam por conta própria os recursos de aplicações móveis como calendários, agendas, anotações e ferramentas de gerenciamento de projetos. São recursos facilmente

usados nos mais variados tipos de nuvem, seja ela pública ou privada. Se os benefícios forem suficientemente bons, o pessoal utilizará esses recursos independentemente da política. Para as organizações que possuem uma grande burocracia deverá encontrar dificuldades para adoção da Computação em Nuvem.

No entender de Field (2010), dispositivos como tablets, netbooks e qualquer categoria de smartbooks (netbooks com 3G, Wi-Fi e outros), utilizará essa tendência. Os dados uma vez na nuvem podem ser sincronizados para qualquer desses dispositivos