O cloud computing ou computação na nuvem possibilita o acesso dos arquivos e a execução de diferentes tarefas pela internet. Quer dizer, não há necessidade de se instalar aplicativos no computador para a execução dos serviços, pois se pode acessar diferentes serviços online para fazer o que precisa, já que os dados não se encontram em um computador específico, mas sim em uma rede. Dessa forma, deve existir a preocupação com os riscos e ameaças dos serviços que são necessárias mitigar contribuindo para isso uma governança eficaz desses serviços e o cumprimento de normas técnicas, além da definição de métricas de desempenho e a implementação de mecanismos de monitoramento permanente.
Mauricio Ferraz de Paiva
O conceito de cloud computing é geralmente definido como um modelo de TI que garante a alguns usuários específicos tanto a licença, como a capacidade para solicitar certa quantidade de recursos tecnológicos utilizando uma interface automatizada. Espera-se que os recursos estejam disponíveis logo após a emissão da solicitação, através de um processo de provisionamento automático.
Uma vez devidamente conectado ao serviço online, é possível desfrutar de suas ferramentas e salvar todo o trabalho que for feito para acessá-lo depois de qualquer lugar — é justamente por isso que o usuário estará nas nuvens, pois poder acessar os aplicativos a partir de qualquer computador que tenha acesso à internet. Assim, a partir de uma conexão com a internet, pode-se acessar um servidor capaz de executar o aplicativo desejado, que pode ser desde um processador de textos até mesmo um jogo ou um pesado editor de vídeos. Enquanto os servidores executam um programa ou acessam uma determinada informação, o computador precisa apenas do monitor e dos periféricos para interagir.
Para alguns, as vantagens proporcionadas pela computação na nuvem são muitas. Uma delas é a não necessidade de ter uma máquina potente, uma vez que tudo é executado em servidores remotos. Outro benefício é a possibilidade de acessar dados, arquivos e aplicativos de qualquer lugar, bastando uma conexão com a internet, ou seja, não é necessário manter conteúdos importantes em um único computador.
Para outros, o armazenamento na nuvem também gera desconfiança, principalmente no que se refere à segurança. Afinal, a proposta é manter informações importantes em um ambiente virtual, e não são todas as pessoas que se sentem à vontade com isso.
Deve-se ressaltar também que, como há a necessidade de acessar servidores remotos, é primordial que a conexão com a internet seja estável e rápida, principalmente quando se trata de streaming e jogos. E deve-se levar em conta também que os servidores ficam em lugares distantes, portanto, uma internet instável ou de baixa velocidade é prejudicial para o aproveitamento pleno da tecnologia.
Mas não há dúvidas de que a computação na nuvem é uma realidade cada vez mais sólida. Nos últimos anos, grandes empresas têm dado muita atenção a esta tecnologia e tudo faz crer que essa tendência vai continuar.
O importante para as empresas nesse tipo de serviço está relacionado com a segurança e seguir algumas normas técnicas se torna essencial para as questões relacionadas à privacidade e segurança das informações residentes na nuvem. A NBR ISO/IEC 27032 de 06/2015 – Tecnologia da Informação – Técnicas de segurança – Diretrizes para segurança cibernética fornece diretrizes para melhorar o estado de segurança cibernética, traçando os aspectos típicos desta atividade e suas ramificações em outros domínios de segurança, em especial: a segurança de informação; a segurança de rede; a segurança da internet; e a proteção da infraestrutura crítica de informação (CIIP).
Essa norma abrange as práticas básicas de segurança para as partes interessadas no espaço cibernético e fornece: uma visão geral de segurança cibernética; uma explicação da relação entre segurança cibernética e outros tipos de segurança; uma definição de parte interessada e descrição de seus papéis na segurança cibernética; orientação para abordar as questões comuns de Segurança Cibernética; e uma estrutura para capacitar as partes interessadas a colaborar na resolução de questões de segurança cibernética.
A NBR ISO/IEC27031 de 01/2015 – Tecnologia da informação – Técnicas de segurança – Diretrizes para a prontidão para a continuidade dos negócios da tecnologia da informação e comunicação os conceitos e princípios da prontidão esperada para a tecnologia de comunicação e informação (TIC) na continuidade dos negócios e fornece uma estrutura de métodos e processos para identificar e especificar todos os aspectos (como critérios de desempenho, projeto e implementação) para fornecer esta premissa nas organizações e garantir a continuidade dos negócios É aplicável para qualquer organização (privada, governamental e não governamental, independentemente do tamanho) desenvolvendo a prontidão de sua TIC para atender a um programa de continuidade nos negócios (PTCN), requerendo que os serviços e componentes de infraestrutura relacionados estejam prontos para suportar as operações de negócio na ocorrência de eventos e incidentes e seus impactos na continuidade (incluindo segurança) das funções críticas de negócio.
Também assegura que a organização estabeleça os parâmetros para medir o desempenho que está correlacionado à PTCN de forma consistente e organizada. O escopo desta norma inclui todos os eventos e incidentes (incluindo os relacionados com segurança) que podem impactar a infraestrutura da TIC e sistemas, incluindo e estendendo às práticas de gestão de incidentes em segurança da informação e a prontidão esperada para o planejamento e serviços em TIC.
A NBR ISO/IEC 27002 de 11/2013 – Tecnologia da informação – Técnicas de segurança – Código de Prática para controles de segurança da informaçãofornece diretrizes para práticas de gestão de segurança da informação e normas de segurança da informação para as organizações, incluindo a seleção, a implementação e o gerenciamento de controles, levando em consideração os ambientes de risco da segurança da informação da organização. E a NBR ISO/IEC27003 de 10/2011 – Tecnologia da informação – Técnicas de segurança – Diretrizes para implantação de um sistema de gestão da segurança da informação foca os aspectos críticos necessários para a implantação e projeto bem sucedidos de um Sistema de Gestão da Segurança da Informação (SGSI), de acordo com a NBR ISO IEC 27001:2005.
Apesar das preocupações, o debate sobre os riscos, muitas vezes ignora a importância de se criar planos de contingência e Service Level Agreement (SLA), voltados a garantir confiabilidade e a certeza de que os negócios não sofrerão grandes baques no caso de um incidente. Os riscos referentes à segurança e privacidade das informações na nuvem bem como a portabilidade dos dados delineia-se como sendo de alta criticidade. Além disso, quando as informações críticas das empresas estão nas mãos de outras pessoas também pode refletir em menos garantia do cumprimento das leis, o que pode ser garantido no contrato.
Na computação tradicional, em ambientes inhouse, os usuários têm total controle sobre seus dados, processos e seu computador. Na computação na nuvem todos os serviços e a manutenção dos dados são fornecidos por um provedor de nuvem. Neste contexto o cliente ou usuário desconhece quais processos estão em execução ou onde os dados estão armazenados, uma abstração de atividades se deve justamente ao dinamismo inerente da nuvem. Sendo assim o cliente não tem controle sobre todas as movimentações de seus dados na nuvem. Então como exigir garantias de que as informações residentes na nuvem estão realmente seguras?
Com pouco tempo de iniciação no mercado brasileiro, porém já se comportando de uma forma tanto quanto madura, a computação na nuvem vem atraindo a atenção de empresas e usuários da internet. O seu conceito, que promete revolucionar o uso dos recursos computacionais, envolve a memória e a capacidade de armazenamento de computadores e servidores compartilhados, e interligados, por meio da internet. O armazenamento dos dados é feito remotamente, através da internet, por serviços que podem ser acessados de qualquer lugar, a qualquer hora, descartando a necessidade de instalação de programas.
Os serviços na nuvem, no entanto, além de possuírem uma grande demanda por usuários domésticos, vêm criando uma variedade de recursos para que seus serviços sejam bastante utilizados por empresas. O resultado foi um aumento no número de companhias que trocam a compra de hardwares e softwares de TI pela contratação dos serviços na nuvem, refletindo o sucesso que esse novo serviço vem alcançando no mercado brasileiro.
Enfim, a computação na nuvem só vem crescendo. Da mesma maneira que se aparenta prática e de fácil acesso, está submetida a diversas vulnerabilidades e contratempos. Cabe, então, às empresas avaliarem suas necessidades para ver se é necessário, e vantajoso, a adoção de certas informações na nuvem.
Um dos grandes desafios dos provedores de cloud computing é reutilizar de maneira segura e rentável os recursos de infraestrutura e armazenamento de modo que as informações que foram apagadas não possam ser reconstruídas. Um dos itens importantes que deve existir ao estruturar a segurança tecnológica da nuvem é a elaboração de uma política de segurança da informação. Visando um escopo maior, que seria a segurança na nuvem, a política seria apenas um dos fatores que deveriam existir, mas somente ela não é garantia de sucesso para proteção em si, mas subentende-se que as tarefas a cumprir que existam ao longo da mesma estejam em um nível aceitável de uso interno e externo.
A empresa contratada deve garantir que não haverá indisponibilidade da continuidade do serviço para os demais clientes impactados nessa estrutura ou que a confidencialidade das partes não interessadas sejam violadas. A computação em nuvem é dependente de conexão com a internet e, para mitigar o risco de indisponibilidade em caso de apagão, como ocorreu em São Paulo, em 2008, essa comunicação entre o contratante e a contratada deve ser feita por uma estrutura redundante de link de internet com operadoras distintas para efetuar o tráfego dos dados.
Mauricio Ferraz de Paiva é engenheiro eletricista, especialista em desenvolvimento em sistemas, presidente do Instituto Tecnológico de Estudos para a Normalização e Avaliação de Conformidade (Itenac) e presidente da Target Engenharia e Consultoria -mauricio.paiva@target.com.br
Sobre a Target – Consolidando-se nos últimos anos como a maior provedora de informações tecnológicas da América Latina, a Target oferece uma excelente prestação de serviços e atendendo prontamente às necessidades de seus clientes e usuários, dos mais diversos segmentos corporativos. A Target desenvolve soluções para facilitar o acesso e gerenciar informações tecnológicas para as maiores empresas e profissionais do país e, através de uma equipe de técnicos e engenheiros especializados, oferece hoje muito mais do que simples informações ao mercado em que atua.
Target Engenharia e Consultoria Ltda.
Todos os direitos reservados.
Av. das Nações Unidas, 18.801, Conj. 1501 – São Paulo – SP
CEP 04795-000 – Brasil – Tel.: (55) 11 5641-4655 ou 5525-5656
w w w . t a r g e t . c o m . b r