Notícias de Caruaru e Região

Tecnologia da Informação – Servidor Local ou Cloud Computing de forma segura?

João Luis Gregório e Silva
João Luis Gregório e Silva

Vamos continuar sobre nossos artigos de tecnologia da informação no tópico de Cloud Computing (CC). Devemos analisar no caso da Cloud Computing os pontos entre o servidor em nuvem. Os pontos que definem cada estrutura. Assim, vamos entender as diferenças entre usar um servidor local ou em nuvem. Vamos nos basear nesses dois modelos, mas não sabe muito bem o que deve ser observado na hora de escolher entre um servidor em nuvem ou local? Independentemente da sua escolha, contar com um bom servidor é essencial para otimizar os processos de sua empresa e proporcionar a evolução do seu negócio. A grande questão é determinar qual a opção mais adequada para atingir os resultados pretendidos.

Diferenças entre servidor na nuvem e servidor local – Antes de avaliar qual é a melhor solução para sua empresa, é interessante reforçar o que elas significam. O servidor local é o modelo mais tradicional para o uso de tecnologia nas empresas. Nele, a estrutura que mantém o sistema armazena arquivos e os disponibiliza internamente, on-premisses. A expressão “on-premisses” é usada para especificar os sistemas que são instalados no hardware cliente e normalmente altamente customizável. 

Já a cloud computing define qualquer serviço contratado que oferece os mesmos recursos computacionais de equipamentos como servidores e storages remotamente, via internet. Nesse caso, a infraestrutura é mantida pela empresa terceirizada e disponibilizada para o cliente mediante um controle de acesso. Conhecer as particularidades entre as infraestruturas de TI local e em nuvem é importante para que você pese os prós e contras em quesitos relevantes para a sua gestão. Somente assim é possível determinar com objetividade qual é a opção mais eficiente para o seu caso. Então, vamos discutir sobre o que você precisa considerar ao fazer essa escolha. Nós listamos 7 tópicos de comparação e explicamos como a infraestrutura local e em nuvem se diferem em cada um deles. Confira: Investimento e previsibilidade; Elasticidade; Manutenção e depreciação; Desempenho; Segurança; Suporte; Foco no negócio.

Investimento e previsibilidade – Vamos começar, claro, pelo montante que você precisa gastar para manter uma infraestrutura tecnológica atualizada e funcional. Aqui, a diferença está no quanto você precisa se preparar para o futuro e quais são os riscos envolvidos nesse investimento. Quando uma empresa aposta, hoje, em servidores locais, precisa contemplar um investimento significativo, tanto em nível de recursos financeiros quanto não financeiros, como pessoas, tempo, dedicação, energia física e mental etc. 

Prefeitura computadores.

Como as demandas de mercado estão mudando muito mais rapidamente do que há 15 ou 20 anos, investir em tecnologia exige muita percepção sobre como ele vai se comportar para não terminar com uma estrutura ociosa ou insuficiente. Já no caso da nuvem, não há um grande investimento inicial. É possível contratar o que você precisa hoje sem se preocupar com grandes reformulações no futuro — nem o que fazer com o equipamento que ficará obsoleto.

Elasticidade – Isso tem a ver, principalmente, com a elasticidade da nuvem — a capacidade que uma empresa ganha de diminuir ou aumentar a sua oferta de recursos tecnológicos em minutos. Os custos se adéquam à sua demanda e não há desperdícios. 

Os servidores locais exigem um pouco mais de cuidado na hora de ampliar a TI e atender novas exigências do mercado. Nesse modelo é preciso levar em consideração a compra frequente de novos equipamentos, assim como os prazos envolvidos (estudo do equipamento, contato com fornecedores, cotação, negociação, transporte, instalação e testes).

Manutenção e depreciação – A diferença aqui é clara: quando os servidores estão alocados internamente, a responsabilidade da manutenção e a conta da depreciação é da TI. Quando esse sistema é fornecido no modelo de cloud computing, a atualização de equipamentos, de softwares e consertos ficam por conta da empresa contratada. O gestor deve se preocupar apenas com a implementação e a utilização.

Desempenho – O resultado dessa atualização constante é um bom desempenho garantido. No modelo on-premise, o ciclo de investimento em tecnologia quase sempre cria períodos de defasagem tecnológica que podem atrapalhar o crescimento da empresa. 

Quando há uma aposta em soluções de nuvem eficientes, os recursos de computação e armazenamento são sempre entregues baseados no que há de mais avançado para o uso corporativo.

Segurança geral – Tanto em nível lógico quanto físico, é necessário planejar e zelar pelos dados da sua empresa. Deve-se levar em consideração o CID – confidencialidade, integridade e disponibilidade – o que demanda recursos financeiros, técnicos e humanos do departamento de TI. Ao adotar o modelo local ou on-premise é necessário entender e dimensionar esses fatores e seus impactos na complexidade de gestão do ambiente. 

Afinal, tanto as ameaças virtuais quanto as velhas questões como o roubo de equipamentos físicos, alagamentos e outros eventos podem afetar o CID. Os provedores de cloud computing trabalham esses fatores com bastante afinco, pois se trata de sua atividade central. Mecanismos, processos e políticas são adotados, tanto no nível lógico – virtualização, firewalls, VPNs, monitoramento, gestão de acessos IAM e outros –, quanto no nível físico, com data centers profissionais e certificados (TIER) que devem possuir sistemas anti-incêndio, conexão com outro data center, links e energia redundantes etc.

Suporte – No caso dos servidores locais, o suporte é resumido, geralmente, à assistência do hardware adquirido. Esse tipo de atendimento é bastante objetivo e não apresenta nenhuma relação com a implementação do equipamento no negócio. 

.

Quando o servidor fica na nuvem, além do suporte mais rápido e remoto, as intervenções são mais associadas ao impacto que um problema no sistema causa na operação. Ou seja, existe um contexto e as soluções apresentadas são baseadas na performance da sua empresa.

Foco no negócio – Por fim, vale reforçar que a solução da cloud computing contribui para focar a equipe de TI em um papel estratégico dentro do negócio, buscando usar a tecnologia como impulsionadora de inovação, qualidade e eficiência. Isso porque, com servidores próprios, a TI está sempre dividida entre manter a estrutura e utilizá-la da melhor forma possível. A nuvem elimina essa primeira necessidade e liberta os profissionais do setor para cuidarem da implementação, gestão e aproveitamento desses ativos.

Empresas de CC – Mas como implantar uma estrutura de Cloud Computing sem conhecimento prévio. O caminho mais correto é buscar uma empresa especializada em nuvem pode ajudar. Para realmente conseguir potencializar esse caráter libertador e estratégico da cloud computing, não dá para abraçar a nuvem com os próprios braços e esperar que sua equipe, com tantas outras atribuições na rotina, consiga extrair o máximo da tecnologia. 

Nesse sentido, o que a maioria das empresas faz é apostar em uma parceria especializada em soluções utilizando cloud computing. Essa intermediação para implementar e gerir um ambiente de forma remota é o que realmente diferencia a escolha entre servidor em nuvem ou local. É garantir todas as vantagens gastando menos e com mais previsibilidade em seus investimentos.

Mas qual o formato que isso assume? Houve uma época na qual, em vez de “baixar” programas, nós os “comprávamos”? O pacote Microsoft Office, por exemplo: não que não o compremos agora, claro: ele continua pago. Mas, há alguns bons anos, tínhamos que adquiri-lo na forma física. Powerpoint, Word, Excel, Outlook e outros programas vinham em uma caixona que continha todo o conjunto em um CD, que era instalado nos computadores. 

Hoje, porém, tudo mudou. O Office e muitos programas existentes estão na nuvem. É consenso entre especialistas que o modelo de nuvem, chamado cloud computing, veio para ficar – e deve se tornar mais e mais abrangente. Sobretudo em empresas de TI e de desenvolvimento. 

Jeffrey Mann, vice-presidente de pesquisas norte-americana Gartner, afirma nesta matéria do blog SoftwareOne que “a nuvem será cada vez mais adotada como opção padrão para a implantação de um software”. A customização de ferramentas irá pelo mesmo caminho, de acordo com o executivo: “o software customizado é cada vez mais projetado para alguma variação de nuvem pública ou privada”, afirmou.

Cloud first – Descreve uma estratégia de funcionamento para equipes de TI. Ou melhor, que corresponde a um período de implantação na trajetória do cloud computing. A expressão cloud first descreve estratégias em que o armazenamento em nuvem virá em primeiro lugar; em outras palavras, representa o modelo adotado por empresas nas quais a maioria dos tipos de software já é desenvolvida na nuvem.

O modelo teve origem com a criação dos primeiros provedores de nuvem pública, em meados de 2006. Naquela época, os aparatos eram voltados a empresas menores, com capacidade reduzida de armazenamento de informação. No entanto, a prática chamou a atenção das grandes corporações, que começaram a adotar a prática de “nuvem primeiro” em seus armazenamentos. 

O movimento foi tamanho que chegou ao poder público. Diante do potencial da nuvem, o governo dos EUA reconheceu a importância da nova forma de armazenamento e publicou o Federal Cloud Computing Strategy (https://cloud.cio.gov/), um manual para ajudar demais governos do mundo a adotarem a política do cloud first. Esse manual é dividido nas seguintes áreas: Segurança; Compras; Trabalhadores.

O termo “nuvem” é frequentemente usado amplamente no Governo Federal para qualquer solução de tecnologia fornecida por um fornecedor externo. O Instituto Nacional de Padrões e Tecnologia (NIST – National Institute of Standards and Technology) definiu vários modelos de implantação de nuvem como aumentos progressivos no gerenciamento por fornecedores, de Infraestrutura como Serviço (IaaS), onde os fornecedores fornecem a infraestrutura e hardware, até Plataforma como Serviço (PaaS), onde os fornecedores fornecem um ambiente gerenciado para um aplicativo do cliente, para Software as a Service (SaaS), onde os fornecedores fornecem um aplicativo gerenciado e os clientes precisam apenas fornecer seus dados. 

.

Na prática, muitas ofertas dos principais fornecedores não têm mais esses limites bem definidos. Apesar do uso comum do termo, o termo “nuvem” é aplicado com mais precisão às soluções que exibem cinco características essenciais da computação em nuvem, conforme definido pelo NIST: serviço sob demanda, amplo acesso à rede, pool de recursos, elasticidade rápida e serviço medido.

Essas características e as soluções que as apresentam são independentes do provedor – o que significa que qualquer pessoa pode desenvolver e implantar uma solução em nuvem, seja um fornecedor externo ou uma agência federal. 

A indústria mudou para um conjunto mais diferenciado de recursos oferecidos em diferentes camadas do sistema, tornando possível quase qualquer combinação de vários componentes gerenciados por um fornecedor, uma agência governamental ou uma combinação de ambos. Os setores que são líderes em inovação tecnológica também demonstraram que os ambientes híbridos e com várias nuvens podem ser eficazes e eficientes para o gerenciamento de cargas de trabalho. Como resultado, a Cloud Smart Strategy incentiva as agências a pensar na nuvem como um conjunto de soluções que oferece muitos recursos e opções de gerenciamento para aprimorar a missão e a entrega de serviços. Além disso, o Cloud Smart opera com o princípio de que as agências devem estar equipadas para avaliar suas opções com base em suas necessidades de serviço e missão, requisitos técnicos e limitações de políticas existentes. As decisões de computação e tecnologia também devem considerar o impacto do cliente equilibrado em relação aos critérios de gerenciamento de riscos de segurança cibernética e custos. 

Além disso, as agências precisam pesar as ineficiências de longo prazo da migração de aplicativos no estado em que se encontram para ambientes de nuvem em relação aos custos financeiros imediatos de modernização antecipada ou substituição completa.

Para obter todos os benefícios da tecnologia em nuvem, as agências devem cultivar uma mentalidade organizacional de aprimoramento e aprendizado constantes. A modernização não é um compromisso sustentado apenas por intervenções uma vez a cada década. Em vez disso, a modernização é um estado de mudança constante e parte do dia a dia dos negócios de tecnologia em todas as agências. 

Fundamental para fomentar essa mentalidade de melhoria constante é a priorização da liderança da agência no treinamento e educação de sua equipe, um planejamento de migração detalhado e abrangente e um foco em equilibrar a sustentabilidade da solução com a incorporação de novos recursos nos ambientes operacionais da agência. Para tanto, as agências precisarão melhorar iterativamente as políticas, orientações técnicas e requisitos de negócios para atender às necessidades em constante mudança, gerar resultados positivos e evitar que seu portfólio de TI se torne obsoleto.

As agências devem realizar avaliações regulares da experiência do cliente e das necessidades do usuário para garantir que suas soluções promovam eficiência, acessibilidade e privacidade. 4 Além disso, as agências devem racionalizar e atualizar regularmente seus aplicativos, migrando conforme necessário, para reduzir o risco de falha em grande escala, alocar melhores seus recursos e fornecer à equipe tempo adequado para se familiarizar com as técnicas contemporâneas de gerenciamento de produtos. As agências também devem acompanhar seu crescimento em áreas onde as decisões sobre tecnologia se cruzam com outras disciplinas. 

Dada a natureza distribuída da nuvem e o número crescente de recursos discretos e modelos de implantação disponíveis para escolha, as agências podem considerar mover ou adicionar controles de segurança e privacidade à própria camada de dados, em vez de apenas onde eles residem historicamente no perímetro da rede. Ao fazer isso, as agências podem melhorar sua postura geral de segurança e privacidade, capacitando-as a adotar totalmente as tecnologias de nuvem e, ao mesmo tempo, garantindo-lhes tranquilidade de que a confidencialidade e integridade de seus dados estão intactas.

Para perceber não apenas os benefícios de segurança da infraestrutura em nuvem, mas também seus benefícios relacionados à escalabilidade e velocidade de comercialização, as agências devem utilizar práticas de desenvolvimento ágil maduras, incluindo DevSecOps. O uso de tecnologias automatizadas e assistivas, como inteligência artificial e aprendizado de máquina, pode ajudar as agências a melhorar ainda mais a segurança. 

As agências também devem revisar seus portfólios de TI regularmente para determinar os planos de modernização das ferramentas existentes e comparar as ofertas de serviços em potenciais designadas como as Melhores da Classe (BIC – Best In Class) para maximizar o retorno sobre o investimento.

.

Além disso, fornecer treinamento e outros recursos educacionais aos funcionários é essencial para promover a maturidade nas áreas de privacidade, segurança e compras. A equipe de TI da agência deve se familiarizar com o gerenciamento enxuto de produtos, desenvolvimento ágil, entrega contínua e infraestrutura automatizada no nível da equipe e do programa como parte de qualquer plano de modernização. Além disso, a equipe que não é de TI que oferece suporte à privacidade, segurança e compras deve receber treinamento nas várias disciplinas básicas descritas acima. O progresso sustentado nessas áreas de treinamento da equipe é fundamental para a implementação bem-sucedida de novos esforços de nuvem.

Consistente com os requisitos do Federal Information Technology Acquisition Reform Act, o Chief Information Officer (CIO) da agência deve supervisionar os processos de modernização para ajudar a encontrar oportunidades de melhoria em toda a empresa. O envolvimento adicional do Diretor Financeiro pode ajudar a fazer um orçamento adequado para planejamento, avaliação e adoção de tecnologia. Os CIOs também devem incorporar o feedback das unidades de negócios e usuários finais afetados pelos projetos de modernização para minimizar a interrupção da entrega da missão.

As estratégias de adoção da nuvem que atendem com sucesso à intenção do Cloud Smart não devem ser desenvolvidas em torno da questão de quem possui quais recursos ou quais economias de custo previstas existem. 

Em vez disso, as agências devem avaliar seus requisitos e buscar os ambientes e soluções, na nuvem ou de outra forma, que melhor lhes permitam atingir seus objetivos de missão ao mesmo tempo que são bons administradores dos recursos do contribuinte.

Hoje, a prática de cloud first já está bem difundida – é bem provável que você a adote na sua empresa, trabalhando com ferramentas e com desenvolvimento prioritariamente na nuvem. Em pesquisa recente com mais de 2000 profissionais e gerentes de TI revela que ao menos 80% das empresas estão seguindo a estratégia. O estudo foi apresentado neste artigo da Forbes. No entanto, há consenso, também entre especialistas, de que o uso de cloud first no planejamento e no design de softwares será gradualmente substituído pela estratégia cloud only.

Como a própria expressão indica, cloud only descreve a estratégia na qual uma empresa baseia tudo – armazenamento e desenvolvimento – na nuvem. Sem ferramentas ou práticas offline. O processo ainda é incipiente e deve ganhar ímpeto nos próximos anos. Mas já se multiplicam os casos de organizações que realizaram a transição de cloud first para cloud only, e as experiências delas podem trazer importantes aprendizados para você, gestor de TI.

Estudo de caso da Antares Capital – Antares Capital abraçando o cloud only. Um caso emblemático é o do fundo de investimento dos EUA Antares Capital (https://www.antares.com/). Na mesma matéria da Forbes (publicada em 29/04/2017), Mary Cecola, CIO da empresa, contou sobre a jornada de cloud first para cloud only. Cecola revela que o principal desafio foi modernizar os sistemas da empresa, do qual grande parte era antiga, vinda de uma subsidiária da GE. “Nós precisamos migrar todo o nosso sistema dentro de um prazo bem restrito, tendo que criar uma infraestrutura totalmente nova”, conta a executiva.

A solução, conta Mary Cecola, foi realizar a migração de forma gradual e escolher um sistema de armazenamento que se adequasse a essa estratégia – no caso, Azure, da Microsoft. “Conforme começamos a mudar mais e mais coisas para a nuvem, escolhemos esse sistema por ser extremamente mobile. Até porque os times da Antares são mobile. São rápidos e dedicados, e o sistema permitia acompanhar essa agilidade”, conta a CIO.

A plataforma da Microsoft inclui Skype, desktops virtuais e OneDrive na nuvem, que foi fundamental para os colaboradores. Hoje, a Antares Capital está 100% na nuvem, a chamada “cloud only”. Um passo eloquente, se considerarmos a insegurança que empresas financeiras sentiam diante da nuvem.

Pilar da Segurança – As agências devem adotar uma abordagem baseada em riscos para proteger os ambientes em nuvem. Conforme recomendado pelo Relatório ao Presidente sobre Modernização Federal de TI, as agências devem enfatizar “proteções em nível de dados e aproveitar totalmente as tecnologias virtualizadas modernas”. Isso requer que as agências enfatizem as proteções na camada de dados, além da rede e física camadas de infraestrutura, fazendo a transição para uma estratégia de defesas multicamadas, também conhecida como defesa em profundidade. 

.

Fundamental para o sucesso desta estratégia de segurança no contexto do Cloud Smart é a garantia de confidencialidade, integridade e disponibilidade de informações federais à medida que atravessa redes e permanece dentro de sistemas, independentemente de esses ambientes serem gerenciados localmente, fora das instalações, por uma entidade governamental ou por um contratado. Além disso, é essencial que as agências realizem monitoramento contínuo para detectar atividades maliciosas e dedicar esforços para melhorar a governança dos sistemas. 

O gerenciamento bem-sucedido dos riscos de adoção da nuvem requer colaboração entre a liderança da agência, proprietários de missão, profissionais de tecnologia e órgãos de governança. A coordenação entre os programas de segurança da informação e privacidade é necessária para garantir a conformidade com os requisitos de privacidade aplicáveis e para a identificação e gestão bem-sucedidas dos riscos para os indivíduos ao processar informações de identificação pessoal (PII – personally identifiable information). Funcionários da Agência Sênior para Privacidade (SAOPs – Senior Agency Officials for Privacy) são responsáveis pelo gerenciamento o risco que pode resultar da criação, coleta, uso e retenção de PII, e têm um papel importante a desempenhar na tomada de decisões sobre a adoção de tecnologia e processos que preocupam ou impactam a gestão de PII. 

O Cloud Smart incentiva as agências a abordar a segurança e a privacidade em termos de resultados e recursos pretendidos. Os programas a seguir são os principais elementos da estratégia de segurança federal que devem evoluir junto com o progresso tecnológico para permitir que as agências adotem essa abordagem holística e voltada para resultados. 

No caso particular do Brasil, nós temos uma legislação excelente sobre os dados pessoais. São as Leis 13.709/2018 e 13.853/2019 que foram promulgadas respectivamente pelos Presidentes Michel Temer e Jair Messias Bolsonaro, respectivamente. Ainda existem alguns detalhes e aprimoramentos a serem feitos no campo das leis de proteção de dados. Mas, já existe uma legislação bem satisfatória.

Publicada em 20 de novembro de 2007, o memorando M-08-059 da OMB (Office of Management and Budget/White House) estabeleceu novos requisitos para agências federais nos EUA com a intenção de reduzir o número federal de conexões de rede externas enquanto padroniza sua segurança. Desde o lançamento da política, o tráfego de rede da agência em conformidade com os requisitos do OMB circulou exclusivamente por meio de um número limitado de conexões externas, conhecidas como Conexões de Internet confiáveis *TICs – Trusted Internet Connections). O memorando é assinado por Clay Johnson III, um dos maiores gurus de governança de tecnologia do mundo.

Embora esse conceito de arquitetura inicial tenha servido a um propósito importante em seu início, em um momento em que a rede era restrita por limitações físicas e as abordagens das agências para a segurança da rede não eram padronizadas e altamente fragmentadas, o cenário tecnológico evoluiu para fornecer às agências mais ferramentas, tecnologias, e abordagens para proteger seus dados, deixando a construção de TIC, antes útil, agora relativamente inflexível e incompatível com os requisitos de muitas agências. Com a proliferação de ofertas de nuvem do setor privado, o surgimento de redes definidas por software e uma força de trabalho cada vez mais móvel, o modelo TIC deve competir com soluções mais novas e flexíveis que fornecem segurança igual ou maior, ou deve evoluir também.

Investidor - Bolsa de Valores
.

Escolhendo a última opção, o Departamento de Segurança Interna (DHS – Department of Homeland Security – https://www.dhs.gov/) está trabalhando com várias agências para testar abordagens específicas da agência que atendam aos objetivos e intenções do M-08-05 enquanto minimiza as restrições técnicas impostas pela política única com todo o modelo para a área de TIC. 

Essas abordagens mais novas e menos rígidas serão incorporadas às arquiteturas de referência de TIC atualizadas para destacar os casos de uso em que os objetivos de segurança podem ser atendidos sem rotear todo o tráfego por meio de um conjunto prescrito de pontos de acesso físicos. As arquiteturas de referência de TIC também demonstrarão como diferentes casos de uso que não exigem que o tráfego seja roteado por meio de um TIC podem atender aos requisitos de detecção de intrusão em todo o governo e esforços de prevenção, como o Programa EINSTEIN, ao mesmo tempo incorporando controles designados por DHS, que foram projetados para garantir um nível básico de segurança em toda a empresa federal.

Ao realizar essas ações para expandir as opções disponíveis para as agências para proteger suas redes e dados, a capacidade coletiva do Governo Federal de tirar proveito de novos paradigmas, como redes de confiança zero, é aumentada, à medida que sua eficácia no gerenciamento de risco. Dada a facilidade de fluxo de dados de propriedade federal de redes internas para dispositivos externos de usuário final, a criptografia e a implementação moderna de gerenciamento de identidade, credencial e acesso (ICAM – Access Management) é essencial. A criptografia e a implementação de ICAM são particularmente relevantes no contexto de ambientes baseados em nuvem, nomeadamente naqueles casos em que uma agência faz parceria com um provedor de serviços externo para gerenciar a visibilidade da rede e a proteção de dados.

Para garantir a continuidade da segurança da informação durante e após o processo de migração, é responsabilidade das agências avaliar completamente seus requisitos operacionais, de política e de negócios e advogar por si mesmas ao negociar novos acordos com provedores de serviços em nuvem. 

Independentemente do tipo de provedor – comercial ou governamental – as agências devem considerar a celebração de acordos com todos os provedores em relação ao acesso e uso de dados de registro, dada sua importância na condução eficaz das operações de segurança da informação. Além disso, como cada agência é a custódia de suas informações em nome do público, cada agência é responsável por determinar seu próprio modelo de governança para dados hospedados em nuvem que se alinhe com seus sistemas de gerenciamento de identidade e credencial. 

Para esse fim, onde uma solução em nuvem é implantada por um fornecedor, um Acordo de Nível de Serviço (SLA – Service Level Agreement) deve estar em vigor que forneça à agência uma consciência contínua da confidencialidade, integridade e disponibilidade de suas informações.

Além disso, as agências devem ser informadas se suas informações residirão em um sistema de informações de terceiros antes de assinar qualquer contrato de serviço; as agências devem ter acesso contínuo aos dados de registro; e deve ser notificado imediatamente se um incidente de segurança cibernética, violação ou outro evento adverso ocorrer ou se houver suspeita de ocorrência envolvendo qualquer informação ou sistema de informação coberto por um contrato de serviço com um provedor de serviços em nuvem. 

.

Para permitir ainda mais proteção e conscientização contínuas de dados, as agências e seus parceiros devem se envolver regularmente no compartilhamento recíproco de informações. A segurança cibernética requer colaboração público-privada e, à medida que mais entidades federais adotam soluções comerciais em nuvem, clientes e provedores devem trabalhar juntos para proteger as informações. Reconhecendo a importância das ferramentas e recursos analíticos que escalam em ambientes com várias nuvens na facilitação de visibilidade contínua e compartilhamento de informações, o Programa de Diagnóstico e Mitigação Contínua (CDM – Continuous Diagnostics and Mitigation) do DHS também continua a evoluir para que as agências estejam equipadas com os recursos de monitoramento de que precisam para entender seu risco cibernético na nuvem.

O Programa Federal de Gerenciamento de Risco e Autorização (FedRAMP – Federal Risk and Authorization Management Program) fornece uma abordagem padronizada em todo o governo para avaliação de segurança, autorização e monitoramento contínuo de serviços em nuvem. 

Oferecer aos provedores de serviços de nuvem a oportunidade de demonstrar sua capacidade de atender aos requisitos de segurança federais por meio de linhas de base padronizadas permitiu o desenvolvimento de um mercado florescente de provedores avaliados. Ele também permitiu que as agências se adaptassem da tecnologia legada misteriosa a sistemas baseados em nuvem centrados na missão e econômicos de maneira mais rápida, consistente e segura.

Embora o escritório de gerenciamento do programa FedRAMP tenha reduzido drasticamente o tempo necessário para autorizar um provedor de serviços em nuvem, ainda há trabalho a ser feito para resolver os problemas subjacentes que contribuem para o ritmo relativamente lento de avaliação. Por exemplo, a falta de reciprocidade entre as agências ao adotar as autorizações do FedRAMP levou a uma duplicação significativa de esforços ao avaliar a segurança para a implantação do produto. Além disso, um grande número de processos específicos da agência tornou complicado para as agências emitir uma Autorização para Operar (ATO – Authorization to Operate) para soluções, mesmo ao usar provedores de serviços em nuvem autorizados existentes. Na verdade, apesar da importância reiterada da gestão de riscos corporativos, agências continuam a citar os principais obstáculos com suas próprias políticas e práticas.

Para enfrentar esses desafios, várias iniciativas voltadas para a evolução geral do processo, bem como estratégias para acelerar acordos ATO comuns estão em desenvolvimento. Esses esforços pretendem conduzir herança e monitoramento de controles melhores e mais automatizados, uma abordagem priorizada para implementação de controle e uso de controle mais normalizado em toda a empresa federal. Avanços no desenvolvimento do ATO em nuvem serão usados para informar a reforma geral do ATO, que envolverá a revisão das publicações especiais do NIST.

.

Isso também restabelecerá a função do FedRAMP no processo de avaliação de risco como uma verificação de verificação para as agências enquanto tomam decisões informadas sobre as soluções de nuvem que implantam, em vez de uma panaceia para todos os assuntos relacionados ao risco associado a qualquer implementação de uma solução de nuvem.

O OMB e o GSA continuarão a promover o alinhamento e a reutilização das determinações da ATO e a examinar de perto os obstáculos identificados pela agência nesse esforço. Por fim, o aprimoramento dos conjuntos de habilidades da força de trabalho federal em torno da segurança em nuvem no programa FedRAMP permitirá que o Governo Federal continue a aumentar a eficiência e a eficácia das práticas de segurança das agências na adoção de sistemas em nuvem, enquanto reduz a carga sobre os profissionais de segurança, provedores e agências Liderança. 

Reunir um quadro de profissionais e fornecer envolvimento direto com todos os aspectos do processo de autorização de segurança criará um entendimento comum e abrangente da segurança na nuvem e permitirá mais confiança ao compartilhar ATOs.

As agências também são incentivadas a adotar uma abordagem multidisciplinar para contratar e treinar sua força de trabalho, bem como fornecer espaços comunitários onde especialistas em serviços digitais, profissionais de segurança da informação, especialistas em aquisições e outros com interesse mútuo na adoção de nuvem segura e eficaz possam colaborar no atuais desafios e oportunidades no espaço da computação em nuvem.

Pilar das Compras – Parceiros da indústria, grupos de trabalho interagências e agências individuais forneceram às comunidades federais de TI e de aquisições numa ampla seleção de ações recomendadas para acelerar a adoção de soluções em nuvem. Algumas dessas recomendações foram traduzidas em orientações para todo o governo federal, mas permanece uma falta de consistência nas implementações das agências e no compartilhamento de informações sobre as melhores práticas. 

Na ausência de uma orientação abrangente, as agências devem pesquisar em várias fontes para obter uma compreensão básica dos vários tipos de serviços em nuvem vendidos no mercado comercial, as diferentes ofertas disponíveis em contratos governamentais existentes e a melhor maneira de avaliar qual abordagem é o melhor para um determinado requisito. Como resultado do uso onipresente da computação em nuvem pelo setor privado, as agências muitas vezes adquirem serviços por meio de contratos que, embora não sejam especificamente comercializados como um serviço ou recurso baseado em nuvem, envolvem a colocação de informações da agência em sistemas baseados em nuvem para processamento ou armazenamento. 

telemedicina - computador em posto de saúde
,

Essa tendência cria potenciais preocupações de segurança e privacidade e garante que as agências prestem mais atenção aos contratos de serviços profissionais, onde o armazenamento de informações federais em sistemas de informações não governamentais pode estar implícito.

Para enfrentar esses desafios, as agências precisarão usar uma variedade de abordagens que aproveitem a força do poder de compra em massa do Governo Federal, o conhecimento compartilhado dos bons princípios de aquisição, bem como as práticas de gestão de risco relevantes. Como parte da abordagem multidisciplinar Cloud Smart, as agências também precisarão colocar as considerações de segurança e privacidade na vanguarda de qualquer esforço de aquisição e, para evitar a dependência do fornecedor, elas devem avaliar as dependências do processo de negócios de qualquer nova solução. Eles também devem atualizar seus planos de continuidade de negócios e recuperação de desastres para incluir contingências envolvendo a interrupção repentina ou encerramento do serviço. 

Abaixo, estão detalhadas considerações adicionais para profissionais de compras federais que navegam no espaço de TI e profissionais de TI que buscam orientação sobre práticas comuns para garantir a aquisição protegida e econômica de soluções baseadas em nuvem. O gerenciamento de categorias descreve a prática comercial estratégica que o Governo Federal está implementando para comprar de maneira mais inteligente e mais parecida com uma única empresa. Especificamente, o gerenciamento de categorias em todo o governo visa: 1) entregar mais economia, valor e eficiência para as agências federais; 2) eliminar redundâncias desnecessárias de contratos; e 3) atender às metas de pequenas empresas do governo. 

O gerenciamento de categorias simplifica o processo para que a indústria faça negócios com o governo, reduzindo a duplicação de contratos e diminuindo os custos de licitações, propostas e administração de contratos. Também oferece ao Governo Federal a oportunidade de melhorar as práticas de compra que suportam estratégias Cloud Smart, aumentar a adoção de veículos em nuvem comprovados no mercado federal e desenvolver novos veículos para atender às demandas emergentes. O OMB publicou um memorando que descreve as orientações sobre a implementação dos princípios de gerenciamento de categorias e o uso de soluções contratuais comuns.

Um Acordo de Nível de Serviço (SLA – Service Level Agreement) entre um cliente e um provedor de serviços define o nível de desempenho esperado de um provedor de serviços, como esse desempenho será medido e quais mecanismos de aplicação serão usados para garantir que os níveis especificados sejam alcançados. 

Embora não padronizado no Regulamento de Aquisição Federal (FAR – Federal Acquisition Regulation), SLAs são incorporados por meio de cláusulas contratuais e cláusulas contratuais de garantia de qualidade. Em ambientes de tecnologia legada, esses acordos representam um elemento crítico de negociação com fornecedores. Infelizmente, o próprio termo “Acordo de Nível de Serviço” ficou sobrecarregado com vários significados dependendo do contexto, o que resultou em maior incerteza em torno da melhor abordagem para alcançar melhores resultados para as agências. O Cloud Smart oferece uma abordagem dupla para a compra e uso mais inteligente da nuvem em agências federais por meio de melhorias no uso de SLA, conforme descrito abaixo.

Em primeiro lugar, é importante observar que os candidatos para inclusão como cláusulas padrão que se aplicam a itens comerciais no FAR – incluindo novos SLAs – devem geralmente atender a pelo menos um dos seguintes critérios: (1) a cláusula é necessária para implementar uma disposição de lei aplicável à aquisição de itens comerciais; ou (2) a cláusula é geralmente consistente com a prática comercial habitual. Mantendo essas estipulações em mente, a primeira linha de atividades para apoiar o uso efetivo de SLAs envolve a revisão e seleção governamental de termos e condições contratuais específicos para ofertas comerciais baseadas em nuvem que são bons candidatos para uso padronizado entre agências. A padronização dos SLAs de contrato de nuvem fornecerá resultados de aquisição de nuvem mais eficazes, eficientes e seguros para agências, ao mesmo tempo em que possibilitará o gerenciamento aprimorado de risco em toda a empresa federal por meio de maior consistência e transparência nas negociações com fornecedores comerciais.

Em segundo lugar, os chefes das agências executivas são responsáveis pelo gerenciamento do risco para suas empresas, e essa responsabilidade permanece com o chefe da agência, mesmo no que diz respeito aos sistemas operados por contratados. 

Um elemento importante da aquisição de serviços em nuvem é a clareza em quais serviços um provedor de nuvem executa e em que nível. Portanto, para facilitar o gerenciamento de risco eficaz por meio de seus relacionamentos com provedores de serviços em nuvem comerciais, as agências devem articular funções e responsabilidades de maneira granular, estabelecer métricas de desempenho claras e implementar planos de remediação para a não conformidade. 

Tal governança, arquitetura e clareza operacional ajudariam a garantir que os serviços sejam executados conforme pretendido e, quando combinados com a linguagem de SLA correta, ofereceriam às agências uma maneira de mitigar o risco, otimizando o desempenho e a eficiência de sua solução baseada em nuvem recém-adquirida.

É essencial que as agências considerem e gerenciem os riscos de segurança e privacidade para informações e serviços de missão ao tomar decisões de aquisição e implantação de nuvem. Incorporando essa abordagem como parte do processo de aquisição e do ciclo de vida de desenvolvimento do sistema, o CIO federal publicou um memorando atualizado de High Value Asset (HVA – High Value Asset) que se baseia na iniciativa anterior e adiciona considerações para o gerenciamento de risco em ambientes híbridos. As agências agora devem garantir que os contratos que afetam seus HVAs, incluindo aqueles gerenciados e operados na nuvem, incluam requisitos que forneçam às agências visibilidade contínua do ativo. 

A orientação permite que as agências avaliem de forma proativa a postura de segurança e privacidade de seus ativos e busca aumentar a confiabilidade do HVA, exigindo que desenvolvedores, fabricantes e fornecedores empreguem as melhores práticas para projetar, implantar e proteger sistemas. Isso levará a uma integração direcionada de princípios de design de segurança e privacidade, técnicas de codificação seguras e métodos de computação confiáveis.

Pilar dos Trabalhadores – A força de trabalho federal de TI desempenha um papel integral na execução das missões da agência, entrega de serviços ao público e fornecimento de segurança para os sistemas e informações essenciais do país. Da mesma forma que as agências não podem terceirizar o risco para fornecedores comerciais, também não podem terceirizar a tomada de decisões. O investimento imediato e sustentado das agências na força de trabalho federal é fundamental para a melhoria da qualidade, segurança e impacto dos serviços prestados aos contribuintes. Sem ele, as melhorias na infraestrutura de tecnologia do Governo Federal e a proliferação bem-sucedida da estratégia Cloud Smart não serão totalmente realizadas. Conforme as agências adotam e migram para plataformas em nuvem, o impacto que essas migrações têm na força de trabalho federal precisa ser examinado. 

Especificamente, as agências devem identificar potenciais lacunas de habilidades que surgem como resultado de uma transição para serviços baseados em nuvem e, quando necessário, equipar sua equipe existente com habilidades e conhecimentos adicionais para acompanhar a lista cada vez maior de opções de tecnologia disponíveis para adquirir e implantar. 

As agências não devem se restringir a um único modelo de transformação da força de trabalho. As estratégias podem incluir programas de desenvolvimento para talentos emergentes ou futuros líderes; programas de aprendizagem; iniciativas para converter pessoal que não é de TI onde as aptidões se alinham; ou intercâmbios de pessoal qualificado por meio de parcerias público-privadas ou oportunidades de detalhamento interagências. 

Geralmente, as estratégias e políticas de nuvem das agências também devem incluir um componente de planejamento e desenvolvimento da força de trabalho que adapta uma abordagem de transformação e treinamento para essa agência. Além disso, no caso de um impacto na força de trabalho existente ter sido identificado, esta abordagem deve incluir um cruzamento de novas habilidades e categorias ocupacionais com categorias ocupacionais legadas para promover clareza e facilidade de transição. 

Estilo de Vida -Maioria passa horas sentado em frente ao computador
.

A adoção bem-sucedida de soluções em nuvem requer uma força de trabalho que entenda como gerenciar as complexidades de uma migração e também como oferecer suporte a um ambiente de nuvem, uma vez implantado. Os CIOs (Chief Information Officer), Chefes Administrativos (CHCOs – Chief Human Capital Officers) e os líderes da agência devem conduzir de forma colaborativa uma análise de lacunas de habilidades que mapeie os recursos atuais da força de trabalho de TI para os requisitos futuros de habilidade e posição. As agências são fortemente encorajadas a aproveitar as projeções do setor para ajudar a prever as futuras habilidades da força de trabalho e requisitos de posição, especialmente para funções de TI.

A National Initiative for Cybersecurity Education (NICE)/Cybersecurity Workforce Framework, cujo uso por agências federais é obrigatório na Lei Federal de Avaliação de Força de Trabalho de Cibersegurança de 18 de dezembro de 2015 (https://www.congress.gov/bill/114th-congress/house-bill/2029/text), recomenda uma abordagem para identificar todos os cargos civis federais que executam TI ou funções relacionadas à segurança cibernética. as agências devem continuar a cumprir o NICE Framework para ajudar a padronizar as avaliações de lacunas da força de trabalho de segurança cibernética em todo o governo, elas são incentivadas a realizar suas próprias análises de lacunas de habilidades em toda a empresa para garantir a inclusão de todas as habilidades de TI atuais e futuras e posições específicas para seus requisitos de força de trabalho .

Os funcionários atuais podem não ter as habilidades ou conhecimentos necessários para facilitar uma migração para a nuvem ou para manter o ambiente após a migração. Portanto, as agências devem conduzir suas análises de lacunas de habilidades para identificar as lacunas de habilidades e posições técnicas e não técnicas, para que a liderança possa determinar quais deficiências são as mais significativas e / ou representam uma necessidade de missão crítica.

As agências devem abordar os déficits mais urgentes encontrados por uma análise de lacunas da força de trabalho, desenvolvendo estratégias de requalificação de funcionários que se concentram em oportunidades de treinamento e desenvolvimento profissional, como o programa Profissional de Aquisição de Tecnologia da Informação Digital (DITAP – Digital Information Technology Acquisition Professional) do OMB. Uma estratégia de requalificação completa levará em conta os bem como necessidades não técnicas. 

Dado que a computação em nuvem é um território relativamente novo para profissionais de aquisição, como Oficiais de Aquisição, Oficiais de Contratação e Gerentes de Projeto, devem aproveitar a orientação existente de recursos como o OMB, o Instituto Federal de Aquisição e o TechFAR HUB. Consistente com a orientação para funções de aquisição de TI, as agências também podem se beneficiar do desenvolvimento de uma equipe especializada ou da expansão do uso de quadros de aquisição de TI.

Por último, os CHCOs e os Chief Learning Officers devem ajudar a determinar as opções ideais de treinamento e redistribuição (por exemplo, certificação e programas de rotação) para utilizar funcionários requalificados. Como acontece com muitas iniciativas de novas tecnologias, as agências devem esperar um período de treinamento inicial agressivo e também devem planejar a educação contínua e a experimentação neste campo em rápida evolução. 

Fornecer aos funcionários valiosos acesso a recursos de educação continuada e oportunidades para aplicar seus conhecimentos informará novas iniciativas de nuvem e promoverá a satisfação no trabalho. Acima de tudo, o sucesso de iniciativas como essas depende do apoio de campeões na liderança executiva que expressam amplamente seu apoio ao esforço e que removem obstáculos que desencorajam ou impedem os funcionários de buscar oportunidades de requalificação ou certificação. Embora encontrar o campeão certo apresente seus próprios desafios, a capacidade dessa pessoa de ampliar o alcance e os resultados da iniciativa da agência é inestimável.

O Bureau de Estatísticas do Trabalho do Departamento do Trabalho dos Estados Unidos relata que a computação em nuvem é um fator importante no crescimento da ocupação de tecnologia, que deve se expandir 13% de 2016 a 2026. Além de requalificar os funcionários atuais para resolver as lacunas de habilidade e posição mais críticas, as agências devem avaliar e atualizar continuamente suas estratégias de recrutamento e contratação. 

As principais estratégias incluem alavancar as melhores práticas de recrutamento do setor, expandir o uso de flexibilidades salariais e remover as barreiras burocráticas para a contratação rápida de funcionários. As agências devem construir um canal para alimentar continuamente a segurança cibernética e o talento de TI para o Governo Federal. O mercado de profissionais de tecnologia com conjuntos de habilidades de computação em nuvem é extremamente competitivo. Quando possível, as agências devem aproveitar as técnicas utilizadas pelo setor privado para atrair e contratar os melhores candidatos para o Governo Federal. 

Em coordenação com seus Diretores de Capital Humano, as agências devem executar estratégias proativas de recrutamento e retenção, como: Participar de conferências do setor com feiras de carreiras; Realização de eventos nacionais de contratação para fortalecer a conscientização e divulgação; Desenvolver anúncios de talentos “mais procurados” para mostrar necessidades críticas; Garantir que as ofertas de empregos em lugares como o USAJOBS reflitam adequadamente as habilidades necessárias; Envolvendo candidatos por meio de plataformas de mídia social; Criação de perfis e compartilhamento de experiências atuais dos funcionários; Oferecer incentivos aos funcionários para o desenvolvimento profissional relevante; Apoiar o engajamento de funcionários federais em fóruns adequados da indústria para aumentar a visibilidade e o acesso; Aproveitando os procedimentos de contratação de promoção por mérito para reter, promover ou realocar funcionários federais atuais quando apropriado; Alavancar as autoridades de contratação e retenção aprovadas pelo Escritório de Gestão de Pessoas, como pagamento de incentivos e prêmios; Aproveitando a bolsa de estudos para serviços e outras parcerias acadêmicas para construir um canal para graduados no Governo Federal; Apresentando iniciativas de diversidade e inclusão.

Embora o governo invista em esforços para recrutar talentos existentes para a força de trabalho federal, ele também deve criar um canal de talentos para expandir o grupo de candidatos qualificados. 

Por meio das iniciativas do Workforce Council, Federal Privacy Council e do Chief Information Officer Council, o governo continuará a desenvolver parcerias com faculdades comunitárias, programas de aprendizagem e instituições de quatro anos, além de alavancar parcerias já existentes. Considerações ampliadas sobre soluções de requalificação e requalificação também devem ser incluídas nas estratégias de transição das agências. Conforme as agências implementam a estratégia Cloud Smart, elas devem executar planos de comunicação que ajudem os funcionários a entender as mudanças que ocorrerão. Por exemplo, a migração para a nuvem pode exigir o descomissionamento de sistemas legados que estão em uso há muitos anos. 

Os funcionários podem se sentir relutantes, especialmente se as posições forem redefinidas, em aprender a operar novos sistemas em um ambiente de nuvem. As agências podem aliviar as preocupações com a força de trabalho articulando claramente como a força de trabalho atual se alinhará assim que a adoção da nuvem for concluída. É altamente recomendável socializar um roteiro de tecnologia para incluir sistemas que migrarão para a nuvem, completa ou parcialmente, e um esboço do processo de gerenciamento de mudanças para incluir oportunidades de requalificação. As agências também devem se sentir confortáveis em aproveitar os fornecedores envolvidos nas atividades de migração para a nuvem para fornecer ou dar suporte ao treinamento para os funcionários atuais.

profissionais de T.I
.

A demanda por profissionais de tecnologia com conjuntos de habilidades em computação em nuvem está em alta. Isso significa que atrair, recrutar e reter os indivíduos certos exigirá uma estratégia de capital humano executável com um processo de contratação simplificado e incentivos não tradicionais. Agências com cronogramas de contratações agressivas e ofertas competitivas que alavancam salários e incentivos de recrutamento atrairão talentos. É imperativo que a liderança da agência identifique e resolva prontamente as barreiras burocráticas que impedem as agências de contratar talentos de maneira expedita. As agências têm amplas autoridades sob o Título 5 do Código dos Estados Unidos para contratar os melhores talentos de TI e segurança cibernética e para fornecer aos candidatos qualificações superiores ou que abordem lacunas de habilidades críticas com flexibilidades salariais e incentivos. 

As agências são fortemente encorajadas a usar as autoridades de contratação disponíveis, incentivos de recrutamento e benefícios de reembolso de empréstimos estudantis para contratar profissionais com habilidades de computação em nuvem altamente procuradas. É responsabilidade das agências federais garantir que sua força de trabalho atual e futura esteja preparada para oferecer suporte aos ambientes de nuvem federais. As estratégias de nuvem da agência e os investimentos proporcionais na força de trabalho devem permitir que os líderes desenvolvam e capacitem a força de trabalho de TI e segurança cibernética com as habilidades necessárias para atingir as metas de migração da nuvem e oferecer suporte à tecnologia mais recente que melhorará a entrega de serviços essenciais aos cidadãos.

Mas qual é a importância de tantas normas e parâmetros dos EUA para nosso Brasil? Fundamental! É nosso costume adotar as normas americanas no nosso país. Traduzimos e adaptamos ao cotidiano “tropical” e usamos quase os mesmos padrões. Daí, essa importância em explanar os modelos e leis da terra da Microsoft. 

A cloud computing é um universo de tecnologias que deram muito certo e, agora, os projetistas olham além, visando o que pode ser melhorado. Entre as inovações que devem ser agregadas aos serviços, além das já difundidas SaaS, PaaS e IaaS, podemos citar:

 – Machine Learning e Deep Learning para agregar maior inteligência artificial e potencializar a automação dos processos de monitoramento e controle;

 – Reforço da segurança com o uso de reconhecimento facial e de retina para acessar os ambientes privados.

Assim, que a cloud computing possibilita ao varejo inovar, atingir maiores níveis de agilidade e modernizar suas estruturas de funcionamento. Isso faz dela uma estratégia que não pode ser ignorada quando o assunto é obter força competitiva. 

Por enquanto, vamos nos ater nessa estrutura legal e comportamental das estruturas da Cloud Computing, ou seja, a prática da Governança em Arquitetura de Nuvens. Vamos, em breve, continuarmos sobre a gestão desse universo chamado “nuvem”!

 

Sobre o autor

JOÃO LUIS GREGORIO E SILVA Nascido em Recife. Especialista em Planejamento e Gestão Organizacional (UPE), Graduado em Gestão de Negócios (UniFBV), Especializando em Engenharia de Software (FAMEESP), Técnico em Informática (Unibratec). Funcionário da Secretária de Administração de Pernambuco e Consultor nas áreas de negócios e implantação de T.I. Autor de alguns livros, entre eles: Arquitetura em nuvem (Ed. Amazon DKP/EUA/ISBN 979-8639064012); Matemática Financeira Fundamental (Ed. Amazon DKP/EUA/ISBN 979-8639411632); Contabilidade e gestão para executivos (Ed. Clube de Autores/Brasil); Economia fundamental (Ed. Clube de Autores/Brasil).Contato: [email protected]

 

Deixe uma resposta

Seu endereço de email não será publicado.

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.