Cloud Computing: hype ou novo paradigma computacional?

Tenho feito várias palestras sobre cloud computing, tanto abertas, como as do Ideti (www.ideti.com/br/cloud), que fiz em São Paulo e nas próximas semanas em Brasilia e no Rio de Janeiro, como em clientes e parceiros de negócios.

Destas palestras extraí algumas das questões mais recorrentes, que gostaria de compartilhar aqui.

 A primeira, naturalmente,  é “o que é cloud computing”? Na minha visão é um estilo de computação que provê recursos de TI “as a service”, de forma elástica, via Internet. As nuvens podem ser públicas ou privadas, estas restritas a própria empresa. De forma simplista, como se fosse uma intranet. E como reconhecer uma nuvem? Seus cinco atributos básicos são:

a) “Service based”, ou seja, através de um portal de auto-serviço os usuários provisionam e alocam recursos computaconais. Este interface esconde do usuário a grande complexidade que são as tecnologias que fazem uma nuvem existir.

b) Escalável e elástica. Os recursos (ou serviços) são provisionados e alocados de acordo com a demanda. Se a demanda aumentar, mais recursos serão adicionados. Por outro lado,  se a demanda diminuir, menos recursos serão necessários. Eu, pessoalmente, prefiro o termo elasticidade, pois visualiza melhor o aumenta-diminui no uso de recursos.

c) Compartilhável. Os serviços compartilham um pool de recursos, de modo que o provedor da nuvem obtenha economias de escala e consiga repassar estes ganhos para os seus usuários.

d) “Pay as you use”. O usuário paga pelos recursos utilizados e não como hoje, quando tem que arcar com investimentos prévios em tecnologia.

e) Uso da Internet como interface de acesso.

 Uma outra questão é sobre que tipos de nuvens existem…Muitos imaginam que uma nuvem computacional é apenas infra-estrutura como serviços, como a oferecida pela Amazon. Mas, existe também platform-as-a-service, como a oferecida pelo Google Application Engine e naturalmente SaaS, como o conhecido salesforce.com e o Lotus Live da IBM.

 Me perguntam também se cloud é hype ou se tem substância. Bem, entendo que um novo paradigma computacional (como cloud computing) evolui e se dissemina pelo mercado se satisfaz plenamente determinadas características relacionadas com valor para o negócio. O primeiro quesito e eliminatório é o fator econômico. O novo paradigma traz benefícios econômicos e financeiros em relação ao modelo atual? Bem, cloud computing muda o modelo financeiro de capex para opex (reduzindo investimentos em capital) e otimiza os custos operacionais (oferecendo o modelo pay-as-you-use e minimiza ciustos desnecessários, pois não se paga por funcionalidades não utilizadas). Portanto, tem claro valor econômico e financeiro. Outro quesito são os benefícios diretos para o negócio, como permitir mais agilidade (elesticidade é um plus, mas através do auto-serviço permite que os usuários provisionem recursos quando precisam, sem necessidade de burocracias intermediárias e longas esperas pela liberação de recursos computacionais). Facilita a inovação e a criatividade, pois permite que a empresa se concentre no seu negócio e na construção de soluções que tragam resultado direto para o negócio, sem perder tempo e energia em upgrades de hardware e software.

Um outro quesito pode ser a simplicidade de uso.  Muitos usam uma nuvem sem saber…Exemplos são o Gmail, Google Docs e o Facebook. Com computação em nuvem podemos iniciar uma empresa start-up sem necessidade de preocupação com infra-estrutura fisica. Fica muito mais fácil iniciar um novo negócio baseado ou suportado por TI.

 Outro quesito é a confiança e a percepção de risco do novo paradigma em relação ao modelo atual. Confiança  vai sendo adquirida com o tempo. Quando surgiu o modelo cliente servidor as inseguranças e o temor de se colocar aplicações em servidores distribuidos era muito grande. Hoje, é o paradigma dominante. O mesmo aconteceu com o surgimento do B2C e B2B, quando havia muito receio de se “colocar cartão de crédito” na Internet.  Ou quando começou-se a  usar Linux nos servidores. Ouvia-se muito a frase “eu não vou cloocar meus sistemas em um software que não sei quem é o dono”…Hoje Linux é usado comumente. Portanto, à medida que mais e mais casos de uso de cloud computing forem se disseminando, os temores irão diminuindo.

 E finalmente, o impacto social do novo paradigma. O modelo computacional baseado em PCs levou a informática para dentro das casas, quando antes ela era restrita apenas às grandes empresas. O paradigma de cloud computing vai abrir novos espaços no uso de tecnologia. Mas, para este ponto quero levar a discussão para o crescente mercado dos países emergentes. Embora representem apenas 21% dos investimentos globais em TI, mais da metade dos novos investimentos em tecnologia ao longo dos próximos quatro anos virá dos países emergentes. Isto sugere que no ciclo tecnológico que está apenas começando os países emergentes irão pela primeira vez exercer influência forte na demanda e nas características dos modelos computacionais a serem ofertados. O modelo cliente-servidor, centrado no PC, aconteceu porque o modelo econômico dominante era do primeiro mundo onde as pessoas podiam adquirir os então caros PCs. Hoje a inclusão digital nos países emergentes não se dá apenas pelo PC mas, principalmente, por outros dispositivos como o celular ou até mesmo a televisão interativa. Com o uso disseminado de equipamentos de informática menos potentes, como os celulares, haverá um uso maior de serviços rodando nas nuvens estruturadas nos centros de dados das empresas. A mudança para este modelo de serviços resultará em uma radical mudança do atual modelo, que impõe que os usuários paguem previamente pela tecnologia.

 Enfim, na minha opinião estamos vivendo os primeros passos de uma mudança significativa no modelo computacional. Cloud computing vai se tornar o paradigma do proximos anos, embora não vejamos uma explosão de uso tipo “big bang”, mas sim mudanças graduais. Mas estas mudanças graduais criarão ao longo dos próximos cinco a dez anos um novo modelo computacional. Querem apostar?

SaaS e Cloud computing

Participo constantemente de eventos de tecnologia. Amanhã, inclusive estarei no Ideti, em São Paulo. apresentando um tutorial sobre Cloud Computing. Um dos pontos fortes destes eventos são as conversas de corredor, as trocas de informações entre as dezenas de profissionais que você acaba reencontrando. Um dos temas que debato bastante é Cloud Computing, assunto que está bem na moda, embora ainda não esteja plenamente compreendido.

 Acabei fazendo uma pequena pesquisa informal. Muitas das pessoas com quem conversei sobre o assunto consideram Cloud Computing como uma questão de infra-estrutura de TI. Já ouvi frases do tipo : “Cloud Computing é hardware as a service” e “Cloud Computing é apenas infraestrutura de TI hospedado em algum lugar…”…

 Bem, ainda estamos dando os primeiros passos na direção da computação em nuvem. Os conceitos ainda não estão absorvidos. Mas foi curioso que poucos associam Cloud Computing ao conceito de Software as a Service…Como se fossem coisas totalmente distintas. Bem, na minha opinião não são coisas separadas. Cloud Computing vai convergir e envelopar todos os aspectos de TI que possam ser entregues e usados como serviços, sejam estes infraestrutura ou software. E óbviamente SaaS vai fazer parte desta “nuvem”.

 Eu acredito quem em mais uns cinco anos Cloud Computing já deverá estar no mainstream dos discursos e ações dos CIOs. Ou seja será visto como como um mecanismo natural para desenvolver e hospedar aplicações. Vai deixar de ser novidade e assunto de midia e eventos.

SaaS redesenhando a indústria de software

Fim de semana chuvoso, um bom vinho na varanda e de repente vem um pensamento: Como será  indústria de software daqui a uns dez ou doze anos? Como estará a indústria de software em dez anos?

Bem, como depois de algumas taças de vinho as idéias fluem muito mais livremente, vou colocar algumas opiniões pessoais, que não necessariamente coincidem com as do meu empregador (a IBM) ou meus colegas…

 Vejo dois movimentos que já estão transformando decisivamente esta indústria, o Open Source e o Sofware-as-a-Service (SaaS), que, na minha opinião,  em menos de dez anos serão modelos dominantes.

O modelo Open Source afeta diretamente a cadeia de valor da indústria pois atua nas mais importantes variáveis que entram na composição dos seus preços como os custos de desenvolvimento (diluídos pelo trabalho colaborativo) e marketing/comercialização (via Internet). Oferecendo alternativas “good enough”, custos de propriedade mais competitivos (em alguns casos os custos de aquisição tendem a zero) e modelos de negócio mais flexíveis, o resultado gerado pelo Open Source é uma pressão maior nas margens, obrigando a muitos produtos terem seus preços sensivelmente reduzidos. Um exemplo típico tem sido a contínua redução de preços de  pacotes como o Office.

Ah, “good enough” significa uma solução tecnológica que não necessariamente tenha todas as funcionalidades de um produto líder de mercado, mas que contém as funcionalidades que atendem a uma imensa maioria de usuários.

 Software-as-a-Service é outro modelo disruptivo. Sua proposição de valor é  funcionalidade oferecida e não a “propriedade” do produto. A idéia básica é que você na verdade não quer uma máquina de lavar roupa, mas quer a roupa lavada. SaaS oferece isso. Você não necessita instalar um pacote de CRM ou ERP, mas precisa das suas funcionalidades.

O cliente não adquire licença de uso, mas paga uma taxa mensal baseada no número de funcionários que acessem o serviço.

 O mercado vem dando sinais de grande receptividade a este modelo. Algumas estimativas apontam que SaaS pode chegar a 25% ou 30% do mercado total de software já nos próximos 3 a 4 anos. Outra estimativa aponta que já em 2010 pelo menos 65% das empresas americanas terão pelo menos uma aplicação rodando no modelo SaaS.

Como estamos falando de um horizonte de uns dez anos, podemos imaginar que um percentual bem significativo do mercado de software será baseado em SaaS e Open Source.

 O resultado final é que a indústria de software precisará ser reinventada. Porque comprar uma licença de uso de um caríssimo software se existir uma solução “good enough” mais barata e que não precisa ser instalada em suas máquinas? A questão é que atrás destas mudanças estão novos modelos de negócio que provavelmente não terão margens de lucro tão altas quanto hoje. A dificuldade maior vai aparecer para as empresas já estabelecidas, que precisam mudar seu modelo de negócios e provavelmente sua estrutura organizacional, de vendas e de custos. E recriar o ecossistema de parceiros…Ou sejam, existem barreiras culturais e organizacionais a serem vencidas!

 O modelo de negócios SaaS é bem diferente do modelo de licenças tradicional. No modelo tradicional a lucratividade vem das taxas anuais de manutenção e não necessariamente da venda de novas licenças.

 Já a lucratividade do negócio SaaS depende de três variáveis básicas, muito similares ao do setor de celulares: quanto custa atrair um novo cliente (custo de aquisição), quanto estes clientes renderão com suas assinaturas (ou a receita média por usuário ou ARPU, que significa Average Revenue Per User), e com que frequência os assinantes vão embora e precisam ser substituídos (taxa de rotatividade ou churn rate). As operadoras de celular conhecem bem este jogo…

 A transição para o modelo SaaS não é simples. Os custos de vendas e marketing ainda são muito altos. Um exemplo é que a empresa SaaS mais bem sucedida até o momento, a Salesforce.com gasta metade de suas receitas em vendas e marketing. E como o modelo ainda é novidade, a maioria dos clientes ainda está testando o serviço pela primeira vez e não existem garantias que ficarão muito tempo. No modelo tradicional a troca de um software é mais complexa e o aprisionamento do usuário é quase uma regra da indústria. Quantos usuários de ERP trocam de fornecedor? No SaaS a barreira de saída é muito mais baixa. Voce poderá trocar muito mais facilmente de fornecedor.

 A consequência uma competição mais acirrada e preços menores. Resultado final: margens e lucratividades menores. Definitivamente que em dez anos (ou menos) a indústria de software deverá ter uma “cara” bem diferente da atual e as empresas lucrativas de hoje (como as fornecedoras de ERP) provavelmente estarão ganhando dinheiro com outros modelos de negócio (mais focados em serviços de consultoria e integração) ou simplesmente estarão fora do jogo.

Privacidade em Cloud Computing

Há poucas semanas levantei diversos posts abordando a questão da segurança em tempos de cloud computing. Hoje pretendo explorar outro assunto correlato que é a privacidade na computação em nuvem.

Indiscutivelmente que com o advento da Web 2.0 e todas as suas tecnologias como blogs, microblogs, wikis, etc, nossa pegada digital já está se espalhando em terabytes de informação por dezenas de sites diferentes. E cresce à cada novo serviço que usamos!

O advento do modelo de computação em nuvem vai acelerar esta tendência. Será cada vez mais fácil criar novos serviços, uma vez que a barreira da infraestrutura deixa de existir. Vejamos o exemplo do Twitter. Já temos novas alternativas como o Meme do Yahoo (//qdwch.tk) e o Woofer (//xd7iu.tk). O Meme vai além dos 140 caracteres do Twitter: permite compartilhamento de qualquer tipo de conteúdo multimídia, como texto, vídeo, áudio e fotos. O Woofer, por sua vez, vai no caminho inverso do Twitter: os textos devem ter no minimo 1400 caracteres. Neste ritmo em breve teremos outros lançamentos.

 Com cloud computing não estamos mais limitados à capacidade física dos nossos PCs e notebooks: temos agora acesso ilimitado à capacidade computacional e armazenamento. Podemos guardar milhares e milhares de documentos e fotos e acessá-los, via Internet, de qualquer dispositivo, desde um notebook a um celular. Podemos usar qualquer software e criar novos aplicativos (as mashup applications) com alguns poucos cliques do mouse.E compartilhar tudo isso muito facilmente.

 Mas, e a nossa privacidade? Vamos explorar um pouco mais este assunto. O grau de privacidade e segurança que queremos vai depender de nossa intenção em não compartilhar informações e com as regras, procedimentos e políticas adotadas pelos provedores de serviços Web 2.0 e de cloud computing que usamos. Dependendo do provedor da nuvem e seu tipo (pública ou privada, por exemplo) teremos maior ou menor grau de risco quanto à nossa privacidade.

 Um exemplo que pode ser ou não preocupante:  Quando uma informação é armazenada em uma nuvem, em última instância será armazenada em um servidor e um dispositivo de armazenamento residente em algum local físico, que pode ser em outro país, sujeito à legislações diferentes. Além disso, por razões técnicas esta informação poderá migrar de um servidor para outro servidor, ambos em países diferentes. Nada impede que a lei de um destes países permita o acesso à estas informações armazenadas, mesmo sem consentimento de seu “dono”. Por exemplo, a legislação antiterrorista ou de combate à pedofilía em diversos paises permite o acesso a informações pessoais, sem aviso prévio,  em caso de evidências legais de atos criminosos.

 Outro ponto interessante é que usamos as nuvens públicas e seus serviços sem prestar atenção aos seus contratos de uso, isto é, quando existirem estes contratos. Para usuários finais, dificilmente vemos contratos de uso de serviços prestados por nuvens. E quando existem, são condições impostas pelos provedores, que podem se dar ao direito de mudar as cláusulas sem aviso. A privacidade pode deixar de existir se uma cláusula constar que a propriedade da informação armazenada na nuvem será do provedor. Neste caso, ele poderá usar e divulgar aquela belissima foto tirada por você em alguma ação de marketing sem aviso prévio.

A questão é que o conceito de computação em nuvem é recente e a legislação em vigor ainda mal entendeu a Internet. Ainda está no paradigma da época em que os PCs viviam isolados e no máximo se trocava disquetes. Apreender para investigação forense um PC cujo conteúdo estará nas nuvens será totalmente irrelevante. E como obter as informações de discos rígidos virtuais, espalhados por diversos provedores de nuvens?

 Que será necessário fazer? Bem, de forma “arrogante” algumas poucas sugestões:

 a)     Desenvolver novas práticas e políticas de segurança e privacidade que contemplem o paradigma da computação em nuvem.

b)     Rever a legislação que aborda privacidade e segurança eletrônica de modo que o modelo de nuvem seja considerado.

c)     Ñós, usuários de nuvens públicas, devemos estar alertas quanto as consequencias de seu uso e dos termos dos seus contratos de serviço.

A longa estrada para SaaS

Outro dia tive uma animada conversa sobre SaaS com um CEO de uma empresa de software brasileira. Ele está pensando seriamente em adotar este modelo de negócios em sua empresa e queria trocar idéias sobre o assunto. Bem, o tema é quente, não existem verdades definitivas e acho que vale a pena compartilharmos o que debatemos aqui.

 Para mim, SaaS implica em uma mudança fundamental na indústria de software e seus modelos de receita (e mesmo sobrevivência) e não é a toa que meu amigo está bem preocupado com o assunto. Pode ser um risco para empresas de software estabelecidas, mas também abre amplas oportunidades, pois usuários de menor porte podem usufruir de aplicações antes inacessiveis. SaaS permite implementar o conceito de cauda longa para a base de clientes. Abrem-se também oportunidades para novos entrantes, com modelos de negócio e estratégias de marketing diferentes dos modelos tradicionais.

 Bom, vamos aos principais pontos da conversa. SaaS não é um produto por si, mas uma combinação de um produto (software) com um mecanismo de distribuição e receita. O ecossistema SaaS inclui os produtores dos softwares, os implementadores e os fornecedores das plataformas. Em alguns casos o provedor da platforma tecnológica é o mesmo do software, mas na minha opinião um bom desenvolvedor de software não necessariamente é um bom gestor de infraestrutura. São skills diferentes. Na minha opinião, é melhor que o ISV desenvolva uma boa parceria com quem sabe gerenciar de forma eficiente uma infraestrutura tecnológica que assumir para si esta tarefa. Foi minha primeira sugestão para ele. Deixe infraestrutura em nuvem com quem sabe e concentre-se no seu core business, que é desenvolver e entregar o aplicativo.

 Outra sugestão foi de de alavancar parcerias com integradores e implementadores. Como o ciclo de vendas torna-se bem menor, existem mais oportunidades de negócio em menor espaço de tempo. Isto implica que mais integradores e implementadores serão necessários. Tentar fazer tudo em casa, com equipe própria pode resolver quando são poucas as implementações. Mas quando o seu número aumenta, é melhor ter um ecossistema disponível. Não esqueça que projetos SaaS, quando comparados com projetos de implementações de software tradicionais,  tendem a ser em maior número, mas de menor porte. Bem, e a terceira sugestão foi de não esquecer de desenhar um modelo adequado de distribuição de receita entre todos os participantes do ecossistema.

 Outro ponto a considerar. Não é necessário ser tudo ou nada. A empresa pode ofertar software no modelo tradicional, por licença, como também pelo modelo SaaS e/ou mesmo como appliance, um meio termo, onde empacota e gerencia o software (como no SaaS), mas que este vai rodar em uma máquina dentro do firewall do cliente. Aqui entra uma parceria com um fornecedor de hardware.

 Outra sugestão: se for adotar diferentes modelos, não esqueça que a força de vendas deverá atuar de forma diferente. O SaaS é altamente transacional e muitas vezes pode ser acionado por telemarketing. Nem sempre os pontos de contato serão os profissionais de TI. Comprar software pelo modelo SaaS vai ser cada vez mais uma atividade conduzida pelos próprios usuários.

 O modelo de remuneração dos vendedores é diferente. Não  existem (salvo rarissimas exceções) comissões monstruosas. Como a receita vem de “seats” (usuários) por mês, o mecanismo de comissionamento é diferente do modelo de vendas de licenças. Espelhe-se, por exemplo, no modelo de remuneração de assinaturas de revistas. 

 Entrar no mercado SaaS não é apenas disponibilizar o mesmo software de forma diferenciada. Pode ser necessário reescrever toda a aplicação para explorar de maneira adequada o ambiente Web, inclusive tornando o software o mais possível auto-gerenciável! Adotar o modelo SOA será um plus! Os ganhos em termos de flexibilidade e facilidade para incorporar novas funcionalidades vai aparecer rapidamente.

 Sugestões adicionais: incentive uma maior participação dos usuários envolvendo-os em comunidades e obtendo idéias e sugestões para melhorias e inovações. Acelere o processo de inovação, pois ao contrário do modelo tradicional, não serão mais necessárias longas implementações para o usuário incorporar estas inovações. Elas podem entrar in-flight, com o sistema no ar.

 Além disso existem alguns custos adicionais como recrutar e treinar uma nova rede de canais e parcerias, e uma nova força de vendas.

 Uma outra e importante sugestão: repense o business model. O cash flow é diferente e a retenção de clientes é mais dificil. A barreiras de saída são mais baixas. Termos e siglas como “churn rate”, ARPU e custo de aquisição de clientes, comuns no meio das operadoras de celulares, passam a fazer parte da terminologia dos ISVs envolvidos com SaaS.

O que retém um cliente SaaS? Funcionalidade, é claro, mas também agilidade, suporte, serviços adicionais, qualidade de atendimento, nivel de serviço…Enfim, imagine-se como uma empresa de serviços onde o software está escondido no serviço. Você deixa de ser um vendedor de software para ser um vendedor de serviços.

 E uma recomendação final: estudar alguns cases de sucesso como salesforce.com, Intacct (que atua em sinergia com o salesforce), cujo site pode ser visitado em http://us.intacct.com/, Open-Xchange (http://www.open-xchange.com/), Projity (www.projity.com) e Zoho (http://www.zoho.com/). Recomendei também dar uma olhada no Etelos (www.etelos.com) e no OpSource (http://www.opsource.net/) que se propõem a serem plataformas paras ISVs disponibilizarem seus aplicativos no modelo SaaS. E, claro, desejei boa sorte a ele!

Open Cloud API

Ainda estamos bem distantes do cenário ideal onde poderemos trocar de fornecedores de cloud de forma fácil, sem aprisonamentos forçados como existente hoje. Mas um passo importante nesta direção foi dado quando a Zend Technologies, apoiada pela IBM e a Microsoft (quem diria…) lançaram um projeto open source chamado Simple Cloud API ou por extenso, Simple API for Cloud Application Services (http://www.simplecloud.org/). A proposta deste projeto é criar um conjunto de APIs abertos que poderão ser usados pelos desenvolvedores para escreverem aplicações em PHP em nuvens computacionais diversas.

 Desta forma o desenvolvedor escreve apenas uma API e pode usar o mesmo programa em diversas nuvens. As nuvens que estão sendo consideradas nesta primeira versão são as da Amazon (Amazon AWS), Azure da Microsoft, Nirvanix Storage Delivery Network (http://www.nirvanix.com/) e Rackspace Cloud Files (http://www.rackspacecloud.com/).

Inicialmente está orientada à linguagem PHP, mas no futuro deverá ampliar-se para outras linguagens como Java, Python e Perl.

O CFO e a Computação em Nuvem

Há algumas semanas debati o assunto Cloud Computing com executivos de uma multinacional do setor automotivo.

 Preparando o material para a reunião, coletei diversas definições, algumas das quais valem  a pena compartilhar aqui. Por exemplo, o Gartner Group define Cloud Computing como “a style of computing in which massively scalable IT-enabled capabilities are provided “as a service” to external customers over the Internet”. E vai mais, estimando seu impacto nos data centers: “Cloud Computing is a natural outcome of next-generation data centers. Infrastructure and operation organizations are striving toward service-orientation, a more variable pay-per-use chargeback model, and more virtualized and automated architecture”.

 O Forrester tem definição parecida: “a pool of highly scalable, abstracted infrastructure, capable of hosting end-customer applications, that is billed by consumption”. Segundo o Forrester “Cloud Computing is a massive, abstracted and scalable infrastructure where the provider decides what components that infrastructure needs…not the user. In fact, users don’t have to worry about hardware or software at all. The operating system and applications are independent of one another and applications are dynamically allocated, scaled and moved within the infrastructure to optimize the performance of those applications. For the user, there are no long term commitments and you pay only for what you use”.

 Pesquisando na Web achei um blog muito interessante sobre clouds, o de John Willis (www.johnmwillis.com/groundwork/cloud-vendors-a-to-z-revised/, que inclui uma lista de empresas que fornecem soluções de Cloud Computing. O blog tem posts muito legais e uma seção de podcasts sobre Cloud Computing que vale a pena ouvir.

 Vale a pena também visitar o site da 3Tera (www.3tera.com), que é um bom e inovador exemplo de Cloud Computing. Esta empresa, aliás, foi apontada como a “Top company to watch in 2008” pela Linux Magazine.

 Mas, voltando à nossa conversa com os executivos do cliente em Hortolândia, uma das perguntas que surgiram é se “a crise econômica não acelerou a adoção de Cloud Computing”? Bem, para chegar a uma resposta vesti a camisa de um CFO. Todo CFO fica vivamente interessado em soluções como Cloud Computing e seu modelo “pay-as-you-go” porque este modelo troca investimento em capital (capex ou capital expenditure) por opex (operating expense). O resultado é um cash flow muito melhor que no modelo tradicional, principalmente em tempos de crédito escasso. O CFO não precisa assinar nenhum cheque antes de poder dispor da capacidade computacional. Pelo contrário, ele assina os cheques à medida que consome os recursos computacionais. O risco financeiro também é bem menor, pois no modelo tradicional ele gasta antecipadamente o dinheiro em tecnologia sem saber se o resultado obtido será mesmo o esperado. No modelo Cloud Computing o risco financeiro é mensal (usa e paga) e ele pode acompanhar mais de perto como o dinheiro está sendo gasto. Enfim, do ponto de vista do CFO, Cloud Computing é o modelo dos seus sonhos…e a crise acelerou o interesse pelo modelo Cloud Computing.

 Mas, é claro que não são apenas os aspectos financeiros que contam (embora sejam cada vez mais importantes…). Ponto positivo: o modelo Cloud Computing retira da empresa todo o trabalho e custo de administrar toda a parafernália tecnológica, que geralmente não é o seu “core business”. Por outro lado é um modelo ainda em suas fases iniciais de evolução. Existem  ainda poucas experiências concretas e o mercado ainda está tentando entender melhor o conceito e as tecnologias embutidas nele.

 Entretanto, quando vemos empresas como a IBM e outros grandes players da indústria adotando o modelo e implementando soluções, e analistas de indústria como o Gartner prevendo que “80% of Fortune 1000 companies will leverage some applications of cloud computing by 2012; 30% will use cloud infrastructures services”, no mínimo temos que prestar atenção no assunto.

Selecionando um provedor de Cloud

Após o evento SicGov2009 recebi diversos emails, sendo que um dos quais, me questionando como selecionar um provedor de cloud, gerou um texto que será interessante compartilhar aqui.

Selecionar um provedor de serviços computacionais externos como uma nuvem passa por alguns itens já conhecidos como a competência e reputação do provedor, acrescido de outros específicos como:

 a)     Custos de troca do provedor. Sim, as nuvens públicas ainda são proprietárias e nem sempre será fácil migrar de uma nuvem para outra, embora os custos possam variar de acordo com o tipo de serviço contratado no modelo de cloud. Por exemplo, trocar um serviço de SaaS é muito mais complicado que trocar de fornecedor de storage-as-a-service.

b)     Politica de preços. Uma das vantagens do modelo de cloud é pagar apenas pelos recursos utilizados. Assim é importante validar o nivel de transparência da politica de preços do provedor e sua aderência a este modelo.

c)     Desempenho e disponibilidade da nuvem. Usar serviços computacionais em nuvem fazem com que o seu desempenho seja resultante de diversos fatores, alguns deles externos ao provedor. Um bom contrato de SLA, com penalidades para situações de não cumprimento das cláusulas contratuais é sempre bem vindo!

d)     Transparência da cadeia de valor da nuvem. Um provedor de SaaS pode estar usando ele mesmo uma nuvem de terceiro para sua  infraestrutura como base computacional para sua oferta. Saber disso e ter uma avaliação da qualidade deste subcontratante é importante para validar o seu provedor do SaaS.

 Um item que mereceu atenção especial foi a questão da segurança. Como avalair segurança do provedor de nuvem? Bem, existem diversos itens que devem ser analisados. Vamos por exemplo considerar uma nuvem no qual usaremos serviços de infraestrutura (como as ofertadas pela Amazon). O que devemos analisar antes de fechar contrato?

 a)     O provedor tem certificações externas de segurança e governança?

b)     Quais os recursos e procedimentos de segurança física? Lembre-se que um provedor de cloud concentra muitas empresas clientes e portanto é um alvo e tanto para hackers.

c)     Segurança dos servidores virtuais. Neste caso avalie a segurança do sistema host bem como dos sistemas operacionais guest. Na Amazon, os sistemas guests são controlados pelos clientes e portanto devem implementar eles mesmos os procedimentos de segurança. Este modelo tenderá a ser usado por muitos provedores de nuvens de IaaS (infrastructure-as-a-Service) públicas.

d)     Segurança da rede e dos firewalls. Por exemplo, o provedor está protegido por mecanismos de mitigação de ataques DoS (Denial of service) ou impedimento de IP spoofing?

e)     Backups. Quem é responsável por eles? Na Amazon o cliente é que é responsável pelos backups de seus servidores virtuais.

 Estamos dando os primeiros passos na direção ao mundo da computação em nuvem, com seus grandes benefícios, mas também muitos desafios. Como os provedores de nuvens não são iguais e que seu nivel de maturidade é bem diferenciado, devemos definir critérios bem detalhados de avaliação. E ir em frente!

SicGov2009: bate papo animado!

Como em todos eventos, o SicGov2009 abriu boas oportunidades para conversas de corredor. Como o tema de minha apresentação foi Cloud Computing e as questões de segurança e privacidade, o intervalo para o café reuniu diversas pessoas em um animado bate papo…Da conversa extraí alguns insights que quero compartilhar com vocês:

 a)     Embora se fale muito nos riscos de segurança em nuvens, existem alguns aspectos positivos que merecem atenção. Um deles é que no modelo de computação em nuvem, o valor dos desktops e notebooks estará na nuvem e não em seus HDs. Ora, como as estatísticas apontam que 1/3 dos problemas de violação de segurança devem-se ao uso de informações obtidas em laptops roubados, o fato das informações estarem nas nuvens e não mais nos HDs é bastante positivo. Outros aspectos positivos (sob a ótica de segurança), decorrentes de uso de nuvens são que os upgrades de software que corrigem brechas de segurança são feitas automaticamente (no modelo atual uma grande parcela dos usuários não atualiza seus softwares adequadamente, deixando os bugs que permitem vulnerabilidades ainda ativos), e a uniformidade dos padrões de segurança, pois todos passam a ter os mesmos padrões, ao contrário do modelo atual, quando os usuários podem ter mais ou menos recursos de segurança ativos em seus PCs e laptops.

b)     Também lembrou-se que muitos data centers de empresas de pequeno a médio porte não tem bons procedimentos de segurança implementados e que nuvens ofertadas por provedores de alto nivel possuem, não só procedimentos e recursos sofisticados e auditados, mas também um staff técnico com uma expertise acumulada que nenhuma empresa de pequeno porte teria.

c)     Mas, claro que os desafios de adoção de nuvens, principalmente nuvens públicas são muito grandes. Por exemplo, citou-se questões ainda não resolvidas de segurança e privacidade como a problemática da jurisdição (quando os dados são processados e armazenados em nuvens, que extrapolam territórios nacionais, que leis de proteção e privacidade destes dados se aplicam?), uma vez que uma nuvem pode residir em data centers localizados em diferentes países, com legislações diferenciadas.

d)     A segurança foi um tópico bem debatido. Afinal, embora os dados estejm nas nuvens, a responsabilidade final ainda é da empresa contratante. Algumas legislações como as da União Européia são enfáticas em apontar a empresa contratante como responsável.

e)     Outro debate interessante ocorreu por conta das dificuldades de se proceder a investigações forenses quando não se tem controle de onde os programas são executados. A tecnologia das nuvens públicas é uma caixa preta e os programas e dados podem estar sendo processados em servidores espalhados pelo mundo todo.

 Enfim, foi um debate bem animado e mostrou que ainda estamos começando  a entender que “negócio de Computação em Nuvem é este”?

Segurança em Cloud Computing

Nesta terça feira estarei em Brasília, participando do painel “Computação em Nuvem: Desafios para a Segurança Cibernética”, no SicGov2009, evento organizado pelo Gabinete de Segurança Institucional da Presidência da República.

 Segurança cibernética é um assunto muito interessante e desafiador. É um verdadeiro paradoxo da sociedade digital que a tecnologia da informação nos abre inúmeras oportunidades de melhorar a própria sociedade, ao mesmo tempo que pode se tornar uma ameaça à esta mesma sociedade. E Cloud Computing, conceito ainda bem recente, que para empresas e governos traz diversos benefícios, por outro lado abre novos desafios no tocante à segurança e privacidade.

 Alguns dos questionamentos sobre Computação em Nuvem que mais ouvimos abordam a localização dos dados (onde os dados das nuvens distribuídos geograficamente são hospedados?), segurança (um data center que hospeda nuvens, pela concentração de empresas que compartilham a mesma infraestrutura, pode atrair ataques concentrados), recuperação de dados (os provedores de nuvens conseguem assegurar que os dados são replicados geograficamente e que em caso de perda de um  data center, os dados podem ser recuperados?), arquivamento de dados (por quanto tempo os dados poderão ser armazenados para fins legais?), possibilidade de permitir auditagem externa a processos, possibilidade de investigações forenses diante de atos ilegais, e até mesmo os riscos de aprisionamento forçado por parte de nuvens proprietárias (quão fácil ou difícil é sair de uma nuvem e migrar para outra?).

Neste contexto observamos que grande parte destes questionamentos referem-se a nuvens públicas. Uma nuvem pública é uma caixa preta onde a eventual falta de transparência sobre a sua tecnologia, seus processos e organização podem tornar muito dificil a uma empresa avaliar com o grau de detalhamento necessário o nível de segurança e privacidade que o provedor é capaz de oferecer. Ou seja, os impulsionadores para adoção de nuvens são ao mesmo tempo os seus principais fatores de preocupação.

 Quando se usa uma nuvem publica, transferimos a responsabilidade da operação da infraestrutura e aplicações para o provedor da nuvem. Mas, as responsabilidades legais continuam conosco. Para empresas de pequeno porte, com procedimentos de segurança e recuperação frágeis (o que é bastante comum), pode ser uma alternativa bastante atraente. Mas, para empresas de maior porte e órgãos de governo, com rígidas regras e procedimentos de controle, o uso de nuvens publicas será bem mais restrito. Para estas empresas, o uso de nuvens privadas geralmente é a estratégia mais adequada. E o que é uma nuvem privada? É uma nuvem que opera dentro do firewall da empresa, entregando alguns dos beneficios das nuvens publicas, como melhor aproveitamento dos ativos computacionais e menor time-to-market para novas aplicações, mas ao mesmo tempo que mantém os processos e procedimentos internos de padrões, segurança, compliance e niveis de serviço.

 O uso dos modelos de Computação em Nuvem exige novos cuidados de governança, principalmente nos quesitos de segurança, privacidade e disponibilidade. Eventualmente novos processos deverão ser definidos, novos tipos de contratos deverão ser implementados e eventualmente novos tipos de relacionamentos com os provedores terão que ser construídos. E como estamos nos estágios iniciais de uso de Cloud Computing ainda teremos muito o que aprender!

Video com entrevista sobre Cloud Computing

Gravei video no IT Web abordando Cloud Computing: http://www.itweb.com.br/webcasts/index.asp?video=566

Cloud Computing e Open Source: pura sinergia!

Em uma das minhas várias palestras sobre computação em nuvem, me fizeram uma pergunta interessante, que gerou um bom debate e gostaria de compartilhar minha opinião pessoal sobre o assunto com vocês. A pergunta foi “com a crescente popularização do modelo SaaS (leia-se Cloud Computing) como fica Open Source?”.

 Na minha opinião, o modelo SaaS já está saindo do “se” para “como”, impulsionado até pela crise de crédito, quando as empresas procuram trocar capex (capital expenses) por opex (operating expenses).

 Na prática, SaaS e Open Source  compartilham o mesmo modelo econômico, de baixo custo de capital e custos operacionais variáveis. Isto gera sinergia entre ambos os modelos e um impulsiona o outro. Os mesmos argumentos que atraem os usuarios para o Open Source são usados pelos provedores de softwares como serviços. Que argumentos são esses? Simplesmente não haver necessidade de aquisição prévia de licenças de uso antes de usar o software. No SaaS voce paga pelo que consumiu de recursos. No Open Source, o software também é visto como serviços e as receitas das empresas envolvidas neste setor são obtidas por serviços prestados, como por exemplo, empacotamento e distribuição de um conjunto de softwares, como uma distribuição Linux.

 A computação em nuvem é um acelerador do Open Source. A combinação de uma infra-estrutura “pay-per-use” associado com uso de softwares abertos vai reduzir significativamente as necessidades de capital e os custos de desenvolvimento de aplicações, e acelerar o time to market. É um cenário que vai permitir às pequenas e médias empresas entrarem mais rapidamente no mundo da Tecnologia da Informação. Portanto, para mim, acho que Open Source e Cloud Computing vão criar um interrelacionamento e gerar sinergias, um impulsionando o outro. O resultado final será um outro modelo computacional, que vai mudar em muito o  atual cenário da indústria de TI.

 Após o debate, aproveitei para reler alguns pedaços do livro “A Cauda Longa” de Chris Anderson e comecei a pensar na relação deste conceito com a atual transformação da indústria de TI, com o crescente interesse pelo Open Source, SaaS e Cloud Computing.

 O conceito de Cauda Longa propõe que determinados negócios podem obter uma parcela significativa de sua receita pela venda cumulativa de grande numero de itens, cada um dos quais vendidos em pequenas quantidades. Isto é possível porque a Internet abre oportunidades de acesso que antes não existiam. É um modelo diferente do mercado de massa, onde poucos artigos são vendidos em quantidades muito grandes. Na indústria de livros, música e de mídia faz todo o sentido. Por exemplo, a Amazon reporta que parcela signficativa de sua receita vem de produtos da Cauda Longa que não estão disponíveis (e jamais estariam) nas livrarias tradicionais, limitadas pelos caros espaços físicos das lojas.

 E como Open Source, SaaS e Cloud Computing vão afetar a indústria de  TI? Nestes modelos, o custo de capital é substituído por custos operacionais.

 Softwares que tem seu projeto de desenvolvimento cerceado pelo pequeno tamanho do seu mercado potencial (seu custo de produção não gerava retorno financeiro suficiente) podem agora, se desenvolvidos em Open Source e operados em nuvens computacionais, entrar no mercado. Os custos de comercialização destes softwares também tendem a zero, pois não é necessário hordas de vendedores, mas simples downloads e  marketing viral (blogs e outros meios de disseminação de informação). A receita dos desenvolvedores dos softwares Open Source será obtida pelo seu uso (pay-as-you-use), típico do modleo SaaS. A imensa maioria das empresas não vai investir tempo e dinheiro modificando código, a não ser quando absolutamente necessário. Aliás, situação raríssima.

 Será muito mais pragmático e lucrativo para qualquer empresa pagar pelo uso de um sofware que esteja hospedado em uma nuvem computacional. Afinal, não queremos uma máquina de lavar e sim, a roupa lavada…

 Temos, portanto, um vasto campo para explorar o mercado da Cauda Longa no software. 

Então, isto tudo significa que  o mercado de software tradicional, baseado em licenças vai morrer? Na minha opinião, não! Pelo menos no horizonte visível…Acredito que conviveremos em um contexto onde os modelos de vendas de licença e software como serviços vão compartilhar os palcos por algum tempo ainda…