Archive for julho \19\UTC 2011

Soberania de dados em Cloud Computing

julho 19, 2011

Recentemente estive participando de um debate na Comissão de Estudos sobre Informática, Internet e Novas Tecnologias da ABDI (Associação Brasileira de Direito de Informatica e Telecomunicações) sobre os aspectos jurídicos que envolvem Cloud Computing. Entre os diversos assuntos abordados, destacou-se a questão da soberania de dados, principalmente quando usa-se nuvens públicas.

É uma questão de grande importância pois o uso de nuvens públicas muitas vezes pode entrar nas empresas, seja por uma aplicação SaaS ou por IaaS, para suportar projetos específicos e departamentais, sem mesmo o conhecimento da área de TI.

Um agravante é que como uma nuvem é globalmente acessivel, o aplicativo ou os servidores virtuais podem estar localizados em qualquer parte do planeta. Você pode adquirir um aplicativo SaaS sem ter idéia de onde ele estará operando com seus dados.

A questão da soberania de dados aparece como um issue pelo fato que determinados setores de indústria (como financeiro) e mesmo países demandam elevadas exigências de aderência ou compliance com obrigações regulatórias. Alguns exemplos são Austrália (http://tinyurl.com/3aux6qe) e Cingapura (http://tinyurl.com/3vv6no3) que recentemente emitiram diretivas com relação ao uso de cloud por instituições financeiras. Outras legislações ou normas como a Diretiva 95/46/EC da União Européia (http://en.wikipedia.org/wiki/Data_Protection_Directive) colocam algumas barreiras para o armazenamento de informações pessoais de cidadãos europeus em países que não estejam alinhados em termos de proteção legal com a própria União Européia. Um outro exemplo é o US Patriot Act (http://en.wikipedia.org/wiki/USA_PATRIOT_Act) que é visto por determinados países como um inibidor para armazenamento de informações de suas empresas em território americano.

O debate é intenso pois apesar destas restrições ou fatores inibidores, os impulsionadores para a adoção de nuvens públicas são significativos. A experiência nos tem mostrado que a evolução tecnológica evolui mais rapidamente que nossa capacidade de explorá-la e gerenciá-la. E os fatores regulatórios são bem mais lentos, pois eles acabam por regular os hábitos da sociedade. Como ainda não temos respostas que conciliem a oferta de nuvens globais com demandas regulatórias, veremos, na prática, surgirem aos poucos soluções conciliatórias. Um exemplo: provedores de nuvens criando data centers em diversos países do mundo, com a possibilidade do usuário determinar onde os seus dados residirão. Claro que será impossivel para um provedor global abrir data centers em todos os países, mas provavelmente veremos data centers nos principais países e regiões. Uma outra alternativa será vermos os provedores globais desenvolvendo parcerias com provedores locais, de modo a minimizar os efeitos das exigências regulatórias quanto à soberania de dados.

A questão da soberania de dados não será eliminada no curto prazo e talvez nem venha a ser no longo prazo. O que fazer então? Os CIOs não devem ignorar a realidade da computação em nuvem. Assim, se eles não conduzirem o processo poderão ter em mãos algumas bombas relógio, pois as nuvens entrarão nas empresas de qualquer modo. Portanto, desenhar uma estratégia e uma política de adoção de cloud computing será não só sensato, mas obrigatório. O primeiro passo será definir o que será localizado em nuvens públicas e o que ficará em nuvens privadas. Quando a opção de determinados serviços ou aplicações for pelas nuvens públicas, deverá ser explicitado se será necessário que os dados residam no território do país da empresa ou poderão estar em qualquer localização geográfica. Depende de cada serviço, pois nem todos os dados da empresa estão sujeitos as mesmas demandas regulatórias.

A conclusão do debate? Soberania de dados é uma questão importante, mas com uma adequada estratégia de adoção de cloud computing, que envolva a análise de riscos para cada serviço a entrar em nuvem, os problemas e seus efeitos podem ser minimizados ou eliminados. Portanto, a sugestão é ir em frente!

Anúncios

Almoçando Cloud…com sal e pimenta.

julho 4, 2011

Outro dia estava almoçando com um CIO de uma grande empresa que está na reta final para implementar um projeto de nuvem privada. Claro que este foi o prato principal do almoço. Como cloud computing ainda está na infância, existem muitas dúvidas e questionamentos sobre o que é possivel fazer hoje, o que realmente é concreto e o que não é. Acredito que os principais pontos da conversa podem ser compartilhados aqui.

Na minha opinião, cloud computing é uma mudança irreversível, afetando toda a cadeia de TI, dos fornecedores aos consumidores de recursos e serviços. Mas seu efeito a médio e longo prazo ainda são desconhecidos. Por outro lado, este desconhecimento nos obriga a colocar cloud nas nossas estratégias, porque se seu efeito poderá e deverá ser altamente significativo, simplesmente não podemos ignorá-lo.

A estratégia deste CIO é correta. Ele não está lutando contra, mas buscando se posicionar para melhor entender o que é cloud. O seu primeiro passo é iniciar um projeto piloto para tentar colocar um pouco de ordem na confusão do que é cloud hoje. Esta confusão é causada não só pelo simples fato que estamos nos estágios iniciais de uso de cloud, mas também porque muitos fornecedores divulgam suas próprias visões de cloud, muitas vezes conflitantes entre si. Ainda existe muito hype sobre o assunto.

Um ponto que me chama atenção é o foco excessivo no discurso que cloud afeta apenas TI, reduzindo custos, como se fosse uma simples extensão do processo de virtualização. Mas, vejo claramente que em breve veremos pela frente o conceito de “cloud Business” onde “cloud IT” vai não apenas tornar a empresa mais eficiente operacionalmente, mas poderá abrir novas oportunidades de negócio, não possiveis sob o modelo atual de TI. Cloud não deve ser visto como um fim em si mesmo, mas como alavancador de novas oportunidades de negócio.

Na conversa destaquei o fato que, diante deste contexto, ele deveria desde agora debater mais intensamente o conceito de cloud com os executivos de negócio da empresa, não tornando o projeto de cloud um mero projeto de TI. Um futuro “cloud business” será fruto destas discussões. Ele, como CIO, deveria assumir a liderança deste movimento.

Além disso, implementar cloud em sua plenitude mudará de forma significativa a própria área de TI. As mudanças serão graduais e tenho a expectativa que o atual modelo de software on-premise não desaparecerá, mas fará parte do novo mundo “cloudificado”. Na prática o que veremos é um modelo híbrido, com empresas usando recursos computacionais on-premise e nas nuvens. Assim, na minha opinião o debate não deverá ser cloud versus on-premise mas de onde será mais eficiente e adequado para cada empresa prover suas funcionalidades computacionais. Não deve ser um jogo de tudo ou nada, mas de buscar o ponto de equilíbrio. Mas, é inegável que este cenário gera novos desafios para TI, que criou e refinou todo um modelo de governança baseado exclusivamente no modelo on-premise.

Na conversa surgiu também a sempre presente possibilidade das áreas usuárias bypassarem cloud para implementarem soluções específicas de âmbito departamental. É um risco real. Com a crescente opções de ofertas SaaS e Iaas existe a tentação de áreas usuárias, não satisfeitas com a velocidade de resposta de TI, buscarem por si soluções em nuvem. O CIO não vai poder lutar contra, mas deve assumir a liderança do processo, e assim influenciar e coordenar melhor qualquer tentativa desta natureza. Mesmo porque, mais cedo ou mais tarde, os usuarios vão demandar integração dos serviços em nuvens com as aplicações on-premise. Ignorar a situação e deixar que SaaS entre livremente pode, portanto, ser uma bomba relógio.

Como haviamos falado anteriormente nas mudanças que cloud gerará em TI, este tema voltou ao debate. Para mim as mudanças vão se dar em diversos aspectos da relação de TI com o negócio, desde o interface (menos interação face-to-face e mais automatizado), passando por mudanças nos processos de governança e portanto se refletindo na organização de TI, seus skills e modelos de funding. Operar sob o modelo de nuvem obrigará TI a repensar a maneira de como opera e entrega os recursos computacionais aos seus usuarios.

Na minha opinião a tecnologia não é a principal barreira. É claro que muitas tecnologias ainda estão imaturas, faltam padrões de interoperabilidade e surgem os inevitáveis questionamentos de segurança. Mas ao longo dos próximos anos elas vão amadurecer e deixar de serem questionadas. Foi assim com todas tecnologias. Aconteceu com os bancos de dados relacionais, que no início eram considerados ineficientes e inadequados para processamentos transacionais (lembram?). Foi assim com o modelo cliente-servidor e mais recentemente com a Internet se entranhando nas operações do negócio, como no e-commece e Internet banking.

Um dos novos desafios que meu amigo CIO terá pela frente estará na mudança das políticas de governaça e alocação de recursos aos usuarios. A nuvem privada não é ilimitada. É restrita à capacidade computacional da empresa. Claro que aos poucos o conceito de nuvens híbridas vai se consolidar e muitas das limitações impostas pelas nuvens privadas poderão ser mitigadas usando-se também recursos computacionais em nuvens publicas.

A estratégia dele é bem cautelosa. Vai começar com um ambiente controlado (desenvolvimento e teste de aplicações) e depois, pouco a pouco irá ampliando o uso da nuvem.

Lembrei a ele que existe uma curva de aprendizado no uso da nuvem por parte dos próprios usuarios e não apenas pelo pessoal de TI. Os usuarios tem que se acostumar ao novo modelo. Como o interface para provisionar e alocar recursos é simples e fácil, existe a tendência natural de se requisitar excessivamente os recursos. Mas como estes não são infinitos deve existir uma politica de pagamento (chargeback) pelo seu uso. Por exemplo, cada área usuaria poderá ter determinado limite de uso de recursos, que se excedido obrigará a este usuario liberar algum outro para solicitar um novo.

Na prática, ao contrario da imaginação, que diz que com a nuvem não existem limites, quando se fala em nuvens privadas deve ser criado um modelo de provisionamento baseado em controle e restrições. Caso contrario, o excesso de solicitações poderá ultrapassar a capacidade instalada, gerando desconforto e insatisfação. Mas, atenção, TI deverá atuar como coordenador dos recursos e não como seu guardião. O modelo de alocação e funding dos recursos em nuvem deverá ser construído em comum acordo com os usuarios e não determinado unicamente por TI. Uma sugestão é criar um algoritmo de provisionamento e cobrança que leve em conta o valor do recursos solicitado para o negócio. Na minha opinião será criado na base da tentativa e erro, pois não temos ainda expertise e experiencias suficientes em cloud para dizer qual o melhor modelo para cada empresa.

Mas, é claro que ao longo do tempo os beneficios com adoção da nuvem vão se destacar: maior flexibilidade e agilidade para provisionar recursos computacionais. A maior padronização e automatização dos processos de provisionamento e alocação de recursos computacionais reduz a demanda de trabalho manual, deslocando profissionais de TI para tarefas mais nobres e rentáveis para a empresa. A melhor utilização dos recursos implica um melhor relação de custo beneficio destes. O resultado é que a empresa poderá se tornar bem mais ágil e apta a desenvolver novas oportunidades de negócio.