Archive for janeiro \30\UTC 2012

Contratos com Cloud Providers: quais os Termos e Condições adequados?

janeiro 30, 2012

Um dia desses estava almoçando com um amigo quando surgiu um tema interessante: cada provedor de cloud oferece termos e condições (T&C) de prestação de serviços diferentes, não é mesmo? O que devemos atentar quando analisando estes T&C?

Como eu e meu amigo não somos formados em direito, a conversa ficou meio superficial e recomendamos fortemente “não faça isso em casa”, rssrsrs, ou seja consulte seu setor juridico antes de assinar contratos de serviços de computação em nuvem. Mas, após a conversa comecei a pesquisar o assunto em mais detalhes e obtive alguns dados que gostaria de compartilhar aqui com vocês.

Olhei alguns T&C de diversos provedores e observei que alguns são fortemente focalizados em prestar serviços a usuários finais e pequenas empresas e geralmente estes contratos são meio leoninos, ou sejam, atendem mais aos interesses dos provedores que aos dos usuários. Quanto a serviços de nuvem ofertados à grandes empresas ou órgãos públicos, claramente que os setores jurídicos destas empresas não aceitam tais condições e impõem renegociação de diversas cláusulas. Devido a importância dos contratos com estes clientes, os provedores tendem a aceitá-las, embora geralmente não as divulguem publicamente. Mas volta e meia nos deparamos com alguns disponibilizados na Web. Um interessante é o assinado entre a cidade de Los Angeles e o Google, cujo conteúdo pode ser visto na sua íntegra em http://www.scribd.com/doc/32676277/City-of-Los-Angeles-and-CSC-Google-Contract. Vale a pena lê-lo como referência.

Um ponto que deve ser considerado quando analisamos os T&C é o tipo de serviço em nuvem que está sendo contratado. Um IaaS tem características diferentes de um SaaS. Para recordar os vários tipos de serviços de nuvem recomendo a leitura do paper publicado pelo Open Cloud Manifesto em http://opencloudmanifesto.org/Cloud_computing_use_cases_whitepaper-4_0.pdf.

Além disso, existem serviços free e serviços pagos, e é claro que os T&C serão diferentes. Por exemplo, um serviço gratuito não pode garantir as mesmas condições de um serviço pago. A conta para o provedor simplesmente não fecharia.

Mas, como contratar serviços na nuvem tem um forte viés tecnológico é importante que o setor juridico esteja assessorado pela área de TI. Alguns aspectos devem ser debatidos quando analisando os T&C oferecidos pelos provedores:
a) Nivel de serviços ou SLA: que SLAs são oferecidos pelos provedores e se estão adequados às necessidades da empresa. De maneira geral SLAs são especificados apenas nos serviços pagos. Recomendo que seja analisadas as cláusulas de indenização e de reembolso de crédito como compensação pela indisponibilidade da nuvem.
b) Política de uso: quais as práticas permitidas pelo provedor para uso de sua nuvem.
c) Políticas de privacidade: que garantias o provedor oferece em termos de privacidade dos dados armazenados em sua nuvem.
d) Especificações contratuais. Os serviços gratuitos muitas vezes impõem condições para que os dados dos usuários possam ser reutilizados pelo provedor para propósitos como, por exemplo, advertising. Aliás, alguém realmente lê as condições contratuais dos serviços em nuvem gratuitos ou simplesmente clicam no box “I Agree”? Já para serviços pagos é importante checar as condições de término dos contratos e se existem garantias que os dados serão eliminados fisicamente dos servidores do provedor ao fim do contrato. Além disso, quais são as condições contratuais exigidas pelo provedor para devolver estes dados? Um dos T&C diz claramente “your post termination retrieval of data stored on the services will be conditioned on your payment of service data storage charges for the period following termination, payment in full of any other amounts due us, and your compliance with terms and conditions we may establish with respect to such data retrieval”.
e) Integridade dos dados. Muitos provedores dizem explicitamente que farão “best efforts” para preservar tais dados, mas geralmente explicitam que a responsabilidade é do contratante e que ele, contratante, é que deve ser o responsável pelas operações de backup.

Bem, analisando diversos T&C me deparei com clásulas de jurisdição e arbitração, que obviamente são do campo do direito e que nem me atrevo a opinar. Novamente, enfatizo que o jurídico analise detalhadamente estas cláusulas.

Também é extremamente importante que questões como condições de “data disclosure” e localização de dados fora das fronteiras do país sejam consideradas nas questões contratuais. Existe muito debate sobre o Patriot Act dos EUA, mas muitos outros países europeus também demandam acesso a dados por parte de órgãos de seguraça em caso de suspeita de terrorismo. A diretiva européia 95/46/EC (http://ec.europa.eu/justice/policies/privacy/docs/95-46-ce/dir1995-46_part1_en.pdf ) limita claramente os tipos de dados que podem ser transferidos para fora do teritório europeu.

Outro ponto que deve ser analisado juridicamente é a amplitude do monitoramento das atividades do cliente pelos provedores de nuvens. Muitas vezes por razões de gestão, análise de desempenho e segurança, a atividade dos usuários dos serviços na nuvem é monitorada pelos provedores. A questão é que nivel de monitoração é efetuada e que tipo de acesso aos dados esta monitoração demanda.

A conclusão? Cloud computing chegou para ficar. Não temos como evitar ou mesmo retardar seu uso, uma vez que os benefícios são palpáveis. Entretanto, é recomendado que a sua adoção seja cercada de cuidados, pirncipalmente quanto às questões legais, uma vez que estamos entrando em campos um tanto desconhecidos, como os que se relacionam com soberania de dados, jurisdições internacionais e assim por diante. Recomendo fortemente para as iniciativas de cloud que as áreas de TI sejam assessoradas de perto pelo jurídico.

Cloudnomics

janeiro 18, 2012

Muitas vezes discutimos tendências tecnologicas e as transformações que elas provocam. Debatemos as complexidades tecnológicas envolvidas e estimamos seu ritmo de adoção pelo mercado. Mas a maioria dos artigos técnicos esquece um fator primordial: a força impulsionadora da adoção de qualquer mudança tecnológica é o fator econômico.

Ao olhar o futuro da TI podemos aprender algo com seu passado e como as organizações e a sociedade investiram nestas tecnologias. Na época do mainframe poucas empresas tinham acesso à computação (os computadores eram muito caros) e as expectativas delas era que TI permitisse automatizar seus processos de negócios, tonando-os mais rápidos e baratos. Posteriormente vimos o surgimento do modelo distribuído, cliente-servidor, que barateou o custo de aquisição da tecnologia, permitindo criar soluções mais voltadas para gerar agilidade e funcionalidade demandadas por departmentos especificos. Entretanto, a rapida proliferação de sistemas diferentes criou uma demanda de integração que culminou no surgimentos dos ERPs.

A situação hoje está bem diferente de anos atrás. A Internet já faz parte do nosso cotidiano e TI está entranhada nos negócios. As empresas começam a não se contentar mais em apenas reduzir custos. Isto é o “business as usual”, obrigação de qualquer gestor que se preze. TI já fez muito neste sentido, como criar shared-services center e consolidar seus data centers. Agora TI tem a oportunidade de ser olhada pela ótica de geração de receitas e como plataforma de criação de novos negócios e apoio à estratégias de crescimento e não apenas uma área operacional.

Ver TI como geradora de receita é um “mind-set” diferente, pois sempre TI foi vista como apoiadora do negócio, para este sim, gerar novas receitas. Agora TI pode ser vista ela mesmo como fonte geradora de receita. A adoção de cloud computing permite colocar TI como centro de geração de receita e lucros. Podemos começar a falar no termo cloudnomics… Cloudnomics pode ser traduzido como um novo modelo econômico para TI, onde métricas como TCO perdem bastante de sua importância e TI começa a ser analisado pela ótica de um business case. Na verdade, qualquer negócio para ir para frente deve gerar receita e lucratividade! TI pode e deverá passar a ser visto como negócio e como tal passará a ter metas de receita!

Como cloud entra neste processo? Cloud retira dos ombros da TI muitas das atividades mundanas em que ela gasta tempo hoje, como upgrade de hardware e software, atividades de suporte básico e assim por diante. Não é incomum vermos CIOs reclamarem que cerca de 80% dos seus gastos e energia são consumidos com a manutenção da operação do dia a dia e apenas 20% com inovações.

Com nuvens publicas TI não precisa mais instalar, configurar e atualizar servidores fisicos, e com os processos padronizados e automatizados que caracterizam um ambiente em nuvem o numero de técnicos dedicados a suporte diminui muito. TI pode se concentrar em inovação e geração de valor para a empresa. Os modelos de custos também se modificam com cloud e seu conceito de elasticidade. Paga-se pelo uso dos recursos consumidos, o que pode ser diretamente ligado à geração de receita: maior uso de TI mais geração de receita…É um modelo econômico que muda as regras do jogo. Custa o mesmo alugar um servidor por 1.000 horas que 1.000 servidores por uma hora.

Um exemplo prático de como o modelo atual de TI limita a geração de receitas significativamente: explorar oportunidades de novos negócios que tenham vida curta. No modelo atual não é justificavel economicamente adquirir uma plataforma tecnológica e colocá-la em produção (com altos investimentos up-front) para ela operar por apenas alguns meses, aproveitando uma oportunidade de negócio unica. A conta, provavelmente, não fechará. Com cloud isto é perfeitamente possivel. Um exemplo simplista, mas que mostra a idéia: produção de uma animação, onde é demandada uma imensa capacidade computacional na renderização final do filme, muito mais que soma de todos os meses anteriores de produção e que após o fechamento dispensa todos os computadores…Com cloud os computadores são alocados a medida que são necessários e não existe isto de desligar computadores…Eles são do provedor que os usará para outros clientes. O provedor, por sua vez, também usufrui da economia de escala, mantendo milhares de servidores a serem compartilhados por centenas ou milhares de clientes.

A mudança conceitual é muito maior que a mudança tecnológica. Surge o CIO empreendedor, ligado diretamente ao CEO. Um perfil muito menos técnico e muito mais voltado a negócios e empreendedorismo. Aliás, uma sugestão de MBA poderia ser “Empreendedorismo em TI”…

Entre as mudanças estruturais para TI vemos de início a de uma organização voltada para apoiar os demais setores da empresa para um setor gerador de receita e a transformação de uma organização centrada em atividades de criação e suporte de sistemas e capacidade computacional, para uma organização voltada a criar uma plataforma computacional onde novos negócios da empresa serão gerados. A escolha dos aplicativos e consequente utlização poderá ser deslocada para os próprios usuários. O fenômeno do “shadow IT” futuramente deixará de ser combatida a ferro e fogo por TI para ser incentivada. O “self-provisioning” por parte dos usuarios deverá ser política da nova TI. Observo aqui que este processo não é simplesmente TI deixar de lado os usuários, mas de forma pró-ativa desenhar uma política que permita os usuários selecionarem suas próprias aplicações, sejam elas adquiridas externamente ou desenvolvidas dentro de casa, como no modelo de App Store.

Esta nova TI poderá atuar como incubadora de start-ups de negócios dentro da própria empresa. Hoje criar uma start-up demanda um elevado investimento up-front de TI e uma geração de receita imprevisivel. O risco é muito grande. Com cloud, os riscos do negócio são minimizados. Sugiro uma leitura sobre o case Animoto (http://animoto.com/blog/company/the-new-york-times-on-cloud-computing-and-animoto/ ) que mostra como um ambiente de nuvem permite expandir 100 vezes a capacidade computacional em questão de dias. É um post de 2008, mas ainda bem atual.

Enfim, TI ser uma unidade de negócios é simples de escrever, mas dificil de colocar em prática. Claro, não é algo que acontecerá de um dia para o outro, mas um processo que irá acontecer ao longo dos próximos anos. Mas, podendo começar hoje mesmo…

A idéia do cloudnomics surgiu da leitura do paper “Identification of a company’s suitability for the adoption of cloud computing and modelling its corresponding Return on Investment”, de dois pesquisadores indianos, Subhas Chandra Misra e Arka Mondal, acessavel em http://blog.stikom.edu/vivine/files/2010/11/Identification-of-a-companys-suitability-for-the-adoption-of-cloud.pdf . Eles mostram, inclusive uma fórmula de ROI focada em cloud, alternativa à fórmula tradicional. Vale a pena sua leitura.

Segurança em nuvem e o fator escolha do provedor

janeiro 9, 2012

Em 2011 nas muitas palestras e eventos que participei quase sempre ouvia o questionamento quanto à segurança e disponibilidade das nuvens públicas. As eventuais falhas que aparecem em nuvens publicas se espalham com muita rapidez com, na minha opinião, excessiva publicidade, pela midia. Um “cloud data center” é uma infraestrutura complexa, com muita tecnologia envolvida e com alto grau de resiliência. Mas, embora nada seja completamente imune à falhas, com certeza ele será bem mais seguro e confiável que a imensa maioria dos data centers que vemos espalhados pelo Brasil a fora…

Colocar sua empresa em uma nuvem pública não significa que você vai se omitir das questões de segurança e privacidade. A escolha do provedor é fundamental. Existem provedores focados em usuários finais e empresas muito pequenas, que sofrem menos em termos financeiros e operacionais quando eventualmente seus sistemas saem do ar, e aqueles focados em usuarios corporativos, que sabem que um sistema indisponivel pode significar milhões de reais em prejuízo. Portanto, existem provedores e provedores…

Para usar um nuvem publica é sempre bom ser cauteloso e fazer uma “due diligence” para se assegurar que o provedor adota práticas de segurança e disponibilidade adequadas. Uma boa fonte de pesquisas e estudos sobre o assunto, bem como certificações de resiliência de data centers pode ser visto no Uptime Intitute (http://uptimeinstitute.com/). Em tempo no Brasil é http://uptimeinstitute.com/uptime-institute-brasil. Sugiro também ler a autópsia da queda do data center da Amazon, em Dublin, na Irlanda no ano passado em http://aws.amazon.com/message/2329B7/.

É importante saber que sempre pode existir uma falha. Assim, analise as práticas adotadas pelo provedor, o grau de transparência de informações que ele passa e os serviços de recuperação de falhas que ele oferece. Valide se ele adota práticas profissionais como ITIL e se está aderente à regras de segurança ISO/IEC 27001:2005. Uma boa fonte de suporte é a Cloud Security Alliance e seu GRC Stack (Governance, Risk Management and Compliance) em https://cloudsecurityalliance.org/research/grc-stack/, que contém vários documentos que ajudam a uma empresa avaliar seu provedor de nuvem pública. Recomendo também, como apoio nesta avaliação, acessar a página do CAMM (Common Assurance Maturity Model) em http://common-assurance.com/ e estudar os seus papers.

Além disso arquitete seus sistemas para explorar as potencialidades das nuvens publicas e crie condições de resiliência próprias. Isto significa que você não deve simplesmente transferir de olhos fechados seus aplicativos on-premise para a nuvem. Adicione a este processo as práticas de segurança e recuperação adequadas para operar na nuvem. Não esqueça de avaliar cuidadosamente as cláusulas contratuais quanto a estes aspectos. Na prática, a responsabilidade pela gestão dos riscos é compartilhada entre o provedor da nuvem e os seus clientes.

2012: Cloud já é realidade

janeiro 2, 2012

O tema cloud computing, embora ainda demande muita discussão e opiniões conflitantes, já está se tornando realidade. A cada dia vemos o ecossistema criado em torno da computação em nuvem se consolidar e mais e mais casos de sucesso são divulgados. E como todo janeiro, que tal falarmos das perspectivas de cloud para o ano que entra?

Não vou citar estatisticas e previsões porque nem sempre os analistas de indústria, que fornecem estas estatisticas e estimativas concordam entre si nos numeros.

As três camadas de cloud, IaaS, PaaS e SaaS podem ser vistos como uma hierarquia, onde na camada mais de baixo temos IaaS, acima dela temos a PaaS e no topo SaaS. As camadas superiores são construidas em cima das camadas de baixo. Os beneficios obtidos são diretamente relacionados com a camada. Ou seja, quanto mais alta a camada, maiores os beneficios potenciais. IaaS pode ser considerado como a camada comoditizada, pois basicamente oferece infraestrutura virtual, abstraindo dos usuarios os equipamentos fisicos. Mas não oferece conteúdo. O SaaS, por sua vez, possibilita um nivel de abstração mais alto, pois o usuario só vê as funcionalidades do software, sem precisar de saber qual tecnologia ele utiliza e nem mesmo se preocupar com upgrades de versões.

O uso de PaaS, pelo menos durante 2012, deve ficar restrito as plataformas dos fornecedores de SaaS, que as usam como extensão das funcionalidades dos seus produtos. O exemplo mais emblemático é o force.com que permite criar aplicativos que expandem as funcionalidades do salesforce. Posteriormente veremos PaaS se consolidando por si, com tecnologias próprias, separadas dos fornecedores de SaaS. Isto vai acontecer com o amadurecimento no uso de cloud, quando as empresas que utilizarem as PaaS acopladas aos SaaS identificarão que estarão aprisionados nestas plataformas. Um aplicativo escrito para um PaaS acoplado a um SaaS só funciona com aquele SaaS específico.

Mas é indiscutivel que ainda estamos aprendendo a explorar a potencialidade da computação em nuvem e vamos aprender muito mais nos próximos anos. Os primeiros projetos tem sido exploratórios, o que é natural. O que veremos este ano? Nuvens recheadas de workloads típicos para serem terceirizados via SaaS e aplicações on-premise transferidas para nuvens IaaS. Mas, embora limitados em seus impactos, estarão abrindo caminho para a plena adoção do modelo. Na verdade, os ciclos de mudança tecnológica levam alguns anos para amadurecer e provavelmente em 2020 a computação em nuvem será lugar comum. Mas, se isto vai acontecer em 2020 os primeiros passos devem ser dados, agora em 2012. Cloud computing é realidade agora e já deveria estar no radar dos gestores de TI de todas as empresas.