Desafios dos aplicativos SaaS e do Shadow IT nas empresas

Participo constantemente de eventos sobre Cloud Computing e uma das coisas mais legais destes eventos são as conversas de cafézinho…aqueles intervalos onde boas idéias podem ser trocadas. Surgem aquelas perguntas que muitos não querem fazer em publico…Um tema recorrente, que volta e meia surge é SaaS (Software-as-a-Service) e acabei listando alguns questionamentos interessantes que vale a pena compartilhar aqui.

Resumi, de forma informal, as expectativas que ouvia nas conversas e as listei. Em primeiro lugar estavam as questões de custos, como reduzir o custo de capital (capex) e os custos de operação (opex), converter custos fixos em variáveis e simplificação do gerenciamento dos aplicativos. Depois, praticamente empatados com as expectativas de redução de custos, aparecem a velocidade de implementação, a velocidade para o time-to-market e as melhorias nos processos de negócio.

Analisando estes dados, ficou claro que as expectativas dos CIOs e executivos de negocio com quem falei era que SaaS reduzisse não apenas o capex evitando a dispendiosa compra de licenças, mas também o opex, fazendo com que a operação dos aplicativos se tornasse mais barata que mante-lo na versão on-premise. E não só isso: que possibilitasse, ao mesmo tempo, que a empresa respondesse mais rapidamente às mudanças no mercado.

Isto está muito em linha com as preocupações das empresas atualmente. Uma recente pesquisa feita com 500 CEOs no Brasil mostrou que o que tira o sono destes executivos são itens como a situação econômica do país frente à crise mundial, a competição cada vez mais acirrada, a consistência do mercado interno e a falta de mão de obra qualificada. Como isto se reflete em TI e nos CIOs? Reduzindo custos, mas ao mesmo demandando mais agilidade e eficiência. Em resumo, a máxima “fazer mais com menos” está mais atual que nunca.

Assim, as soluções SaaS tem que mostrar claramente estas vantagens para que os usuarios a implementem. Abro aqui um parentesis. Em paralelo conversei com muitos executivos de empresas de software e para mim está claro que embora eles saibam que devam entrar no mundo SaaS, muitos não tem uma idéia precisa de como e quando fazer esta transformação. Além disso receiam a canibalização do seu modelo de negócio atual frente a um modelo que ainda não compreendem adequadamente.

Mas, aos poucos vemos que a desconfianças e questionamentos começam ser quebrados. Surgem aqui e ali exemplos bem sucedidos. A industria de mundial de software, como um todo, já se movimenta nesta direção e talvez em alguns anos, pelo fim da década (?) esta discussão tenha se evaporado. A maioria dos softwares já estará sendo comercializada pelo modelo SaaS.

Também observei um preocupação latente nos CIOs com quem conversei. À medida que SaaS atrai mais usuários, surge a ameaça do que chamamos de “shadow IT” ou seja aquelas aplicações que estão a um simples clique (e um cartão de crédito) de distância, permitindo os usuários implementarem um aplicativo SaaS sem conhecimento da área de TI. Uma questão interessante me foi levantada por um CIO. A empresa dele está planejando desenvolver e disponibilizar para os seus clientes um conjunto de aplicativos móveis que rodarão em um nuvem publica. E ele está inseguro com relação a como integrar estes aplicativos com os sistemas corporativos e manter segurança dos dados, bem como que soluções de suporte conseguirá oferecer aos clientes, quando de eventuais (mas prováveis) problemas surgirem no uso destes aplicativos. Bem, existem algumas soluções tecnológicas de integração entre aplicativos móveis e sistemas internos como o recente anúncio do Mobile Foundation da IBM (http://www-01.ibm.com/software/mobile-solutions/ ). Mas, fica claro que a solução não será resolvida apenas por tecnologia.Uma mudança nos processos e mesmo nos skills dos profissionais de TI será também necessária.

O “Shadow IT’ é um desafio e tanto. Se os usuarios começarem adquirir aplicativos sem conhecimento de TI (e é dificil argumentar contra uma alegação de uma área de negócios que aquele aplicativo SaaS a fará ganhar mais dinheiro) uma bomba relógio estará armada. Mais cedo ou mais tarde muitos destes aplicativos demandarão integração com outros, estejam estes em outras nuvens, ou sejam sistemas legados on-premise. “Shadow IT” não é um pesadelo que ao acordarmos se dissipará. É algo bem provavel de acontecer se a área de TI não for ágil o suficiente para liderar as definições das regras do jogo quanto ao uso de softwares SaaS.

Conversando com alguns CIOs levantamos em conjunto alguns pontos que eles deveriam incluir nas regras do jogo para as suas empresas adotarem SaaS e o modelo de aquisição por conta própria…que tal chamarmos de BYOA (Buy Your Own Aplication?). Primeiro, reconhecemos que impedir uma área de negócio de lançar um produto novo e ganhar dinheiro, e que para isso precisa de um aplicativo saaS será uma luta inglória e inútil. Assim, a área de TI não deverá lutar contra, mas liderar o processo. Avaliamos que seria interessante desenhar regras de risk assessment que identificassem e deixassem claro para os usuarios os riscos quanto a confidencialidade, privacidade e eventualmente responsabilidades legais se determinados softwares forem usados. Também identificamos que os usuários deverão ter ciência dos riscos de continuidade dos negócios se o aplicativo SaaS não for oferecido por um provedor que atenda requisitos minimos de resiliência em seu data center.

Enfim, o resultado foi que na prática vai se balancear o risco para o negocio com o valor que o aplicativo trará para a empresa. E que as areas usuarias, que optarem por uma solução “Shadow IT” tenham plena ciência dos prós e contras. Desta forma, TI agirá como aliada do processo e não estará sendo uma barreira no caminho. Afinal, barreiras são bypassadas mais cedo ou mais tarde…

Porque Cloud Privada?

O mind set de Cloud Computing é voltado a nuvens publicas, como a EC2 da Amazon ou a Smart Cloud Enterprose (SCE) da IBM. Mas existe também a opção de usarmos os recursos de virtualização e automatização dentro dos nossos servidores, para criar uma nuvem privada. Esta opção é muito considerada em empresas que já tem uma grande capacidade computacional instalada, tem políticas de segurança bem definidas e são limitadas pelas regulações de seus setores de negócios.

Uma nuvem privada compreende a fórmula basica da computação em nuvem, como virtualização + padronização + automatização + self-service, apenas com a restrição que abrange apenas os servidores pertencentes à empresa. Isto significa que seu limite de escalabilidade é a capacidade computacional que ela tem instalada. Uma nuvem privada gera praticamente o mesmo valor que um nuvem publica, com exceção do gasto em capital, que na nuvem publica é trocada pelo operating expenses (opex). Na nuvem privada a empresa tem que investir na aquisição dos seus recursos computacionais. Entretanto, consegue melhorar de forma significativa os custos operacionais pois os processos de virtualização, automatização, padronização e self-service reduzem de forma drástica os custos de suporte e operação.

Na verdade, ao desenhar uma estratégia de adoção de nuvem privada a empresa deve definir como parametros de benchmarking não mais os data centers de empresas do seu setor, mas os data centers das empresas tipicamente oriundas do mundo cloud como Amazon, YouTube ou Google. Os resultados obtidos podem ser surpreendentes como redução do time-to-deployment dos seus novos sistemas de semanas para horas ou minutos. Um ambiente de desenvolvimento e teste de uma grande corporação, que geralmente demora semanas para atender a uma demanda pode, em cloud, provisionar recursos computacionais para os desenvolvedores em poucas horas. Imaginem o ganho em termos exploração de janelas de oportunidade para lançar novos negócios. Outro beneficio é a melhor utilização do pool de recursos. Em vez de uma utilização média de 10% a 15% em cada servidor, podemos quadruplicar esta utilização, gerando mais capacidade computacional utilizavel dentro da mesma capacidade instalada.

Mas, ao fazermos uma autópsia de uma nuvem privada vemos que à primeira vista não nos muito diferente de um ambiente virtualizado. Mas, a virtualização é apenas o pré-requisito. A ela adicionamos uma camada de inteligência (softwares) que nos possibilita provisionar, alocar, monitorar e gerenciar os recursos computacionais de forma automática, permitindo que os usuarios requisitem estes recursos eles mesmos, via portal self-service. A automação dos processos de provisionamento e gerenciamento dos recursos computacionais permite reduzir em muito o tempo dispendido pelos administradores de sistemas em atividades mundanas (upgrade de versão de sistema operacional, por exemplo) e cada um deles pode gerenciar um numero de servidores pelo menos duas ordens de magnitude superior ao numero atual. Ou seja em vez de um administrador para cada grupo de 100 máquinas podemos ter um para cada 10.000 máquinas. Esta camada de automatização é que cria o ambiente de nuvem privada.

O que consiste esta camada? Para implementarmos um ambiente de private cloud é necessário implementarmos tecnologias que gerenciem o acesso dos recursos (a nuvem) pelos usuários na modalidade de auto-serviço (falamos aqui em gestão de acesso e identidade), gestão automatizada dos recursos (catálogo de serviços, gestão de nível de serviço, gestão de configuração, etc), capacidade de gerenciar chargeback e monitorar o desempenho das maquinas e assim por diante. Claro que toda esta tecnologia deve ser operada sob politicas de segurança e controle de acesso.

E como criar esta camada? Podemos fazer todo o trabalho manualmente, usando tecnologias Open Source como o OpenStack (http://openstack.org/). Recentemente a IBM aderiu a Open Stack Foundation (http://www.wired.com/cloudline/2012/04/openstack/ ). O lado negativo desta alternativa é a necessidade da empresa desenvolver ela mesma todo o trabalho de criação e integração do ambiente de nuvem. Outra alternativa é adquirir tecnologia e serviços de uma empresa que forneça soluções abrangentes como a SmartCloud Foundation da IBM (www.ibm.com/cloud-computing).

OK, private cloud é uma boa alternativa. Mas vale para todas as empresas? Nem sempre…Empresas com data centers pequenos geralmente não conseguem obter ganhos de escala suficientes para gerar uma relação custo x beneficio adequadas para construir e operar nuvens privadas. A solução para elas, na minha opinião, é migrar para nuvens publicas. Ou então pode ser uma start-up da economia criativa. Creio que empresas deste setor deveriam ir direto para nuvens publicas. Alguns exemplos de uso de nuvens publicas por empresas da economia criativa, que começaram a operar sem dispor de data center próprio: Netflix, FourSquare, Yelp, TweetDeck e Peixe Urbano, este último no Brasil. Também existem casos onde por questões de desempenho os servidores não podem ser compartilhados e cloud é compartilhamento por excelência. Vamos citar também casos onde as aplicações utilizam tecnologias muito diversas o que contraria um dos requisitos básicos da computação em nuvem que é a padronização de ambientes. Quanto mais padronizável, maior o ganho de escala, pois podemos selecionar uma entre um conjunto de imagens (ambientes virtuais) e operar a aplicação nele.

Finalmente, é bom lembrar que o ambiente de cloud é flexível, não precisando ser tudo nuvem privada ou tudo nuvem publica. Podemos usar as nuvens híbridas, atendendo parte das demandas computacionais da empresa em nuvens privadas e parte em nuvens publicas. Em resumo, cloud já está entre nós. Se vamos começar por nuvem publica ou privada depende da estratégia da empresa e de suas caracteristicas. Mas, já chegamos no ponto de não mais ter sentido a pergunta se vamos ou não para cloud, mas sim quando e com qual velocidade iremos.