Navegando na cloud
NAVEGANDO NA CLOUD
Mover sistemas críticos para uma nuvem pública: risco ou oportunidade?
Mover sistemas corporativos para uma cloud pública pode ser um risco ou uma oportunidade? Quando as coisas dão errado, é certo que o CIO (Chief information officer) seja demitido - a decisão é deles e ninguém mais pode assumir a culpa. Mas é importante entender o estado atual dos fornecedores de serviços cloud e sua prontidão para sistemas corporativos.
“Fornecedores” internos são examinados, funcionários. Suas atividades podem ser monitoradas e, o mais importante, podem ser responsabilizados quando as coisas dão errado. Com a nuvem pública, o único recurso é o que está escrito num SLA e "garantias de devolução do dinheiro". Isso está longe de ser o nível de garantia de que um CIO corporativo precisa. Há uma grande diferença entre pegar um telefone e ligar para o seu próprio data center em vez de discar para uma linha direta 24 horas por dia, sete dias por semana ou olhar para um site com uma mensagem "aguarde, estaremos de volta em breve". O seguro cibernético também não ajudará muito - qualquer pagamento do sinistro seria, em última análise, cobrado por um novo CIO.
Os profissionais de segurança de IT dir-lhe-ão que a solução é a certificação aprimorada de fornecedores de serviços cloud e a verificação externa de seus operadores humanos. A certificação tem um papel a cumprir, mas a resposta incluirá tecnologias que aumentam o controle sobre o administrador terceirizado.
A tríade da CIA de confidencialidade, integridade e disponibilidade
Existem três princípios de segurança que são essenciais para compreender o controle sobre o administrador terceirizado.
A disponibilidade é o mais fácil de entender. Um modelo de nuvem pública pode fornecer desempenho tão confiável quanto os data centers da própria empresa? Considere como o terremoto e o subsequente tsunami no Japão fizeram a comunidade bancária perceber que ter um data center principal em Tóquio com backup em Yokohama, a apenas 50 km de distância, não era uma ideia tão inteligente.
Em contraste, as mais recentes soluções de provedor de nuvem de armazenamento de objeto fornecem redundância de armazenamento em vários centros de dados e em vários continentes e disponibilidade que seria um desafio financeiro e operacional para uma empresa replicar. É aqui que a certificação pode desempenhar um papel fundamental, pois os dados de disponibilidade são objetivos e é possível analisar e correlacionar os riscos.
A integridade é possivelmente a menos compreendida da tríade de segurança. A mesma pode ser resolvida com a infraestrutura de assinatura sem chave (KSI), que fornece um mecanismo para os CIOs atestarem dinamicamente que seus sistemas e dados estão em um estado limpo e não modificado e agirem quando uma modificação não autorizada for detectada e também mantém os administradores de nuvem pública com um maior grau de transparência - tudo o que acontece no ambiente de cloud pode ser verificado de forma independente. Quando algo der errado, haverá evidências auditáveis para provar o que aconteceu.
A conformidade regulatória exige que as empresas provem a integridade de seus dados arquivados, gastando até US $ 10.000 por TB em soluções baseadas em hardware. Agora, isso pode ser feito na nuvem pública por uma fração do preço.
Confidencialidade. Desde que Craig Gentry da IBM anunciou seu esquema de criptografia totalmente homomórfica (FHE), tem havido intensa pesquisa na comunidade acadêmica para construir algo prático. O FHE implica que você pode armazenar dados criptografados na nuvem usando aplicativos criptografados e os dados nunca precisam ser descriptografados, mesmo na memória. Os resultados são descriptografados localmente quando um usuário final autenticado precisa visualizá-los, removendo assim qualquer possibilidade de o operador de nuvem ou invasor externo violar a confidencialidade dos dados.
Embora muito longe de ser prático, a hora certamente chegará.
Porquê mudar para a nuvem?
Há uma longa lista de benefícios da nuvem, mas gosto de restringi-la aos três mais impactantes: escalabilidade, agilidade e economia de custos.
A computação em nuvem permite que as empresas mudem a forma como operam rapidamente. Com a nuvem, é possível adicionar rapidamente mais recursos de computação. Em contraste, as equipes de TI podem demorar muito mais, pois precisam comprar e instalar equipamentos físicos. Além disso, a migração de sistemas de TI para um servidor em nuvem permitir-lhe-á reduzir a quantidade geral de hardware físico, bem como o espaço do data center, o que se traduz diretamente em economia de custos.
Como será a minha função afectada?
A computação em nuvem oferece novas oportunidades para impulsionar o crescimento dos negócios e tem um efeito significativo na função do CIO e da equipe de TI. Liderar a mudança para a nuvem não só dá a você a oportunidade de passar para uma função mais estratégica e consultiva, mas também o ajudará a se concentrar em atividades que agregam valor, o que em troca tornará seu negócio mais competitivo.
De acordo com o vice-presidente sênior e CIO comercial global da Oracle, Tom Fisher:
“Os CIOs têm a oportunidade de se transformar de detentores da tecnologia em um verdadeiro Chefe de Informação, agora gerenciando dados como um ativo da empresa, assim como o CFO gerencia as finanças da empresa. Para fazer isso, o CIO não só precisa entender onde estão os dados e qual fornecedor é responsável por eles, mas também como as unidades de negócios individuais podem usar esses dados. O conhecimento de negócios necessário para conduzir processos de missão crítica, o conhecimento de mercado necessário para capturar oportunidades emergentes e o conhecimento técnico necessário para reunir todos esses elementos mudam drasticamente - e elevam - o trabalho da pessoa que ocupa o assento do CIO. ”
O que é importante ao escolher um fornecedor de serviços cloud?
Em muitos casos, os CIOs hesitam em confiar dados privados confidenciais, que sempre foram armazenados internamente, a empresas terceirizadas. É por isso que a reputação e a segurança continuam sendo considerações importantes ao escolher um provedor de nuvem. Além disso, a maioria dos CIOs busca flexibilidade ao escolher seu provedor de nuvem. Já não é interessante assinar um contrato de muitos anos para garantir o melhor preço. Hoje, os contratos são normalmente negociados por três anos, pois garante um bom preço, maior flexibilidade e a possibilidade de explorar as tecnologias mais recentes à medida que surgem.
A boa notícia é que há muitas opções. A má notícia é há muitas opções.
por Klaus Sentker, Sócio fundador e Presidente do Conselho do Grupo Retail Consult