Posts

Computação em Nuvem: riscos e vantagens de contratação




A computação em nuvem é uma tecnologia cada dia mais presente na vida das pessoas. Seja em pequenas tarefas executadas diariamente em computadores ou na infinidade de conteúdos que são acessados e compartilhados a todo momento por meio dos smartphones.


Essa é uma das principais características da computação em nuvem, o amplo acesso, a qualquer momento, de qualquer local, a dados, redes e aplicações que não precisam estar salvos nos dispositivos dos usuários, pois eles já estão salvos na “nuvem”, uma rede externa de servidores interligados, e podem ser acessados pela internet.

A facilidade de acesso aos dados armazenados em nuvem, assim como a economia em custos de infraestrutura que essa tecnologia pode representar tornou-a atrativa também para a Administração Pública Federal. Mas não só de vantagens é feita essa nova tendência. Por isso, o Tribunal de Contas da União realizou um levantamento para identificar os riscos mais relevantes em contratações de serviços de computação em nuvem. Riscos que devem ser considerados pelos gestores antes de se optar pela contratação de serviços de computação em nuvem.

Um dos grandes riscos identificados é a segurança da informação, que poderia gerar por exemplo, um acesso indevido a informações privadas da base de dados de determinado órgão público. Esse é um risco significativo, mas de acordo com o levantamento realizado, também é necessário ponderar que as defesas baseadas em nuvem muitas vezes são mais robustas, escaláveis, eficientes e baratas se comparadas às soluções internas das organizações, em razão da especialização dos provedores e do ganho de escala.

Além da segurança da informação, foram identificados outros riscos como a dependência em relação ao provedor de serviço, conflitos sobre a propriedade dos dados armazenados na nuvem, falhas no monitoramento e gestão contratuais.  Ao todo, o TCU identificou 43 riscos que devem ser considerados pelos gestores na tomada de decisão pela contratação dos serviços de computação em nuvem.

Apesar disso, o trabalho do TCU identificou que o uso da computação em nuvem pode trazer diversas vantagens, como maior agilidade na entrega e na atualização tecnológica de serviços públicos; ampliação do acesso e do uso de informações governamentais e suporte mais ágil a iniciativas de big data e dados abertos.

Então, diante dos riscos e benefícios, o que fazer? Analisar todos os riscos, além de diversos fatores econômicos e técnicos para fundamentar a decisão de contratar ou não um serviço de computação em nuvem, bem como ajustar previamente a contratação. Uma opção é iniciar com aplicações contendo informações públicas e não críticas, com baixo risco de segurança da informação.

Conheça na tabela abaixo, os principais riscos identificados pelo tribunal.


E para conhecer mais sobre o trabalho realizado pelo TCU, clique aqui.


Riscos de contratação de serviços de computação em nuvem
Tema: Segurança da informação
Categoria de risco: Indisponibilidade do serviço
1 - Não implementação de controles e salvaguardas suficientes para garantir a continuidade da infraestrutura do provedor, afetando assim a disponibilidade do serviço para o usuário final
2 - Indisponibilidade de elementos da infraestrutura do cliente que são críticos para o acesso a serviços na nuvem
Categoria de risco: Confidencialidade e integridade de dados
3 - Controle de acesso inexistente ou insuficiente para assegurar a confidencialidade dos dados armazenados na nuvem
4 - A segurança dos dados transmitidos para o provedor de nuvem pela internet pode ser comprometida durante a transferência
5 - Acesso indevido do provedor aos dados
6 - O provedor pode ser forçado legalmente a fornecer dados por estar submetido a jurisdição estrangeira, colocando em risco a privacidade e a disponibilidade das informações
7 - Um cliente pode ter acesso indevido a dados de outro cliente
8 - Acesso indevido à medida que os serviços de computação em nuvem são amplamente acessíveis, independentemente de localização
Categoria de risco: Gestão de mudanças
9 - A gestão de mudanças do provedor de computação em nuvem pode não ser adequada às necessidades do cliente. Por exemplo, mudanças na infraestrutura de software do provedor (patch corretivo, atualização de versão etc) podem não passar por processos de gestão de mudanças individuais dos clientes, causando impactos negativos (risco agravado em caso de SaaS)
Categoria de risco: Trilhas de auditoria
10 - A política do provedor para liberar os logs de acesso, de sistema e de segurança não atende aos requisitos do cliente; há perda ou fornecimento incompleto de informações do provedor para o cliente relativas a incidentes de segurança e ao fornecimento de trilhas de auditoria
11 - Logs possuem período de retenção no provedor menor que o esperado e estabelecido nas políticas internas do cliente
12 - Ausência de isolamento de logs entre vários clientes; vazamento de dados de log
Categoria de risco: Segurança de interfaces de programação (APIs)
13 - As APIs para acesso à infraestrutura do provedor e aos dados do cliente possuem falhas ou vulnerabilidades
Categoria de risco: Acesso indevido por invasor interno
14 - As políticas e orientações do provedor de nuvem quanto ao acesso de seus funcionários aos ativos físicos e virtuais podem não ser adequadas ou de conhecimento do cliente
15 - As políticas e orientações do provedor quanto a contratação de pessoal, monitoramento de atividades de seus funcionários e verificação do cumprimento das normas organizacionais podem não ser adequadas ou de conhecimento do cliente
Categoria de risco: Atualizações e correções de segurança
16 - Exploração de vulnerabilidades do provedor podem impactar operações do cliente
Tema: Governança e gestão de riscos
Categoria de risco: Planejamento
17 - Dimensionamento inadequado das vantagens e riscos relativos à incorporação de serviços de computação em nuvem em função das características e requisitos individuais da organização
18 - Planejamento orçamentário de TI não adequado às características de contratação de serviços de computação em nuvem
Categoria de risco: Política de recursos humanos
19 - Resistência da equipe de TI à adoção de computação em nuvem por receio de perder suas funções
Categoria de risco: Governança
20 - Perda de governança e controle da TI por parte da organização quando da utilização de serviços na nuvem
21 - Menor reatividade do fornecedor a comandos do cliente se comparado a provimento interno do serviço
22 - Falta de apoio interno devido à cultura organizacional e percepção do cliente de que há maiores riscos associados a serviços em nuvem
Categoria de risco: Legislação e normativos pertinentes
23 - Não observância de legislação e normativos específicos que regulam a contratação de serviços de computação em nuvem ou de pontos específicos em regulamentos de contratação de serviços de TI em geral
24 - Desconformidade com o Decreto 8.135/2013 e com a Portaria Interministerial 141/2014
25 - Não observância das normas de segurança do DSIC/GSI/PR


Tema: Contratação e gestão contratual
Categoria de risco: Gestão contratual
26 - Níveis de serviço estabelecidos em contrato podem não ser cumpridos
27 - Vulnerabilidades e problemas de segurança detectados no provedor demoram para ser corrigidos ou não são corrigidos
28 - Falhas no monitoramento e gestão contratuais
29 - Estouro de orçamento para o contrato devido à falta de controle sobre o uso dos recursos de computação em nuvem e estimativas imprecisas de custo
Categoria de risco: Dependência frente ao provedor
30 - Dependência do cliente com relação ao provedor (vendor lock-in)
31 - Dificuldades do cliente em migrar dados de um provedor para outro ou internalizá-los novamente, por problemas de interoperabilidade ou de portabilidade
32 - Falta de previsão dos custos de saída do provedor
33 - Indisponibilidade do fornecedor (ruptura contratual, falência, sequestro de dados)
Categoria de risco: Falhas contratuais
34 - Conflitos sobre a propriedade dos dados armazenados na nuvem
35 - Falta de delimitação legal regendo as relações contratuais, dado que os serviços de nuvem podem ser prestados globalmente
36 - Não exclusão de dados armazenados na nuvem ao término de um contrato


Tema: Infraestrutura de TI
Categoria de risco: Falhas relativas à infraestrutura de TI
37 - Falhas de isolamento entre ambientes ou instâncias virtuais de clientes diferentes
38 - O compartilhamento de recursos pelos provedores de nuvem entre vários clientes pode inserir vulnerabilidades adicionais
39 - As ferramentas e processos para gestão de incidentes do provedor podem ser incompatíveis com os utilizados pelo cliente
40 - O processo de gestão de incidentes do provedor apresenta falhas em documentação, resolução, escalonamento ou encerramento de incidentes
41 - Problemas de infraestrutura de rede do cliente podem afetar o desempenho dos serviços de computação em nuvem
42 - Problemas de dimensionamento de carga da infraestrutura do provedor podem afetar o desempenho dos serviços de computação em nuvem
43 - Incompatibilidade entre o modelo arquitetural do cliente e do provedor


2 comentários:

  1. Olá! Onde encontro informações sobre o autor? Este artigo foi publicado em algum outro canal?
    Obrigado!

    ResponderExcluir
  2. O título do artigo menciona riscos e vantagens, porém não identifiquei nenhuma vantagem.

    ResponderExcluir

O TCU

O Tribunal de Contas da União é o órgão responsável por fiscalizar a utilização dos recursos públicos federais. Essa atividade é chamada de controle externo e tem o objetivo de garantir que o dinheiro público seja realmente aplicado em benefício da sociedade.

Pesquisar

Labels