Sidney Chaves Vc

150
UNIVERSIDADE DE SÃO PAULO FACULDADE DE ECONOMIA, ADMINISTRAÇÃO E CONTABILIDADE DEPARTAMENTO DE ADMINISTRAÇÃO PROGRAMA DE PÓS-GRADUAÇÃO EM ADMINISTRAÇÃO A QUESTÃO DOS RISCOS EM AMBIENTES DE COMPUTAÇÃO EM NUVEM Sidney Chaves Orientador: Prof. Dr. Cesar Alexandre de Souza Versão Corrigida (versão original disponível na Unidade que aloja o Programa) SÃO PAULO 2011

description

O artigo trata das questões de riscos em ambientes de computação em nuvem.

Transcript of Sidney Chaves Vc

  • UNIVERSIDADE DE SO PAULO FACULDADE DE ECONOMIA, ADMINISTRAO E CONTABILIDADE

    DEPARTAMENTO DE ADMINISTRAO PROGRAMA DE PS-GRADUAO EM ADMINISTRAO

    A QUESTO DOS RISCOS EM AMBIENTES DE COMPUTAO EM NUVEM

    Sidney Chaves

    Orientador: Prof. Dr. Cesar Alexandre de Souza

    Verso Corrigida (verso original disponvel na Unidade que aloja o Programa)

    SO PAULO 2011

  • Prof. Dr. Joo Grandino Rodas Reitor da Universidade de So Paulo

    Prof. Dr. Reinaldo Guerreiro Diretor da Faculdade de Economia, Administrao e Contabilidade

    Prof. Dr. Adalberto Amrico Fischmann Chefe do Departamento de Administrao

    Prof. Dr. Lindolfo Galvo de Albuquerque Coordenador do Programa de Ps-Graduao em Administrao

  • SIDNEY CHAVES

    A QUESTO DOS RISCOS EM AMBIENTES DE COMPUTAO EM NUVEM

    Dissertao apresentada ao Departamento de Administrao da Faculdade de Economia, Administrao e Contabilidade da Universidade de So Paulo, como requisito para a obteno do ttulo de Mestre em Administrao.

    Orientador: Prof. Dr. Cesar Alexandre de Souza

    Verso Corrigida (verso original disponvel na Unidade que aloja o Programa)

    SO PAULO 2011

  • ii

    FICHA CATALOGRFICA Elaborada pela Seo de Processamento Tcnico do SBD/FEA/USP

    Chaves, Sidney A questo dos riscos em ambientes de computao em nuvem / Sidney Chaves. -- So Paulo, 2011. 150 p.

    Dissertao (Mestrado) Universidade de So Paulo, 2011. Orientador: Cesar Alexandre de Souza.

    1. Tecnologia da informao 2. Computao em nuvem 3. Adminis- trao de risco 4. Tcnica Delphi I. Universidade de So Paulo. Faculdade de Economia, Administrao e Contabilidade II. Ttulo.

    CDD 658.4038

    Dissertao defendida e aprovada no Departamento de Administrao da Faculdade de Economia, Administrao e Contabilidade da Universidade de So Paulo Programa de Ps-Graduao em Administrao, pela seguinte banca examinadora: Prof. Dr. Cesar Alexandre de Souza, Prof. Dr. Hiroo Takaoka e Prof. Dr. Manoel Veras Souza Neto.

  • iii

    Para Mnica, querida companheira de todos os momentos, cuja compreenso e incentivo

    foram mais do que decisivos para que

    este trabalho pudesse ser realizado.

  • iv

    Agradecimentos

    Meu sincero agradecimento, em primeiro lugar, ao Prof. Dr. Cesar Alexandre de Souza, orientador deste trabalho, pela oportuna sugesto do tema e pelas intervenes sempre precisas e didticas ao longo dos prolongados meses durante os quais este estudo se desenvolveu.

    Agradeo tambm ao Prof. Dr. Hiroo Takaoka, pela valiosa contribuio quando da participao na banca do exame de qualificao, com intervenes e sugestes que, tenho certeza, fizeram por melhorar enormemente a qualidade deste trabalho.

    Meu agradecimento, ainda, aos demais professores das disciplinas que cursei ao longo do Programa de Mestrado, cujos ensinamentos em muito contriburam para que mais esta etapa da minha histria acadmica pudesse ser cumprida.

    Da mesma forma, agradeo Lcia Abe, pelo incessante apoio, pela infindvel pacincia e, sempre atenta, pelas inmeras dicas e sugestes de textos e eventos sobre computao em nuvem.

    Como no poderia deixar de ser, meus agradecimentos aos participantes do painel Delphi que propiciou a obteno das informaes que viabilizaram este estudo aos executivos de tecnologia da informao, cujos nomes devo, por compromisso, manter em anonimato e, especialmente, aos Profs. Drs. Antonio Carlos Gastaud Maada, Jakow Grajew e Manoel Veras de Souza Neto.

    Por fim, mas talvez em primeiro por importncia, meu sincero e carinhoso obrigado Mnica, minha esposa, e Mariana, minha filha, por terem suportado minha ausncia e pouca ateno enquanto estive envolvido com este estudo e por me terem retribudo com dedicao, incentivo e apoio incondicionais.

  • v

    "Nada to poderoso no mundo como uma ideia cuja oportunidade chegou."

    Victor Hugo

  • vi

    RESUMO

    Este documento apresenta e descreve o trabalho de pesquisa realizado com vistas a estabelecer recomendaes destinadas a auxiliar consumidores de servios de computao em nuvem a tratar a questo dos riscos inerentes a este ambiente, de modo tal a poder contratar servios desta natureza com grau aceitvel de risco. Para atender a este objetivo e aos demais objetivos secundrios definidos, o estudo foi conduzido em cinco fases: reviso da literatura relativa computao em nuvem, escolha e estruturao do mtodo de pesquisa, aplicao do mtodo de pesquisa, proposio das recomendaes para o tratamento dos riscos e elaborao das concluses. A reviso da literatura compreendeu um amplo levantamento bibliogrfico sobre computao em nuvem, com nfase na sua definio, nos modelos de referncia e nos tpicos barreiras, benefcios e riscos. A escolha do mtodo de pesquisa envolveu o processo de seleo do Delphi, acompanhado por outro extenso levantamento bibliogrfico, desta feita sobre este mtodo, e foi seguida da definio da sistemtica a ser adotada para aplic-lo especificamente nesta pesquisa; para aplicar o Delphi, foi escolhida a modalidade ranking form, por meio da qual se tornou possvel determinar, aps a realizao de cinco rodadas do painel e contando com a participao de um grupo de especialistas formado por acadmicos e profissionais de tecnologia da informao, rankings para as barreiras, os benefcios e os riscos associados computao em nuvem. A partir do ranking dos riscos, foram estabelecidas as recomendaes destinadas a satisfazer ao objetivo principal da pesquisa, que se traduzem, em linhas gerais, na indicao de quais riscos potenciais devem ser observados e tratados com maior grau de ateno pelas instituies, organizaes e executivos de tecnologia da informao que pretendam dar seus primeiros passos no universo da computao em nuvem, bem como por aqueles que, j devidamente inseridos neste ambiente, queiram ou tenham a necessidade de rever conceitos e posies assumidos. Por fim, as concluses e consideraes finais contemplaram a anlise dos resultados obtidos no painel Delphi relativamente s barreiras e aos benefcios. Como contribuio maior, este estudo oferece, acima de tudo, uma viso realista acerca da computao em nuvem e coloca disposio daqueles que efetivamente por ela se interessam, por vontade prpria ou dever de ofcio, um rol de observaes e recomendaes teis e oportunas.

    Palavras-chave: Tecnologia da informao, Computao em nuvem, Administrao de risco, Tcnica Delphi.

  • vii

    ABSTRACT

    This report presents and depicts the research carried out in order to find out recommendations that may possibly assist consumers of cloud computing services to deal with risks intrinsic to that architecture, so that consumers can be able to contract those kinds of services within an acceptable level of risk. The research comprised five phases to satisfy this main objective and also the secondary ones set up for it: review the literature related to cloud computing, choose and configure the research method, run the research method, find out the recommendations and make conclusions. The review of the literature consisted of an extensive bibliography research about cloud computing, putting emphasis on its definitions and reference models and on three other connected topics: barriers, benefits and risks. The choice of the research method encompassed the selection of the Delphi method seconded by another wide bibliography research, this time focused on the method itself, and was followed by the configuration of the Delphi method in order to get a script to be adopted to make properly use of the method in this research; to apply the Delphi method, it was chosen its "ranking form", that made possible, after five rounds and counting with the involvement of a group comprising academic people and information technology professionals, to establish rankings for barriers, benefits and risks, all related to cloud computing. Based on the ranking of risks, the recommendations destined to satisfy the research's main objective were thought up; in general, these recommendations can be viewed as indicatives of which potentials risks must be observed and treated in an upper attention level by institutions, organizations and information technology executives that intend to take their first steps toward cloud computing universe, as long as by those companies and people that, despite by now inserted in that architecture, want to or must review concepts and positions already took on. At last, conclusions and final considerations were written, both derived from the analysis of the results regarding barriers and benefits extracted from the Delphi panel. Above all, this study, as its major contribution, offers a realistic view on the subject of cloud computing and puts a list of useful and timely reflections and recommendations within reach of those who are effectively interested in them, by proper will or due to duties.

    Keywords: Information technology, Cloud computing, Risk management, Delphi method.

  • SUMRIO

    Lista de Quadros ......................................................................................................................... 3 Lista de Tabelas .......................................................................................................................... 4 Lista de Figuras .......................................................................................................................... 5 1 Introduo ............................................................................................................................. 7

    1.1 Apresentao ................................................................................................................ 7 1.2 Questo de Pesquisa ................................................................................................... 10 1.3 Objetivos da Pesquisa ................................................................................................ 10

    1.3.1 Objetivo Principal ........................................................................................... 10 1.3.2 Objetivos Secundrios .................................................................................... 10

    1.4 Justificativa para o Estudo ......................................................................................... 11 1.5 Organizao da Pesquisa ............................................................................................ 12

    2 Reviso da Literatura e Consideraes ............................................................................... 13 2.1 Computao em Nuvem ............................................................................................. 13

    2.1.1 Histrico e Definies para Computao em Nuvem ..................................... 13 2.1.2 Semelhanas nas Definies para Computao em Nuvem ........................... 16 2.1.3 Modelos de Referncia para Computao em Nuvem.................................... 17 2.1.4 Semelhanas, Divergncias, Pontos Fortes e Deficincias dos Modelos de

    Referncia para Computao em Nuvem ....................................................... 20 2.1.5 Benefcios Potenciais Associados Computao em Nuvem ........................ 21 2.1.6 Barreiras Potenciais Inibidoras da Adoo da Computao em Nuvem ........ 25

    2.2 Risco e Gesto de Riscos ........................................................................................... 28 2.2.1 Definies para Risco ..................................................................................... 28 2.2.2 Definies e Roteiros para Gesto de Riscos ................................................. 30 2.2.3 Riscos Inerentes TI e Gesto de Riscos em TI ............................................ 35 2.2.4 Riscos Inerentes Computao em Nuvem ................................................... 40 2.2.5 Consideraes Sobre a Questo do Risco na Computao em Nuvem .......... 46 2.2.6 Gesto de Riscos na Computao em Nuvem ................................................ 47 2.2.7 Consideraes Sobre as Proposies Relativas Segurana e Gesto de

    Riscos na Computao em Nuvem ................................................................. 51 3 Mtodo de Pesquisa ............................................................................................................ 53

    3.1 O Mtodo Delphi: Definio e Histrico ................................................................... 53 3.2 Modalidades e Sistemticas de Aplicao do Mtodo Delphi ................................... 55 3.3 Exemplos de Aplicao do Mtodo Delphi ............................................................... 61 3.4 Justificativa para a Escolha do Mtodo Delphi .......................................................... 63 3.5 O Mtodo Delphi Aplicado a Este Estudo ................................................................. 66

    4 Realizao do Painel Delphi ............................................................................................... 73 4.1 Esquematizao do Painel .......................................................................................... 73

  • 2

    4.2 Montagem do Grupo de Painelistas ........................................................................... 74 4.3 Realizao do Ciclo 0 do Painel................................................................................. 75 4.4 Realizao do Ciclo 1 do Painel................................................................................. 76 4.5 Realizao do Ciclo 2 do Painel................................................................................. 78

    4.5.1 Preparo da Questo Relativa s Barreiras ....................................................... 78 4.5.2 Preparo da Questo Relativa aos Benefcios .................................................. 79 4.5.3 Respostas Relativas s Barreiras e Benefcios ................................................ 79 4.5.4 Respostas Relativas aos Riscos ...................................................................... 81

    4.6 Realizao do Ciclo 3 do Painel................................................................................. 82 4.6.1 Preparo da Questo Relativa aos Riscos ......................................................... 83 4.6.2 Respostas Relativas aos Riscos ...................................................................... 83 4.6.3 Respostas Relativas s Barreiras .................................................................... 85 4.6.4 Respostas Relativas aos Benefcios ................................................................ 87

    4.7 Realizao do Ciclo 4 do Painel................................................................................. 89 4.7.1 Respostas Relativas aos Riscos ...................................................................... 89 4.7.2 Respostas Relativas s Barreiras .................................................................... 91 4.7.3 Respostas Relativas aos Benefcios ................................................................ 93

    4.8 Supresso do Ciclo 5 do Painel .................................................................................. 95 4.9 Elaborao das Concluses ........................................................................................ 95

    5 Recomendaes para o Tratamento dos Riscos Inerentes Computao em Nuvem ....... 97 5.1 Riscos Inerentes Computao em Nuvem ............................................................... 97 5.2 Recomendaes para Tratamento dos Riscos .......................................................... 100

    6 Concluses e Consideraes Finais .................................................................................. 105 6.1 Concluses Acerca das Barreiras ............................................................................. 105 6.2 Concluses Acerca dos Benefcios .......................................................................... 107 6.3 Concluses Acerca dos Riscos e seu Tratamento .................................................... 109 6.4 Consideraes Finais ................................................................................................ 109

    Referncias Bibliogrficas ..................................................................................................... 113 Apndices ............................................................................................................................... 121

  • 3

    LISTA DE QUADROS

    Quadro 1 Definies para "Computao em Nuvem"........................................................... 14 Quadro 2 Definies de Acadmicos para "Computao em Nuvem" ................................. 14 Quadro 3 Modelo de Referncia do NIST para Computao em Nuvem ............................. 17 Quadro 4 Benefcios Potenciais Associados Computao em Nuvem .............................. 24 Quadro 5 Barreiras Potenciais Inibidoras da Adoo da Computao em Nuvem ............... 27 Quadro 6 Graus de Qualificao das Disciplinas Focais de Gesto dos Riscos da TI .......... 38 Quadro 7 Riscos de Origem Tcnica Presentes na Computao em Nuvem ........................ 45 Quadro 8 Consolidao dos Riscos Inerentes Computao em Nuvem ............................. 46 Quadro 9 Princpios Prticos para Aplicao do Mtodo Delphi ......................................... 60 Quadro 10 Comparao Entre Sistemticas de Aplicao do Mtodo Delphi ...................... 67 Quadro 11 Dimensionamento de Painis Delphi .................................................................. 68 Quadro 12 Barreiras Potenciais Adoo da Computao em Nuvem No Privada Indicadas pelos Painelistas ....................................................................................................... 77 Quadro 13 Benefcios Potenciais Decorrentes da Adoo da Computao em Nuvem No Privada Indicados pelos Painelistas .......................................................................................... 77 Quadro 14 Riscos Potenciais Decorrentes da Adoo da Computao em Nuvem No Privada Indicados pelos Painelistas .......................................................................................... 82 Quadro 15 Ranking de Riscos Potenciais Inerentes Computao em Nuvem No Privada .................................................................................................................................................. 98 Quadro 16 Ranking de Barreiras Potenciais Adoo da Computao em Nuvem No Privada .................................................................................................................................... 105 Quadro 17 Ranking de Benefcios Potenciais Decorrentes da Adoo da Computao em Nuvem No Privada ............................................................................................................... 107

  • 4

    LISTA DE TABELAS

    Tabela 1 Barreiras Mais Relevantes (Opinio dos Painelistas) ............................................. 80 Tabela 2 Benefcios Mais Relevantes (Opinio dos Painelistas) .......................................... 81 Tabela 3 Riscos Mais Relevantes (Opinio dos Painelistas) ................................................. 84 Tabela 4 Rankings das Barreiras Mais Relevantes ................................................................ 85 Tabela 5 Rankings das Barreiras Mais Relevantes (Acadmicos) ........................................ 86 Tabela 6 Rankings das Barreiras Mais Relevantes (Profissionais de TI) .............................. 86 Tabela 7 Rankings dos Benefcios Mais Relevantes ............................................................. 87 Tabela 8 Rankings dos Benefcios Mais Relevantes (Acadmicos) ..................................... 88 Tabela 9 Rankings dos Benefcios Mais Relevantes (Profissionais de TI) ........................... 88 Tabela 10 Rankings dos Riscos Mais Relevantes ................................................................. 89 Tabela 11 Rankings dos Riscos Mais Relevantes (Acadmicos) .......................................... 90 Tabela 12 Rankings dos Riscos Mais Relevantes (Profissionais de TI) ............................... 90 Tabela 13 Rankings das Barreiras Mais Relevantes (Aps Reviso) .................................... 91 Tabela 14 Rankings das Barreiras Mais Relevantes (Acadmicos Aps Reviso) ............... 92 Tabela 15 Rankings das Barreiras Mais Relevantes (Profissionais de TI Aps Reviso) .... 92 Tabela 16 Rankings dos Benefcios Mais Relevantes (Aps Reviso) ................................. 93 Tabela 17 Rankings dos Benefcios Mais Relevantes (Acadmicos Aps Reviso) ............ 94 Tabela 18 Rankings dos Benefcios Mais Relevantes (Profissionais de TI Aps Reviso) .. 94

  • 5

    LISTA DE FIGURAS

    Figura 1 Estgios da Terceirizao de Servios de TI ............................................................ 8 Figura 2 Estimativa de Gastos com Computao em Nuvem ................................................. 9 Figura 3 Representao Grfica do Modelo do NIST para Computao em Nuvem ........... 19 Figura 4 Ofertas de Servios em Nuvens vs. Tecnologias de Acesso ................................... 19 Figura 5 Representao Grfica do Cubo da Nuvem ............................................................ 20 Figura 6 Diagrama Explicativo das Situaes de Segurana e Perigo .................................. 28 Figura 7 Roteiro para Gesto de Riscos ................................................................................ 32 Figura 8 Modelo Ampliado para Gesto de Riscos ............................................................... 32 Figura 9 Pirmide dos Riscos da TI ...................................................................................... 36 Figura 10 Etapas da Governana dos Riscos da TI ............................................................... 37 Figura 11 Processo de Gesto dos Riscos da TI .................................................................... 39 Figura 12 Sistemtica para Aplicao do Mtodo Delphi em 3 Ciclos ................................ 58 Figura 13 Sistemtica para Escolha de Especialistas para um Painel Delphi ....................... 60 Figura 14 Ciclos de Aplicao do Mtodo Delphi Neste Estudo .......................................... 73 Figura 15 Etapas Destacadas da Gesto dos Riscos da TI .................................................. 100

  • 6

  • 7

    1 INTRODUO

    1.1 Apresentao

    Na busca por servios de Tecnologia da Informao, TI, com melhores relaes benefcio/ custo, as instituies e organizaes de negcios tm optado por mesclar servios de provimento prprio com os adquiridos de terceiros. Neste ltimo decnio, cresceram e se diversificaram de modo significativo tanto a procura quanto a oferta de servios de TI por parte, respectivamente, de clientes em potencial e provedores dos mais diversos tipos.

    De uma oferta, no passado, centrada em recursos de infra-estrutura e na cesso de direitos de uso de aplicativos, o leque se abriu para servios da mais diversa natureza. Esta evoluo e diversificao acabaram por propiciar o surgimento de servios contratveis sob demanda e com a caracterstica de permitir aos tomadores optar por adquirir pacotes que englobam tanto recursos de software quanto de hardware e de comunicao de dados, pacotes estes secundados por compromissos de atendimento dentro de padres de nvel de servio. Nesta formatao, torna-se indiferente aos tomadores dos servios o local onde fisicamente o processamento ocorre ou mesmo onde os dados so armazenados, importando a disponibilizao dos resultados acordados, com o nvel de atendimento pactuado.

    A computao est se tornando uma utilidade e, uma vez mais, as regras econmicas que determinam o modo de trabalhar e viver das pessoas esto sendo reescritas, semelhana do que ocorreu no passado, por exemplo, com a eletricidade e a telefonia. Data centers operados isoladamente por empresas esto sendo substitudos por servios providos num ambiente comum, a Internet, por instalaes centralizadas de processamento de dados. Face s vantagens econmicas do modelo de utilidades, as instituies e organizaes esto repensando o modo pelo qual se dispem a comprar e usar a TI ao invs de destinar volumes expressivos de recursos de caixa para adquirir computadores e programas, elas esto considerando conectar-se a este novo ambiente. Trata-se de uma mudana to significativa que promete no apenas impactar a funo de TI das instituies e organizaes, mas tambm surpreender a indstria da computao como um todo (CARR, 2008).

  • 8

    Esta nova forma de prestao de servios de TI foi rotulada "computao em nuvem", expresso traduzida da original em ingls "cloud computing". O instituto de pesquisas Forrester Research, por exemplo, elaborou um modelo que busca explicitar os diferentes estgios da terceirizao de servios de TI, com base na tecnologia aplicada e no modo de oferecimento desses servios. Neste modelo, reproduzido na Figura 1, a computao em nuvem referenciada como a modalidade mais evoluda de terceirizao de servios de TI (STATEN et al., 2008).

    Figura 1 Estgios da Terceirizao de Servios de TI

    ISP 1.0

    Acesso

    Internet

    ISP 2.0

    Acesso a

    servidores

    Co-locao (ISP 3.0)

    Local para instalao

    de equipamentos

    Nuvem (ISP 5.0)

    Infra-estrutura otimizada

    e dinmica para hospedar

    aplicativosASP (ISP 4.0)

    Hospedagem de

    aplicativos em

    servidores

    SaaS

    Aplicativos e

    servios baseados

    em Internet

    ISP Internet Service Provider

    ASP Application Service Provider

    FONTE: Adaptado de STATEN et al.; 2008; p. 7.

    Apesar de se constituir numa modalidade relativamente nova de terceirizao de servios de TI, a computao em nuvem j conta com um leque bastante razovel de ofertas e provedores. A OpenCrowd (2010), prestadora de servios de TI, relaciona 18 distintos tipos de servios oferecidos por meio de nuvens, por cerca de duas centenas de provedores. A International Data Corporation, IDC (2010), especializada em estudos na rea de TI, projeta um aumento significativo no volume de negcios de computao em nuvem at 2014 (alguns nmeros desta pesquisa esto apresentados na Figura 2).

    Entretanto, apesar dos aspectos positivos e dos benefcios potenciais que a cercam, a computao em nuvem, como toda novidade, est sujeita a imperfeies e anormalidades, mais ainda por se tratar de algo intangvel, como o caso dos servios. Nesse contexto, natural, e at esperado, que os tomadores destes servios enfrentem barreiras e fiquem expostos a um nvel de risco nem sempre visvel, s vezes excessivo e de difcil mensurao.

  • 9

    Figura 2 Estimativa de Gastos com Computao em Nuvem

    Aplicativos

    Operao

    49%

    Aplicativos

    Desenvolvimento

    10%

    Infra-estrutura

    de Software

    20%

    Servidores

    12%

    Armazenagem

    9%

    2009 (Total = US$ 16,5 Bi)

    Aplicativos

    Operao

    37%

    Aplicativos

    Desenvolvimento

    16%

    Infra-estrutura

    de Software

    20%

    Servidores

    14%

    Armazenagem

    13%

    2014 (Total = US$ 55,5 Bi)

    FONTE: Adaptado de IDC; 2010.

    Vm sendo notados esforos por parte da comunidade de fornecedores, no sentido de tornar menos impactantes as barreiras e de tratar de forma mais estruturada os riscos inerentes a este novo tipo de oferta. Do mesmo modo, os tomadores de servios tambm vm se organizando, com vistas a superar as barreiras e a exigir padres mnimos aceitveis de risco e segurana a serem implementados nas ofertas, para poder, como contrapartida, usufruir dos benefcios potenciais da computao em nuvem.

    Dada esta realidade, aparentava ser de muita valia (e, de fato, tornou-se o fator motivador deste estudo) uma anlise mais detalhada de todos esses esforos, focada particularmente nos consumidores desta modalidade de servios, de modo a:

    Identificar e apresentar, de uma maneira ordenada, as propostas at ento colocadas para o tratamento das questes das barreiras e dos riscos inerentes computao em nuvem;

    Explicitar as semelhanas e divergncias verificadas nas distintas proposies identificadas, bem como seus pontos fortes e deficincias;

    Explorar e verificar a pertinncia e adequao das recomendaes constantes das proposies identificadas;

    Propor um elenco de recomendaes endereadas ao tratamento dos riscos em ambientes de computao em nuvem.

  • 10

    1.2 Questo de Pesquisa

    Dado o contexto acima apresentado, a questo de pesquisa considerada neste estudo foi: "Como reconhecer e lidar com os riscos inerentes adoo da computao em nuvem, sob a tica dos consumidores desta modalidade de servios?"

    Para responder a esta questo, foram explorados em detalhe os conceitos de computao em nuvem, de risco e de gesto de riscos e entendeu-se como adoo o ato voluntrio de adquirir um determinado servio ou conjunto de servios agregados. No mbito das instituies e organizaes de negcio, a adoo, via de regra, amparada por um processo formal de aquisio, por conta do qual so feitas chamadas de fornecedores, cotaes de preos, formalizao de contratos e outros processos correlatos.

    1.3 Objetivos da Pesquisa

    1.3.1 Objetivo Principal O objetivo principal desta pesquisa pode ser enunciado como "fazer recomendaes com vistas a auxiliar consumidores de servios de computao em nuvem a tratar a questo dos riscos, ou seja, identific-los, compreend-los e preparar-se para gerenci-los, de modo tal a poder, nesses ambientes, contratar servios com grau aceitvel de risco".

    1.3.2 Objetivos Secundrios Complementando o objetivo principal acima explicitado, fixaram-se os seguintes objetivos secundrios para a pesquisa:

    Identificar os benefcios potenciais citados em estudos acadmicos como passveis de ser obtidos, pelos consumidores de servios, com a adoo da computao em nuvem;

    Identificar e apresentar, de maneira ordenada, as propostas oriundas do meio acadmico para o tratamento, por parte dos consumidores de servios, das questes das barreiras e dos riscos inerentes computao em nuvem;

    Explicitar semelhanas, divergncias, pontos fortes e deficincias das distintas propostas identificadas, relativamente a barreiras e benefcios;

  • 11

    Explorar e verificar a pertinncia e adequao dos benefcios apontados e das recomendaes relativas a barreiras e riscos constantes das propostas identificadas.

    1.4 Justificativa para o Estudo

    Um estudo da natureza deste aqui proposto justifica-se, no momento presente, sob dois distintos enfoques: o acadmico e o profissional.

    No que diz respeito ao mundo acadmico, este trabalho vem preencher uma lacuna, dado que no nos foi possvel encontrar, na pesquisa bibliogrfica realizada, nenhum outro esforo assemelhado, seja no meio acadmico brasileiro seja no internacional. A pesquisa bibliogrfica, empregando os argumentos "cloud computing" e "computao em nuvem", abrangeu consultas s bases ProQuest, Scielo e EnANPAD e buscas no Google (www.google.com). Os trabalhos e pesquisas identificados e analisados, ainda que bem estruturados e consubstanciados, representam vises particulares e isoladas sobre os temas aqui tratados, sem focar, entretanto, a comparao ou a convergncia de vises.

    Em decorrncia, entendemos que este trabalho pode oferecer uma contribuio efetiva ao tratamento das questes dos benefcios, barreiras e riscos que envolvem as ofertas de servios em ambientes de computao em nuvem. Seno por outro motivo, este trabalho, no mnimo, tem o mrito de produzir e disponibilizar um material relativo ao tema, til a pesquisadores e acadmicos.

    Por outro lado, sob o ponto de vista do ambiente profissional, h tambm no apenas uma lacuna, mas toda uma diversidade de agentes, enfoques, terminologias e proposies referentes aos temas objeto desta pesquisa, diversidade esta que j est a requerer, se no uma padronizao, ao menos uma unificao, que possa proporcionar aos tomadores de servios avaliarem de maneira mais homognea as ofertas que lhes so apresentadas.

  • 12

    1.5 Organizao da Pesquisa

    Tendo em vista o tema central e a questo de pesquisa definidos e ainda os objetivos estabelecidos, o seguinte roteiro de trabalho foi projetado para a pesquisa e cumprido: Fase 1 Reviso da literatura e consideraes:

    Contemplou uma ampla reviso da literatura referente ao tema central da pesquisa, a computao em nuvem, e a elaborao de consideraes sobre os tpicos explorados barreiras, benefcios e riscos.

    Fase 2 Escolha e estruturao do mtodo de pesquisa:

    Compreendeu uma segunda rodada de reviso da literatura, desta feita focando o mtodo Delphi, adotado como instrumento metodolgico principal do estudo;

    Adicionalmente, englobou a definio da sistemtica de aplicao do mtodo Delphi a este estudo em particular.

    Fase 3 Realizao do painel Delphi:

    Objetivou a estruturao e realizao propriamente ditas do painel e contemplou ainda a anlise dos resultados obtidos em cada ciclo.

    Fase 4 Proposio de recomendaes para o tratamento dos riscos:

    Abrangeu a anlise dos resultados obtidos no painel, relativamente aos riscos inerentes computao em nuvem e culminou com a definio das recomendaes visando atender ao objetivo principal estabelecido para a pesquisa.

    Fase 5 Concluses e consideraes finais:

    Compreendeu a elaborao das concluses e consideraes finais, luz dos resultados obtidos durante os trabalhos.

    A documentao produzida ao longo de cada uma das fases deste roteiro compe os distintos captulos nos quais esta monografia est subdividida a partir deste ponto.

  • 13

    2 REVISO DA LITERATURA E CONSIDERAES

    Neste captulo so abordados, de incio, os conceitos de computao em nuvem, risco, segurana e gesto de riscos, temas em torno dos quais est estruturado este estudo. Para cada um dos temas, so apresentadas as principais definies extradas das referncias bibliogrficas pesquisadas. Especificamente para a computao em nuvem, so ainda destacados os benefcios que sua utilizao pode propiciar aos consumidores e as barreiras que podem inibir sua adoo e descritos os principais modelos de referncia desenvolvidos at o momento. Relativamente ao risco, so explorados, em adio, alguns modelos de gesto de riscos e, em particular, os riscos inerentes TI e computao em nuvem.

    Complementando o captulo, so feitas consideraes relativas s definies, conceitos e modelos descritos, enfatizando semelhanas, divergncias, pontos fortes e deficincias e destacando as definies e modelos mais representativos.

    2.1 Computao em Nuvem

    2.1.1 Histrico e Definies para Computao em Nuvem Aymerich et al. (2008) afirmam que a expresso "computao em nuvem" foi empregada pela primeira vez em 2006 pelo Chief Executive Officer, CEO, do Google, Eric Schmidt, para referenciar a computao empregando os recursos da Internet. De fato, a literatura, tanto acadmica quanto no-acadmica, no registra o emprego desta expresso antes de 2006. Portanto, tenha sido ou no Schmidt o responsvel por cunhar a expresso, a realidade que ela parece mesmo no ter sido referenciada em perodo anterior.

    De todo modo, desde o seu surgimento, diversos autores, organizaes e instituies tm procurado definir a expresso "computao em nuvem". Smith (2009) oferece um resumo de definies propostas por organizaes e instituies de renome, definies estas que esto reproduzidas no Quadro 1.

  • 14

    Quadro 1 Definies para "Computao em Nuvem"

    Organizao Definio

    Gartner Group "Estilo de computao no qual recursos de TI, massivamente escalveis, so disponibilizadas sob a forma de servios, por meio da Internet, para mltiplos consumidores externos."

    Forrester Research

    "Um conjunto de infra-estruturas gerenciadas, abstratas e altamente escalveis, capazes de hospedar aplicaes de consumidores finais, os quais pagam pelo consumo."

    The 451 Group "TI oferecida como servio, disponibilizada por meio de recursos independentes de localizao fsica."

    Wikipedia "Um estilo de computao no qual recursos dinamicamente escalveis e, em geral, virtualizados so providos como servios por meio da Internet."

    International Business Machines, IBM

    "Plataforma que dinamicamente prov, configura, re-configura e libera servidores de acordo com as necessidades e que emprega grandes data centers e potentes servidores, nos quais hospeda aplicaes e servios para serem utilizados via Internet."

    University of California, Berkeley

    "Iluso de recursos infinitos de computao disponveis sob demanda, eliminando compromissos mais efetivos por parte dos usurios da nuvem e possibilitando o pagamento pelo uso desses recursos de acordo com as necessidades de curto prazo."

    FONTE: Adaptado de SMITH; 2009; p. 66.

    Por outro lado, recorrendo ao mundo acadmico, no so muito distintas das acima as definies propostas em ensaios e pesquisas que abordam este tema. O Quadro 2 congrega algumas definies deste tipo.

    Quadro 2 Definies de Acadmicos para "Computao em Nuvem"

    Ano Autor Definio

    2007 Weiss "O conceito de nuvem lida com muitas tecnologias e arquiteturas j existentes. A centralizao de recursos de computao no uma novidade, mas um retorno s razes, assim como no so novidades a computao utilitria, a computao distribuda e o software como servio. Mas a nuvem inova, ao integrar todos esses modelos de computao. E esta integrao requer a mudana do centro de poder, dos processadores para a rede dentro da nuvem, os processadores tornam-se commodities e a rede que mantm uma nuvem una e conecta nuvens umas s outras, bem como o cu ao cho."

    2009 Armbrust et al. "Computao em nuvem refere-se tanto s aplicaes disponibilizadas via Internet sob a forma de servios quanto aos equipamentos e sistemas oferecidos pelos data centers que os provem; os servios desta natureza tm sido j h algum tempo denominados SaaS (da sigla em ingls para a expresso "software as a service") e esta uma denominao que continuaremos a utilizar; j os equipamentos e o software constituem o que denominaremos nuvem."

    2009 Bandyopadhyay et al.

    " um modelo de servio em TI no qual os servios de computao (tanto de hardware quanto de software) so entregues sob demanda a consumidores conectados a uma rede, sob a forma de auto-servio, independentemente de equipamentos e localizao. Os recursos requeridos para prover os servios com nveis de qualidade adequados so compartilhados, dinamicamente escalveis, rapidamente disponibilizados, virtuais e liberados com uma interao mnima com o provedor. Os consumidores pagam pelo uso dos servios, sem terem que

  • 15

    Quadro 2 Definies de Acadmicos para "Computao em Nuvem" (cont.)

    Ano Autor Definio

    2009 Bandyopadhyay et al. (cont.)

    incorrer em investimentos iniciais de porte, e os servios em nuvem empregam sistemas de medio que dividem os recursos computacionais em blocos apropriados para a cobrana."

    2009 Buyya et al. "Uma nuvem um tipo de sistema paralelo e distribudo, composto por um conjunto de computadores interconectados e virtualizados, que so dinamicamente disponibilizados como sendo um ou mais recursos unificados de computao, baseados em acordos de nvel de servio estabelecidos por meio de negociao entre o provedor e os consumidores."

    2009 Gatewood "Em geral, nuvens so grandes conjuntos de recursos virtuais de fcil acesso e utilizao (por exemplo, equipamentos, plataformas de desenvolvimento e/ou servios); estes recursos podem ser facilmente configurados para satisfazer distintas demandas, possibilitando ao provedor ajust-los para prover utilizao otimizada."

    2009 Grossman "Nuvens, ou clusters de computadores distribudos, provem recursos e servios sob demanda em uma rede, usualmente a Internet, com a escalabilidade e confiabilidade de um data center."

    2009 Kim "Talvez a definio mais simples para computao em nuvem seja a capacidade para acessar, via Internet, arquivos, dados, programas e servios de terceiros, que esto hospedados em um provedor externo e pagar apenas pelos recursos e servios utilizados."

    2009 Qian et al. "Computao em nuvem um tipo de tcnica computacional na qual servios de TI so providos por unidades dotadas de recursos massivos de baixo custo, conectadas por redes de protocolo Internet."

    2009 Smith "Em essncia, computao em nuvem uma forma de alugar computadores, espao para armazenagem e capacidade de rede, em uma base de preos horrios, de alguma empresa que j dispe desses recursos em seu prprio data center e pode disponibiliz-los via Internet."

    2009 Veras "Na verdade, o conceito de computao em nuvem vem se aprimorando ao longo do tempo, mas essencialmente trata de uma mesma ideia bsica: processar as aplicaes e armazenar dados fora do ambiente corporativo."

    Em adio s definies apresentadas nos Quadros 1 e 2, adequado mencionar a definio proposta pelo National Institute of Standards and Technology, NIST, entidade federal no-regulatria vinculada ao Departamento de Comrcio do Governo dos Estados Unidos e responsvel por promover a inovao e a competitividade industriais em mbito nacional naquele pas. Para o NIST (2009, p. 1):

    "Computao em nuvem um modelo que viabiliza o acesso oportuno e sob demanda a um pacote compartilhvel de recursos computacionais configurveis (por exemplo, redes, servidores, reas para armazenagem, aplicativos e servios) que podem ser rapidamente provisionados e liberados com um esforo mnimo de gesto ou de interao com o provedor dos servios." 1

    ____________________________

    1 "Cloud computing is a model for enabling convenient, on-demand network access to a shared pool of

    configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction."

  • 16

    Vale destacar ainda duas outras definies, pela aderncia que apresentam para com relao do NIST. A primeira delas a da Cloud Security Alliance, CSA (2009), que abriu mo da sua definio original para adotar na ntegra a do NIST. A outra a da F5 Networks (2009), prestadora de servios de TI, que oferece uma definio derivada de um conjunto de outras obtidas da literatura (entre as quais a do NIST se faz presente com destaque) e fruto de um focus group realizado com profissionais de TI e com provedores de servios em nuvem; a definio obtida, que, como se pode verificar, reproduz a do NIST na sua ltima parte, :

    "Computao em nuvem um estilo de computao no qual recursos dinamicamente escalveis e geralmente virtualizados so disponibilizados sob a forma de servios. Os consumidores no necessitam possuir conhecimento, nem serem especialistas, nem tampouco exercer controle sobre a infra-estrutura tecnolgica na nuvem. Alm disso, a computao em nuvem emprega um modelo que viabiliza o acesso oportuno e sob demanda a um pacote compartilhvel de recursos computacionais configurveis (por exemplo, redes, servidores, reas para armazenagem, aplicativos e servios) que podem ser rapidamente provisionados e liberados com um esforo mnimo de gesto ou de interao com o provedor dos servios." 2

    Bandyopadhyay et al. (2009) destacam que a computao em nuvem representa a convergncia de duas das principais tendncias: eficincia em TI e agilidade nos negcios. A capacidade dos computadores modernos possibilita seu uso de maneira mais eficiente, empregando recursos altamente escalveis. Para introduzir agilidade nos negcios, a TI pode ser usada como um instrumento competitivo, viabilizando o desenvolvimento rpido de aplicaes, o processamento em paralelo, o uso de ferramentas analticas de alto desempenho e o emprego de aplicativos mveis interativos, que respondem em tempo real aos requisitos dos usurios.

    2.1.2 Semelhanas nas Definies para Computao em Nuvem Ao todo, no tpico acima foram destacadas 19 definies para computao em nuvem, nmero este que corresponde soma das seis constantes do Quadro 1, com as dez do Quadro 2 e as trs adicionais oferecidas, respectivamente, pelo NIST, pela CSA e pela F5 Networks.

    ____________________________

    2 "Cloud computing is a style of computing in which dynamically scalable and often virtualized resources are

    provided as a service. Users need not have knowledge of, expertise in, or control over the technology infrastructure in the 'cloud' that supports them. Furthermore, cloud computing employs a model for enabling available, convenient and on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, services) that can be rapidly provisioned and released with minimal management effort or service provider interaction."

  • 17

    No geral, as definies focam a questo dos servios em si, mais do que os aspectos tcnicos que envolvem a infra-estrutura requerida para que as ofertas de servios se materializem. Entre boa parte dessas definies, h pontos claros de convergncia, em particular em torno das questes do compartilhamento de recursos externos, da escalabilidade, flexibilidade e custo sob demanda.

    Pela maneira como foi elaborada, fruto de um focus group realizado com profissionais de TI e provedores de servios de computao em nuvem, a definio oferecida pelo F5 Networks se apresenta como uma das mais completas, apesar de um tanto extensa.

    Conforme j destacado, a definio do NIST assume um papel quase que de referncia, dada a importncia deste rgo no meio governamental norte-americano e tambm ao fato de ser constituda por norte-americanos ou radicados nos Estados Unidos boa parte dos autores e instituies que tm se ocupado do estudo da computao em nuvem.

    2.1.3 Modelos de Referncia para Computao em Nuvem O NIST (op. cit.) prope um modelo de referncia para a computao em nuvem que considera a existncia de trs distintas dimenses: (a) caractersticas essenciais, (b) ofertas de servios e (c) modelos de implementao. Resumidamente, em cada uma dessas dimenses pode-se destacar os aspectos que esto apresentados no Quadro 3.

    Quadro 3 Modelo de Referncia do NIST para Computao em Nuvem

    Dimenso/Item Descrio

    Caractersticas Essenciais

    Auto-servio sob demanda

    Os consumidores podem, unilateralmente, provisionar capacidade computacional, medida das necessidades e automaticamente, sem que seja requerida interao humana com os provedores dos servios.

    Acesso amplo rede

    Capacidades esto disponveis na rede e so acessadas por meio de mecanismos padronizados que possibilitam o uso via distintas plataformas de hardware.

    Pool de recursos

    Os recursos computacionais dos provedores so agrupados, de modo a servir a mltiplos consumidores simultaneamente, com distintos recursos fsicos e virtuais alocados e realocados dinamicamente de acordo com a demanda; h um certo grau de independncia quanto localizao, fazendo com que os consumidores no decidam sobre os locais exatos a partir dos quais acessaro os recursos, mas possam especificar essa localizao em alto nvel (por exemplo, pas, estado ou at mesmo data center).

  • 18

    Quadro 3 Modelo de Referncia do NIST para Computao em Nuvem (cont.)

    Dimenso/Item Detalhe

    Caractersticas Essenciais (cont.) Rpida elasticidade

    As capacidades podem ser rpida e elasticamente provisionadas, em alguns casos at de forma automtica, permitindo aumentar e reduzir dinamicamente as quantidades contratadas; para um consumidor, as capacidades disponveis para provisionamento apresentam-se como praticamente ilimitadas e podem ser compradas em qualquer quantidade a qualquer momento.

    Servios mensurveis

    Sistemas em nuvem automaticamente controlam e otimizam o uso de seus recursos, por meio de mecanismos inseridos em nveis apropriados a cada tipo de servio; assim, o uso dos recursos pode ser controlado e reportado com transparncia.

    Ofertas de Servios

    Software como servio (SaaS)

    Os servios disponibilizados so representados por aplicativos executados numa infra-estrutura em nuvem e acessados via um browser; os consumidores no gerenciam essa infra-estrutura, sejam redes, servidores, sistemas operacionais, reas de armazenagem ou mesmo funcionalidades especficas dos aplicativos, exceto a definio de determinados parmetros.

    Plataforma como servio (PaaS)

    Os servios disponibilizados possibilitam executar aplicativos desenvolvidos pelos consumidores ou por estes adquiridos de terceiros, usando linguagens de programao e ferramentas suportadas pela nuvem; os consumidores no gerenciam essa infra-estrutura, sejam redes, servidores, sistemas operacionais ou reas de armazenagem, mas apenas controlam os aplicativos e podem configurar o ambiente.

    Infra-estrutura como servio (IaaS)

    Os servios disponibilizados so o provisionamento e uso de recursos de infra-estrutura, como capacidade de processamento, reas de armazenagem, redes e outros recursos computacionais bsicos, de modo a possibilitar a execuo de aplicativos e sistemas operacionais; os consumidores no gerenciam essa infra-estrutura, mas controlam os sistemas operacionais, reas de armazenamento, aplicativos e, em alguns casos, podem at mesmo configurar componentes (por exemplo, firewalls).

    Modelos de Implementao

    Nuvem Privada

    A infra-estrutura em nuvem utilizada por uma nica organizao, pode ser gerida por ela ou por terceiros e pode estar ou no instalada em local prprio dessa organizao.

    Nuvem Comunitria

    A infra-estrutura em nuvem compartilhada por vrias organizaes que compem uma comunidade especfica, pode ser gerida por membros dessa comunidade ou por terceiros e pode estar ou no instalada em local prprio dessa comunidade.

    Nuvem Pblica

    A infra-estrutura em nuvem de propriedade de uma organizao que se prope a comercializar os recursos e os disponibiliza aos consumidores em geral.

    Nuvem Hbrida

    A infra-estrutura em nuvem uma combinao de dois ou dos trs modelos acima, os quais continuam a existir isoladamente, mas so integrados por meio de tecnologia proprietria ou aberta, que viabiliza a portabilidade de dados e aplicativos.

    FONTE: Adaptado de NIST; 2009; p. 1-2.

    A CSA (op. cit.) complementa o modelo de referncia do NIST, oferecendo uma representao grfica do mesmo (reproduzida na Figura 3) e, em adio, defende a incluso de mais uma caracterstica essencial no modelo, qual seja, a multi-tenancy, que ela considera indispensvel para os aplicativos operados em nuvens. Multi-tenancy a capacidade que os aplicativos modernos tm de, a partir de uma nica instncia em execuo, processar independentemente dados de distintos usurios.

  • 19

    Figura 3 Representao Grfica do Modelo do NIST para Computao em Nuvem

    Caractersticas Essenciais

    Acesso Amplo

    Rede

    Rpida

    Elasticidade

    Servios

    Mensurveis

    Auto-Servio

    Sob Demanda

    Agrupamento de Recursos

    Ofertas de Servios

    Software como

    Servio (SaaS)

    Plataforma como

    Servio (PaaS)

    Infra-estrutura como

    Servio (IaaS)

    Modelos de Implementao

    Nuvem

    Pblica

    Nuvem

    Privada

    Nuvem

    Hbrida

    Nuvem

    Comunitria

    FONTE: Adaptado de CSA; 2009; p. 14.

    Aymerich et al. (op. cit.), por seu turno, endossam as trs dimenses propostas pelo NIST e consideram ainda a existncia de um tipo adicional de oferta de servios no modelo que propem, tipo este que denominam "database as a service" e identificam pela sigla DaaS.

    J Jensen et al. (2009) utilizam a taxonomia da dimenso ofertas de servios do NIST para propor uma arquitetura mais simplificada para a computao em nuvem, baseada naquela dimenso e na viso das tecnologias empregadas para viabilizar o acesso s ofertas, conforme mostra a Figura 4. As tecnologias de acesso consideradas neste caso compreendem os web browsers e os web services e sua interao com as ofertas se d da seguinte forma:

    Web browsers suportam integralmente as ofertas de SaaS e uma parcela das de PaaS;

    Web services entram na composio das ofertas de IaaS e de parte das de PaaS.

    Figura 4 Ofertas de Servios em Nuvens vs. Tecnologias de Acesso

    Software como Servio (SaaS)

    Plataforma como Servio (PaaS)

    Infra-estrutura como Servio (IaaS)

    Web Browsers

    Web Services

    Tecnologias de Acesso

    FONTE: Adaptado de JENSEN et al., 2009; p. 109.

  • 20

    O Jericho Forum (2009), grupo de estudos vinculado a The Open Group, prope um modelo estruturado a partir de quatro dimenses, ao qual denomina "cubo da nuvem" e que est graficamente apresentado na Figura 5; as dimenses consideradas dizem respeito a:

    Localizao dos dados: interna ou externamente organizao qual pertencem;

    Natureza dos recursos computacionais da nuvem: proprietrios ou abertos;

    Arquitetura do ambiente: limitada a um permetro ou ilimitada;

    Propriedade dos recursos alocados nuvem: de terceiros ou da organizao que se utiliza da nuvem.

    Figura 5 Representao Grfica do Cubo da Nuvem

    Outsourced

    InsourcedExterna

    Interna

    Proprietria Aberta

    Limitada

    Ilimitada

    FONTE: Adaptado de JERICHO FORUM, 2009; p. 3.

    2.1.4 Semelhanas, Divergncias, Pontos Fortes e Deficincias dos Modelos de Referncia para Computao em Nuvem

    A reviso da literatura conduziu identificao de diversos modelos de referncia para computao em nuvem, dentre os quais cinco deles foram selecionados e esto apresentados no tpico acima.

    O modelo proposto pelo NIST , de longe, o mais referenciado na literatura, inclusive por alguns autores e entidades que no o declaram explicitamente, mas utilizam sua nomenclatura, em especial a que denomina as ofertas de servios.

    Dentre os demais modelos apresentados, os propostos pela CSA e por Aimerych et al. baseiam-se no do NIST, ao qual agregam extenses de pequena monta. O modelo de Jensen et

  • 21

    al. abrange apenas uma das trs dimenses introduzidas pelo NIST. O modelo do Jericho Forum, apesar de ser mais elaborado, mais complexo e no acrescenta informaes relevantes em grau proporcional ao aumento da complexidade.

    2.1.5 Benefcios Potenciais Associados Computao em Nuvem Para Bandyopadhyay et al. (op. cit.), a computao em nuvem oferece um elenco significativo de benefcios-chave aos seus consumidores, a saber:

    Reduo de custo:

    O custo de uso para as pequenas empresas sensivelmente reduzido, habilitando-as a se beneficiar do uso de recursos computacionais antes apenas acessveis a empresas de maior porte;

    Da mesma forma, pode-se deduzir que essa possibilidade de acesso se d em nvel de pas, permitindo, dessa forma, a pases em desenvolvimento queimar etapas no processo de informatizao da sociedade.

    Reduo de investimento inicial:

    O acesso a recursos computacionais se d sem a necessidade de investimentos iniciais de monta, o que faz com que sua efetiva utilizao se d em um perodo de tempo menor;

    Como os gastos se do sob a forma de custo operacional, ao invs de inverso em ativos, este fato tambm contribui para a diminuio dos valores a serem investidos antecipadamente;

    Em adio, na medida em que mais consumidores aderem aos servios oferecidos por um determinado provedor, este tem condio de, face economia de escala que pode obter, promover redues de preo que venham a favorecer todo o seu elenco de consumidores.

    Reduo de barreiras:

    A computao em nuvem tem potencial para reduzir as barreiras que a TI, em geral, impe inovao, o que visivelmente demonstrado observando-se as inmeras novas empresas que tm surgido, servindo-se de recursos computacionais em nuvem e que, em pouco tempo de atuao, so excepcionalmente bem sucedidas; nesta situao, podem ser citadas como exemplo YouTube, Facebook, TripIt e Mint.

  • 22

    Facilidade para escalar:

    A computao em nuvem torna fcil para as empresas escalar seus servios de acordo com a demanda de seus clientes; uma vez que os recursos computacionais so manuseados via software, eles podem ser disponibilizados rapidamente medida que novos equipamentos so adicionados rede;

    Na realidade, o objetivo da computao em nuvem possibilitar que os recursos sejam escalados dinamicamente, para mais ou para menos, por meio de software, dependendo da carga dos clientes, com a mnima interao possvel com os provedores.

    Inovao:

    A computao em nuvem torna possveis novas classes de aplicaes e disponibiliza servios no possveis anteriormente.

    Kim (op. cit.) tambm explora a questo dos benefcios e afirma que a computao em nuvem oferece quatro importantes deles aos seus consumidores:

    Reduo de investimento e custeio:

    Os provedores so os proprietrios e gerenciam todos os recursos computacionais, cabendo aos consumidores unicamente conectarem-se s nuvens;

    Neste contexto, os consumidores no necessitam aportar recursos de monta para dar incio sua operao de TI, nem tampouco prover espao fsico para instalaes ou arcar com custos de consumo de eletricidade, manuteno de facilidades e remunerao de pessoal especializado.

    Escalabilidade dinmica:

    Os consumidores podem aumentar ou reduzir o nvel de utilizao de recursos computacionais de modo fcil e com flexibilidade.

    Menor preo relativo:

    Em geral, o custo dos servios na computao em nuvem so inferiores aos dispndios demandados por uma operao prpria, pois os consumidores pagam apenas pelos recursos efetivamente utilizados, sem a necessidade de manter uma parcela de capacidade ociosa para fazer frente a situaes de pico.

    Facilidade de acesso:

    Pode-se acessar as nuvens e demandar servios a qualquer momento e de qualquer lugar.

  • 23

    Smith (op. cit.) outro autor que tambm relaciona um conjunto de benefcios que podem ser propiciados pela computao em nuvem aos seus consumidores:

    Escalabilidade dinmica:

    Os consumidores podem provisionar recursos computacionais na medida em que se fazem necessrios; portanto, se as demandas dos seus usurios crescem ou diminuem, os recursos necessrios para atend-las podem ser adicionados ou subtrados de pronto, em muitos casos at mesmo sem a necessidade de interveno do provedor.

    Inverses com fundos operacionais:

    Os recursos computacionais disponibilizados nas nuvens podem ser adquiridos com fundos destinados a despesas operacionais ou de custeio, ao invs de com inverses de capital;

    Muitas reas de TI enfrentam longos processos de aprovao para inverses de capital, porm a aprovao de oramentos operacionais, via de regra, mais simples e menos demorada.

    Disponibilizao imediata de recursos:

    A computao em nuvem possibilita o provisionamento e a aquisio de recursos em tempo real, para utilizao imediata;

    Em termos prticos, significa que no h demora significativa para que os recursos se tornem utilizveis.

    Menor mobilizao de recursos de pessoal e infra-estrutura:

    Como os equipamentos no necessitam ser instalados nas dependncias das empresas usurias, no so requeridas atualizaes em sistemas eltricos, alocao de espao fsico, modificaes em sistemas de refrigerao e outras assemelhadas;

    Tambm diminui a demanda por ampliao do quadro de pessoal alocado TI, quer sejam profissionais contratados quer sejam terceiros.

    Ganhos decorrentes da competio:

    Sempre possvel encontrar um provedor alternativo para um dado servio; portanto, se um determinado provedor no est desempenhando a contento e/ou seus preos se tornam caros em demasia, os servios envolvidos podem ser transferidos para outro provedor.

  • 24

    Qian et al. (op. cit.) citam trs benefcios que podem ser obtidos com a computao em nuvem e os apresentam resumidamente:

    Satisfao de requisitos de negcio sob demanda, por meio do redimensionamento dinmico dos recursos de computao demandados em funo de alteraes nestes requisitos;

    Reduo de custo e economia de energia, face ao emprego de microcomputadores de baixo preo e baixo consumo de energia e da virtualizao de servidores;

    Aumento da eficincia na gesto de recursos, por meio da programao dinmica dos recursos envolvidos.

    Comparando estas listas de benefcios oferecidas por quatro diferentes autores, verifica-se que, dos 17 benefcios citados no total, alguns deles o esto de forma repetida a escalabilidade citada pelos quatro autores, a reduo de custos por trs deles e a reduo de investimentos iniciais e a inverso com fundos operacionais por dois deles. A facilidade de acesso s nuvens, conforme descrita por Kim (op. cit.), equivalente, por sua vez, disponibilizao de recursos mencionada por Smith (op. cit.). Dessa forma, pode-se afirmar que se est diante de um elenco de apenas nove benefcios potenciais efetivamente distintos, os quais esto relacionados e descritos no Quadro 4.

    Quadro 4 Benefcios Potenciais Associados Computao em Nuvem

    Benefcio Descrio

    Reduo de custo A computao em nuvem possibilita a reduo dos custos globais com TI, em particular devido ao fato de o custo dos servios serem inferiores aos dispndios demandados por uma operao prpria

    Reduo do investimento inicial

    A adoo da computao em nuvem leva reduo do investimento inicial em TI, tendo em vista que os recursos so de propriedade de terceiros

    Escalabilidade A computao em nuvem possibilita que os recursos de TI necessrios sejam escalados dinamicamente, proporcionando flexibilidade

    Acesso a inovaes A computao em nuvem contribui para a reduo de barreiras inovao e torna vivel utilizar novos tipos de aplicativos e servios no possveis em outras condies

    Inverses com fundos operacionais

    Os recursos disponibilizados nas nuvens podem ser adquiridos com fundos destinados a despesas operacionais, ao invs de com inverses de capital

    Disponibilidade imediata de recursos

    A computao em nuvem possibilita o provisionamento e a aquisio de recursos em tempo real, de qualquer lugar e para utilizao imediata, conferindo maior disponibilidade a esses recursos e viabilizando, dessa forma, a implantao mais rpida de servios

  • 25

    Quadro 4 Benefcios Potenciais Associados Computao em Nuvem (cont.)

    Benefcio Descrio

    Menor mobilizao de recursos destinados a TI

    A computao em nuvem propicia menor mobilizao de recursos de pessoal e infra-estrutura para TI

    Ganhos decorrentes da competio

    Se um determinado provedor passa a no desempenhar a contento e/ou seus preos se elevam em demasia, os servios envolvidos podem ser transferidos para outro provedor

    Gesto de recursos A computao em nuvem propicia maior eficincia na gesto dos recursos de TI, por meio da sua programao dinmica

    2.1.6 Barreiras Potenciais Inibidoras da Adoo da Computao em Nuvem As referncias bibliogrficas consultadas do pouco destaque questo das barreiras que podem servir de impedimento contratao de servios em ambientes de computao em nuvem.

    Miller (2008) um dos poucos autores que relaciona uma lista de barreiras potenciais que podem inibir a migrao de consumidores para estes ambientes. As barreiras por ele citadas e que podem ser atribudas atuao dos fornecedores de servios por meio de nuvens no privadas so:

    Falta de capacidade tcnica:

    Implementar um ambiente de computao em nuvem , por si s, um enorme desafio tcnico;

    Centenas ou milhares de computadores e servidores devem ser adquiridos, instalados com algum grau de interao e ter sua utilizao gerenciada; alm disso, solues complexas de software tm que ser desenvolvidas e disponibilizadas em regime 24x7;

    Tudo isto requer um volume significativo de recursos e no qualquer empresa que consegue viabiliz-los adequadamente.

    Deficincia do modelo de negcio:

    Dados os volumes de investimento necessrios para implementar um ambiente de computao em nuvem, os meios para recuperar o capital investido e gerar lucros tornam estas operaes verdadeiros desafios para os interessados em prestar este tipo de servios;

    A eventual incapacidade para prosperar e prosseguir na atividade um fator que pode inibir a disposio dos consumidores em aderir a este modelo de negcio.

  • 26

    Falhas de segurana:

    Esta questo diz respeito aos dados mantidos pelas aplicaes executadas em nuvens;

    So tantos os casos de violao de segurana em ambientes com menor grau de vulnerabilidade, que os consumidores questionam se, de fato, os fornecedores tm condies de garantir a segurana nas nuvens.

    Tradio comportamental:

    Muitos consumidores no confiam em algo que no podem ver ou tocar, pois isto lhes trs tona uma sensao de perda; o que ocorre quando seus acervos de informao tm a perspectiva de serem transferidos para ambientes de nuvem e passarem a ser armazenados em locais distantes ou mesmo desconhecidos;

    Uma mudana de atitude para com relao a esta sensao exige novo posicionamento por parte dos consumidores e representa um novo paradigma, difcil de ser aceito.

    Marks e Lozano (2010) tambm exploram a questo das barreiras adoo da computao em nuvem e destacam o que se faz necessrio, por parte de um determinado fornecedor, para buscar satisfazer aos consumidores:

    Segurana e privacidade:

    A segurana e a privacidade so quesitos mandatrios nos ambientes de computao em nuvem e a perspectiva de poder se defrontar com falhas de segurana e/ou violao da privacidade tm levado os consumidores a questionar a adoo desses ambientes, em particular no que se refere a servios afetos a aspectos de importncia crtica para seus negcios.

    Governana, acordos de nvel de servio e qualidade:

    Estes quesitos compem um importante nicho de obstculos potenciais;

    Os consumidores receiam que os fornecedores, dados a complexidade, ineditismo e consequente pouco tempo de maturao destes temas, no estejam preparados para trat-los de forma satisfatria e que isto possa provocar dificuldades no relacionamento.

    Confiabilidade:

    Os consumidores esperam que os ambientes de computao em nuvem sejam confiveis e que a disponibilidade dos servios e recursos oferecidos nas nuvens atenda na ntegra s suas necessidades, em especial quelas relacionadas a aspectos crticos dos negcios;

  • 27

    A computao em nuvem depende, fundamentalmente, de confiabilidade e, se os consumidores sentem que no podem t-la na plenitude, relutam em aderir a este modelo de servios.

    Comparando estas duas listas de barreiras, verifica-se que, das sete citadas no total, as duas primeiras mencionadas por Marks e Lozano (op. cit.) admitem desdobramentos em quesitos independentes: a primeira, segregando a segurana da privacidade e, a outra, separando governana, acordos de nvel de servio e qualidade. Alm disso, o quesito segurana est citado de forma repetida por ambos os autores. Em assim sendo, pode-se afirmar que se est diante de um total de nove barreiras efetivamente distintas, as quais esto relacionadas e descritas no Quadro 5.

    Quadro 5 Barreiras Potenciais Inibidoras da Adoo da Computao em Nuvem

    Barreira Descrio

    Falta de capacidade tcnica

    Os ambientes de computao em nuvem tm um alto grau de complexidade, o que exige um grau tambm elevado de capacidade tcnica para sua estruturao e operao, o que leva os consumidores a questionar se os provedores esto, de fato, preparados para tal desafio

    Deficincia do modelo de negcio

    O modelo de negcio da computao em nuvem, por exigir investimentos iniciais elevados, demanda grande competncia de gesto para garantir rentabilidade e retorno sobre o capital investido, o que gera desconfianas, da parte dos consumidores, quanto capacidade dos provedores em ser bem sucedidos

    Falhas de segurana A perspectiva de poder se defrontar com falhas de segurana que comprometam suas operaes uma questo crtica para os consumidores e tem contribudo para lev-los a questionar contratao de servios em ambientes de nuvem

    Privacidade A perspectiva de poder se defrontar com violao da sua privacidade outra questo crtica para os consumidores e tambm tem contribudo para lev-los a questionar a adoo da computao em nuvem

    Tradio comportamental

    Os consumidores mostram-se desconfiados perante o fato de no saberem onde e de que forma seus acervos de informao esto sendo guardados e manipulados

    Governana A potencial falta de maturidade do modelo de governana uma questo que tem preocupado os consumidores, que no se sentem confortveis quanto capacidade dos provedores em gerir satisfatoriamente ambientes complexos como os de computao em nuvem

    Acordos de nvel de servio

    A pouca experincia dos provedores na prestao de servios em ambientes de nuvem levanta dvidas quanto sua capacidade para honrar os acordos de nvel de servio, os quais poderiam tender a ser simples tpicos contratuais sem valor prtico

    Qualidade A complexidade dos ambientes de nuvem um fator que pode limitar o nvel de qualidade dos servios prestados

    Confiabilidade A computao em nuvem depende de confiabilidade e, se os consumidores sentem que no podem t-la na plenitude, relutam em aderir a este modelo de servios

  • 28

    2.2 Risco e Gesto de Riscos

    Este tpico trata do risco em trs nveis distintos: (a) o risco de uma forma geral, amplo e sem especificidades, (b) o risco associado TI e (c) o risco associado especificamente utilizao da TI em ambientes de computao em nuvem. So abordados os conceitos de risco e de gesto de riscos, as caractersticas particulares do risco em cada um dos trs nveis e sistemticas para gesto de riscos.

    2.2.1 Definies para Risco Uma definio que retrata de forma adequada o entendimento sobre risco existente ao final do sculo passado a proposta por Ewald (1991, p. 199), para quem: "[...] 'risco' entendido como sinnimo de ameaa ou perigo, em face de algum evento desfavorvel que possa afetar algum; designa uma ameaa efetiva". 3

    Neste contexto, o risco est tambm associado segurana. Para ilustrar esta associao, Bitsch (2001, p. 179) recorre norma alem relativa segurana (DIN-VDE-31000) e oferece um diagrama explicativo (vide Figura 6) da denominada "situao de segurana", por ele definida como: "[...] uma situao na qual o risco [efetivo] menor do que o risco mximo aceitvel". 4

    Figura 6 Diagrama Explicativo das Situaes de Segurana e Perigo

    Risco

    Risco Mximo Aceitvel

    Alto RiscoBaixo Risco

    PerigoSegurana

    FONTE: Adaptado de BITSCH, 2001; p. 179.

    ____________________________

    3 "[...] 'risk' is understood as a synonym for danger or peril, for some unhappy event which may happen to

    someone; it designates an objective threat."

    4 "[...] a situation in which the risk is lower than the maximum acceptable risk".

  • 29

    Conforme mostra a figura, caso o risco efetivo se situe acima de um limite estabelecido como mximo, a situao deixa de ser de segurana para se tornar de perigo ou passvel da ocorrncia de acidentes.

    Segurana pode ser definida como uma situao de ausncia de acidentes, onde, por acidente, entende-se um evento que implica numa perda no planejada e inaceitvel. A segurana, diferentemente da confiabilidade, uma propriedade de um todo, no de uma parte ou componente desse todo. Por exemplo, no possvel determinar se uma usina nuclear tem segurana aceitvel examinando apenas uma de suas vlvulas; quaisquer consideraes acerca da segurana dessa vlvula, sem a informao relativa ao contexto em que ela utilizada, no tem significado efetivo. Na realidade, pode-se at concluir sobre a confiabilidade da vlvula, mas a segurana somente pode ser determinada analisando o relacionamento entre ela e os demais componentes e partes da usina, ou seja, no contexto do todo (LEVESON, 2011).

    Dependendo da particular situao ou contexto, a definio de segurana pode variar significativamente. Por exemplo, o United States Department of Defense (2000, p. 2) define uma situao de segurana de uma forma mais ampla, por meio da seguinte frase: "Livre de condies que podem causar morte, ferimento, doena ocupacional, dano ou perda de equipamento ou propriedade, ou dano ao ambiente." 5

    Do mesmo modo que na presena de acidentes no possvel haver segurana, esta tambm no existe naturalmente em situaes de incerteza. Na incerteza, a segurana necessita ser produzida, o que pode ser conseguido por meio da gesto de riscos (WENGER et al., 2008).

    O conceito de risco evoluiu ao longo das ltimas duas dcadas e seu foco ampliou-se, para passar a considerar no apenas a questo das ameaas, mas tambm os benefcios potenciais. Em sua publicao mais recente sobre este tema, a International Organization for Standardization, ISO, (2009, p. 1) coloca que: "Risco o efeito da incerteza sobre os objetivos." 6

    ____________________________

    5 "Freedom from those conditions that cause death, injury, occupational illness, damage to or loss of equipment

    or property, or damage to the environment."

    6 "Risk: effect of uncertainty on objectives."

  • 30

    A ISO explicita que o efeito deve ser entendido como um desvio positivo ou negativo (grifo nosso) para com relao a uma situao esperada e a incerteza, por sua vez, apresentada como um estado de insuficincia de informaes relativas ao entendimento ou conhecimento de um evento, suas consequncias e probabilidade de ocorrncia.

    Ainda no que diz respeito incerteza, o Committee of Sponsoring Organizations of the Treadway Commission, COSO, explora esta questo sinalizando que todas as organizaes, em algum momento, acabam por enfrentar incertezas e que o desafio que a elas se coloca determinar qual o grau de incerteza que esto dispostas a aceitar, de modo a no prejudicar o objetivo de adicionar valor aos stakeholders. A incerteza, em si, no prejudicial, dado que pode trazer no seu bojo tanto riscos quanto oportunidades, o que, potencialmente, pode implicar no somente em eroso, mas em aumento do valor (COSO, 2004).

    Wenger et al. (op. cit., p. 5) tambm abordam a questo e colocam que: "Riscos so indiretos, no premeditados, incertos e, por definio, localizados no futuro, uma vez que apenas se materializam quando se manifestam como eventos efetivos; em outras palavras: a essncia do risco no estar acontecendo, mas poder acontecer." 7

    Habegger (2008) sustenta que a eliminao dos riscos por completo no vivel, nem tampouco desejvel, devido a, pelo menos, trs motivos: (a) no h meios para as pessoas controlarem o futuro, (b) os recursos disponveis para lidar com riscos so sempre limitados e (c) aceitar riscos est no ncleo do processo de inovao e uma condio mandatria para o crescimento econmico e o progresso social.

    2.2.2 Definies e Roteiros para Gesto de Riscos O desafio de direcionar, com prudncia e sucesso, o curso dos riscos por entre oportunidades e ameaas acabou por motivar a instituio da gesto de riscos, disciplina cujo objetivo encontrar caminhos e abordagens que permitam detectar riscos em tempo hbil, avaliar ameaas futuras adequadamente e estruturar e implementar aes bem sucedidas de mitigao (Ibid.).

    ____________________________

    7 "Risks are indirect, unintended, uncertain, and are by definition situated in the future, since they only

    materialize when they are manifested as real events. In other words: the essence of risk is not that it is happening, but that it might happen."

  • 31

    De uma maneira mais genrica, a ISO (op. cit., p. 2) coloca que: "Gesto de riscos [ o conjunto de] atividades estruturadas que visam direcionar e controlar [as aes de] uma organizao no que se refere ao risco." 8

    A gesto de riscos deve: (a) fazer parte integral do escopo da gesto, (b) estar integrada cultura e s prticas e (c) ser adaptada aos processos de negcio (Ibid.).

    Crouhy et al. (2006) argumentam que a gesto de riscos diz respeito a como as organizaes selecionam o tipo e o grau dos riscos que so apropriados ao seu perfil e que se dispem a assumir. Para Wenger et al. (op. cit.), a implementao de uma gesto de riscos efetiva requer um perfeito entendimento das caractersticas e da dinmica dos riscos e das vulnerabilidades do ambiente.

    Na viso de Kliem (2000), a gesto de riscos composta por trs etapas: identificao, anlise e controle. Para Habegger (op. cit.), tambm so trs as etapas da gesto de riscos, porm com denominao diferente: identificao, mensurao e mitigao; apesar da diferena de nomenclatura, a essncia das etapas deste roteiro praticamente a mesma que a do de Kliem (op. cit.).

    Raz e Hillson (2005) so outros autores a sugerir um roteiro para gerir riscos, este composto por quatro etapas: planejamento, identificao, anlise e tratamento. A novidade desta proposta a primeira etapa, dado que as trs ltimas, em termos de contedo, so semelhantes s dos dois roteiros acima apresentados.

    J Crouhy et al. (op. cit.) propem um roteiro mais elaborado para a gesto de riscos, envolvendo um nmero maior de etapas, porm pouco diferindo em termos de conceitos e produtos. A Figura 7 apresenta uma representao grfica deste roteiro, que compreende sete etapas e aborda explicitamente a questo da estratgia frente ao risco.

    ____________________________

    8 "Risk management: coordinated activities to direct and control an organization with regard to risk."

  • 32

    Figura 7 Roteiro para Gesto de Riscos

    Identificar

    Exposio ao Risco

    Medir e Estimar

    Exposio ao Risco

    Identificar

    Instrumentos para

    Modificar ou

    Tratar o Risco

    Avaliar Custos e

    Benefcios dos

    Instrumentos

    Avaliar Efeitos

    da Exposio

    Elaborar

    Estratgia

    para Riscos:

    Prevenir

    Transferir

    Mitigar

    Manter

    Avaliar

    Desempenho

    FONTE: Adaptado de CROUHY et al., 2006; p. 2.

    A ISO (op. cit.) prope um roteiro bastante mais completo para a gesto de riscos, compreendendo no apenas o processo de gesto em si, mas tambm seu entorno, isto , a maneira pela qual este processo deve ser construdo e inserido no contexto da organizao. Uma viso esquemtica do modelo da ISO est apresentada na Figura 8.

    Figura 8 Modelo Ampliado para Gesto de Riscos

    Esquema para Gesto de Riscos Processo de Gesto de Riscos

    Avaliar os Riscos

    Implementar

    Gesto de

    Riscos

    Monitorar

    e Revisar

    Esquema

    Introduzir

    Melhorias

    Contnuas no

    Esquema

    Desenhar

    Esquema para

    Gerir Riscos

    Autorizar e

    Compromissar

    Mo

    nit

    ora

    r e

    Re

    vis

    ar

    Co

    mu

    nic

    ar

    Estabelecer o Contexto

    Identificar os Riscos

    Analisar os Riscos

    Medir os Riscos

    Tratar os Riscos

    FONTE: Adaptado de ISO, 2009; p. vii.

    Para fins de explorao das etapas da gesto de riscos em maior grau de detalhe, escolheu-se, dentre os cinco roteiros apresentados neste tpico, aquele proposto por Habegger (op. cit.), entendendo, primeiramente, no ser necessrio recorrer a um roteiro mais sofisticado para

  • 33

    ilustrar o tema e, em segundo lugar, por ele ser, dentre os dois mais simples, o melhor explicado por seu autor. Este esquema compreende:

    Etapa 1 Identificar os riscos:

    O aspecto crtico nesta etapa a disponibilidade de informaes; obter e processar informaes so condies mandatrias para o descobrimento de problemas;

    O acmulo de informaes gera evidncias mais estruturadas e explcitas acerca de eventuais mudanas no ambiente e o desafio ampliar o escopo das fontes disponveis, acess-las oportunamente e utilizar as informaes obtidas da maneira mais criativa possvel;

    A evoluo da TI um elemento facilitador deste processo, medida que as informaes se tornam mais disponveis e facilmente acessveis; porm, no se deve deixar de considerar o lado negativo desta questo, pois uma maior quantidade de informaes torna mais difcil a filtragem e seleo daquelas que so, de fato, relevantes.

    Etapa 2 Mensurar os riscos:

    Esta etapa compreende trs atividades: estruturao, avaliao e priorizao dos riscos; estas atividades ocorrem em ciclos, no bojo de um processo que visa facilitar a obteno de consenso entre os diversos envolvidos;

    A estruturao dos riscos busca aportar uma ordem ao universo dos riscos identificados, introduzindo categorias nas quais estes possam ser classificados e possibilitando aos analistas de risco subdividi-los da maneira mais conveniente;

    A avaliao dos riscos visa explicitar a importncia relativa entre as distintas categorias nas quais os riscos foram dispostos; muito embora deva refletir vises objetivas no que diz respeito a aspectos tais como comportamento, evoluo, potencial de dano e probabilidade de ocorrncia dos riscos, esta atividade nem sempre realizada com a adequada excluso de fatores subjetivos;

    A priorizao dos riscos objetiva destacar aqueles que devem merecer maior grau de ateno, em decorrncia da sua magnitude potencial e dado que os recursos destinados mitigao, via de regra, no so suficientes, por questes de ordem prtica de benefcios versus custo, para permitir que todos os riscos sejam evitados.

    Etapa 3 Mitigar os riscos:

    Uma vez tido sido identificados, estruturados, avaliados e priorizados, os riscos considerados mais significativos devem ser objeto de aes de mitigao;

  • 34

    Estas aes enquadram-se em duas distintas estratgias: preventiva e corretiva; a estratgia preventiva visa evitar a ocorrncia de eventos adversos e, com isso, eliminar as causas de particulares riscos; a estratgia corretiva destina-se a minimizar os efeitos da ocorrncia de eventos que geram exposio a riscos; evidentemente, estas duas estratgias so complementares e devem ser estabelecidas em conjunto;

    Em termos prticos, pode-se considerar que impossvel eliminar por completo um determinado risco, por conta da necessidade de se dispor tanto de um controle absoluto da situao quanto de recursos muito acima de limites razoveis, que tenderiam a desequilibrar a relao benefcio/custo;

    Adicionalmente, importante considerar que aos riscos tambm se associam oportunidades, o que faz com que possa no ser de todo conveniente elimin-los por completo, pois essas oportunidades potenciais deixariam de ser aproveitveis; portanto, no mundo real, o objetivo das aes de mitigao no deve ser eliminar por completo todos os riscos, mas procurar mant-los num patamar adequado;

    Por fim, no deve ser descartada a possibilidade de, no rol das aes de mitigao, serem includos instrumentos para transferir riscos a terceiros, quando esta possibilidade se fizer factvel.

    O processo acima apresentado trata de uma abordagem genrica para gesto de riscos e deve ser adaptado a cada situao e realidade especficas para poder ser adequadamente aplicado (Ibid.).

    Mais recentemente, passou-se a considerar a gesto de risco tambm em nvel corporativo ou empresarial, o que levou instituio da disciplina de mesmo nome. Nesta linha, por exemplo, o COSO (op. cit., p. 2), define a gesto empresarial de riscos como:

    "[...] um processo, conduzido pelo corpo de diretores, gerentes e outros profissionais de uma organizao, aplicado com vistas a estabelecer uma estratgia ampla, destinada a identificar potenciais eventos que possam afetar a organizao e gerenciar riscos que se enquadrem no seu perfil, no sentido de prover um grau razovel de garantia quanto ao alcance dos objetivos organizacionais." 9

    ____________________________

    9 "[...] a process, effected by an entitys board of directors, management and other personnel, applied in strategy

    setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives."

  • 35

    A gesto empresarial de riscos permite aos gestores de uma organizao lidar de forma efetiva com as incertezas e com os riscos e oportunidades a elas associados, ampliando a capacidade de se criar valor para a organizao (Ibid.).

    2.2.3 Riscos Inerentes TI e Gesto de Riscos em TI Risco da TI a possibilidade de que algum evento imprevisto, que envolva falha ou mau uso da TI, ameace um objetivo empresarial. Na realidade atual, este tipo de riscos j no se limita rea de TI ou ao data center (WESTERMAN e HUNTER, 2007).

    Para estes autores (ibid.), a maioria dos riscos da TI no decorre de problemas tcnicos ou gerados por funcionrios de baixo escalo, mas sim de falhas de superviso e da governana de TI; ou seja, a maior parte destes riscos no resulta da tecnologia em si, mas de processos decisrios que, de modo consciente ou no, ignoram as possveis consequncias destes riscos para os negcios. Assim, as causas que levam aos riscos da TI so:

    Governana de TI ineficaz:

    Decorre da ausncia de estruturas e processos apropriados para um amplo envolvimento de todas as reas de uma organizao nos investimentos e nas decises relativos TI;

    Acaba por levar a decises otimizadas localmente, mas que geram riscos empresariais; sem o envolvimento das reas de negcios, os gestores da TI podem fazer pressuposies incorretas a respeito de quais riscos impactam mais os negcios.

    Complexidade descontrolada:

    A complexidade por si s no necessariamente mais arriscada do que a simplicidade; entretanto, a complexidade sem uma engenharia slida a sustent-la aumenta o risco de diversas maneiras, pois os ambientes tendem a ser frgeis.

    Falta de ateno ao risco:

    A falta de ateno aumenta os riscos operacionais; seus sintomas podem incluir: (a) falta de conhecimento ou conhecimento inadequado, (b) m gesto da infra-estrutura, (c) ignorncia, negligncia ou deslealdade dos funcionrios e (d) mecanismos de controle insensveis a atividades perigosas.

    Como uma forma de lidar com os riscos da TI, estes autores (ibid.) introduzem dois conceitos: o "Esquema 4A" e as "Disciplinas Focais de Gesto dos Riscos da TI".

  • 36

    O "Esquema 4A" 10 compreende um elenco de quatro fatores de risco associados, um a um, a quatro objetivos de negcios da TI relacionados aos riscos disponibilidade, acesso, preciso e agilidade, objetivos estes que podem ser assim descritos (Ibid.): Disponibilidade:

    Manter os sistemas e os processos de negcio por eles suportados em operao e recuper-los em caso de interrupes.

    Acesso:

    Assegurar o acesso adequado a dados e sistemas, de modo que as pessoas certas o tenham quando necessrio e as pessoas erradas, no.

    Preciso:

    Prover informaes corretas, oportunas e completas, que satisfaam aos requisitos da administrao, dos funcionrios, clientes, fornecedores e rgos reguladores.

    Agilidade:

    Possuir a capacidade de mudar com custos controlados e rapidez.

    Os autores (ibid.) afirmam que os fatores de risco por eles apresentados formam uma hierarquia, qual denominam "pirmide dos riscos da TI" e que est graficamente representada na Figura 9.

    Figura 9 Pirmide dos Riscos da TI

    Relaes ruins entre negcios e TIC

    Mau cumprimento de projetos

    Aplicaes no atendem aos requisitos de negcio

    Necessidade de integrao manual de dados

    Implementaes significativas em progresso ou recm-concludas

    Dados no compartimentados

    Aplicaes requerem padronizao

    Falta de controle interno nas aplicaes

    Rede no confivel

    Alta rotatividade do pessoal de TIC

    Infra-estrutura no padronizada

    Gesto ineficaz de atualizaes

    Tecnologia antiga

    Backup e recuperao ruins

    Processos e aplicativos mal entendidos

    Falta de habilidades para novas iniciativas

    Deficincias sob a tica dos reguladores

    Agilidade

    Preciso

    Acesso

    Disponibilidade

    FONTE: Adaptado de WESTERMAN e HUNTER, 2007; p. 59.

    ____________________________

    10 Nota: a denominao "4A" decorre do fato de os fatores, no original em ingls, serem: availability, access,

    accuracy e agility.

  • 37

    A disposio dos fatores na pirmide demonstra que o fator posicionado numa determinada camada influencia no apenas os riscos associados a ela, mas tambm aqueles associados s camadas superiores.

    O segundo conceito, as "Disciplinas Focais de Gesto dos Riscos da TI", compreende trs tpicos: (a) alic