Notícias

Seis pontos críticos para serviços de cloud computing

De acordo com a Information Systems Audit and Control Association (Isaca), entidade internacional da área de segurança, embora a computação em nuvem possibilite valor para as organizações, a maioria ignora os impactos da transferência de tomadas de decisão de gestores de TI para os executivos de negócios.

Na visão de Ramss Gallego, membro do comitê de práticas da Isaca, cloud computing representa uma oportunidade única para as empresas, particularmente para as pequenas e médias.

Por outro lado, para a associação, esquecer a fiscalização e o controle das decisões sobre cloud pode gerar “riscos significativos” para as companhias, eliminando os benefícios da mudança para a nuvem e, ao mesmo tempo, criando “graves problemas”.

“Somente por meio do controle e do gerenciamento da nuvem é possível obter todo o potencial do modelo”, analisa a Isaca. Para ajudar as empresas a gerenciar possíveis “pontos de pressão” que começam a aparecer quando as estratégias de computação em nuvem divergem dos serviços de TI prestados internamente ou do regime de outsourcing, a entidade publicou o relatório “Guiding Principles for Cloud Computing Adoption and Use”, que contém os seguintes princípios fundamentais:

1. Habilitação É necessário planejar a computação em nuvem como uma estratégia que vai muito além de um simples acordo de terceirização ou de uma plataforma técnica.

É adequado ainda considerar os negócios e as necessidades operacionais e periodicamente revisar a estratégia empresarial e a contribuição da TI para garantir que as iniciativas de cloud ampliaram a e vão cotinuar a ampliar o valor da utilização de recursos.

2. Custo/benefício É preciso avaliar os benefícios da adoção do modelo a partir de uma compreensão total do custo em comparação com outras plataformas tecnológicas.

As empresas devem, por exemplo, documentar, de forma clara, as vantagens esperadas de rápido provisionamento de recursos, escalabilidade e capacidade de continuidade e ainda o custo do ciclo de vida dos serviços de TI prestados internamente ou por meio de um provedor. 

3. Risco Convém adotar uma perspectiva de gerenciamento de risco para a empresa monitorar a adoção e o uso da computação em nuvem. Para entender esse princípio, a Isaca recomenda que as organizações considerem as implicações de privacidade no ambiente virtualizado e avaliem ainda as exigências e restrições legais de privacidade, considerando as necessidades do cliente. 

4. Capacidade É necessário integrar todas as capacidades que os prestadores de serviços oferecem aos recursos internos para fornecer uma solução de entrega e suporte técnico abrangente. Para isso, a Isaca aponta que é adequado, por exemplo, determinar como as políticas, práticas e processos atualmente suportam o uso de tecnologia.

Além disso, como a transição para uma nuvem exigirá políticas, práticas e mudanças de processos, e o impacto que elas terão sobre as capacidades.

5. Responsabilidade Definir claramente as responsabilidades internas e dos provedores do serviço. Para isso, entenda como são atribuídas as responsabilidades e executadas na estrutura organizacional e de que forma políticas e práticas são tratadas no âmbito soluções de cloud computing. 

6. Confiança Segundo a Isaca, é vital fazer da confiança parte essencial das soluções em nuvem, gerando segurança em todos os processos de negócios que dependem de cloud. Assegure que os prestadores de serviços de software compreendam a importância da confiança.

Fonte: Computerworld

marcos

Professor, Embaixador e Comendador MSc. Marcos Assi, CCO, CRISC, ISFS – Sócio-Diretor da MASSI Consultoria e Treinamento Ltda – especializada em Governança Corporativa, Compliance, Gestão de Riscos, Controles Internos, Mapeamento de processos, Segurança da Informação e Auditoria Interna. Empresa especializada no atendimento de Cooperativas de Crédito e habilitado pelo SESCOOP no Brasil todo para consultoria e Treinamento. Mestre em Ciências Contábeis e Atuariais pela PUC-SP, Bacharel em Ciências Contábeis pela FMU, com Pós-Graduação em Auditoria Interna e Perícia pela FECAP, Certified Compliance Officer – CCO pelo GAFM, Certified in Risk and Information Systems Control – CRISC pelo ISACA e Information Security Foundation – ISFS pelo EXIN.