É seguro pôr a minha empresa nas nuvens?

Análise de Mercado por Aristides Meneses  
"O mundo empresarial está a deslocalizar-se para a Cloud. Devagar mas está. Em Portugal, ainda mais devagar, mas também está. Refiro-me à infraestutura de tecnologias de informação e aos sistema de informação. Já nenhuma empresa existe, em Portugal, que opere sem elas. E muitas estão a migrar para a cloud devido às vantagens financeiras, de versatilidade e de serviço acrescentado. 

É por isso que qualquer Gestor de qualquer área funcional deve pelo menos saber do que se está a falar quando se está a falar de cloud.

De forma sumária e simplificada, ter os sistemas de informação na cloud significa que as deixa de ter fisicamente instaladas no edifício da empresa e, eventualmente, que os sistemas de informação deixam de ser sua preocupação e investimento, passando a usá-los como um serviço fornecedido por entidades externas. A sua informação de negócio continua a ser sua.

Um primeiro nível simples de aderência à cloud consta da instalação do seu equipamento servidor, onde estão as aplicações de gestão, negócio e informações empresariais, num local fisicamente externo, geralmente designado Datacenter. Neste tipo de cloud a propriedade do equipamento e do sistema de informação mantém-se sua. As vantagens desta aproximação derivam da eliminação da necessidade de espaço físico adaptado com segurança, refrigeração, insonorização, energia, etc., para o equipamento servidor e ainda ganha, geralmente, serviço especializado e consistente de cópias de segurança e atenção técnica permanente.

A questão das cópias de segurança é muito relevante. Mas só são úteis em caso de falha. Elas servem para repor o seu sistema de informação como estava no momento anterior à falha, garantindo que não se perde informação e que a reposição da situação operacional é rápida e correcta. Infelizmente não é incomum que no momento seguinte à falha se descubra que as cópias de segurança existentes estão demasiado desactualizadas, apesar de ordens estritas para as efectuar com regularidade. É que quanto mais tempo decorre sem problemas mais fácil é deixar atrasar as cópias de segurança e mais fácil é ninguém se dar ao trabalho de as verificar. Nem os serviços de tecnologias de informação nem as chefias porque enquanto tudo corre bem esse é um problema que não existe. Num Datacenter o serviço é contratualizado pelo que se torna mais garantido. E, melhor ainda, num Datacenter, é geralmente automatizado, pelo que é efectuado conforme as regras definidas.

Outro nível mais sofisticado de aderência à cloud é o equipamento servidor já não ser seu mas sim propriedade da empresa externa que opera o serviço. As vantagens derivam da eliminação do investimento imobilizado, maior potencial de actualização tecnológica, evitando o problema da rápida obsolescência de tudo o que tem a ver com as tecnologias de informação, e um nível de serviço que se ocupa de todas as questões relacionadas com a instalação, manutenção e operação do hardware. Pode inclusivamente contratar “hardware a pedido”, ou seja, utilizar maior capacidada de processamento ou armazenamento apenas quando a necessidade surge e apenas enquanto se mantém. A isto chama-se geralmente qualquer coisa como “hardware as a service”. Não há dois fornecedores que utilizem exactamente a mesma terminologia o que torna as comparações um exercício minucioso.

Um terceiro nível de sofisticação torna todo o sistema de informação num serviço, onde mesmo as aplicações pertencem ou são responsabilidade do operador externo. O exemplo que todos conhecem é a utilização dos serviços de email de qualquer fornecedor, sem preocupações sobre o hardware, a plataforma aplicacional ou, na realidade, com nada que não tenha a ver com os seus dados, a sua informação, e o facto do sistema estar operacional. Às vantagens anteriores somam-se a eliminação do investimento em software aplicacional, sua manutenção e operação. Torna-se assim um puro utilizador. A isto chama-se geralmente qualquer coisa como “software as a service”.

Em todos os casos elimina-se ou atenua-se muito fortemente a necessidade de deter, internamente, o know-how especializado sempre necessário para manter operacional os seus sistemas de informação. Além de evitar os custos fixos, evita a obsolescência dos conhecimentos dos eventuais técnicos especializados, situação cada vez mais comum devido ao acelerar da inovação tecnológica e à cada vez maior complexidade e integração dos sistemas de informação em redes de parceiros, clientes, fornecedores, etc.. Continua a precisar de alguém que conheça simultaneamente o seu negócio e organização e que conheça muito bem as tecnologias e sistemas de informação. Por outras palavras, o Director de Sistemas de Informação passa a actuar como um Gestor e consultor interno de alto nível, libertando a sua organização das tarefas de suporte interno. Assim, ou elimina custos, ou não incorre neles, ou liberta recursos para tarefas produtivas.

Já todos os especialistas em sistemas de informação sabem tudo o que foi exposto. Mas contactos efectuados ao longo de todo este ano com Gestores de outras áreas indiciam que ainda não se pensa realmente nesta alternativa.

Falta falar das desvantagens. E as desvantagens apontadas são sempre oriundas da preocupação com a segurança.

A questão da segurança diz respeito ao acesso e controlo sobre a sua informação de negócio. E tem sempre duas vertentes: por um lado, garantir que não se perde; por outro garantir que não é conhecida por quem não está autorizado. A primeira vertente, garantir que não se perde, é facilmente resolvida com as referidas cópias de segurança, desde que sejam efectuadas conforme as regras definidas.

A segunda vertente é muito mais complexa. Garantir que apenas quem está autorizado tem acesso às suas informações não é tão simples como pode parecer fechando o computador numa sala.

E a ideia habitual junto dos Gestores nacionais é que o potencial para acesso não autorizado é maior quando se colocam ou usam sistemas de informação na cloud.

A situação prevalecente em todo o mundo ainda é fortemente a dos sistema de informção in-house. Nesta situação os acessos são “controlados” fisicamente, embora na realidade não se saiba a que as pessoas autorizadas estão a fazer e a que dados estão a aceder. É necessário confiar nos colaboradores, especialmente os com previlégios de supervisão, agora e no futuro, para que não façam cópias não autorizadas ou não acedam à informação previligiada. É necessário confiar nos técnicos externos de manutenção e instalação de novos componentes para não fazerem o mesmo. E, quando se envia um computador para reparação, é necessário garantir que a informação nele contida seja removida antes do equipamento ser levado.

Noutra vertente, é necessário proteger o sistema de informação de ataques externos através da rede.

A estas preocupações internas, os fornecedores de serviços na cloud argumentam que o acesso abusivo por parte de pessoas autorizadas não é potencialmente maior e que a protecção contra ataques externos tende a ser ordens grandeza superior nos Datacenter especializados. Ambos bons argumentos.

E assim chegamos ao ponto da decisão. A opção pela cloud tem vantagens garantidas como a eliminação da necessidade do investimento imobilizado, a maior protecção contra a obsolescência da tecnologia e dos conhecimentos dos quadros internos, maior garantia de actualização das cópias de segurança, geralmente maior rapidez na resolução deproblemas e falhas e certamente maior protecção contra ataques externos. E tem desvantagens potenciais quanto ao acesso não autorizado à informação, mas que não parecem necessariamente maiores nem menores do que nos sistemas in-house. Passa a existir é uma preocupação premente quanto à sustentabilidade, qualidade e credibilidade do seu fornecedor de serviços na cloud. Porque não é fácil nem imediato mudar de fornecedor e porque muitas das vantagens potenciais exigem fornecedores de confiança para se poderem materializar.

No final, o processo de decisão é similar a confiar em qualquer outro fornecedor externo de factores críticos para o négócio, como um fornecedor de componentes críticos numa linha de montagem, numa instituição financeira, num Técnico de Contas interno ou externo, num colaborador específico do qual dependa o funcionamento de alguma parte da empresa ou mesmo num cliente com um elevado peso no negócio. São geralmente decisões tomadas porque os riscos são conhecidos e controlados e porque as vantagens garantidas são largamente superiores às desvantagens potenciais. Quanto à cloud, a lógica é a mesma."

Fonte: Insat
Painel Market Report de Gestores e Análise de Mercado por Aristides Meneses