Pontos Críticos na Especificação de Serviços Computação em ... ?· DEBATE 2 Pontos Críticos na…

Embed Size (px)

Text of Pontos Críticos na Especificação de Serviços Computação em ... ?· DEBATE 2 Pontos Críticos...

  • DEBATE 2

    Pontos Crticos na Especificao de Servios Computao em Nuvem

    MEDIADOR: Prof. Geraldo Loureiro - IBGP

  • Debatedores

    Breno Gustavo da Costa TCU

    Iran Martins Porto Jnior Serpro

    Waldeck Arajo Jr MPDG

    Roberto Florentino Jr RW3/Amazon

    Ronei Ferrigolo - ASSESPRO

  • Aes do IBGP

    Consolidao de Normas, Portarias e Acrdos com estrutura colaborativa, acadmica e dinmicaDisponvel em www.governanca.net

    Realizao do 1 Frum IBGP de Debates Tema: Licitao de Servios de Computao em Nuvem

    http://www.governanca.net/

  • Consolidao de Normas em ambiente colaborativo,

    acadmico e dinmico

    Acrdo TCU 1739/2015-Plenrio

    TCU - Tabela de Riscos e Controles

    para Contratao de Servios em

    Nuvem

    Decreto 8135/2013

    Portaria Interministerial MP/MC/MD

    N 141/2014

    Portaria MP/STI N 20/2016

    STI - Boas prticas, orientaes e

    vedaes para contratao de Serv de

    Computao em Nuvem

    Norma Complementar

    14/IN01/DSIC/GSIPR

    Norma Complementar

    19/IN01/DSIC/GSIPR

    www.governanca.net

  • Clarificao de Conceitos

    Nuvem (cloud): Nuvem refere-se a um ambiente

    distinto de TI projetado com o propsito de

    provisionar recursos de TI escalveis e

    mensurveis, com fronteiras delimitadas e

    acessados remotamente.

    Servios na nuvem (cloud services): Quaisquer

    servios e solues entregues e consumidos em

    tempo real, localizados na nuvem e acessados

    remotamente, comumente pela Internet, tais como

    servios de compras, bancos, colaborao, etc.

    Computao em nuvem (cloud computing):

    Ambiente de TI, que envolvendo todos os elementos

    da pilha de TI e produtos de rede, que permite o

    desenvolvimento, entrega e consumo de servios na

    nuvem, de maneira escalvel e elstica.

    Servios de computao em nuvem (cloud

    computing services): So servios que abrangem o

    provimento de computao em nuvem, com todas

    suas caractersticas.

    Fonte: Acrdo TCU 1739

  • Caractersticas Essenciais dos

    Servios de Computao em

    Nuvem Auto-provisionamento sob demanda

    (on-demand self-service)

    Acesso amplo pela rede

    (broad network access)

    Compartilhamento atravs de pool de recursos

    (resource pooling)

    Rpida elasticidade

    Servios medidos por utilizao

    (measured service)

    Fonte: Acrdo TCU 1739/2015

  • Vantagens da adoo de

    Servios de Computao

    em Nuvem

    Reduo de custos de

    infraestrutura e servios de TI.

    Otimizao da produtividade da

    equipe de TI.

    Melhoria da produtividade do

    usurio final.

    Aumento de benefcios do

    negcio.

    Fonte: IDC

  • Vantagens especficas para

    adoo pelo Governo

    Maior agilidade na entrega de servios e na atualizao tecnolgica

    Suporte a iniciativas de Big Data e Dados Abertos, facilitando a abertura de informaes do governo

    Atendimento a picos de demanda sazonal sem necessidade de alocar grande quantidade de recursos fixos

    A contratao de servios em nuvem de IaaS ou PaaS pode levar a uma reduo de desvios e irregularidades

    Agilidade e economia na entrega de servios para instituies pblicas com unidades descentralizadas

    Fonte: Acrdo TCU 1739/2015

  • Modelo de Nuvem baseado na Forma de Implementao

    Nuvem pblica - A infraestrutura de

    nuvem pblica est disponvel para uso

    aberto do pblico em geral e fica nas

    instalaes do provedor.

    Nuvem privada - A infraestrutura de

    nuvem privada est disponvel para

    uso exclusivo por uma nica

    organizao.

    Nuvem hbrida - A infraestrutura de

    nuvem uma composio de duas ou

    mais infraestruturas de nuvem (privada,

    comunitria, ou pblica), interligadas

    por tecnologias padronizadas ou

    proprietrias que permitem

    portabilidade de aplicaes e de dados

    entre as nuvens.

  • Modelo baseado na forma de implantao

    Para o TCU possvel utilizar a abordagem de Nuvem Hbrida para valer-se dos benefcios dos modelos pblico e privado, e ao mesmo tempo minimizar os riscos e custos advindos de cada modelo, ou quando existem necessidades distintas associadas a determinados tipos de usurios ou de dados.

  • Modelo baseado na Arquitetura

    dos servios

    Infraestrutura como Servio

    (Infrastructure as a Service - IaaS)

    Plataforma como Servio

    (Platform as a Service - PaaS)

    Software como Servio

    (Software as a Service - SaaS)

  • Definio de Responsabilidades

    Fonte: Matt Hester's WebLog, adaptao do TCU.

    http://www.geraldoloureiro.com/wiki/index.php?title=Imagem:Divisao-de-Responsabilidades.jpg

  • Deciso do Acrdo TCU 1739/2015

    17. Nesse sentir, a Sefti, aps pontuar, com acerto,

    que as defesas baseadas em nuvem tendem a ser

    mais robustas e eficientes em virtude do ganho de

    escala e da maior especializao das provedoras de

    servios, deixou assente que um trabalho de

    levantamento e anlise de riscos deve ser

    executado para subsidiar a deciso de migrar

    para a nuvem e moldar previamente o processo

    de contratao, competindo a cada organizao

    avaliar a criticidade de cada risco levantado de

    acordo com sua realidade, bem como se seus

    controles associados so, um a um, aplicveis ou se

    podem ser individualmente desconsiderados em

    funo da anlise de seu custo/benefcio.

    18. [...] elaborou a unidade instrutiva importante

    tabela, contida no anexo I de seu relatrio, por meio

    da qual so enumerados diversos riscos

    especficos, devidamente categorizados [...]

    http://portal.tcu.gov.br/lumis/portal/file/fileDownload.jsp?fileId=8A8182A15005860201501E7CDF5B41AC

  • Tabela de Requisitos Habilitadores e Contratuais

    Papeis e Responsabilidades (1)

    Acordos de Nvel de Servios (6)

    Monitoramento do Provedor (7)

    Segurana da Informao (4)

    Garantias da Propriedade Intelectual (1)

    Garantias de acesso e propriedade dos dados (2)

    Controle de Logs (3)

    Isolamento da Infraestrutura (4)

    Elasticidades e Flexibilidade (1)

    Disponibilidade (1)

    Gesto de Configurao (1)

    Gesto de Incidentes (4)

    Gesto de Mudanas (1)

    Limites Geogrficos (3)

    Ruptura Contratual (2)

    OBS: Agrupamento baseado nos riscos e orientaes das Normas e Acrdos existentes

  • 1 Frum IBGP de Debates

    Governo Ministrio do Planejamento

    (MPDG)

    Ministrio da Transparncia, Fiscalizao e Controle (CGU)

    Ministrio da Eduo (MEC)

    Servio Federal de Processamento de Dados (SERPRO)

    Tribunal de Contas da Unio (TCU)

    Conselho Nacional de Justia (CNJ)

    Mercado RW3 (Google/AWS)

    IBM

    Microsoft

    Oracle

    Intel

    Embratel

    ISH

    Tema: Licitao de Servios de Computao em Nuvem

    Participantes do Debate

    Dia 13/10 Braslia-DF

  • 1 Frum IBGP de Debates

    ObjetivosDebater Boas Prticas para Contratao de Servios de Computao em Nuvem que proporcione, ao Governo, a

    ... contratao de solues de qualidade

    ... pelo melhor preo

    ... de forma transparente

    ... em ambiente de ampla competio

  • Debate sobre as Aes e Providncias previamente licitao

  • Tabela de Aes e Providncias previamente contratao

    Planejamento (5)

    Plano de Contingncia (3)

    Segurana de Dados (8)

    Poltica de RH (3)

    Modelo de Servio (1)

    Portabilidade da Infraestrutura de Dados (8)

    Preparao da Infraestrutura de Rede (2)

    Conformidade com legislao vigente (8)

    OBS: Agrupamento baseado nos riscos e orientaes das Normas e Acrdos existentes

  • Tabela de Aes e Providncias previamente contratao

    Planejamento (5)

    Plano de Contingncia (3)

    Segurana de Dados (8)

    Poltica de RH (3)

    Modelo de Servio (1)

    Portabilidade da Infraestrutura de Dados (8)

    Preparao da Infraestrutura de Rede (2)

    Conformidade com legislao vigente (8)

    OBS: Agrupamento baseado nos riscos e orientaes das Normas e Acrdos existentes

  • Tabela de Aes e Providncias previamente contratao

    Planejamento (5)

    Plano de Contingncia (3)

    Segurana de Dados (8)

    Poltica de RH (3)

    Modelo de Servio (1)

    Portabilidade da Infraestrutura de Dados (8)

    Preparao da Infraestrutura de Rede (2)

    Conformidade com legislao vigente (8)

    OBS: Agrupamento baseado nos riscos e orientaes das Normas e Acrdos existentes

  • Debates sobre Requisitos habilitadores e contratuais

  • Tabela de Requisitos Habilitadores e Contratuais

    Papeis e Responsabilidades (1)

    Acordos de Nvel de Servios (6)

    Monitoramento do Provedor (7)

    Segurana da Informao (4)

    Garantias da Propriedade Intelectual (1)

    Garantias de acesso e propriedade dos dados (2)

    Controle de Logs (3)

    Isolamento da Infraestrutura (4)

    Elasticidades e Flexibilidade (1)

    Disponibilidade (1)

    Gesto de Configurao (1)

    Gesto de Incidentes (4)

    Gesto de Mudanas (1)

    Limites Geogrficos (3)

    Ruptura Contratual (2)

    OBS: Agrupamento baseado nos riscos e orientaes das Normas e Acrdos existentes

  • Tabela de Requisitos Habilitadores e Contratuais

    Papeis e Responsabilidades (1)

    Acordos de Nvel de Servios (6)

    Monitoramento do Provedor (7)

    Segurana da Informao (4)

    Garantias da Propriedade Intelectual (1)

    Garantias de acesso e proprie