A ISO 20000 e a computação em nuvem

ciopor Nowdigital seg, 12/11/2012 - 09:40

A computação na nuvem é um paradigma ainda em evolução. Apesar de a maioria aceitar a definição de cloud proposta pelo Instituto Nacional de Padrões e Tecnologia (o americano NIST, pelas suas siglas em inglês), ainda há muitos aspectos por definir e padronizar.

Não parece que a nuvem seja apenas uma moda passageira. Portanto, é necessário acelerar  a definição clara do que seja ou não cloud e quais são os pilares comuns sobre os quais este paradigma deve-se estabelecer. Não é um trabalho fácil porque hoje em dia já existe “quase tudo as a service” e estabelecer a barreira entre o que entra e não entra na definição de cloud não é trivial.

Por outro lado, não é simples separar o termo cloud computing das tecnologias que atualmente a suportam, como a virtualização. No entanto, face a definir um paradigma de computação, deveriamos fugir de menções a tecnologias específicas. É muito provável que nos próximos anos as tecnologias evoluirão e os serviços continuarão a ser cloud.

Estandardização da nuvem



No caso de cloud computing, a indústria vai claramente à frente do mundo da normatização. Na atualidade, existem múltiplas iniciativas tanto de consórcios privados como de organismos internacionais tratando de padronizar conceitos que já utilizam habitualmente desde há vários anos. Diferentes comitês de ISO/IEC, bem como outras entidades e organismos, trabalham hoje na definição de conceitos, na arquitetura dos serviços, na inter-operabilidade e portabilidade entre diferentes serviços cloud, etc.

Também já se trabalha na aplicação de diferentes disciplinas da cloud computing: aplicação da gestão da segurança, aplicação de Governança de TI e, como não, a aplicação da gestão de serviços de cloud computing, através da ISO 20000-7.

A ISO 20000 é um padrão internacional de gestão de serviços. Define as características que o sistema de gestão de um fornecedor de serviços deve cumprir para assegurar a prestação de serviços de TI de qualidade e os 13 processos que este sistema de gestão deve abranger. Para conseguir a conformidade com o padrão é necessário implementar a totalidade dos processos que define.

Como é habitual nos padrões, a ISO 20000 está formada por uma série de documentos. A ISO 20000-1 é a que define os requisitos e é o único documento certificável. Aplica-se a todo o tipo de fornecedores de serviços de TI, independentemente da sua natureza e tamanho e, portanto, aplica-se também a fornecedores de serviços na nuvem.

Além da parte 1, existem mais quatro documentos da série publicados e outros três em elaboração, que abrangem diferentes aspectos tais como a eleição do âmbito, o modelo de assessment , a nomenclatura ou o mapeamento com frameworks relacionados como ITIL.

A ISO 20000-7 e a aplicação da ISO 20000 a serviços de nuvem



A ISO 20000-2 é o script de aplicação da ISO 20000 e reúne, nas suas quase 100 páginas, as recomendações gerais para implementar a ISO 20000-1. Seguindo a mesma estrutura que a parte 1, explica detalhadamente cada um dos requisitos fornecendo um script muito útil para interpretar o seu conteúdo.

Por sua vez, a ISO 20000-7, sobre a aplicação da ISO 20000 a serviços cloud, tem como objetivo dar recomendações específicas aos fornecedores de serviços na nuvem e não deve cair na falácia de fazer recomendações genéricas aplicáveis a outro tipo de fornecedores de serviços. Esses tipos de recomendações deveriam estar na parte 2.

É importante salientar que a única parte certificável da ISO 20000 é a ISO 20000-1. Não é necessário seguir a ISO 20000-2 nem a ISO 20000-7 – esta última nem sequer está publicada – para certificar serviços na nuvem. Tratam-se de documentos complementares que explicam mais detalhadamente os requisitos da parte certificável. De fato, já existem numerosos fornecedores de cloud certificados ISO 20000 que não se apoiaram nas partes 2 ou 7 da norma.

ISO 20000, garantia de confiança nos serviços na nuvem



Dispor de certificações de qualidade como a ISO 20000 é, sem dúvida, um  diferencial ante a concorrência. No caso dos serviços na nuvem, esta diferenciação acentua-se ainda mais pela necessidade de gerar confiança no fornecedor, já que no paradigma cloud o cliente perde o controle de parte do serviço.

Com a aplicação da ISO 20000 a serviços de cloud permite-se evidenciar que um fornecedor gera os seus serviços com qualidade, que esses serviços são confiáveis, que se diferenciam da sua concorrência e que existe uma vocação permanente de alinhar os serviços com os requisitos que marcam o negócio, embora estes possam variar ao longo do tempo.

A ISO 20000 se consolidará nos próximos anos como a garantia de confiança imprescindível para todos os fornecedores de serviços cloud.

O foco da ISO 20000-7



A ISO 20000 é um padrão escrito a partir do ponto de vista do fornecedor de serviços de TI. Identifica requisitos que um fornecedor deve cumprir para implementar um sistema de gestão que assegure a prestação de serviços de qualidade a um custo aceitável. No entanto, a maior parte da literatura de cloud computing está escrita a partir da perspectiva do cliente e não da do fornecedor.

Por exemplo, uma das características essenciais dos serviços na nuvem, de acordo com a definição do NIST, é o “auto-serviço sob demanda”. O cliente pode contratar mais recursos – ou liberá-los – de acordo com as suas necessidades e habitualmente através de um sistema automático de prestação e uma interface self-service.

Para este exemplo de self-service, a partir do  ponto de vista do cliente, alguns dos aspectos chave que devem ser levados em conta estão relacionados com a segurança da informação, com a localização dos dados, com o controle da infraestrutura, etc. Em função do uso que o serviço terá, existem restrições legais sobre a localização dos dados, exigências sobre proteção de dados, etc, que o cliente poderia ter dificuldades para satisfazer ao tratar-se de um serviço na nuvem sobre o qual não tem total controle.

No entanto, a partir do ponto de vista do fornecedor, dentro do mesmo cenário existem outros aspectos críticos que devem ser abordados, como a gestão da capacidade. É necessário assegurar que a nuvem terá recursos disponíveis para responder adequadamente à procura dos clientes – uma procura que, por definição, pode sofrer variações drásticas e arbitrárias ao longo do tempo – e, ao mesmo tempo, assegurar que não terá um excesso de recursos ociosos que inviabilizem a prestação do serviço.

A ISO 20000-7 centra-se neste segundo ponto de vista. Identifica os aspectos da gestão de serviços de TI que o fornecedor deve ter especialmente em conta quando se trata de serviços cloud.

O ponto de vista do cliente é abordado na ISO 20000-15 sobre a confiabilidade (“Requirements for measurement of trustworthiness of a service”, em inglês), cujo desenvolvimento terá início em um a três anos.

Aspectos chave da ISO 20000-7



Entre os aspectos chave reunidos no texto da ISO 20000-7 estão todos os relacionados com a prestação de serviços:



1 - Que características deveria ter um catálogo de serviços na nuvem.



2 - Que aspectos essenciais deve incluir um acordo de nível de serviço (SLA) para um serviço cloud.



3 - Quais são os aspectos chave da gestão da disponibilidade, a capacidade e os níveis de serviço.



4 - Que aspectos da gestão da segurança da informação são especialmente relevantes.



5 - Como gerir a relação com fornecedores e clientes.



6 - Como assegurar uma correta gestão da configuração e de alterações de serviços na nuvem.

A ISO 20000-7 também inclui os principais casos de uso a partir do ponto de vista da gestão de serviços: desenho de um novo serviço cloud, prestação de um catálogo de serviços cloud, estabelecimento e finalização de um contrato, on-boarding do serviço, portabilidade de um serviço, etc.

Conclusões



No paradigma cloud têm especial relevância alguns aspectos da gestão de serviços como a capacidade, a disponibilidade ou a segurança da informação. Estes aspectos devem ser geridos de forma habitual e de acordo com normas internacionais, como a ISO 20000, para assegurar a qualidade dos serviços e garantir a confiança dos clientes.

 

(*) Diego Berea é diretor da área de consultoria e fundador da Ozona Consulting

COMENTÁRIOS dos leitores