ARTIGO DE REVISÃO
ARAÚJO, Eduardo Filipe Bonifácio de [1], SOUZA, Adilson Oliveira de [2]
ARAÚJO, Eduardo Filipe Bonifácio de. SOUZA, Adilson Oliveira de. Segurança da Informação e os impactos na migração de dados para ambiente de computação em nuvem pública. Revista Científica Multidisciplinar Núcleo do Conhecimento. Ano 05, Ed. 10, Vol. 19, pp. 114-122. Outubro de 2020. ISSN: 2448-0959, Link de acesso: https://www.nucleodoconhecimento.com.br/tecnologia/impactos-na-migracao
RESUMO
A computação em nuvem tem sido procurada com mais frequência pelas organizações, fator que tem gerado discussões em torno da segurança da informação, destacando-se neste estudo o processo de migração de dados do servidor interno para a nuvem. O objetivo geral consistiu em propor boas práticas de segurança da informação para migração de um servidor de arquivos para a nuvem. Como metodologia, foi realizada uma revisão de literatura com abordagem qualitativa dos dados coletados. A partir da revisão de literatura realizada, foi possível traçar boas práticas para segurança da informação no processo de migração de dados do servidor interno para a nuvem: planejamento; execução; e avaliação.
Palavras-Chave: Sistema da Informação, migração de dados, computação, nuvem pública.
1. INTRODUÇÃO
O serviço de nuvem vem sendo cada vez mais procurado devido trazer soluções para alguns problemas cotidianos, como pico de tráfego, sobrecargas de servidores, altos investimentos em hardware para suprir a necessidade de realização de tarefas que demandem grandes processamentos de dados e grandes quantidade de armazenamento para backup, mão de obra para gerenciamento desse backup e estrutura física para atender toda essa infraestrutura (GONZALEZ et al., 2013).
De acordo com uma pesquisa realizada pela International Data Corporation (IDC) (2017), 68% das empresas no mundo estão usando algum serviço em computação em nuvem, o que representou um aumento de 61% em relação ao ano de 2016. Outro índice importante verificado na pesquisa é que 69% das empresas que estão fazendo uso da computação em nuvem não possuem estratégias maduras, enquanto 3% delas possuem estratégias otimizadas. A diferença entre essas empresas pode ser vista nos resultados do negócio, com a referida pesquisa demonstrando que o uso de estratégias concretas e efetivas pelas empresas trazem resultados satisfatórios.
A coluna Valor Econômico do G1 (2018) bem dispõe que o objetivo da computação em nuvem é apresentar um novo modelo de negócio em que as organizações não precisam mais ficar preocupadas com a infraestrutura de Tecnologia da Informação (TI) para suas demandas. Dessa forma, os recursos se ajustam facilmente às necessidades da empresa suprindo as necessidades do negócio, sendo que em um ambiente convencional teria que ser feito um investimento em hardware e estrutura, que no período de baixa demanda, esse investimento ficaria ocioso.
Essas vantagens têm feito com que muitas organizações escolham por migrar seus arquivos de servidores internos para a nuvem, fator que exige bastante atenção, dados os riscos de segurança a que esses arquivos são submetidos nesse processo. De acordo com Kushwah e Saxena (2013), a migração de dados para um ambiente de computação em nuvem é, em muitos aspectos, um exercício de gerenciamento de riscos, devendo ser considerados fatores tanto qualitativos quanto quantitativos. Os riscos devem ser cuidadosamente ponderados em relação às salvaguardas disponíveis e benefícios, com o entendimento de que a responsabilidade pela segurança permanece com a organização. Ressalta-se que muitos controles podem ser ineficientes e/ou ineficazes, devendo-se buscar que os benefícios superem os custos e os riscos associados.
Rosado et al. (2012) explicam que a computação em nuvem não é necessariamente mais ou menos segura que o ambiente atual, tendo em vista que cria novos riscos, novas ameaças, novos desafios e novas oportunidades como em qualquer nova tecnologia. Em alguns casos, a mudança para a nuvem oferece uma oportunidade de reescrever aplicativos antigos e infraestrutura para atender ou exceder os requisitos modernos de segurança. Todavia, em outras ocasiões, o risco de se mover dados sensíveis e aplicativos para uma infraestrutura emergente pode exceder a tolerância exigida. Desse modo, embora existam benefícios significativos para alavancar a computação em nuvem, as preocupações de segurança fazem com que as organizações hesitem em transferir recursos essenciais para a nuvem.
Diante do exposto, é possível dizer que se trata de um tema de relevância profissional, considerando que traz informações pertinentes para uma maior segurança no processo de migração de dados do servidor interno de uma empresa para a nuvem pública, dando subsídios aos profissionais para que realizem esse processo promovendo maior segurança e integridade dos dados. O presente estudo está em consonância com as diretrizes da Associação Brasileira de Normas Técnicas (ABNT/NBR) n. 16.167/2013, que dispõe sobre a classificação, rotulação e tratamento da informação com foco na segurança. Destaca-se também a relevância acadêmica, considerando que se trata de um tema de abordagem escassa na literatura brasileira publicada na área da informática, podendo-se dizer que este estudo contribui para o acervo de pesquisas na área.
Considerando os fatores descritos, este estudo é direcionado pelo seguinte questionamento: No cenário de uma migração de um servidor de arquivos para a nuvem, quais as boas práticas de segurança da informação são mais recomendadas?
O cerne deste artigo gravita em propor boas práticas de segurança da informação para migração de um servidor de arquivos para a nuvem, de maneira específica fazer um estudo sobre a computação em nuvem; diferenciar provedor de armazenamento e os serviços em nuvem; e estudar a segurança da informação em redes de computadores, considerando o ambiente organizacional como integrado.
Para melhor entendimento do estudo, este artigo está estruturado em cinco seções, sendo que a primeira consiste nesta introdução que traz as diretrizes seguidas na pesquisa, bem como a problemática do tema proposto. A segunda seção apresenta o caminho metodológico percorrido para desenvolvimento desta pesquisa, detalhando os métodos utilizados para elaboração do presente artigo. A terceira seção traz a fundamentação teórica desta pesquisa, abordando os aspectos gerais da computação em nuvem e a segurança da informação em redes de computadores, considerando que as organizações, em sua maioria, operam com sistemas integrados. Enquanto a quarta seção traz a análise e discussão dos resultados encontrados, apresentando uma proposta de boas práticas de segurança da informação no processo de migração do servidor de armazenamento para a nuvem. Por fim, a quinta seção traz a conclusão a que se chegou ao final do estudo.
2. METODOLOGIA
Como metodologia foi realizada uma revisão de literatura com abordagem qualitativa dos dados coletados, caracterizando-se como um estudo exploratório e descritivo, que buscou compilar o que diferentes autores falam sobre a segurança da informação no processo de migração de arquivos para a nuvem, chegando a uma proposta de boas práticas de segurança nesse processo.
A teoria do conhecimento, como o próprio nome já sugere, trata-se da busca pela solução de problemas através do estudo da origem, da estrutura, dos métodos e da veracidade do conhecimento, sendo indispensável à ciência que, de acordo com Giddens (2005), se trata do emprego de métodos sistemáticos de investigação empírica, analisando-se dados de pensamentos teóricos e avaliando a lógica dos argumentos, buscando-se o desenvolvimento de um conhecimento a respeito de um tema.
Assim, tem-se na ciência o conjunto de conhecimentos adquiridos a partir de uma investigação, todavia, tal conhecimento está sempre sujeito à revisão, verificação e atualização, não podendo ser considerado como uma verdade absoluta com prazo interminável. Conforme bem destaca Carvalho (2008), teoria do conhecimento é epistemologia, surgindo tantas possibilidades quantas forem as respostas (sistemáticas e metódicas) possíveis ao problema da verdade.
Em linhas gerais, o conhecimento científico é o fruto do questionamento a uma área do saber; que é fruto de procedimentos passíveis de reprodução por outra pessoa; que se expõe à interlocução da comunidade de pesquisadores da área de saber em questão.
Assim, a elaboração do conhecimento científico é um processo de busca de respostas, tendo como objetivo elaborar explicações sobre a realidade. O processo envolve atividades como: formulação do problema, o planejamento ou plano de pesquisa, a coleta dos dados, a análise dos dados e a interpretação dos dados, e a comunicação da pesquisa.
Dessa forma, a partir do problema de pesquisa traçado, foi decidido utilizar como método de pesquisa a revisão sistemática da literatura, que segundo Gil (2007), é desenvolvida a partir de material já elaborado, constituído principalmente de livros e artigos científicos. De acordo com Markoni e Lakatos (2001, p. 44), a pesquisa bibliográfica é composta por oito fases, as quais: a) determinação dos objetivos; b) elaboração do plano de trabalho; c) identificação das fontes; d) localização das fontes e obtenção do material; e) leitura do material; f) tomada de apontamentos; g) confecção de fichas; h) redação do trabalho.
Quanto à abordagem, esta pesquisa se classifica como qualitativa. Para Flick (2004), a pesquisa qualitativa é fundamental no momento de fazer a escolha mais adequada de métodos e teorias oportunas, no reconhecimento e na análise de diferentes perspectivas, nas reflexões do pesquisador a respeito da pesquisa como parte do processo de produção do conhecimento e nas variedades de abordagens de métodos.
No processo de coleta de dados foram buscadas publicações dos últimos 10 anos (2008-2018) que contribuíssem para esta pesquisa, trazendo subsídios para que se pudesse propor boas práticas de segurança da informação no processo de migração de arquivos para a nuvem, não fazendo qualquer delimitação de linguagem de publicação, tendo em vista ser um tema escasso na literatura brasileira. Os arquivos selecionados foram lidos e revisados, considerando seus resultados relacionados ao assunto, observando as práticas utilizadas pelos pesquisadores para que se pudesse identificar as boas práticas, descritas na seção a seguir.
3. RESULTADOS E DISCUSSÃO
Nesta etapa são analisados e discutidos os resultados referentes às boas práticas de segurança da informação na migração de arquivos do servidor interno para a nuvem, sendo importante destacar que as publicações na área são escassas. De acordo com Pahl e Xiong (2013), o processo de migração de servidor interno para a nuvem consiste na ação de passar de forma completa ou parcial os dados de uma organização, podendo envolver infraestrutura local e de forma primordial a Internet. Os autores elucidam que se trata de um processo que apresenta risco, por isso, faz-se fundamental que seja planejado, analisado e executado com muita cautela para que se possa prover segurança e garantir a integridade dos dados.
Na pesquisa realizada por Rosado et al. (2012), verificou-se que a migração de arquivos do servidor interno para a nuvem tem como essência mover esses dados sem perda de sua funcionalidade, causando o mínimo de interrupção possível ao ambiente operacional e de negócios existente. Os autores ressaltam que o primeiro ponto deve ser o de planejamento, estudando as empresas e seus dados, buscando quantificar os riscos e os benefícios dessa migração.
Nesse processo de migração é possível verificar diferentes modelos citados pelos autores, destacando-se neste estudo o modelo citado por Janshidi et al. (2013), Cloud Reference Migration Model – Cloud-RMM, em português, Modelo de Referência para Migração para Nuvem, que sugere que esse processo seja feito em quatro etapas: planejamento; execução; avaliação; e interesses transversais, detalhas no Quadro 1.
Quadro 1. Modelo de Referências para Migração para Nuvem
| Planejamento | Estudo de viabilidade, análise de requisitos, decisões de provedores e serviços, estratégias de migração. |
| Execução | Modificação de código, extração de arquitetura, extração de dados e transformação. |
| Avaliação | Implantação, teste, validação. |
| Questões transversais | Governança, segurança, treinamento, estimativa de esforço, mudança organizacional, multilocação. |
Fonte: Janshidi et al. (2013).
Importante mencionar que Janshidi et al. (2013) identificaram em sua pesquisa que um dos principais problemas das empresas no processo de migração dos dados para a nuvem está nas preocupações transversais que não são tratadas adequadamente, além disso os autores evidenciaram a falta de suporte de adaptação arquitetônica e nuvem auto adaptável para sistemas.
Autores como Zhao e Zhou (2014) e Castro e Sousa (2010) consideram que para cada modelo de serviço em nuvem deve-se considerar gerenciamento de riscos e estratégias de migração para cada um deles. Os riscos inerentes em cada modelo de serviço em nuvem são apresentados por Castro e Sousa (2010), conforme demonstra o Quadro 2.
Quadro 2. Riscos inerentes nos modelos de migração em nuvem
| Modelo de Serviço | Características dos riscos | Risco Relativo |
| Infraestrutura como Serviço (Infrastructure-as-a-Service – IaaS) | Neste modelo de serviço o consumidor não administra ou controla a infraestrutura da nuvem subjacente, mas tem controle sobre os sistemas operacionais, armazenamento de aplicativos implantados e os componentes de rede selecionados. | Médio |
| Plataforma como Serviço (Platform as a Service – PaaS) | Neste modelo de serviço o consumidor não administra ou controla os recursos de infraestrutura da nuvem subjacente, tais como componente de rede, servidores, sistemas operacionais, ou armazenamento. Porém o consumidor tem controle sobre os aplicativos utilizados na hospedagem de aplicativos e nas configurações de ambientes. | Alto |
| Software como Serviço (Software as a Service – SaaS) | Neste modelo de serviço o consumidor não administra ou controla a infraestrutura subjacente da nuvem. O que inclui componentes de rede, servidores, sistemas operacionais, armazenamento ou capacidade de aplicação individual. A possível exceção relaciona-se a algumas configurações específicas do usuário e de alguma configuração de aplicativos. | Muito Alto |
Fonte: Castro e Sousa (2010).
Como se verifica no Quadro 2, o modelo SaaS é o que representa maior risco relativo, todavia, também se mostra como o mais completo, permitindo o envolvimento de rede, servidores, sistemas operacionais, armazenamento ou capacidade de aplicação individual.
Zhao e Zhou (2014) elucidam que no modelo SaaS, o foco não é a infraestrutura, mas sim o desenvolvimento, a inovação, se mostrando mais vantajoso para a empresa por haver uma redução no esforço de migração e por tornar a reengenharia desnecessária, destacando-se o SaaS por substituição.
Todavia, considerando que neste estudo enfoca-se na migração de armazenamento interno para a nuvem, verifica-se o IaaS como mais vantajoso nesse processo, de acordo com Peron (2012) esse modelo se mostra mais eficiente, com a unificação de diversos serviços em apenas um fornecedor é capaz de reduzir os custos e o tempo de solução para o usuário.
Assim, a partir das pesquisas apresentadas e de seus resultados relacionados à migração de dados do servidor interno para nuvem, enfocando o modelo IaaS propõe-se as seguintes etapas como boas práticas de segurança:
- Planejar a migração, tendo como base os arquivos que serão migrados e a viabilidade dessa migração, analisando os requisitos de migração. É importante que nesta etapa haja integração das informações dentro da empresa entre a equipe de TI e a gestão da empresa, a fim de evitar erros e falhas por falta de comunicação;
- Execução da migração, onde o processo é realizado em si, com a extração das informações do servidor interno e inclusão no provedor da nuvem. Lembrando que com o uso do IaaS por substituição tem-se redução nos custos e no tempo demandado;
- Avaliação da migração durante todo o processo, sendo esta de fundamental importância, considerando o alto risco envolvido, sendo necessário que os profissionais estejam atentos às possíveis falhas que podem vir a ocorrer. Indica-se nesta etapa a geração de indicadores para acompanhamento do desempenho do processo de migração, para que possa fazer análises mais precisas com fatos e dados, conforme o negócio de cada organização. Além disso, destaca-se a ocorrência de testes e validações nesta etapa;
- Por fim, sugere-se que esta etapa final também receba atenção especial das empresas em processo de migração, destacando-se o treinamento e a capacitação dos funcionários para uso do sistema em nuvem, promovendo um gerenciamento de mudança, considerando que um dos principais problemas da segurança da informação ainda está pautados nos recursos humanos.
Nesse contexto, a partir dos estudos realizados foi possível verificar que o processo de migração de dados do servidor interno para a nuvem requer cuidados das empresas, com vistas a evitar problemas na integridade dos dados, garantindo a segurança da informação em todo o processo.
CONCLUSÃO
A migração tratada neste estudo é o processo de mover dados do servidor interno para a nuvem, sendo possível demonstrar a demanda por segurança da informação presente nesse processo, considerando os riscos envolvidos em relação à integridade dos dados.
O estudo demonstrou que a computação em nuvem tem sido de fato benéfica para as empresas, todavia, o processo de segurança da informação precisa de atenção, principalmente nesta etapa de migração, acreditando-se que erros e falhas nesta etapa podem comprometer todos os resultados da organização.
A partir da revisão de literatura realizada, foi possível traçar boas práticas para segurança da informação no processo de migração de dados do servidor interno para a nuvem: planejamento; execução; avaliação; e questões transversais já sugeridas na pesquisa de Janshidi et al. (2013). Porém, nesta pesquisa foi dado enfoque à etapa de avaliação, sugerindo-se a elaboração de indicadores para monitoramento do processo de migração, para que seja possível fazer análises mais precisas com fatos e dados, conforme o negócio de cada organização.
Ao final desta pesquisa elucida-se que o estudo foi limitado pela escassez de estudos na área, principalmente no Brasil, com a maior parte das publicações feitas em língua inglesa. Nesse sentido, sugere-se que novas pesquisas sejam realizadas, recomendando-se a elaboração de estudo de caso com as boas práticas para que se verifique sua viabilidade.
REFERÊNCIAS
FLICK, Uwe. Uma introdução à pesquisa qualitativa. Trad Sandra Netz. 2. ed. Porto Alegre: Bookman. 2004.
GIDDENS, Anthony. Sociologia. 4. ed. Porto Alegre: Artmed. 2005.
GIL, A. C. Como elaborar projetos de pesquisa. 4. ed. São Paulo: Atlas. 2007.
GONZALEZ, N. M., MIERS, C. C., REDÍGOLO, F. F., ROJAS, M. A. T., & DE BRITO CARVALHO, T. C. M. Segurança das nuvens computacionais: uma visão dos principais problemas e soluções. Revista USP, (97), 27-42. 2013.
IDC, INTERNATIONAL DATA CORPORATION. Worldwide Public Cloud Services Spending Forecast to Reach $122.5 Billion in 2017, According to IDC. 2017. Disponível em: https://www.idc.com/getdoc.jsp?containerId=prUS42321417 Acesso em: julho, 2020.
KUSHWAH, V. S., & SAXENA, A. A security approach for data migration in cloud computing. International Journal of Scientific and Research Publications, 3(5), 1-8. 2013.
LAKATOS, E. M.; MARCONI, M. A. Fundamentos de metodologia científica. 3.ed. São Paulo: Atlas. 1991.
PAHL, C., & XIONG, H. Migration to PaaS clouds-migration process and architectural concerns. In 2013 IEEE 7th International Symposium on the Maintenance and Evolution of Service-Oriented and Cloud-Based Systems (pp. 86-91). IEEE. 2013.
PERON, Diego As vantagens da migração para o modelo IaaS. 2012. Disponível em: https://www.baguete.com.br/artigos/1142/diego-peron/07/08/2012/as-vantagens-da-migracao-para-o-modelo-iaas Acesso em: jul.2020.
ROESCH, Sylvia Maria Azevedo. Projetos de estágio e de pesquisa em administração. 3. ed. São Paulo: Atlas. 2005.
ROSADO, D. G., GÓMEZ, R., MELLADO, D., & FERNÁNDEZ-MEDINA, E. Security analysis in the migration to cloud environments. Future Internet, 4(2), 469-487. 2012.
VALOR ECONÔMICO. Empresas optam cada vez mais por infraestrutura em Nuvem. G1. 2018. Disponível em: http://www.valor.com.br/patrocinado/embratel/tendencias-ti-e-telecom/empresas-optam-cada-vez-mais-por-infraestrutura-em-nuvem Acesso em: jul.2020.
ZHAO, J. F., & ZHOU, J. T. Strategies and methods for cloud migration. international Journal of Automation and Computing, 11(2), 143-152. 2014.
[1] Especialista Técnico em Eletrônica.
[2] Orientador. Engenheiro Eletricista Especialista em Eletrotécnica.
Enviado: Outubro, 2020.
Aprovado: Outubro, 2020.
