Modelos de Negócio e Gestão Financeira em Cloud - TIPOS DE NUVEM - 02

Prévia do material em texto

Imprimir
INTRODUÇÃO
Olá, Estudante! Discutiremos, nesta aula, os modelos de nuvem e suas aplicabilidades no cotidiano pro�ssional.
Iremos apresentar os modelos de nuvem Infrastructure as a Service (IaaS), Software as a Service (SaaS) e
Platform as a Service (PaaS), compreendendo cada um deles de modo a avaliar qual é o melhor de acordo com
as situações.
O mercado de trabalho em nuvem está em alta. Buscar alternativas e aprofundar o conhecimento sobre os
produtos dos principais players do mercado de nuvem com certeza trará vantagens competitivas ao mercado
de TI. Para quem quer ir além, são indicadas as certi�cações técnicas de nuvem, tanto AWS (Amazon Web
Services), quanto Azure ou Google Cloud Platform.
MODELO DE NUVEM INFRASTRUCTURE AS A SERVICE (IAAS)
Por anos, para garantir o crescimento da infraestrutura de TI das empresas, se fazia necessário grande
investimento em equipamentos físicos, como servidores e switchs, compondo data centers cada vez maiores.
Além dos equipamentos, era preciso garantir a disponibilização de espaço para alocar os equipamentos
dispostos em racks, com maior dimensionamento de ar-condicionado e redundância em energia, elevando os
custos de manutenção para sustentar esses ambientes.
Início da Virtualização
Em 1998, cinco pesquisadores criaram a Vmware, em Palo Alto, Califórnia. Em 1999, a empresa criou uma
solução para virtualização de computadores pessoais. Em 2002, foi iniciada a virtualização de servidores e,
�nalmente, a teoria que data dos anos 1960 e 1970 teve aplicabilidade. A partir desse momento, foi possível
transformar os servidores físicos em inúmeros servidores virtuais.
A virtualização de servidores é a base do modelo de Infraestrutura como serviço, pois possibilita segmentar
recursos físicos, como processadores, memórias e discos em recursos virtuais, possibilitando entregar a solução
na medida que o cliente necessita, tendo, como limite, o que o servidor físico possui de processador, memória
RAM e armazenamento. Essa tecnologia foi um grande habilitador da Cloud Computing, e grandes empresas de
tecnologia como AWS, Microsoft, Google, IBM, entre outras, investiram para criar esse modelo de negócio.
A Cloud Computing agora proporciona às empresas um novo modelo de negócio, no qual o serviço é pago
mensalmente, sob demanda. O modelo de cobrança se dá por uso, isto é, paga-se pelos recursos (processador,
memória e disco) apenas quando eles estão em funcionamento. Em caso de necessidade de expansão, há um
rápido provisionamento de recursos, aumentando a capacidade computacional. Isso também contribui para
reduzir o custo total de propriedade (TCO).
Infrastructure as a Service (IaaS) recursos e benefícios
Aula 1
TIPOS DE NUVEM
O mercado de trabalho em nuvem está em alta. Buscar alternativas e aprofundar o
conhecimento sobre os produtos dos principais players do mercado de nuvem com certeza trará
vantagens competitivas ao mercado de TI.
42 minutos
Em 2006 a AWS iniciou seu serviço de computação em nuvem com o serviço chamado EC2 ou Elastic Compute
Cloud, que foi, basicamente, um serviço que oferecia servidores em nuvem de maneira escalável, sob demanda
e pago pelo uso para usuários �nais, podendo selecionar quais recursos a máquina possuirá de maneira rápida,
fácil e pagando apenas pelo necessário. Os benefícios deste modelo de serviço são muitos: paga-se pelo uso e,
com isso, cria-se regras de desligamento da máquina virtual nos momentos em que não estão em operação,
reduzindo o custo mensal. Possibilita-se também o crescimento do ambiente em um dado espaço de tempo, a
exemplo de um e-commerce que precisa de mais recursos em grandes promoções e na época da Black Friday,
voltando ao seu estado normal após este período. Tais mudanças podem acontecer rapidamente, em alguns
minutos – em muitos casos, de forma automática, sem intervenção do administrador da cloud. Outros
exemplos de uso de Infrastructure as a Service são:
Criação de ambiente de desenvolvimento e ambiente de testes que podem ser ligados somente quando
necessário, reduzindo custos de aquisição de hardware.
Criação de ambiente para Backup e Disaster Recovery. É possível criar ambientes em nuvem com os
recursos e o backup do ambiente de produção, criando, assim, um ambiente para recovery, com custo
mais baixo e com mínimo downtime para as aplicações.
VIDEOAULA: MODELO DE NUVEM INFRASTRUCTURE AS A SERVICE (IAAS)
Ao longo do vídeo vamos abordar os seguintes pontos de discussão:
Benefícios da Cloud e IaaS e pontos de atenção;
Tipos de instâncias da AWS por uso geral, otimizadas para computação, para memória, entre outras;
Serviços de nuvem vinculadas a Infraestrutura como serviço;
Pontos de atenção para projetos de montagem ou migração de nuvem;
Testes práticos na AWS.
MODELO NUVEM SOFTWARE AS A SERVICE (SAAS)
Com o avanço das telecomunicações e a evolução da computação em nuvem permitindo acessos rápidos e com
custo menor e para um maior número de pessoas, surgiu um outro conceito chamado de Software como
Serviço. Novas formas para utilização dos sistemas foram criadas. Antes, se fazia necessário a aquisição de
licenças para utilização do sistema de um determinado software e suas versões. Nesse novo modelo, o acesso
ao sistema dá-se via internet e sem a necessidade de o cliente ter Infraestrutura de TI própria, possibilitando as
mesmas permissões e, ainda, garantindo atualizações e suporte por um valor �xo mensal. Além disso, toda
parte de segurança da informação e disponibilidade do ambiente �ca sob a responsabilidade do provedor da
solução.
A indústria identi�cou que a venda única para cliente, mesmo que com alto valor, era insustentável ao longo do
tempo. Grandes empresas como Microsoft, Adobe, SAP, entre outras, adotaram esse modelo de receita
recorrente proporcionado pela venda de software como serviço.
Videoaula: Modelo de nuvem Infrastructure as a Service (IaaS)
Para visualizar o objeto, acesse seu material digital.
Software as a Service – Recursos e benefícios
Dentre várias vantagens do uso de Software as a Service, podemos destacar as seguintes:
Toda infraestrutura de TI é de responsabilidade do fornecedor, assim como a parte de manutenção dos
equipamentos e garantia de SLA (Nível de Acordo de Serviço). Isto é, o fornecedor entrega a solução pronta
para uso fazendo com que o cliente foque em suas atividades, deixando o restante com a responsabilidade
do fornecedor da solução.
Para muitas soluções, o pagamento é por usuário, o que bene�cia o cliente, já que pode iniciar com poucas
licenças e ir expandindo conforme a demanda e a necessidade do negócio.
Foco total do cliente em utilizar e extrair o melhor, sem preocupação em como manter, bem como com os
gastos com formas redundantes com energia, nobreaks e outros serviços de TI para manter os sistemas
em operação.
Pontos de atenção na adoção da tecnologia
Os dados �cam no servidor do fornecedor. Então, para muitas empresas, isso é um obstáculo para adoção.
O tempo de resposta entre o sistema e o usuário é maior do que se fosse um sistema em ambiente
interno. Com isso, soluções que precisam de taxa de respostas mais curtas ou que usam outros
equipamentos conectados �sicamente podem ser um problema para a adoção de Sistemas como Serviço, a
exemplo de um sistema que precisa fazer pesagem com balança rodoviária e que o processo de pesagem
precisa ser realizado em poucos segundos. Nesse caso, a solução em nuvem não atenderia o requisito, já
que a latência poderia atrasar o processo de negócio.
A operação dos sistemas de TI da empresa �ca dependente da conexão com a internet. Então, a adoção de
links redundantes e de provedores distintos mitigam o risco de problemas de acesso viabilizando o acesso
ao sistema pela empresa.
VIDEOAULA: MODELO NUVEM SOFTWARE AS A SERVICE (SAAS)
O modelo SaaS, hoje, é perfeito para empresas que não dispõem de equipes de TI. Softwares como ERP, por
exemplo, �caram mais acessíveis a pequenas e médias empresas, já que, com essemodelo de assinatura, é
possível receber mensalmente e ratear os custos com os outros clientes, �cando viável para o desenvolvedor e
para a empresa contratada. Muitos fundos de investimentos preferem investir em XaaS que seria algo como
transformar tudo como serviço, modelo de negócio que está transformando a sociedade, pois agora é possível
pagar por uso serviços que antes não eram possíveis. No vídeo, falamos um pouco mais sobre o modelo Saas.
MODELO NUVEM PLATFORM AS A SERVICE (PAAS)
O modelo de Plataforma como Serviço foi desenvolvido com o objetivo de facilitar e simpli�car a escrita dos
códigos, deixando transparente para o desenvolvedor toda a parte de instalação e con�guração das tecnologias
para desenvolvimento, como, por exemplo, instalação e con�guração do Apache ou IIS (Internet Information
Services). O PaaS Também facilita e abstrai toda parte de instalação e con�guração do sistema de
Videoaula: Modelo nuvem Software as a Service (SaaS)
Para visualizar o objeto, acesse seu material digital.
gerenciamento de banco de dados (SGBD), seja ele Oracle, SQLServer, Mysql, etc. Nesse mesmo modelo, se
inclui também o desenvolvimento de aplicativos móveis, deixando a cargo do provedor de nuvem toda
complexidade e manutenção dos serviços necessários para executar as aplicações móveis.
Outra característica da PaaS é que, como qualquer serviço em nuvem, tem a facilidade de provisionar os
recursos conforme a necessidade do projeto, e os custos são gerados conforme as con�gurações determinadas
para as soluções. Também é um modelo de fácil escalabilidade na solução e na con�ança da disponibilidade da
aplicação. Com isso, a equipe de desenvolvimento não precisa se ocupar com tarefas de gerenciamento e
manutenção da infraestrutura necessária.
Recursos e Benefícios
Com a tecnologia de Plataforma como Serviço, é possível criar ambientes, sejam eles em Java, .Net, PHP, Python,
mobile, entre outros, de forma simples e prática, isentando a equipe de cuidar da instalação dos serviços
necessários para o desenvolvimento e reduzindo a complexidade.
Pontos de atenção na adoção da tecnologia
Com a facilidade em criar os ambientes, um ponto de atenção é a redução do controle sobre o que o software
está executando, já que o serviço onde o sistema é implementado não é mais de controle do desenvolvedor.
Antes da adoção, é importante validar os custos com os calculadores disponíveis em cada provedor, seja AWS,
Azure, Google Cloud, entre outras, sempre considerando criar vários cenários já imaginando um crescimento do
ambiente para prever um aumento de recursos em cloud e já prever no orçamento do departamento esse
aumento de custo. Com isso, deve-se dar uma atenção maior ao custo, pois, no início do projeto, ainda com
pouco uso e poucos usuários, pode parecer viável. Porém, um estudo mais aprofundado e uma análise de
cenários mais detalhada pode mostrar que, conforme a demanda/necessidade aumentar, os recursos
computacionais e consequentemente os custos poderão inviabilizar o projeto.
Atenção também em casos de migração de sistemas que tanto rodam dentro dos data centers da empresa (on-
premise) para nuvem quanto de nuvem para on-premise, pois, nesses casos, é preciso analisar todos os
detalhes das mudanças necessárias na aplicação para realizar a migração com sucesso. A forma de gravação,
por exemplo, de um arquivo em serviço de armazenamento e disponibilização para download para o usuário
pode ser totalmente diferente. Com isso, é necessário mapear e realizar as mudanças na aplicação para
executar nos ambientes de nuvem e on-premise.
Estudante, no material abaixo você pode visualizar uma síntese dos conteúdos abordados durante os nossos
estudos.
Figura 1 | Softwares cloud: principais características
VIDEOAULA: MODELO NUVEM PLATFORM AS A SERVICE (PAAS)
As soluções de PaaS tem como objetivo acelerar a entrega de soluções pelo departamento de TIC e, com isso, se
faz necessário um conhecimento mais especí�co sobre esses serviços dentro do provedor de cloud,
oportunidade essa para que você consiga evoluir seu conhecimento em DevOps, por exemplo.
ESTUDO DE CASO
Estudante, o estudo de caso é uma ótima oportunidade para pôr em prática os conhecimentos
adquiridos durante as nossas aulas. Aproveite!
Imagine que você trabalha em uma empresa e seu gerente requereu a montagem de um Business Case
mostrando os benefícios esperados, análise de investimento, prazo e possíveis riscos de uma migração da
infraestrutura de TI da empresa, que já é virtualizada para nuvem. No seu parque, você possui:
1 servidor Windows com Active Directory com 4 vcpu, 8gb de RAM e 70 Gb de armazenamento.
1 servidor Windows de arquivos com 4 vcpu, 8gb de RAM e 1Tb de armazenamento.
1 servidor Linux de aplicação com 6 vcpu, 12 gb de RAM e 100 Gb de armazenamento.
1 servidor Linux para banco de dados Oracle com 8 vcpu, 12gb de RAM e 200Gb de armazenamento.
1 �rewall Open Source com openvpn para conexão via VPN com a cloud.
Não se esqueça de analisar as compatibilidades de softwares e requisitos de velocidade de acesso, além da
forma primária e a redundância para acesso ao ambiente em cloud, lembrando que, para ter acesso ao
ambiente, a conexão com a internet será fundamental. Desenhe também a solução de backup.
RESOLUÇÃO DO ESTUDO DE CASO
Respondendo aos itens do Business Case teríamos:
Videoaula: Modelo nuvem Platform as a Service (PaaS)
Para visualizar o objeto, acesse seu material digital.
Benefícios esperados: redução de manutenção em UPS (Uninterruptible Power Supply), redução de
investimento em CAPEX para aquisição de equipamentos de TI, entre outros.
Análise de custos: podem ser calculados através das calculadoras da AWS.
Riscos: deve-se avaliar se a empresa tem capacidade de link para acesso de todos os recursos em nuvem,
analisando a largura de banda do link de internet e a disponibilidade, sendo necessário no mínimo dois
links que sejam entregues de diferentes backbones. Acesso dos usuários pela cloud será direto ou teria
uma vpn para acesso?
 Saiba mais
A AWS possui mais de 200 serviços em nuvem, sendo a líder no quadrante mágico da consultoria
Gartner em 2020. Conheça! 
Caso queira se aprofundar mais, você pode também buscar certi�cações em cloud, seja em AWS, iniciando
pela certi�cação AWS Certi�ed Cloud Practitioner. Você pode optar também por Microsoft Azure.
Resolução do Estudo de Caso
Para visualizar o objeto, acesse seu material digital.
INTRODUÇÃO
Olá, estudante, discutiremos um pouco mais sobre os benefícios da utilização da nuvem, desde seus aspectos
técnicos até os de negócios. Veremos também alguns riscos que a adoção da tecnologia em nuvem pode trazer
para a empresa. Com isso, teremos capacidade de entender, de forma global, os benefícios e os riscos
implicados no uso da computação em nuvem.
Contudo, você pode buscar mais referências sobre o tema, já que ele é amplo e de responde à grande demanda
das empresas por pro�ssionais com conhecimentos não somente técnicos, mas também gerais para apoiá-las a
tomar as melhores decisões.
MENOS PROPRIEDADE, MAIS USO DE SERVIÇOS
A constante evolução dos mercados foi sentida também no departamento de TIC (Tecnologioa da Informação e
Comunicação). Empresas que costumavam investir em equipamentos de TIC se veem agora em um novo
cenário em que é possível delegar a outras empresas a responsabilidade de manter e acondicionar os
ambientes físicos e virtuais dos servidores.
Aula 2
CARACTERÍSTICAS
Nesta aula, discutiremos um pouco mais sobre os benefícios da utilização da nuvem, desde seus
aspectos técnicos até os de negócios.
42 minutos
https://aws.amazon.com/pt/what-is-aws/
https://aws.amazon.com/pt/certification/certified-cloud-practitioner/
https://docs.microsoft.com/pt-br/learn/certifications/exams/az-900
Tempos atrás, os investimentos eram feitos através de CAPEX. A empresa despendia de capital para adquirir
todos os equipamentos de TIC para a sustentação do ambiente computacional, arcava com oscustos de
implementação, suporte, garantia e aquisição de licenciamento de software, além de outros, tendo, ainda, o
ônus de, em pouco tempo, atualizar os equipamentos, contratar garantias estendidas para suporte em caso de
falha física nos servidores ou suporte estendido também para alguns fabricantes de softwares.
Assim, muitas empresas migraram do modelo de CAPEX para OPEX, trocando os altos investimentos em
equipamentos e licenciamentos por pagamentos mensais pelos mesmos serviços, o que permitiu que elas
focassem mais investimentos no crescimento do negócio. Paga-se somente o que de fato é utilizado de recursos
computacionais para atender as especi�cidades das demandas de cada negócio.
Figura 1 | Dualidade: CAPEX versus OPEX
Fonte: Shutterstock.
Outra vantagem desse modelo é que, no pagamento mensal, já estão inclusos os custos de manutenção dos
equipamentos e as atualizações necessárias, que são executadas diretamente pelo provedor do serviço,
evitando a criação de janelas de manutenções e, consequentemente, indisponibilidades no ambiente que
podem afetar a continuidade do negócio.
Portanto deve-se sempre avaliar a possibilidade de migrar o ambiente para a nuvem. Como vimos, além de
benefícios técnicos para gestão e operação da estrutura em nuvem, os custos envolvidos �cam mais previsíveis
e fáceis de aprovar em caso de necessidade de contratação de mais recursos de nuvem. O pagamento por uso
habilita as empresas a utilizarem ambientes mais modernos e com mais serviços disponíveis do que somente
ter servidores físicos dentro da empresa.
Custos que costumam passar despercebidos precisam ser considerados no cálculo para levar os servidores para
a nuvem. Energia elétrica para manter os data centers disponíveis deixam de existir, assim como custos para
ampliá-los em caso de necessidade de crescimento da estrutura. Por outro lado, deve-se �car atento à cotação
do dólar, já que este fator se relaciona diretamente aos custos mensais de utilização.
Portanto, em um projeto de troca de aquisição por uso mensal, todos esses itens devem ser levados em
consideração para analisar se o projeto de migração será viável ou não.
VIDEOAULA: MENOS PROPRIEDADE, MAIS USO DE SERVIÇOS
No vídeo abordamos o custo total de propriedade (TCO), ou seja, uma forma muito utilizada para justi�car a
troca de compra por serviço. Damos atenção à previsibilidade no orçamento e recursos que podem ser úteis no
momento da aquisição da nuvem para não haver �utuação dos valores conforme o dólar.
VANTAGENS DA TECNOLOGIA EM NUVEM PARA O NEGÓCIO
Uma pesquisa produzida pelo Software Veeam mostrou que mais de 50% das empresas utilizam cloud, dado os
benefícios e o leque de possibilidades que os serviços em nuvem oferecem, desde uma simples máquina virtual
até complexos ambientes de Disaster & Recovey, sendo possível também comprar armazenamento para enviar
os dados do backup da empresa para a nuvem.
Dentro de variadas vantagens do uso da tecnologia em cloud, destacam-se alguns exemplos práticos de uso da
nuvem e seus benefícios:
Estrutura de DR (Disaster and Recovery)
Essa era uma prática acessível somente por grandes empresas, pois dependia de investimentos em local
diferente de onde o datacenter estava. As empresas precisavam criar toda estrutura física, conectividade e
operação do cenário de DR. Com o advento da computação em nuvem, pode-se ter ambientes prontos e
atualizados para que, no momento do desastre, um ambiente de recovery seja levantado com um custo menor
para empresa.
Copia de backup O�site
A computação em nuvem possibilita a utilização de serviços de armazenamento para enviar os backups para
outro local. Com isso, os backups são executados em armazenamento local e depois enviados via internet para
a nuvem. Esse tipo de serviço é exclusivo para armazenar dados. Uma de suas características é que a cobrança
é de�nida por gigabytes utilizados, mas também entram no custo os volumes upload e download. Isso tudo
exige um controle de operações de TI para garantir que os backups estejam íntegros e que o tempo de levantar
o ambiente esteja dentro do que a empresa espera, pois é necessário saber qual é o custo de downtime
(indisponibilidade de TI para a empresa).
Provisionamento automático de máquinas virtuais
Em e-commerce, o tempo de carregamento da página pode determinar a compra ou não do item. Um relatório
criado pela Wolfgand Digital mostrou que 1 segundo de lentidão diminui, em média, 20% da conversão de
clientes. Em casos como, por exemplo, a Black Friday, é vital o provisionamento de recursos para que a
experiencia do usuário e, por consequência, a taxa de conversão dos clientes, não sejam afetadas. Isso é feito
de forma automática quando os parâmetros con�gurados forem atingidos. Dessa forma, o ambiente se
mantém estável e sem a necessidade de intervenção manual da equipe de TIC.
Videoaula: Menos propriedade, mais uso de serviços
Para visualizar o objeto, acesse seu material digital.
Podemos citar muitos outros benefícios trazidos pela computação em nuvem, como, por exemplo, a execução
de algoritmos de inteligência arti�cial, a realização de toda a carga de processamento matemático na nuvem,
assim como soluções para IOT (Internet das coisas) já prontas para o uso.
VIDEOAULA: VANTAGENS DA TECNOLOGIA EM NUVEM PARA O NEGÓCIO
No vídeo abordamos os desa�os para compreender quais os benefícios a nuvem podem trazer para a empresa
onde trabalha ou pretende trabalhar.
RISCOS DA TECNOLOGIA EM NUVEM
Assim como acontece quando qualquer tecnologia é adotada, há riscos envolvidos que merecem nossa atenção.
Vejamos alguns casos comuns:
Tecnologia não adere ao negócio
Para mitigar esse risco, é essencial o envolvimento não apenas do TI, mas de toda a empresa. Adotar estratégias
que envolvam serviços de nuvem não é somente uma questão de tecnologia. A adoção da nuvem impacta a
todos da organização.
Acessos indevidos
A maturidade da empresa em relação ao uso de credenciais deve ser reforçada na utilização de cloud, porque
alguns tipos delas dão acesso às infraestruturas e sistemas inteiros, podendo ser acessadas por pessoas não
autorizadas. O compartilhamento de credenciais entre vários usuários, geralmente com permissões
administrativas, é um hábito que deve ser abandonado em qualquer ambiente, principalmente no cloud
computing.
Compliance
Considere que, mesmo que seus dados estejam hospedados e gerenciados em um provedor de serviço, você é
responsável por mantê-los seguros e íntegros. É importante saber quais certi�cações o seu provedor de
cloud possui e se elas se aplicam aos serviços que você contratou.
Além disso, é fundamental que haja uma conformidade com boas práticas de segurança e auditoria de acordo
com o nível exigido por seus sistemas. Geralmente, provedores de nuvem sérios também oferecem facilitadores
de compliance para monitorar esse quesito nos sistemas dos clientes.
A função da compliance é validar se as regras estão sendo seguidas e, se não estiverem, fornecer mecanismos
que informem sobre a necessidade de ajustes ou os realizem automaticamente.
Desastres naturais
O cloud computing foi criado para garantir disponibilidade e estabilidade. Porém, existem casos, como
desastres naturais, que podem comprometer data centers inteiros ou a conectividade em uma região, ainda
que por alguns minutos, horas ou dias. Apesar do fato de que quase tudo na nuvem acontece através de
Videoaula: Vantagens da tecnologia em nuvem para o negócio
Para visualizar o objeto, acesse seu material digital.
automatizações, a falha humana pode causar incidentes e indisponibilidade. Um procedimento de atualização
mal sucedido também pode ser o causador de falhas de software e indisponibilidade.
Pensando nesse tipo de risco, a nuvem conta com mecanismos de replicação, contingência e redundância que,
sempre que possível, devem ser utilizados.
Não ter uma estratégia de saída da cloud
É recomendado que se tenha uma estratégia de saída da cloud em caso denecessidade, tendo em vista que os
custos podem ser alterados ao longo do tempo por fatores como: crescimento dos ativos computacionais da
empresa, assim como a cotação do dólar, uma vez que os valores são indexados ao valor dessa moeda.
Ter backup e serviços em mesmos data centers
É necessário saber onde estão os backups dos recursos em nuvem a �m de garantir que eles estejam em locais
diferentes para que, em caso de problemas com o datacenter, seja possível restaurar o backup em outro local.
Vulnerabilidades
Vulnerabilidades estão presentes no cotidiano do pro�ssional de TI. Esse risco deve ser ostensivamente vigiado,
pois em muitas vulnerabilidades antigas e já conhecidas podem ainda não terem sido aplicados os patchs para
correção. Com isso é importante estar atendo às vulnerabilidades conhecidas, como também as
vulnerabilidades zero day, que são vulnerabilidades ainda desconhecidas por seus fabricantes.
VIDEOAULA: RISCOS DA TECNOLOGIA EM NUVEM
Em todo ambiente de TI, existem inúmeros riscos por ser um “organismo vivo”, que cresce e toma forma a cada
dia, em especial no ambiente de cloud, uma vez que recursos físicos são compartilhados e, sem as devidas
tratativas pelo provedor de serviço, é possível ter vazamento de dados, uma vez que as máquinas virtuais estão
rodando em servidores físicos e, sem a devida proteção, é possível acessar os dados de outros clientes.
Portanto, na adoção da tecnologia, é necessário levantar todos os riscos para criar uma matriz de risco e
determinar como serão mitigados. No vídeo, abordamos esses assuntos com maior profundidade, con�ra!
ESTUDO DE CASO
Olá, estudante, aqui no estudo de caso você terá a oportunidade de aplicar os conhecimentos adquiridos
ao longo dos nossos estudos. Vamos lá?
Seu gerente pediu para analisar os detalhes dos benefícios de migração das aplicações de mercado que a
empresa possui, pois ele está analisando a migração, uma vez que a garantia dos equipamentos físicos já está
vencendo e há possibilidade de migração para cloud. Além disso foi pedido a avaliação sobre quais são os riscos
inerentes que a empresa estaria exposta e como poderia mitiga-los para que a adoção da nuvem seja viável
�nanceira e tecnicamente.
Videoaula: Riscos da tecnologia em nuvem
Para visualizar o objeto, acesse seu material digital.
RESOLUÇÃO DO ESTUDO DE CASO
É importante ter em mente que a proposta de tecnologia para a empresa deve convergir com seus objetivos. O
TI deve estar alinhado com o negócio para propor tecnologias que facilitem a conquista dos objetivos e garantir
que sua adoção não seja apenas técnica, mas também cultural.
Portanto, identi�cando que a nuvem é uma ótima solução para a empresa, é necessário, agora, avaliar os riscos
para empresa, tais como: risco de acesso de pessoas indevidas, riscos de indisponibilidade, risco de alguma
aplicação não funcionar corretamente, pois necessita de uma conexão física local ou até mesmo pela latência
resultado do tempo de trafego do pacote até o servidor.
 Saiba mais
Para buscar mais informações sobre vulnerabilidades conhecidas, acesse o site da CVE. Este site tem,
catalogadas, muitas vulnerabilidades conhecidas de diferentes plataformas.
Resolução do Estudo de Caso
Para visualizar o objeto, acesse seu material digital.
INTRODUÇÃO
Aprofundaremos um pouco mais nossa abordagem sobre o que a computação em nuvem nos oferece em
recursos de hardware, de aplicação como serviços e plataformas de desenvolvimento. Com isso, você
conseguirá entender e melhor de�nir um serviço para determinado projeto de migração ou mesmo de�nir qual
é o melhor modelo no início de algum projeto.
A cloud computing é uma vasta disciplina que exige dedicação e atualização do conhecimento, uma vez que os
players de mercado estão sempre modernizando seus serviços e incluindo novas funcionalidades, novos
serviços que antes não eram prestados.
ABORDAGEM DOS SERVIÇOS DE HARDWARE, PROCESSAMENTO,
VIRTUALIZAÇÃO E MEMÓRIA
A consultoria Gartner publica anualmente relatórios chamados Quadrantes Mágicos. São grá�cos que possuem
4 categorias classi�catórias: Leaders, Visionaries, Niche Players e Challengers. Por anos, a AWS, no relatório de
Infraestrutura em Cloud e Plataforma, vem sendo categorizada como Leader dentro do Quadrante Mágico,
seguida por Microsoft e Google. Falaremos um pouco mais sobre esses três players.
Aula 3
BENEFÍCIOS DA NUVEM PARA O NEGÓCIO
A cloud computing é uma vasta disciplina que exige dedicação e atualização do conhecimento,
uma vez que os players de mercado estão sempre modernizando seus serviços e incluindo novas
funcionalidades e novos serviços.
37 minutos
https://cve.mitre.org/
Dentro do ambiente de cloud Computing, temos inúmeros serviços. Neste bloco falaremos dos serviços de
nuvem voltados para computação, isso é, a criação de instâncias virtuais dentro dos principais players de
mercado.
Dentro da AWS, por exemplo, há o serviço chamado EC2 (Elastic Computer Cloud), parte central da computação
em nuvem. Com ele, é possível criar máquinas virtuais com as con�gurações necessárias para o seu projeto de
migração de ambiente interno para nuvem ou de adoção direta de nuvem, além de determinar qual é o tipo de
con�guração necessária para o projeto, pois, com ele, temos as seguintes características:
Instâncias otimizadas para computação: focadas em entregar alta capacidade de processamento exigidas
por aplicações, como, por exemplo, servidores de jogos.
Instâncias otimizadas para memória: projetadas para fornecer desempenho rápido para cargas de trabalho
que processam grandes conjuntos de dados na memória.
Computação acelerada: usam aceleradores de hardware, ou coprocessadores, para executar funções,
como cálculos de número de ponto �utuante, processamento de grá�cos ou correspondência de padrões
de dados, mais e�cientemente do que é possível no software em execução nas CPUs.
Otimizadas para desempenho: projetadas para cargas de trabalho que exigem acesso de leitura e gravação
sequencial altos a conjuntos de dados muito grandes no armazenamento local. Baseadas em SSD, Non-
Volatile Memory Express (NVMe), otimizando para baixa latência e alta performance em E/S (Entrada e
Saída).
Dentro de outro grande player, a Microsoft Azure, existe o serviço de máquinas virtuais que, assim como o EC2,
possui serviços para entrega de serviços para computação otimizada (melhores processadores) de uso geral
recomendada para uma variedade de cargas de trabalho que não têm, como pré-requisito, aplicações que
fazem o uso de computação otimizada ou memória otimizada. Há, também, uma linha mais econômica
chamada Vm’s intermitentes, em que é possível criar máquinas virtuais de baixo custo. E, por �m, a memória
otimizada, amplamente utilizada em aplicações que necessitam de muita memória para execução, como o
banco de dados relacional.
O Google também fornece esse tipo de serviço: o Compute Engine. Assim como seus concorrentes, possui
recursos para cada tipo especí�co de necessidade do cliente, sejam máquinas para uso geral e otimizadas para
memória, como também carga de trabalho de computação intensiva com processadores de alto desempenho e
aplicativos e cargas de trabalhos mais exigentes baseados em GPU Nvidia para fornecer ainda mais capacidade
de processamento para aplicações como machine learning.
VIDEOAULA: ABORDAGEM DOS SERVIÇOS DE HARDWARE, PROCESSAMENTO,
VIRTUALIZAÇÃO E MEMÓRIA
Ao longo do vídeo vamos aprofundar nossos conhecimentos acerca dos seguintes recursos:
Elastic Computer Cloud (EC2);
AWS;
Máquinas virtuais da Azure.
Videoaula: Abordagem dos serviços de hardware, processamento, virtualização e memória
Para visualizar o objeto, acesse seu material digital.
ABORDAGEM DOS SERVIÇOS DE SOFTWARE, SISTEMA OPERACIONAL
A computação em nuvem abriu espaço para muita inovação, fazendo que fosse possível criar modelos de
negócios. Hoje sabemos que isso é muito explorado por empreendedores que desejam aumentar as receitas e
ter o controle doscustos, o que é muito bem visto por investidores. Esse modelo é o SaaS (Software como
Serviço).
Com ele, surgiram inúmeras soluções, todas elas baseadas em uma mensalidade que dá direito de acesso ao
sistema e, em alguns casos (como são os da Uber, Airbnb, iFood, etc.) o pagamento está relacionado a uma
entrega de um serviço no mundo real. Já em outros Sistemas ERP, Softwares de bares e restaurantes, Net�ix,
Spotify, a entrega é somente um acesso ao conteúdo ou direito de uso de uma determinada ferramenta.
Encontramos, também, muitas soluções SaaS chamadas de freemium, em que o sistema é gratuito (free) até um
certo ponto, e outras funcionalidades são disponibilizadas em um modelo premium (pago).
Figura 1 | Softwares de serviço
Fonte: Shutterstock.
Esse mesmo modelo é seguido também por grandes empresas de software. A Microsoft, quando dispôs o
licenciamento do Windows Server em seus servidores em nuvem, o modelo de negócio teve que ser ajustado
para que fosse possível o pagamento da licença de Windows Server conforme a necessidade do cliente, que não
mais teria de fazer grandes aquisições de licenciamento em um único momento. Da mesma forma, o
pagamento de licença de uso do O�ce 365 é atribuído em um portal de administração, a qual pode ser
removida no momento oportuno, como também pode ter um número necessário para a operação das
empresas.
Outras grandes empresas mudaram a forma de licenciamento. Antes era necessário a aquisição de licenças que
custavam muito dinheiro. Porém, a propriedade da licença era de uso da empresa pelo tempo que fosse
necessário, sem, no entanto, conferir o direito a atualizações de versão de software caso não fosse contratada
essa modalidade no momento da aquisição.
A exemplo da Adobe, que, com o advento do modelo de negócio em nuvem e venda de software como serviço,
agora oferece soluções de software, incluindo armazenamento em nuvem por um valor mensal que contempla,
além do suporte, atualizações e correções de bugs das aplicações.
Portanto, podemos notar que, com a chegada da computação em nuvem e da evolução das telecomunicações,
as quais permitiram que cada vez mais tivéssemos condições de acessar a internet com velocidades melhores e
mais con�áveis, esse modelo de negócio de SaaS se tornou viável e, atualmente, em estágio desenvolvido para
que se possa explorar ao máximo os benefícios de pagar por uso, pagar pela necessidade em termos de
recursos computacionais e, ainda, ter altos níveis de garantia de funcionamento com disponibilidades acima de
99% no ambiente de data center, evitando quedas e interrupções e fazendo com que a experiência do usuário
seja cada vez melhor.
VIDEOAULA: ABORDAGEM DOS SERVIÇOS DE SOFTWARE, SISTEMA
OPERACIONAL
Com o avanço das telecomunicações e a evolução da computação em nuvem permitindo acessos rápidos e com
custo menor e para um maior número de pessoas, surgiu um outro conceito chamado de Software como
Serviço. Ao longo do nosso vídeo, vamos abordar mais sobre o modelo de negócio SAAS e suas aplicações.
ABORDAGEM DOS SERVIÇOS DE APLICAÇÕES TAIS COMO BANCO DE DADOS,
PLATAFORMAS DE DESENVOLVIMENTO
Visando entregar serviços mais práticos e facilitar cada vez mais a entrega de recursos de TI, foram criadas
outras formas de disponibilizar tecnologia, como, por exemplo, banco de dados, servidores de aplicação – tudo
como serviço. O foco se dá, agora, no desenvolvimento de software, e não há mais a preocupação de entregar
infraestrutura, disponibilidade, backup, etc. Esses serviços em nuvem permitem a entrega mais rápida de
recursos, uma vez que, contratando-os, em poucos minutos já são disponibilizados para uso. A seguir estão
listados os serviços de banco de dados dos maiores fornecedores de nuvem:
Amazon Relational Database Service (Amazon RDS)
Facilita a con�guração, a operação e a escalabilidade de bancos de dados relacionais na nuvem. O serviço
oferece capacidade econômica e redimensionável e automatiza tarefas demoradas de administração, como
provisionamento de hardware, con�guração de bancos de dados, aplicação de patches e backups. Dessa forma,
você pode se concentrar na performance rápida, alta disponibilidade, segurança e conformidade que os
aplicativos precisam. Disponível para PostgreSQL, MySQL, MariaDB, Oracle Database e SQL Server.
Microsoft Azure
Videoaula: Abordagem dos serviços de software, sistema operacional
Para visualizar o objeto, acesse seu material digital.
Nesta plataforma, temos os seguintes bancos de dados suportados como serviço: banco de dados do Azure
para MySQL, banco de dados do Azure para MariaDB, banco de dados do Azure para PostgreSQL, banco de
dados SQL do Azure. Dentre os recursos de banco de dados no Azure, destaca-se o serviço banco de dados
SQL, que é totalmente gerenciado. Ele automatiza as atualizações, o provisionamento e os backups para que
você possa se concentrar no desenvolvimento de aplicativos.
A computação sem servidor �exível e responsiva e o armazenamento de hiper escala se adaptam rapidamente
aos seus requisitos em constante mudança. As camadas de proteção, os controles internos e a detecção
inteligente de ameaças mantêm os seus dados seguros. A IA interna e a alta disponibilidade interna mantêm o
desempenho de pico e a durabilidade com um SLA de até 99,995%.
Google Cloud
O CloudSQL é o serviço de banco de dados relacional totalmente gerenciado para MySQL, PostgreSQL e
SQLServer.
Observe que o único dos provedores que oferece o banco de dados Oracle é a AWS. Para esse tipo de banco de
dados, é também possível contratar diretamente com a nuvem da Oracle. Os outros serviços trazem
basicamente os mesmos benefícios. No momento da contratação, devemos �car atentos aos custos de uso da
base, assim como aos parâmetros de backup da base de dados, que deve estar alinhado com o que a empresa
aceita de tempo máximo em que um sistema ou uma informação pode �car indisponível após uma falha.
Portando software como serviço (SaaS), as plataformas de desenvolvimento vieram para dar agilidade e abstrair
toda camada de infraestrutura que era necessária para o desenvolvimento de soluções. Com isso, agora é
possível estar focado somente na melhor entrega da solução para o usuário e deixar essas atividades
estruturais a cargo do provedor de serviço.
Estudante, no material abaixo você pode visualizar uma síntese dos conteúdos abordados durante os nossos
estudos.
Figura 2 | Mapa mental representando o que foi discutido ao longo dos nossos estudos
VIDEOAULA: ABORDAGEM DOS SERVIÇOS DE APLICAÇÕES TAIS COMO BANCO
DE DADOS, PLATAFORMAS DE DESENVOLVIMENTO
No vídeo, mostramos com mais detalhes sobre o serviço de cloud da Oracle (OCI), também um importante
player com vantagens para quem usa banco de dados Oracle.
ESTUDO DE CASO
Olá, estudante, aqui no estudo de caso você terá a oportunidade de aplicar os conhecimentos adquiridos
ao longo dos nossos estudos. Vamos lá?
Imagine que você trabalha em uma startup e foi-lhe solicitado para fazer o levantamento dos custos de
máquinas virtuais, solução para implantação do aplicativo e serviço de banco de dados para um aplicativo que
está sendo estudado para ser vendido como SaaS.
Você precisa levantar todos os custos, levando em consideração que esses recursos precisam de backup
também. Não se esqueça de analisar os custos de tráfego de dados, caso necessário.
RESOLUÇÃO DO ESTUDO DE CASO
Os principais fornecedores de cloud, como AWS e Azure, possuem o recurso de calculadora em seus sites,
facilitando as estimativas de custos dos recursos. Então, é possível acessar essa ferramenta e calcular os custos
solicitados.
 Saiba mais
Temos também nuvens ofertadas pela IBM, Oracle, além da chinesa Alibaba cloud. IBM e Oracle
representam um nicho de mercado especí�co. Com o Watson na nuvem, a IBM oferece o serviço de
inteligência arti�cial Watson, sendo líder de mercado, segundo a Gartner, no segmento de Ciência de
Dados e aprendizado de máquina.
Já a Oracle é muito focada em entregaro seu banco de dados Oracle Data base em nuvem a custos mais
acessíveis.
Navegue pelos sites e con�ra!
Videoaula: Abordagem dos serviços de aplicações tais como banco de dados, plataformas de desenvolvimento
Para visualizar o objeto, acesse seu material digital.
Resolução do Estudo de Caso
Para visualizar o objeto, acesse seu material digital.
Aula 4
https://portuguese.alibaba.com/
https://www.ibm.com/br-pt/watson
https://www.oracle.com/br/index.html
INTRODUÇÃO
Discutiremos, nesta aula, os aspectos de segurança da informação para nuvem, tendo como direcionador a ISO
27001, assim como gestão de risco com o framework MoR e gerenciamento de riscos corporativos COSO. Além
disso, discorreremos sobre como a cultura em segurança da informação deve estar enraizada na empresa e
sobre o dever do pro�ssional de TI em apoiar a segurança como uma prioridade tanto na implantação quanto
nos controles para mitigar os riscos inerentes ao uso da computação em nuvem. Por último, falaremos sobre o
que é um SGSI e alguns passos para fazer a implantação.
MODELOS DE SEGURANÇA (ISO/IEC 27.001, COSO, M_O_R)
Atualmente, um item de extrema importância no cotidiano de todo pro�ssional de TI são os aspectos de
segurança da informação. Das diversas boas práticas de segurança, discorreremos sobre a ISO 27.001, COSO e
M_o_R.
ISO 27.001
É a norma de padrão internacional desenvolvida pela International Organization for Standardization que foca
em segurança da informação.
A adoção da norma ISO 27001 serve para que as organizações adotem um modelo adequado de
estabelecimento, implementação, operação, monitorização, revisão e gestão de um Sistema de Gestão de
Segurança da Informação. Esse Sistema de Gestão de Segurança da Informação (SGSI) é, de acordo com os
princípios da norma ISO 27001, um modelo holístico de abordagem à segurança e independente de marcas e
fabricantes de tecnologias.
Isso ocorre porque um SGSI se destina ao estabelecimento de processos e procedimentos que, depois, podem
ser materializados à realidade de cada organização de forma diferente e com a especi�cidade de cada ambiente
tecnológico e organizacional (ISO/IEC 27001, 2021).
COSO
O COSO, Committee of Sponsoring Organizations of the Treadway Commission ou Comitê das Organizações
Patrocinadoras da Comissão Treadway, é uma organização privada sem �ns lucrativos criada nos Estados
Unidos, em 1985, para prevenir e evitar fraudes nos procedimentos e processos internos.
O comitê tem como missão:
SEGURANÇA DA INFORMAÇÃO PARA NUVEM
Nesta aula, veremos os aspectos de segurança da informação para nuvem, tendo como
direcionador a ISO 27001, assim como gestão de risco com o framework MoR e gerenciamento
de riscos corporativos COSO.
38 minutos
O framework que avalia o ambiente de controle e sua e�cácia é o modelo mais utilizado para certi�cação de
conformidade com a Seção 404 da SOX (lei norte americana criada em 2002 motivada por escândalos
�nanceiros, principalmente o caso Enron) que exige uma avaliação da gestão sobre controles internos e
relatórios �nanceiros.
M_o_R
O Management of Risks se destina a ajudar as empresas a pôr em prática um quadro e�caz para a tomada de
decisões, informadas sobre os riscos que afetam os seus objetivos de desempenho em todas as atividades
organizacionais, sejam elas estratégicas, de programa, de projeto ou operacionais. M_o_R de�ne risco como “um
evento incerto ou conjunto de eventos que, se ocorrer, terá um efeito sobre a realização dos objetivos. Um risco
é composto por uma combinação da probabilidade de uma ameaça ou uma oportunidade de ocorrência e a
magnitude do seu impacto sobre os objetivos” (M_o_R®, 2021, [s.p.]). Com a “ameaça”, esta de�nição é usada
para descrever um acontecimento incerto que poderia ter um impacto negativo sobre os objetivos ou
benefícios; e “oportunidade” é usado para descrever um acontecimento incerto que poderia ter um impacto
favorável sobre os objetivos ou benefícios.
Com isso é necessário sempre analisar qual modelo ou parte desses modelos pode ser utilizado para garantir a
segurança e mitigar riscos nos projetos de cloud.
VIDEOAULA: MODELOS DE SEGURANÇA (ISO/IEC 27.001, COSO, M_O_R)
Como vimos anteriormente sobre os modelos de segurança da informação, apresentaremos alguns exemplos
práticos de aplicação de segurança da informação em cloud computing, como o uso de VPN para acesso, a
instalação de �rewall em cloud para gerenciamento e controles de acessos para identi�cação de acessos nos
ambientes de cloud.
CULTURA EM SEGURANÇA DA INFORMAÇÃO PARA OS SERVIÇOS EM NUVEM
O tópico de segurança da informação deve estar presente no dia a dia do TI. Porém, por ser um tema muito
amplo, é necessário termos um departamento focado em criar as políticas, os procedimentos, e estar
preparado para mitigar riscos e dar as respostas aos incidentes de segurança da informação. A cada dia,
inúmeras empresas são vítimas de ransomware, em que os atacantes, em sua maioria, criptografam os
servidores e pedem resgate para descriptografar os dados. Empresas com procedimentos e execuções de
validações de backup, por exemplo, podem retomar suas atividades em alguns dias.
[…] auxiliar a tomada de decisão por meio do desenvolvimento de frameworks e
orientação sobre o gerenciamento de riscos empresariais, controles internos e detecção
de fraudes concebida para melhorar o desempenho organizacional e de governança e
reduzir a extensão das fraudes nas organizações.
— (COMMITTEE..., [s.d.], [s.p.])
Videoaula: Modelos de segurança (ISO/IEC 27.001, COSO, M_o_R)
Para visualizar o objeto, acesse seu material digital.
Com isso, uma medida importante para o ambiente de cloud é manter os backups válidos para rápido acesso.
Existe uma boa prática para backup chamada backup-3-2-1, que se consiste em:
Manter 3 cópias dos dados da organização.
Armazenar essas copias em 2 mídias diferentes.
Manter 1 cópia de backup fora do site.
Como o ambiente de cloud é muito vasto e com vários serviços, o pro�ssional responsável deve estar atento
para analisar e validar qual modelo de segurança é o mais adequado. Por exemplo, em um projeto e migração
de servidores para IaaS, é fundamental que o pro�ssional tenha os itens como vpn site-to-site, bloqueios de
portas desnecessárias e liberação somente para Ip’s conhecidos como premissas do projeto; e, a partir daí, ir
evoluindo nos itens de segurança conforme o orçamento disponível.
É sempre importante ter em mente que, em todo projeto de computação em nuvem, será preciso algum nível
de segurança. Em alguns casos, inicia-se com o básico que é ofertado pela própria plataforma e, conforme a
necessidade muda e a complexidade do ambiente aumenta, são empregados mais recursos de segurança da
informação.
É sempre bom realizar testes de rotina para identi�car possíveis vulnerabilidades nos sistemas. Os pentests, por
exemplo, oferecem uma leitura da segurança do ambiente em cloud e, posteriormente, gera ações para corrigir
ou mitigar vulnerabilidades. Assim também devemos proceder frequentemente com testes de restaurações dos
backups, os quais devem estar na operação do departamento de TI para garantir que, em caso de necessidade,
haja um plano detalhado com as ações e os tempos necessários para restauração dos serviços críticos da
empresa.
Temos sempre que balancear o custo da solução em segurança da informação com a efetividade em resolver o
problema ou mitigar os riscos a níveis aceitáveis pela empresa. Determinados setores de mercado, como os
bancos, são obrigados a manter um alto nível de segurança conforme a determinação do BACEN.
Portanto, a segurança da informação nunca pode ser negligenciada ou deixada para depois nos tempos atuais.
VIDEOAULA: CULTURA EM SEGURANÇA DA INFORMAÇÃO PARA OS SERVIÇOS
EM NUVEM
Apesar de ser um tema amplamente discutido, a grande maioria das empresas não têm o nível de segurança
apropriado para o mercado. Este texto da EY ([s.d.]) versa sobre Segurança da Informação e os desa�os das
empresaspara implantar a segurança que, muitas vezes, esbarram no orçamento da empresa.
70% das organizações agora dizem que sua liderança sênior tem uma compreensão
abrangente da cibersegurança ou está tomando medidas positivas para melhorar. Mas
há mais trabalho a fazer. 77% das organizações ainda operam com segurança
cibernética e resiliência limitadas, enquanto 87% das organizações advertem que ainda
não têm orçamento su�ciente para fornecer os níveis de cibersegurança e resiliência
que desejam.
— (EY, [s.d.], [s.p.])
SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO (SGSI) PARA USO DA
NUVEM
Um Sistema de Gestão da Segurança da Informação (SGSI) é um conjunto de regras e normas adotado por uma
empresa, com o intuito de garantir a segurança de suas informações quanto a controles, perdas, roubos,
alterações e consultas indevidas. Assim, o SGSI para uso na nuvem deve �gurar, dentro do contexto da
organização, como um capítulo do SGSI da empresa.
Conforme abordado anteriormente, há alguns modelos que podem nos auxiliar na criação de um documento,
mas, antes disso, é importante termos um respaldo da alta administração da empresa, que vai apoiar e
patrocinar o SGSI. Junto com ele, precisamos fazer alguns estudos preliminares, como o GAP Analysis ou Análise
de brechas, cujo objetivo é avaliar a situação atual da empresa em termos de segurança da informação e
compará-la com um cenário desejado. Desta forma, �ca claro o que precisa ser feito para corrigir ou mitigar os
itens levantados no estudo.
Outro procedimento de suma importância é fazer uma Análise de Impacto do Negócio (BIA, do inglês Business
Impact Analysis), utilizada para prever as consequências em caso de incidente ou desastre dentro da empresa e,
também, para compreender quais processos de negócios são mais críticos na operação da organização. Com
isso, é possível montar um plano de execução partindo do item de maior criticidade para o de menor
criticidade. Isso tem como benefício um conhecimento sobre os riscos de segurança da informação dos
ambientes e processos de negocio suportados; identi�cação de possíveis fatores de perda e prejuízo; criação de
um plano de ação integrado que priorize as ações com base no risco identi�cado; implantação de controles,
reduzindo os riscos identi�cados, mediante o estabelecimento de nível de segurança adequado à criticidade dos
processos de negócio envolvidos; formalizar as regras de segurança do negócio, prover uma maior
disponibilidade dos serviços de TI da empresa, entre outros.
O SGSI deve estar alinhado com o negócio da empresa em relação à estratégia de negócio, competitividade,
atuação no mercado, relação com clientes e fornecedores, etc. O momento atual e a projeção futura devem
observar as normas e regras do SGSI.
Portando, a atividade de criar um SGSI para uso da Nuvem deve estar contida no SGSI da empresa, os quais
precisam estar alinhados com o negócio, o que faz com que outros departamentos da empresa participem da
criação do SGSI para contribuir com informações inerentes ao negócio, como priorização de ações, análise de
risco, entre outros. Lembre-se de que tudo isso deve ser feito com apoio e patrocínio da alta direção da
empresa, para que as ações sejam realizadas e, em caso de necessidade de investimento, todos estejam cientes
da real necessidade e impacto que elas podem trazer para a organização.
VIDEOAULA: SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO (SGSI)
PARA USO DA NUVEM
Alguns passos para início do SGSI:
1. Buscar apoio e patrocínio da alta direção.
2. Análise de brechas.
Videoaula: Cultura em segurança da informação para os serviços em nuvem
Para visualizar o objeto, acesse seu material digital.
3. Análises de impacto do negócio.
4. Análise de recursos humanos e �nanceiros.
5. Plano de Ação e Execução.
ESTUDO DE CASO
Imagine que você trabalha em uma empresa e seu gerente pediu para que montasse um SGSI para o ambiente
de nuvem que estão planejando iniciar. Levando em consideração tudo o que foi discutido (alinhamento do TI
com o negócio, análise de brechas, análise de impacto do negócio, análise de recursos), monte o plano de ação
para execução do projeto.
RESOLUÇÃO DO ESTUDO DE CASO
Para concluir o estudo de caso, você deverá gerar um plano de ação passando pelos itens discutidos nos blocos
anteriores, tais como, análise de brechas, análises de impacto do negócio, análise de recursos (pessoas e
dinheiro) e tempo.
 Saiba mais
É possível obter a ceri�cação do M_o_R. Para saber mais, acesse o link:
https://www.axelos.com/certi�cations/propath/mor-risk-management
Mais informações sobre a criação de grupos de Respostas a Incidentes de Segurança:
https://www.cert.br/certcc/csirts/Creating-A-CSIRT-br.html.
Videoaula: Sistema de Gestão de Segurança da Informação (SGSI) para uso da nuvem
Para visualizar o objeto, acesse seu material digital.
Resolução do Estudo de Caso
Para visualizar o objeto, acesse seu material digital.
Aula 1
WADIA, Y. AWS Administration - The De�nitive Guide: Design, Build, and Manage Your Infrastructure on
Amazon Web Services. 2. ed. Birmingham: Packt Publishing, 2018.
Aula 2
REFERÊNCIAS
2 minutos
https://www.axelos.com/certifications/propath/mor-risk-management
https://www.cert.br/certcc/csirts/Creating-A-CSIRT-br.html
ABREU, B. Carregamento do site: os impactos da lentidão nos negócios digitais. EcommerceBrasil, 2018.
Disponível em: https://www.ecommercebrasil.com.br/artigos/os-impactos-da-lentidao-no-desempenho-dos-
negocios-digitais/. Acesso em: 7 nov. de 2021.
Aula 3
RELATÓRIO do Gartner: Magic Quadrant de 2021 para serviços de plataforma e infraestrutura em nuvem. AWS,
2021. Disponível em: https://aws.amazon.com/pt/resources/analyst-reports/gartner-mq-cips-2021/. Acesso em:
7 nov. 2021.
TIPOS de instância do Amazon EC2. AWS, 2021. Disponível em: https://aws.amazon.com/pt/ec2/instance-types/.
Acesso em: 7 nov. 2021.
MÁQUINAS virtuais: Crie VMs (máquinas virtuais) do Linux e do Windows em segundos e reduza os custos.
Azure, 2021. Disponível em: https://azure.microsoft.com/pt-br/services/virtual-machines/. Acesso em: 7 nov.
2021.
COMPUTE Engine. Google Cloud, 2021. Disponível em: https://cloud.google.com/compute. Acesso em: 7 nov.
2021.
Aula 4
ISO/IEC 27001. ISO Standards, 2021. Disponível em: https://www.iso.org/isoiec-27001-information-security.html.
Acesso em: 18 nov. 2021.
COMMITTEE of Sponsoring Organizations of the Treadway Commission. COSO, Disponível em
https://www.coso.org/Pages/default.aspxLink. Acesso em: 18 nov. 2021.
MARINHO, F. Guia de Plano de Continuidade de Negócio (PCN). Rio de Janeiro: Elsevier, 2018.
Ernst & Young Global Limited. Pesquisa Global de Segurança da Informação. [s.d.]. Disponível em:
https://www.ey.com/pt_br/gissLink. Acesso em: 22 nov. 2021.
M_o_R®: The Management of Risk. Axelos, 2021. Disponível em:
https://www.axelos.com/certi�cations/propath/mor-risk-managementLink. Acesso em 18 nov. 2021.
https://www.ecommercebrasil.com.br/artigos/os-impactos-da-lentidao-no-desempenho-dos-negocios-digitais/
https://aws.amazon.com/pt/resources/analyst-reports/gartner-mq-cips-2021/
https://aws.amazon.com/pt/ec2/instance-types/
https://azure.microsoft.com/pt-br/services/virtual-machines/
https://cloud.google.com/compute
https://www.iso.org/isoiec-27001-information-security.html
https://www.coso.org/Pages/default.aspx
https://www.ey.com/pt_br/giss
https://www.axelos.com/certifications/propath/mor-risk-management