Há dois anos, o Carnegie Endowment lançou o Cloud Governance Project, um estudo sobre os desafios de governança associados à computação em nuvem. “Este projeto reconhece que a nuvem oferece enormes benefícios para indivíduos e organizações por meio de maior conveniência, flexibilidade e economia de custos de TI”, disse o site do projeto. “No entanto, os riscos de uma grande interrupção que afete os serviços em nuvem exigirão regulamentação por parte dos governos nos níveis local, nacional e internacional. Além disso, à medida que o mundo se torna cada vez mais dependente da nuvem, outros aspectos da tecnologia – relacionados à proteção do consumidor, sustentabilidade, inclusão e direitos humanos – também atrairão processos minuciosos de controle e regulamentação para proteger ou promover os interesses públicos”.
Acompanho a computação em nuvem desde que ela surgiu, em 2008. No começo, uma das principais razões para a empolgação versus preocupação era que estávamos vendo o surgimento de um novo modelo de computação no mundo da TI. O modelo de computação centralizada, baseado em mainframes, apareceu pela primeira vez na década de 1960. Depois veio o modelo cliente-servidor baseado em PCs na década de 1980. E agora, o modelo mais recente de computação baseado em nuvem e Internet, surgiu no final dos anos 2000.
Nos últimos quinze anos, a nuvem passou por três estágios principais. Primeiro veio a infraestrutura como serviço, oferecendo escalabilidade quase ilimitada a preços muito atrativos. Depois veio o software como serviço, oferecendo uma maneira mais rápida e menos dispendiosa de prototipar e implantar aplicativos inovadores, aproveitando ferramentas como contêineres, Kubernetes e microsserviços. A computação em nuvem tornou-se agora um importante motor de transformação dos negócios, ajudando as empresas a se adaptarem à digitalização acelerada da economia – ou a transformação digital, especialmente desde o advento do Covid-19.
Em resposta à pandemia, a adoção digital por empresas e consumidores já atingiu níveis que não eram esperados há muitos anos. Como apontou o artigo da McKinsey, a nuvem permitiu que a Moderna entregasse o primeiro lote de sua vacina de mRNA para a fase de testes em apenas 42 dias após o sequenciamento inicial do vírus. E um artigo do NY Times de 2020 citou a experiência da Accenture. Antes da pandemia, não mais de 10% de seus 500.000 funcionários em mais de 200 cidades em 120 países trabalhavam remotamente em um determinado dia da semana, mas, em março 2020, quase todos foram forçados a trabalhar em casa e o volume de videochamadas aumentou 6 vezes. A enorme escalabilidade da computação em nuvem foi claramente um fator importante para ajudar os funcionários a se adaptarem rapidamente ao trabalho remoto quase universal.
“A crescente importância dos serviços em nuvem e dos seus provedores, os Cloud Services Providers (CSPs) chamou a atenção de formuladores de políticas e reguladores que buscam colher os benefícios dessa nova tecnologia enquanto gerenciam os riscos inerentes”, escreveu o Carnegie Project em um documento abrangente sobre os Desafios de Governança das nuvens. “O cenário regulatório da computação em nuvem é altamente complexo, devido a fatores como sua crescente centralidade para muitas funções sociais e econômicas e inovações contínuas na tecnologia envolvida. Compreender as muitas questões emergentes desse contexto será fundamental para liberar de forma responsável o potencial dos serviços em nuvem para a sociedade”.
O documento fornece discussão abrangente sobre os desafios de governança relativos aos provedores de serviços em nuvem (CSPs) e ao mercado de serviços em nuvem como um todo e para cada área específica: segurança e robustez, resiliência, proteção ao consumidor, prosperidade e sustentabilidade e direitos humanos e civis; e eu ou resumir algumas questões estratégicas sobre as questões de governança nessas áreas.
Segurança e robustez “diz respeito à capacidade dos CSPs de planejar, proteger e defender ativamente contra ameaças de segurança, os serviços em nuvem, de ações maliciosas, bem como outros perigos decorrentes de incidentes naturais, mau funcionamento técnico e acidentes induzidos pelo homem.”
Os principais desafios de governança incluem a delegação de responsabilidade pela segurança geral entre CSPs e seus clientes, incluindo a proteção de dados e a infraestrutura física subjacente; práticas de gerenciamento de risco, como controles sistêmicos e defesas operacionais para proteger contra interrupção de serviços e acesso não autorizado; e a exigência de que dados e operações em nuvem sejam armazenados e processados dentro de uma determinada jurisdição para evitar que sejam comprometidos.
Uma área de política relacionada é a designação de nuvens como infraestruturas críticas e dos CSPs como provedores de serviços críticos que devem atender a padrões de gerenciamento de risco mais elevados e estão sujeitos a maior fiscalização pelo governo federal. Vários setores importantes que já foram designados como infraestruturas críticas dependem cada vez mais de serviços de nuvem e CSPs para suas operações, incluindo serviços financeiros, energia, comunicações e sistemas de transporte. “Deve-se tomar cuidado em todos os casos, as necessidades de transparência e a preservação de informações privilegiadas que são proprietárias ou críticas para a segurança do CSP ou para a funcionalidade dos negócios.”
Resiliência “refere-se às medidas tomadas para amenizar as consequências adversas que podem surgir de falhas de serviço, interrupções e outras distorções nos serviços baseados em nuvem por meio de planejamento de contingência, backstopping e mecanismos de seguro”.
Os desafios de governança incluem medidas para minimizar o impacto sobre os CSPs e seus clientes de violações, acidentes ou ataques, como regulamentações e execuções de backup rigorosas; requisitos obrigatórios para relatar quaisquer incidentes, a fim de aprender como melhor preveni-los no futuro; exigir que os CSPs tenham seguro adequado para cobrir danos físicos ou financeiros resultantes de falhas na nuvem; e a necessidade de medidas governamentais de proteção em caso de incidentes potencialmente catastróficos.
Proteção ao Consumidor “centra-se nas preocupações sobre o relacionamento entre CSPs e consumidores devido à assimetria de poder entre eles, bem como à natureza oligopolista do mercado de CSP”. Os desafios de governança incluem a concentração do poder da nuvem em alguns grandes CSPs, o que pode deixar os usuários com poucas opções competitivas e levar a uma qualidade inferior dos serviços, manipulação de preços e os riscos de bloqueio do fornecedor; padrões para serviços em nuvem que permitirão interoperabilidade e portabilidade entre CSPs e ajudarão a evitar a dependência de fornecedores; e justiça e transparência nos requisitos de contratação para proteger os consumidores contra decisões arbitrárias dos CSPs, como alterar os termos de seus serviços e descontinuar o suporte a produtos dos quais os consumidores agora dependem.
Prosperidade e Sustentabilidade “enfoca o papel mais amplo e o impacto macro da nuvem na ordem econômica doméstica e internacional e as políticas que visam alavancar, canalizar ou corrigir os efeitos no emprego, crescimento, inovação, bem-estar e meio ambiente”. Os principais desafios de governança incluem garantir acesso equitativo a serviços em nuvem com amplo impacto econômico, como tecnologias de ponta oferecidas por CSPs, como inteligência artificial; potenciais práticas predatórias de CSP, como barreiras à entrada, manipulação de mercado e agregação de serviços em nuvem para impedir a entrada de concorrentes menores; e dependência de CSPs estrangeiros devido a preocupações sobre possíveis vieses na qualidade e confiabilidade do serviço, informações pessoais e comerciais confidenciais, propriedade intelectual e segurança nacional.
Direitos Humanos e Civis “enfoca as preocupações decorrentes do surgimento da nuvem como um grande depositário de dados e provedor de serviços cada vez mais essenciais”.
Os desafios de governança incluem proteção dos direitos de privacidade e liberdade de expressão dos indivíduos contra autoridades governamentais excessivamente zelosas; requisitos de relatórios e transparência em torno da coleta de dados e seu uso; restringir o acesso a informações que contenham a identidade de indivíduos e informações vitais; e a necessidade de neutralidade política no acesso e moderação de conteúdo.
“No geral, dado o quão difíceis alguns dos desafios regulatórios e políticos provavelmente serão, muitas questões associadas à governança de nuvem provavelmente serão abordadas apenas parcialmente, lentamente e de forma abaixo do ideal”, observa o documento de governança de nuvem da Carnegie em conclusão.“A falta geral de compreensão e valorização da nuvem e questões relacionadas pelas autoridades reguladoras e formuladoras de políticas envolvidas agrava esse problema, destacando a necessidade de educação mais robusta e envolvimento do pessoal relevante (um dos muitos objetivos deste documento).” Discussões adicionais, bem como possíveis caminhos a seguir, podem ser encontradas no site Carnegie Cloud Governance.
