sexta-feira, 18 de março de 2016

Acordos de Nível de Serviço em Nuvem – Uma Nova Série de Normas Internacionais em Produção



Um dos trabalhos atualmente em curso no subcomitê de computação em nuvem, no âmbito da ISO/IEC, trata da elaboração de uma série sobre acordos de nível de serviço específicos sobre qualidade de serviço na computação em nuvem. A série, cuja denominação base é ISO/IEC 19086 Information Technology – Cloud Computing – Service Level Agreement (SLA) framework and technology, é dividida em quatro partes:


Part 2: Metrics

Parte 1 – Visão geral e conceitos
A parte 1 é a que está mais avançada no processo de elaboração. Seu estágio atual é denominado DIS (Draft International Standard) e, caso aprovado pelos países membros do subcomitê, será alterado com base nos comentários enviados e posteriormente enviado para editoração e publicação. Fica a critério da nossa comissão espelho nacional determinar se esta norma será ou não adotada no Brasil no futuro.

Com o objetivo de apresentar uma visão geral sobre itens de acordos de nível de serviço específicos para serviços oferecidos em plataformas de computação em nuvem, seu uso é recomendado não somente para os provedores de serviço de nuvem como também para os clientes desses serviços. É importante ressaltar que a norma não se propõe a oferecer uma estrutura padrão para os contratos de nível de serviço ou um conjunto obrigatório de itens pois estes aspectos podem ser regulados por leis e práticas nacionais e variar por tipo de serviço oferecido. Como a computação em nuvem é uma proposição de oferta de serviços de TI em constante evolução é muito difícil, neste estágio, elaborar uma obrigatoriedade de itens de qualidade de serviço. Os itens são então divididos em dois grandes grupos: SLO (service level objectives – objetivos de nível de serviço) e SQO (service qualitative objetives – objetivos qualitativos de serviço). 

Os SLO são compromissos assumidos pelo provedor de serviços de nuvem relativos a características de seus serviços que podem ser especificadas quantitativamente, usualmente por uma porcentagem ou valor absoluto e podem ser determinados por mais de uma forma. Como exemplo, um SLO de “disponibilidade do serviço” pode ser especificado como uma porcentagem do tempo em operação (uptime) durante o qual o serviço ficou disponível aos clientes, estabelecendo uma porcentagem mínima a ser seguida pelo provedor, ou pode ser especificado como uma porcentagem do tempo indisponível (downtime) aos clientes, estabelecendo-se então uma porcentagem máxima a ser seguida pelo provedor. O provedor pode então estabelecer a remediação aos cientes caso este SLO não seja atingido. 

Os SQO são compromissos assumidos pelo provedor de serviços de nuvem relativos a características de seus serviços que não podem ser especificados numericamente e que, eventualmente, exijam interpretação consensual de seus resultados. Como exemplo, um SQO de “certificação de segurança atualizada na ISO/IEC 27001” pode ser apenas determinada como “sim” ou “não” e a verificação de seu cumprimento pode ser feita pela apresentação do certificado emitido por uma organização reconhecida e a avaliação de sua performance pode ser feita de várias formas, inclusive por um processo judicial. 

Não se esquecendo da gestão dos acordos de nível de serviço, esta parte da norma estabelece recomendações aos clientes de serviço de nuvem para que observem o alinhamento do acordo com seus objetivos de negócio e sua própria estratégia de produtos e serviços cobrindo os processos de design, avaliação e aceite, implementação e execução, e gestão de mudanças. Além disso, reforça sempre a necessidade de que tanto os clientes quanto fornecedores tenham uma visão comum sobre o SLA e seus elementos, de forma a evitar os mal-entendidos, proporcionando uma maior estabilidade jurídica dos contratos. De certa forma, esta parte de trata da visão geral e conceitos é uma grande ferramenta para esse entendimento comum. 

Ao fim do texto, numa Cláusula mais extensa, são apresentadas as recomendações sobre tipos de áreas de cobertura dos SLO e SQO, suas descrições e relevâncias, sempre lembrando que nem todos os elementos se aplicam a todos os casos. Com certeza, os SQO e SLO de um sistema de correio eletrônico em nuvem vão diferir daqueles estabelecidos em um sistema de armazenamento de dados ou computação de alto desempenho. 

As partes 2, 3 e 4 
As partes 2 e 4 estão ainda na fase inicial de trabalho. Seu estágio atual é denominado WD (Working Draft) e seu conteúdo atual é restrito aos experts designados pelos países membros para sua produção. A razão principal pela qual o estágio WD é restrito aos experts é a falta de maturidade e estabilidade do texto. Neste estágio são feitas longas discussões sobre o escopo e conteúdo inicial do texto, existindo ainda diversas partes incompletas ou que ainda aguardam o consenso entre os experts, o que não habilita o texto a ser enviado aos países membros para análise das comissões espelho locais. 

A parte 3 está um estágio à frente das partes 2 e 4. Seu estágio atual é denominado CD (Committee Draft) o que implica que o texto já tem maturidade e conteúdo suficientes para serem enviados para escrutínio das comissões espelho dos países membros. 

Um fato interessante sobre a parte 4, que sugere os itens de nível de serviço relativos às características de segurança e privacidade, é que ela está sendo elaborada no subcomitê de técnicas de segurança em colaboração com o subcomitê de computação em nuvem, pois lá estão os melhores experts no assunto de segurança. Este subcomitê de técnicas de segurança é responsável, dentre outras, pela elaboração da famosa série ISO/IEC 27000 de Segurança da Informação, série de grande utilização no segmento da tecnologia da informação. A série ISO/IEC 27000 já conta com duas normas internacionais publicadas específicas sobre computação em nuvem: ISO/IEC 27017 Code of practice for information security controls based on ISO/IEC 27002 for cloud services e ISO/IEC 27018 Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors. 

O Brasil tem voz neste projeto? 
Sim, o Brasil tem. A ABNT constituiu em 2011 a comissão ABNT/CE-21:000.38, responsável pelo acompanhamento dos trabalhos do subcomitê internacional e que é também responsável pelo encaminhamento de comentários, sugestões e posicionamento em todos os seus projetos. A comissão é aberta a todos os brasileiros que sejam profissionais da área e que tenham interesse e compromisso em colaborar com esses trabalhos. 


Nenhum comentário :

Postar um comentário