Cloud Computing deve ser classificado como infraestrutura crítica

Infraestrutura crítica é definida como instalações, serviços, bens e sistemas que, se forem interrompidos ou destruídos, provocarão sério impacto social, econômico, político, internacional ou à segurança do Estado e da sociedade. Com o crescimento da adoção de serviços de Cloud Computing pelas empresas, inclusive governos e empresas de serviços públicos, é necessário elevar a classificação de serviços de computação em nuvem para “infraestrutura crítica” e adotar critérios comuns e auditáveis para avaliar a confiabilidade, disponibilidade e impacto de falha dos serviços.

Cloud Computing

Um exemplo é o caso do ONS (Operador Nacional do Sistema), órgão criado pelo decreto Lei nº 9.648 em agosto de 1998, com o objetivo de planejar e coordenar a operação das instalações de geração e transmissão no Sistema Interligado Nacional (SIN). A atividade de planejamento requer o uso de algoritmos complexos para simular a operação ótima da rede, com o despacho de energia das geradoras de forma que o custo médio seja o menor possível, considerando um enorme número de variáveis, entre as quais manter os níveis dos reservatórios de água das hidrelétricas como reserva de geração e consumo humano. Para este tipo de atividade, que exige alta capacidade de processamento por tempo limitado, a solução de alocação dinâmica de recursos computacionais é a melhor solução. Entretanto, se não houver um plano de contingência eficiente em caso de falha, teremos um impacto significativo no planejamento do setor elétrico brasileiro.

As Fintechs, empresas financeiras apoiadas por tecnologia, usam largamente serviços de computação em nuvem, a exemplos de outras jovens empresas. Atualmente, vários serviços B2B (Business-to-Business) e B2C (Business-to-Consumers) estão apoiados por infraestruturas de Cloud Computing de diferentes provedores. Uma falha em um provedor que concentra várias empresas pode gerar um caos nos serviços.

Entendo que muitas pessoas são contra regulamentações, alegando que tira o poder da livre iniciativa, impõem burocracia e custos adicionais. Em tese, os clientes deveriam avaliar, cuidadosamente, as condições de operação dos provedores de Cloud Computing, fazendo auditorias periódicas nos provedores. Acredito que a maioria das grandes empresas fazem auditorias independentes para verificar a qualidade do serviços e exercícios de avaliação de risco através de frameworks como o Cobit. Entretanto, estas análises avaliam o impacto individual da empresa, e não o impacto no mercado como um todo.

Obviamente, nenhuma empresa gostaria de expor suas vulnerabilidades para os concorrentes e ao mercado, por questões de competitividade. Entretanto, a falta de transparência das vulnerabilidades pode levar a um caos no mercado.

Por esta razão, acredito que entidades representativas de empresas que operam serviços com infraestrutura crítica deveriam realizar auditorias conjuntas para avaliar a qualidade dos serviços dos provedores de Cloud Computing e, talvez, recomendar a criação oficial de regulamentação de segurança para os provedores de computação em nuvem.