Segurança em nuvem e o fator escolha do provedor

Fonte: Cezar Taurion/IMasters

Em 2011, nas muitas palestras e eventos de que participei, quase sempre ouvia o questionamento quanto à segurança e à disponibilidade das nuvens públicas. As eventuais falhas que aparecem em nuvens públicas se espalham com muita rapidez com, na minha opinião, excessiva publicidade, pela mídia. Um “cloud data center” é uma infraestrutura complexa, com muita tecnologia envolvida e com alto grau de resiliência. Mas, embora nada seja completamente imune a falhas, com certeza ele será bem mais seguro e confiável que a imensa maioria dos data centers que vemos espalhados pelo Brasil afora…

Colocar sua empresa em uma nuvem pública não significa que você vai se omitir das questões de segurança e privacidade. A escolha do provedor é fundamental. Existem provedores focados em usuários finais e em empresas muito pequenas, que sofrem menos em termos financeiros e operacionais quando eventualmente seus sistemas saem do ar, e aqueles focados em usuários corporativos, que sabem que um sistema indisponível pode significar milhões de reais em prejuízo. Portanto, existem provedores e provedores…

Para usar uma nuvem pública, é sempre bom ser cauteloso e fazer uma “due diligence” para se assegurar de que o provedor adota práticas de segurança e de disponibilidade adequadas. Uma boa fonte de pesquisas e estudos sobre o assunto, bem como certificações de resiliência de data centers, pode ser vista no Uptime Intitute (http://uptimeinstitute.com/). Em tempo, no Brasil é http://uptimeinstitute.com/uptime-institute-brasil. Sugiro também ler a autópsia da queda do data center da Amazon, em Dublin, na Irlanda no ano passado em http://aws.amazon.com/message/2329B7/.

É importante saber que sempre pode existir uma falha. Assim, analise as práticas adotadas pelo provedor, o grau de transparência de informações que ele passa e os serviços de recuperação de falhas que ele oferece. Valide se ele adota práticas profissionais como ITIL e se está aderente a regras de segurança ISO/IEC 27001:2005. Uma boa fonte de suporte é a Cloud Security Alliance e seu GRC Stack (Governance, Risk Management and Compliance) em https://cloudsecurityalliance.org/research/grc-stack/, que contém vários documentos que ajudam uma empresa a avaliar seu provedor de nuvem pública. Recomendo também, como apoio nessa avaliação, acessar a página do CAMM (Common Assurance Maturity Model) em http://common-assurance.com/ e estudar os seus papers.

Além disso, arquitete seus sistemas para explorar as potencialidades das nuvens públicas e crie condições de resiliência próprias. Isso significa que você não deve simplesmente transferir de olhos fechados seus aplicativos on-premise para a nuvem. Adicione a esse processo as práticas de segurança e de recuperação adequadas para operar na nuvem. Não se esqueça de avaliar cuidadosamente as cláusulas contratuais quanto a esses aspectos. Na prática, a responsabilidade pela gestão dos riscos é compartilhada entre o provedor da nuvem e os seus clientes.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *