Segurança em Cloud: debatendo um pouco mais

Em palestras e reuniões sobre Cloud Computing o tema que se sobressai é segurança. Na verdade a questão segurança e o receio diante de uma novidade é comum e sempre aconteceu. Quando, no início dos anos 90 do século passado o assunto era adoção do modelo client-server o questionamento era similar. O mesmo quando começou-se a se falar em comércio eletrônico e era grande o temor de se liberar o uso de cartões de crédito pela Internet. Hoje, o tema segurança também permeia as principais discussões sobre liberação ou não do uso de smartphones e mídias sociais nas empresas. Enfim, é uma discussão natural diante de qualquer novidade e na minha opinião bastante salutar. Posteriormente, à medida que adoção de cloud computing se disseminar, ou seja, após vencermos os receios quanto à segurança, os assuntos que nortearão os eventos e debates sobre cloud passarão a ser integração (como integrar aplicações em clouds diversas e com aplicações que não estejam em cloud) e mais à frente ainda, teremos os debates sobre governança.
Mas, como hoje o tema mais proeminente é segurança, vamos explorá-lo um pouco mais neste post.

Métodos e processos de segurança mudam a cada vez que o modelo computacional muda. Foi assim quando surgiu o cliente-servidor e muitos dos métodos adotados para ambientes centralizados tornaram-se inúteis. Foi assim quando a Internet passou ser parte integrante dos processos de negócio e os métodos adotados para segurança internos mostraram-se insuficientes e tiveram que ser modificados. Com adoção de cloud computing a história está se repetindo. Temos que repensar muitos dos processos de segurança atualmente adotados.

Entretanto, ao se falar em segurança em cloud, temos que separar nuvens públicas das privadas. Além disso, as politicas e consequentemente os métodos e processos de segurança adotados diferem de empresa para empresa, pois a tolerância à riscos é diferente em empresas e setores diversos. Em nuvens privadas, as politicas de segurança são as já adotadas pela empresa, claro que atualizadas para o novo modelo. Em nuvens públicas, a política de segurança fica subordinada aos métodos e processos adotados pelo provedor da nuvem.

Claro que a preocupação com segurança é primordial para o sucesso de qualquer provedor de nuvens públicas e eles, pelo menos, os que tem capital intelectual e financeiro suficientes, implementam processos, métodos e tecnologias que reforçam a segurança. Além disso, muitos buscam passar por auditorias externas como SAS 70 (http://en.wikipedia.org/wiki/SAS_70) e certificações oficiais como ISO 27001 (http://en.wikipedia.org/wiki/ISO_27001). Nos EUA e Europa também buscam compliance com FISMA (Federal Information Security Management Act (http://en.wikipedia.org/wiki/FISMA) para projetos junto ao governo americano, Payment Card Industry Data Security Standards (http://en.wikipedia.org/wiki/PCIDSS) para operações que envolvem cartões de crédito e European Data Privacy Directives para operações com empresas européias.

Por outro lado, empresas menos tolerantes à riscos optam por adotar nuvens privadas para seus sistemas críticos, usando nuvens públicas apenas para aplicações que não implicam em riscos para negócio.

Na verdade a adoção de cloud acontece quando o valor percebido pelo novo modelo excede a percepção do seu risco. Cloud deve ser adotado não apenas por redução de custos, mas pela velocidade e flexibilidade que permite a empresa inovar e criar novos produtos e serviços suportados por TI.

Adotar cloud significa rever seus processos, métodos e tecnologias de segurança. Para ficar mais claro devemos dividir a questão segurança em diferentes aspectos como proteção e privacidade dos dados, garantia de integridade dos sistemas (controle de acesso e vulnerabilidades), disponibilidade, facilidades de auditoria e compliance com as regras do setor de negócio em que a empresa esteja inserida. A análise destes pontos é que vai definir o ritmo de adoção de cloud e se a nuvem será privada, pública ou mesmo híbrida. Por exemplo, no quesito auditoria, os processos SAS 70 não estão plenamente preparados para computação em nuvem e já se trabalha no SSAE 16 como seu substituto (http://ssae16.com/).

À medida que o conceito de cloud evolui, novos processos e tecnologias de segurança surgirão e veremos um circulo virtuoso. Estas novas tecnologias trarão mais confiança no uso de cloud, o que aumentará sua disseminação e com mais disseminação, mais novas e inovadoras tecnologias de segurança surgirão, fazendo girar o círculo.

Também, como sinal de amadurecimento do mercado, começamos a ver os primeiros esforços na definição de padrões de segurança, que permitam classificar de forma consistente as soluções de segurança oferecidas tanto pelas nuvens privadas, mas e principalmente pelos provedores de nuvens publicas. Recomendo a leitura dos papers “Security Guidance for Critical Areas of Focus in Cloud Computing”, publicado pela Cloud Security Alliance (https://cloudsecurityalliance.org/csaguide.pdf) e “Cloud Computing Security Risk Assessment”, publicado pela ENISA (European Network and Information Security Agency), em http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment.

Aos poucos estas iniciativas ajudam as empresas analisarem mais detalhadamente o que pode ou não ir para uma nuvem pública ou privada e mesmo comparar os niveis de segurança oferecidos pelos diversos provedores de nuvens públicas. O resultado final é que pouco a pouco a computação em nuvem vai quebrando barreiras e se disseminando pelo mercado.

2 Respostas to “Segurança em Cloud: debatendo um pouco mais”

  1. Segurança em Cloud: debatendo um pouco mais « Nas Nuvens | Midia Social Says:

    […] Read the original post: Segurança em Cloud: debatendo um pouco mais « Nas Nuvens […]

  2. Segurança em Cloud: debatendo um pouco mais « Nas Nuvens | E-Commerce Center Says:

    […] Original post: Segurança em Cloud: debatendo um pouco mais « Nas Nuvens […]

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s


%d blogueiros gostam disto: