Segurança em nuvem e o fator escolha do provedor

Em 2011 nas muitas palestras e eventos que participei quase sempre ouvia o questionamento quanto à segurança e disponibilidade das nuvens públicas. As eventuais falhas que aparecem em nuvens publicas se espalham com muita rapidez com, na minha opinião, excessiva publicidade, pela midia. Um “cloud data center” é uma infraestrutura complexa, com muita tecnologia envolvida e com alto grau de resiliência. Mas, embora nada seja completamente imune à falhas, com certeza ele será bem mais seguro e confiável que a imensa maioria dos data centers que vemos espalhados pelo Brasil a fora…

Colocar sua empresa em uma nuvem pública não significa que você vai se omitir das questões de segurança e privacidade. A escolha do provedor é fundamental. Existem provedores focados em usuários finais e empresas muito pequenas, que sofrem menos em termos financeiros e operacionais quando eventualmente seus sistemas saem do ar, e aqueles focados em usuarios corporativos, que sabem que um sistema indisponivel pode significar milhões de reais em prejuízo. Portanto, existem provedores e provedores…

Para usar um nuvem publica é sempre bom ser cauteloso e fazer uma “due diligence” para se assegurar que o provedor adota práticas de segurança e disponibilidade adequadas. Uma boa fonte de pesquisas e estudos sobre o assunto, bem como certificações de resiliência de data centers pode ser visto no Uptime Intitute (http://uptimeinstitute.com/). Em tempo no Brasil é http://uptimeinstitute.com/uptime-institute-brasil. Sugiro também ler a autópsia da queda do data center da Amazon, em Dublin, na Irlanda no ano passado em http://aws.amazon.com/message/2329B7/.

É importante saber que sempre pode existir uma falha. Assim, analise as práticas adotadas pelo provedor, o grau de transparência de informações que ele passa e os serviços de recuperação de falhas que ele oferece. Valide se ele adota práticas profissionais como ITIL e se está aderente à regras de segurança ISO/IEC 27001:2005. Uma boa fonte de suporte é a Cloud Security Alliance e seu GRC Stack (Governance, Risk Management and Compliance) em https://cloudsecurityalliance.org/research/grc-stack/, que contém vários documentos que ajudam a uma empresa avaliar seu provedor de nuvem pública. Recomendo também, como apoio nesta avaliação, acessar a página do CAMM (Common Assurance Maturity Model) em http://common-assurance.com/ e estudar os seus papers.

Além disso arquitete seus sistemas para explorar as potencialidades das nuvens publicas e crie condições de resiliência próprias. Isto significa que você não deve simplesmente transferir de olhos fechados seus aplicativos on-premise para a nuvem. Adicione a este processo as práticas de segurança e recuperação adequadas para operar na nuvem. Não esqueça de avaliar cuidadosamente as cláusulas contratuais quanto a estes aspectos. Na prática, a responsabilidade pela gestão dos riscos é compartilhada entre o provedor da nuvem e os seus clientes.

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s


%d blogueiros gostam disto: