2009/10/13 - Segurança na Computação em Nuvem

Artigo escrito em 13/10/2009, por Edison Fontes, avaliando a segurança na computação.

Segurança na Computação em Nuvem

Na semana passada o Mestre Cezar Taurion nos brindou com o lançamento do seu recente livro “Computação em Nuvem”. Conforme conversei com o Cezar no dia do lançamento a questão agora não é mais “se” mas “como e quão rápido” a computação em nuvem vai acontecer nas nossas vidas e no dia a dia das organizações. Leitura recomendada para todos que estão monitorando o radar das organizações.

Do ponto de vista de segurança chamo atenção para aspectos importantes que devem ser considerados para as organizações que utilizarão (por decisão própria ou por força do mercado) a computação em nuvem.

a) Disponibilidade
Um dos motivos para a descentralização de recursos de computação, isto é, os recursos estarem próximos de quem usa foi a necessidade de garantir uma alta taxa de disponibilidade. Um exemplo verdadeiro foi o que aconteceu no início da automação bancária no Brasil. A grande maioria das soluções implementava o modelo descentralizado em função da má qualidade das linhas de comunicação e com isso não se garantia o nível de disponibilidade desejado.

Ao escolher a computação na nuvem verifique a qualidade dos canais e as garantias que sua organização terá para manter sempre um alto nível de disponibilidade.

b) Sigilo dos dados
Na computação em nuvem todos os dados estarão com o fornecedor da nuvem tecnológica. A organização que vai utilizar a computação na nuvem deve ter a garantia de que o fornecedor do serviço de computação respeitará o sigilo da informação do cliente (sua organização) e que definirá rígidos controles de confidencialidade e acesso à informação. Afinal na nuvem podem ser processadas várias organizações, inclusive as suas concorrentes. Também o fornecedor de serviço na nuvem deve ter responsabilidade por implantar controles que impeçam (ou minimize) falhas e ações de má fé.

c) Fornecedores vários de várias nuvens.
Nesse tipo de serviço não existirá apenas uma única nuvem. Existirão várias nuvens e vários fornecedores. Estabeleça critérios rígidos e amplos para embasar sua escolha por um determinado fornecedor e por uma determinada nuvem. Depois de escolhida uma nuvem não será fácil migrar para outras nuvens.

d) De onde se acessa a nuvem.
Defina claramente a sua necessidade e defina explicitamente onde você precisará ter os acessos. De repente uma nuvem tem um excelente processamento e um excelente tempo de atendimento às suas transações porém a cobertura da nuvem não atende a sua necessidade de distribuição dos pontos de acesso. Às vezes é necessário sacrificar a performance mas garantir o acesso em qualquer que seja o lugar.

e) Não faça pelo modismo
Se a computação em nuvem desenvolver uma excelente performance, o serviço crescerá e será a vedete tecnológica. Cuidado para não ir para as nuvens pelo modismo. Use a computação em nuvem porque o seu negócio precisa das características que este tipo de serviço lhe oferece. Sempre as necessidades de negócio e os objetivos da organização devem ficar em primeiro lugar. O como fazer deve ser uma conseqüência para atender bem às demandas do negócio.

f) Custo é importante, mas não é suficiente
O custo e principalmente o custo de picos de demandas, custo de manutenção tecnológica são apontados como a grande vantagem da computação em nuvem. Sem duvida alguma o componente custo é um fator importante. Mas não vá para as nuvens apenas pelo custo. Verifique se a computação em nuvem atende aos requisitos de negócio e de segurança do negócio. Não sei se a Coca Cola colocaria a sua formula nas nuvens.

g) Na nuvem ou na terra sua organização dependerá de parceiros
Seja onde você processar sua informação você precisará de parceiros e terá maior ou menor dependência desses parceiros. Mas sempre dependerá. Independente das questões contratuais é importante estar em um modelo onde o ganha-ganha é possível. Não se tem parceiros ou se usa concorrência de parceiros para se obter o menor preço possível, mesmo que isso mate o parceiro. Parceria é fundamental para que o processamento na nuvem seja efetivo.

h) Ser humano: segurança na nuvem ou na terra.
Seja na computação em nuvem ou no processamento convencional na própria organização: o ser humano é quem faz acontecer a segurança da informação. Evidentemente devem sempre existir requisitos, regras e treinamento. Mas o ser humano é que faz a diferença na segurança da informação na terra ou na nuvem.

Entendo que a computação em nuvem vai acontecer mais forte para a maioria das organizações e em menor impacto na minoria das organizações. Mas vai afetar e vai influenciar no uso da tecnologia da informação de todas as organizações.

Para ter uma computação segura não esqueça que seja na nuvem ou na terra, existem pessoas que erram, maquinas que falham, processos que não são seguidos e pessoas que agem de má fá.

Proteja sua informação na terra e na nuvem!

---

Edison Fontes, CISM, CISA (edison@pobox.com) é Consultor, Professor e Autor de Livros de Segurança da Informação. Participa da ABSEG, ISACA e InfoSecCouncil.