domingo, 5 de junho de 2011

Cloud Polemicas

Cloud computing: polêmicas, desafios e resistências

Analistas acreditam que maior entendimento do conceito pode eliminar grande parte das dúvidas e da falta de confiança sobre proteção de dados.

Para a Cloud Security Alliance, organização sem fins lucrativos que orienta sobre as melhores práticas de prestação de serviços na área de segurança em cloud, computação em nuvem não é necessariamente mais ou menos segura que o ambiente atual de TI.

“Assim como qualquer nova tecnologia, ela cria riscos e oportunidades. Em alguns casos, migrar para nuvem prevê a chance de reestruturar aplicações antigas e infraestrutura para adequar ou exceder requisitos modernos de segurança”, diz o Guia de Segurança para Áreas Críticas Focado em Computação em Nuvem produzido pela entidade.

Pesquisa recente da Frost & Sullivan realizada com 50 Chief Information Officers (CIOs) brasileiros concluiu que para 70% desses executivos a segurança é o maior inibidor da adoção de arquiteturas na nuvem. Outras barreiras levantadas foram falta de informação sobre o conceito (58%) e cultura corporativa de TI apontada por 44% dos entrevistados.

“É exatamente essa incerteza que leva mais de 70% das organizações que já têm soluções de cloud a optar por ambientes privados”, comenta Fernando Belfort, analista sênior de mercado da Frost & Sullivan. Belfort acredita que se houver maior entendimento do conceito, grande parte das dúvidas e a falta de confiança sobre proteção de dados serão eliminadas.

“A preocupação das empresas é ter certeza de que os componentes de segurança oferecidos são autênticos para garantir a integridade dos dados”, aponta Vilela, da Unisys. “Ferramentas para contemplar esses pontos existem e precisam ser aplicadas”, completa.

Concorda com essa visão a vice-presidente e principal analista da Forrester Research, Chenxi Wang. “A nuvem pública não é insegura ou menos segura que a infraestrutura de casa. O que ela precisa para mostrar que é confiável é prover mais visibilidade e provas de que possui controles alinhados às expectativas da companhia”, afirma.

Vendramini diz que para a Symantec a questão da proteção na nuvem está bem resolvida. “Temos muitos projetos em andamento com provedores de cloud. Quando eles formatam uma oferta, nos contatam antes para garantir que a infraestrutura solicitada possui requisitos de proteção adequados”, conta. O executivo acredita que a dúvida gira em torno de decidir que tipo de informação pode sair das fronteiras corporativas.

Em cloud, a preocupação tem de ser a mesma empregada em casa, sugere Eduardo Abreu, líder de Segurança da IBM Brasil. Os pontos a serem observados incluem controle, visibilidade, garantia de acesso adequado, proteção de dados, aplicações e infraestrutura. “A organização deixa de adotar o modelo por receio. Mas, normalmente, essas empresas têm práticas de proteção inferiores em comparação com os fornecedores de nuvem”, observa.

O executivo aponta que existe a ideia de que na nuvem os negócios estão fora do controle e o que está controlado é mais seguro. Mas isso não é verdade. “Os mesmos cuidados aplicados na empresa precisam ser transferidos para o terceiro, e exigir e definir SLAs, que variam de acordo com a estratégia”, completa.
Planejamento é chave, mas a verdade é que muitos não sabem por onde começar.

“Na IBM, por exemplo, temos serviços de orientação para que o cliente construa esse caminho, mapeie o que é crítico, verifique o que faz sentido colocar na nuvem, o que traz mais benefícios, decida o que deixar dentro de casa ou fora dela e avalie os custos e benefícios da aplicação”, diz Abreu.

Controles de identidade, acesso e informação. Ricardo Fernandes, vice-presidente de Segurança da CA Technologies, acredita que esses três pilares são fundamentais para garantir proteção de ameaças internas (apontada pela Verizon na pesquisa The 2010 Verizon Data Breach Investigations como um dos principais riscos das corporações hoje). Mas são válidos também na nuvem.

“Os profissionais de TI precisam acirrar a batalha contra as ameaças internas e alavancar as tecnologias de gerenciamento de identidade e acesso para que a segurança seja vista como a viabilizadora da adoção da computação em nuvem”, afirma.

Segundo o executivo, a autenticação forte já é uma realidade nas empresas e, como tendência, ele aponta a autenticação baseada em comportamento, que deverá ser empregada especialmente no setor financeiro. “Se a companhia conta com processos internos bem definidos, já é um grande passo para replicar na nuvem”, diz.

Aposta no modelo
Na avaliação de Leandro Balbinot, diretor de TI e Gestão da Renner, a decisão de optar pela nuvem pública ou privada não envolve necessariamente segurança. “A cloud pública oferece maior compartilhamento de recursos, custos mais baixos e maior escalabilidade, porém com menos flexibilidade e customizações”, avalia.

Na rede de lojas de departamento de vestuário, a cloud chegou em junho de 2009. “Usamos, desde então, o Google Apps e com isso migramos todo nosso ambiente de e-mail, documentos e colaboração.” Mais recentemente, diz Balbinot, a companhia passou o sistema de gestão empresarial (ERP) para a nuvem. “Estamos agora migrando toda a infraestrutura para o modelo”, completa.

Embora a companhia não conte com uma política específica para cloud, novas implementações são recomendadas para ingressarem na modalidade.

“Contamos com uma governança corporativa muito forte e isso nos faz focar bastante em segurança da informação. Temos normas e políticas claras de proteção e com isso usufruímos dos benefícios da nuvem sem riscos”, assegura o diretor de TI e Gestão da Renner, que fechou 2010 com 134 lojas em todo o País.

Segurança não foi uma barreira para a TCI BPO optar por cloud. Ao contrário, constituiu-se em principal motivador. Há pouco mais de um mês, a companhia especializada em soluções de Business Process Outsourcing caiu nas graças do modelo. “Adotamos uma solução de backup on-line da MozyPro, cujo objetivo é assegurar o armazenamento de informações sensíveis que ficam nos notebooks dos executivos”, conta Roberto Marinho Filho, CEO e fundador da TCI.

Atualmente, os correios eletrônicos também estão no ambiente de cloud do Google. “O projeto teve como meta a alta disponibilidade do e-mail, maior segurança e, principalmente, redução de custo”, aponta.

Para Marinho Filho, o desafio inicial da nuvem foi estabelecer SLAs eficientes e identificar que o provedor tivesse saúde financeira estabilizada e possuísse controles de segurança eficazes e que fossem ao encontro da demanda da TCI. “No paralelo, trabalhamos na definição de políticas que estabelecessem requerimentos de proteção e governança de TI”, diz.

Na opinião do executivo, o maior limitador do modelo hoje é o alto custo de conectividade e a baixa qualidade dos serviços oferecidos pelas operadoras de telecom do Brasil. Por outro lado, Marinho Filho acredita que em um futuro próximo esse obstáculo será superado. Ainda assim, faz parte dos planos da TCI passar outros serviços para a nuvem como o ERP, reduzindo, assim, gastos com licenciamento de software e com colocation, modalidade em que a companhia disponibiliza os ativos e aluga espaço no data center de um terceiro.


Evite surpresas ao contratar nuvem pública

Levantamento de dezembro de 2010 da Unisys indica que 80% das organizações ouvidas pela pesquisa planejam adotar algum tipo de nuvem, sendo 45% a privada e 15% a pública. Mesmo que a pública não seja ainda o foco dos investimentos, aquelas que optam por essa modalidade devem ficar atentas na hora de contratar e gerenciar os serviços de terceiros. Para ajudar empresas nessa tarefa, o Guia de Segurança para Áreas Críticas Focado em Computação em Nuvem traz algumas recomendações.

O documento foi elaborado pela Cloud Security Alliance, organização norte-americana sem fins lucrativos, com o objetivo de orientar sobre as melhores práticas da prestação de serviços na área de segurança na nuvem.
1-É preciso examinar e avaliar a cadeia de suprimentos do fornecedor (relacionamentos dos prestadores de serviço etc). Isso também significa verificar o gerenciamento de serviços terceirizados pelo próprio fornecedor.
2-A avaliação dos fornecedores de serviços terceirizados deve concentrar-se nas políticas de recuperação de desastres e continuidade de negócio, e em processos. Deve incluir também a revisão das avaliações do fornecedor destinadas a cumprir exigências de políticas e procedimentos, e a avaliação das métricas usadas pelo fornecedor para disponibilizar informações sobre o desempenho e a efetividade dos controles.
3-O plano de recuperação de desastres e continuidade de negócios do usuário deve incluir cenários de perda dos serviços prestados pelo fornecedor e de perda pelo prestador de serviços terceirizados e de capacidades dependentes de terceiros.
4-A regulamentação da governança de segurança de informações, a gestão de riscos e as estruturas e os processos do fornecedor devem ser amplamente avaliados.
5-É preciso solicitar documentação sobre como as instalações e os serviços do fornecedor são avaliados quanto aos riscos e auditados sob controles de vulnerabilidades. Além disso, procure solicitar uma definição do que o fornecedor considera fatores de sucesso de segurança da informação e serviços críticos, indicadores-chave de desempenho, e como esses pontos são mensurados.

Nenhum comentário: