Tudo o que você precisa saber sobre Segurança na Nuvem

A cloud computing passou de tendência para realidade. Se já não aderiram, muitas empresas têm planos de aderir. Neste mês, a consultoria IDC divulgou dados do que espera para o mercado de Tecnologia e Telecom para 2015. Por trás das expectativas está o avanço da Terceira Plataforma, que tem entre os seus pilares os serviços em Nuvem. Segundo a IDC, os gastos com a categoria continuarão a ser foco de atividade, respondendo por 118 bilhões de dólares.

Mas para que essa caminhada em direção à Nuvem realmente aconteça, muitos executivos terão que eliminar a principal barreira que existe hoje: o medo com relação à segurança! A matéria já evoluiu e muito, junto com os próprios serviços de cloud computing. Hoje, é possível falar até em boas práticas. Conversamos com Alfredo Santos, especialista em segurança da IBM, sobre o assunto. Confira a entrevista:

Motor de Transformação (M.T.): As empresas tendem a utilizar cada vez mais a cloud computing por conta das inúmeras vantagens e economia que ela proporciona, mas a segurança ainda é uma grande dúvida entre os empresários. Por que essa desconfiança?

Alfredo Santos (A.S.): Esta desconfiança existe por alguns fatores como a incerteza de onde as informações estão, porque o conceito de nuvem é ter soluções distribuídas e com alta capacidade de elasticidade. O cliente não possui algo dedicado e sim compartilhado e ainda está sujeito a Leis dos países onde estão os dados, como por exemplo, a Lei do Ato Patriótico nos EUA onde o governo pode requisitar acesso as informações.

M.T.: O problema pode também estar na falta de entendimento sobre o conceito de cloud computing e da forma como utilizar?

A.S.: Sim, pois você pode, entre todos os pontos de segurança, criptografar os dados e continuar protegido onde estiver sua nuvem.

M.T.: O que mudou com relação à segurança na Nuvem nos últimos anos?

A.S.: Hoje em dia a adoção é pesada pelas empresas e os times de segurança estão mais preparados, pois existem iniciativas globais como a Cloud Security Alliance (EUA) e a ENISA (na Europa).

M.T.: O que é preciso para ter segurança na Nuvem? Existe algum “protocolo” ou melhores práticas a seguir?

A.S.: As comunidades da CSA e ENISA estabeleceram um conjunto de boas práticas para segurança na Nuvem.

M.T.: Qual a diferença entre Nuvem Privada e Nuvem Pública no quesito segurança, e qual delas escolher?

A.S.: A Nuvem Privada deveria exigir um nível similar de segurança, mas este modelo é bem aceito pelas empresas mais conservadoras, dando a flexibilidade e agilidade do conceito de nuvem para atender áreas dinâmicas, como Marketing por exemplo.

M.T.: Afinal de contas, o que é uma Nuvem Segura?

A.S.: Nuvem Segura, lembrando que nunca temos 100% de segurança, é a iniciativa de se trabalhar com o pensamento de segurança e suas boas práticas, com um excelente monitoramento e não ignorar isso, pensando somente na agilidade para o negócio. Crie uma infraestrutura e processo de Nuvem Segura para, aí sim, ter agilidade da forma correta.

M.T.: Como é a nossa legislação com relação a isso? Existe algum ISO?

A.S.: Não existe ainda uma ISO para Cloud Securit, mas o caminho são as práticas da ENISA e CSA com a ISO 27001/27002, sendo que, no futuro, teremos uma ISO focada em Nuvem.

M.T.: Existe algo mais que uma empresa precise saber antes de migrar aplicações, especialmente as críticas, para a Nuvem?

A.S.: A empresa deve estar bem alinhada com o time de TI e de Segurança para que as aplicações continuem seguindo as boas práticas de integração e segurança. Um bom workshop com o time de negócios e alinhamento com os times de compliance e jurídico também são importantes.