Quando falamos sobre cloud computing, o tema que mais provoca discussões é a segurança dos dados. Assim como na última grande mudança de modelo computacional (mainframe para cliente/servidor), a questão segurança e o receio diante de uma novidade é comum e sempre aconteceu. Também temos acompanhado a mesma preocupação relacionada a outros temas recentes, como a utilização de smartphones e tablets em empresas, ou na exposição provocada pelo uso de redes sociais.
Sempre que um novo modelo desafia as práticas de segurança existentes, é importante analisar os objetivos a serem atingidos na proteção dos dados e adotar as mudanças necessárias em sua política para garantir o gerenciamento adequado dos riscos.
Na abordagem de segurança da informação em cloud, temos que diferenciar nuvens públicas das privadas, assim como os objetivos de cada empresa na utilização de cada um dos modelos, já que a tolerância a riscos difere de companhia para companhia, de acordo com sua área de atuação, obrigatoriedade de compliance com leis e práticas distintas. Em nuvens privadas, as políticas de segurança são facilmente adequadas às práticas já adotadas pela empresa, desde que atualizadas para suportar os novos recursos desta modalidade computacional. Por outro lado, nas nuvens públicas, a política de segurança fica subordinada aos métodos e processos adotados pelo provedor da nuvem. Ainda existe a modalidade de nuvens híbridas, que permite a integração de recursos providos por nuvens privadas e públicas. Neste caso, a principal recomendação é buscar provedores que adotem práticas mais rigorosas de segurança da informação.
O correto endereçamento dos riscos relacionados à segurança da informação é primordial para a sobrevivência de qualquer provedor de nuvens públicas ou híbridas. Este objetivo pode ser atingido empregando processos, métodos e tecnologias que garantam os controles necessários para a segurança dos dados armazenados na nuvem.
Já existem diversas opções de certificações e práticas documentadas para a gestão adequada de processos e da segurança da informação em ambientes cloud, disponíveis inclusive em alguns dos maiores datacenters brasileiros, como a CCSK (Certificate of Cloud Security Knowledge), SAS 70 type II, ISO/IEC 27001 e PCI-DSS.
Como visto, já existem práticas adequadas à gestão de segurança em ambientes cloud que demonstram um primeiro estágio de maturidade do mercado frente a este novo desafio. Identificar o nível de tolerância a riscos do seu ambiente e escolher os parceiros corretos para a adoção de ambientes baseados em cloud computing é a chave para garantir o sucesso de sua operação.
* Nelson Mendonça é diretor de operações da Alog Data Centers do Brasil.
