Um provedor de cloud computing (computação em nuvem) tem equipes dedicadas à segurança dos sistemas, o que é uma raridade fora das empresas de TI. Quantas empresas que não tem TI como seu core business têm um serviço de monitoração 24 horas? Ou até mesmo nas empresas que têm TI como atividade principal, quantas tem monitoração 24 horas? Técnicos dedicados ao projeto e à manutenção de infraestrutura de TI? Geradores e redundância de equipamentos? Backup dos dados? Backup da aplicação? É a segurança de ter os dados e os serviços de TI sempre disponíveis.
Além da garantia de disponibilidade da infraestrutura, não podemos esquecer da segurança na gestão do acesso à aplicação. Assim como em qualquer aplicação que resida dentro de uma empresa, um CRM ou uma folha de pagamento, por exemplo, existe o controle de acesso que normalmente é feito por meio de um usuário e senha.
Vamos abordar alguns pontos:
• Usuário e senha: da mesma forma que dados de acesso são sensíveis para aplicações que ficam dentro da empresa, também o são para aplicações que ficam na nuvem. É necessário usar senhas fortes, misturando maiúsculas, minúsculas e números. Se possível, é bom usar caracteres especiais. Como essa aplicação não está dentro da sua empresa, muito provavelmente o cadastro de usuários não está ligado ao cadastro de logins de sua empresa. Por esse motivo é importante ter especial atenção ao processo de desligamento de funcionários para garantir que nesse processo esteja previsto remover ou desabilitar o acesso desse funcionário. Outro ponto importante a ser lembrado é que o fato de a aplicação estar na internet faz com que outras pessoas que não sejam os funcionários de sua empresa possam tentar acessar a aplicação. Mais uma razão para caprichar na definição das senhas e não descuidar da política de desligamento de funcionários.
• Compartilhamento de infraestrutura: normalmente a infraestrutura (servidores, bancos de dados, storage etc.) é compartilhada entre mais de um cliente. É isso que permite preços tão acessíveis se comparados com o custo de instalar e manter a aplicação dentro da empresa. Aqui a preocupação deve ser com a qualidade de desenvolvimento. Ela tem que ser desenvolvida com o conceito em mente de isolamento completo entre dados de clientes. Imagine que sua empresa é cliente do serviço de email de um provedor e, num belo dia, ao abrir sua caixa postal, você vê mensagens que deveriam ser de outra caixa postal. Aqui a dica é pesquisar por referências sobre esse provedor que você estiver pensando em contratar. Procure falar com clientes e ex-clientes para conhecer sua satisfação com o serviço prestado.
• Tráfego de informações sensíveis: outra preocupação muito comum é se é possível ver os dados que são trafegados pela internet quando seus funcionários acessam a aplicação. Se a aplicação não estiver usando SSL/TSL, comum em sites de internet banking, lojas virtuais e e-brookers, os dados que serão trafegados pela internet poderão ser vistos por pessoas mal intencionadas com o conhecimento necessário para fazer isso. Apesar da preocupação que isso gera, é importante sempre ponderar sobre qual é a importância de os dados trafegados não poderem ser vistos por ninguém. Se os dados não forem sigilosos, não há necessidade de se preocupar com esse tema. Por outro lado, se há essa preocupação e real necessidade de sigilo no tráfego das informações, o recomendado é procurar um provedor de software como serviço (SaaS) que forneça acesso à aplicação via SSL/TSL.
O que te preocupa em relação à segurança de cloud computing?
Joaquim Torres é diretor de produtos da Locaweb.
- Joaquim Torres
