Para a Cloud Security Alliance, organização sem fins lucrativos que orienta sobre as melhores práticas de prestação de serviços na área de segurança em cloud, computação em nuvem não é necessariamente mais ou menos segura que o ambiente atual de TI.

“Assim como qualquer nova tecnologia, ela cria riscos e oportunidades. Em alguns casos, migrar para nuvem prevê a chance de reestruturar aplicações antigas e infraestrutura para adequar ou exceder requisitos modernos de segurança”, diz o Guia de Segurança para Áreas Críticas Focado em Computação em Nuvem produzido pela entidade.

Pesquisa recente da Frost & Sullivan realizada com 50 Chief Information Officers (CIOs) brasileiros concluiu que para 70% desses executivos a segurança é o maior inibidor da adoção de arquiteturas na nuvem. Outras barreiras levantadas foram falta de informação sobre o conceito (58%) e cultura corporativa de TI apontada por 44% dos entrevistados.

“É exatamente essa incerteza que leva mais de 70% das organizações que já têm soluções de cloud a optar por ambientes privados”, comenta Fernando Belfort, analista sênior de mercado da Frost & Sullivan. Belfort acredita que se houver maior entendimento do conceito, grande parte das dúvidas e a falta de confiança sobre proteção de dados serão eliminadas.

“A preocupação das empresas é ter certeza de que os componentes de segurança oferecidos são autênticos para garantir a integridade dos dados”, aponta Vilela, da Unisys. “Ferramentas para contemplar esses pontos existem e precisam ser aplicadas”, completa.

Concorda com essa visão a vice-presidente e principal analista da Forrester Research, Chenxi Wang. “A nuvem pública não é insegura ou menos segura que a infraestrutura de casa. O que ela precisa para mostrar que é confiável é prover mais visibilidade e provas de que possui controles alinhados às expectativas da companhia”, afirma.

Vendramini diz que para a Symantec a questão da proteção na nuvem está bem resolvida. “Temos muitos projetos em andamento com provedores de cloud. Quando eles formatam uma oferta, nos contatam antes para garantir que a infraestrutura solicitada possui requisitos de proteção adequados”, conta. O executivo acredita que a dúvida gira em torno de decidir que tipo de informação pode sair das fronteiras corporativas.

Em cloud, a preocupação tem de ser a mesma empregada em casa, sugere Eduardo Abreu, líder de Segurança da IBM Brasil. Os pontos a serem observados incluem controle, visibilidade, garantia de acesso adequado, proteção de dados, aplicações e infraestrutura. “A organização deixa de adotar o modelo por receio. Mas, normalmente, essas empresas têm práticas de proteção inferiores em comparação com os fornecedores de nuvem”, observa.

O executivo aponta que existe a ideia de que na nuvem os negócios estão fora do controle e o que está controlado é mais seguro. Mas isso não é verdade. “Os mesmos cuidados aplicados na empresa precisam ser transferidos para o terceiro, e exigir e definir SLAs, que variam de acordo com a estratégia”, completa.
Planejamento é chave, mas a verdade é que muitos não sabem por onde começar.

“Na IBM, por exemplo, temos serviços de orientação para que o cliente construa esse caminho, mapeie o que é crítico, verifique o que faz sentido colocar na nuvem, o que traz mais benefícios, decida o que deixar dentro de casa ou fora dela e avalie os custos e benefícios da aplicação”, diz Abreu.

Controles de identidade, acesso e informação. Ricardo Fernandes, vice-presidente de Segurança da CA Technologies, acredita que esses três pilares são fundamentais para garantir proteção de ameaças internas (apontada pela Verizon na pesquisa The 2010 Verizon Data Breach Investigations como um dos principais riscos das corporações hoje). Mas são válidos também na nuvem.

“Os profissionais de TI precisam acirrar a batalha contra as ameaças internas e alavancar as tecnologias de gerenciamento de identidade e acesso para que a segurança seja vista como a viabilizadora da adoção da computação em nuvem”, afirma.

Segundo o executivo, a autenticação forte já é uma realidade nas empresas e, como tendência, ele aponta a autenticação baseada em comportamento, que deverá ser empregada especialmente no setor financeiro. “Se a companhia conta com processos internos bem definidos, já é um grande passo para replicar na nuvem”, diz.

Aposta no modelo
Na avaliação de Leandro Balbinot, diretor de TI e Gestão da Renner, a decisão de optar pela nuvem pública ou privada não envolve necessariamente segurança. “A cloud pública oferece maior compartilhamento de recursos, custos mais baixos e maior escalabilidade, porém com menos flexibilidade e customizações”, avalia.

Na rede de lojas de departamento de vestuário, a cloud chegou em junho de 2009. “Usamos, desde então, o Google Apps e com isso migramos todo nosso ambiente de e-mail, documentos e colaboração.” Mais recentemente, diz Balbinot, a companhia passou o sistema de gestão empresarial (ERP) para a nuvem. “Estamos agora migrando toda a infraestrutura para o modelo”, completa.

Embora a companhia não conte com uma política específica para cloud, novas implementações são recomendadas para ingressarem na modalidade.

“Contamos com uma governança corporativa muito forte e isso nos faz focar bastante em segurança da informação. Temos normas e políticas claras de proteção e com isso usufruímos dos benefícios da nuvem sem riscos”, assegura o diretor de TI e Gestão da Renner, que fechou 2010 com 134 lojas em todo o País.

Segurança não foi uma barreira para a TCI BPO optar por cloud. Ao contrário, constituiu-se em principal motivador. Há pouco mais de um mês, a companhia especializada em soluções de Business Process Outsourcing caiu nas graças do modelo. “Adotamos uma solução de backup on-line da MozyPro, cujo objetivo é assegurar o armazenamento de informações sensíveis que ficam nos notebooks dos executivos”, conta Roberto Marinho Filho, CEO e fundador da TCI.

Atualmente, os correios eletrônicos também estão no ambiente de cloud do Google. “O projeto teve como meta a alta disponibilidade do e-mail, maior segurança e, principalmente, redução de custo”, aponta.

Para Marinho Filho, o desafio inicial da nuvem foi estabelecer SLAs eficientes e identificar que o provedor tivesse saúde financeira estabilizada e possuísse controles de segurança eficazes e que fossem ao encontro da demanda da TCI. “No paralelo, trabalhamos na definição de políticas que estabelecessem requerimentos de proteção e governança de TI”, diz.

Na opinião do executivo, o maior limitador do modelo hoje é o alto custo de conectividade e a baixa qualidade dos serviços oferecidos pelas operadoras de telecom do Brasil. Por outro lado, Marinho Filho acredita que em um futuro próximo esse obstáculo será superado. Ainda assim, faz parte dos planos da TCI passar outros serviços para a nuvem como o ERP, reduzindo, assim, gastos com licenciamento de software e com colocation, modalidade em que a companhia disponibiliza os ativos e aluga espaço no data center de um terceiro.

Por Déborah Oliveira e Edileuza Soares, da ComputerWorld