Em busca do tão sonhado alinhamento da Tecnologia da Informação aos requisitos de negócio, vários modelos de organização e utilização dos recursos computacionais (mainframes, time sharing, cliente-servidor, computação em grid, virtualização, etc) foram pensados. Esses modelos evoluíram no sentindo em que os recursos são observados como serviços e não mais por definições ou utilidades intangíveis ao usuário. Neste ritmo, surge o cloud computing, que além de tudo promete vantagens muito atrativas como redução de custos, dinamismo e escalabilidade. Uma verdadeira revolução, comparada por muitos autores, como Nicholas Carr em seu livro “The Big Switch: Rewiring the World, from Edison to Google”, a Revolução Industrial, quando da adoção de fornecedores de energias pelos engenhos, fábricas e afins da época. Entretanto, além de ainda não termos alcançado o ponto de utilizar CPU, memória, espaço em discos e outros como usamos a energia elétrica (ligando o que puder na tomada e pagando no final do mês), surgem desafios de Segurança da Informação cada vez maiores. Os casos de espionagem cada vez mais notórios estão ai para comprovar.
Mas tudo isso não pode ser motivo para frear essa crescente tendência, já que parece ser um caminho sem volta. Só que a partir do momento em que pelo menos pensamos em adotar cloud computing, nos deparamos com a seguinte questão: como adotar e migrar para o modelo de computação em nuvem, garantindo as propriedades básicas de confidencialidade, integridade e disponibilidade da Segurança da Informação? Afinal, se os dados da sua empresa não servem para Barack Obama, talvez eles sirvam para seu concorrente. Não é uma tarefa fácil, mas que através do uso de esforços disponíveis no mercado pode ser cumprida.
Quando falamos em migrar para computação em nuvem garantindo a segurança de nossas informações, estamos falando essencialmente de ter de lidar com riscos até então desconhecidos. Neste ponto podemos destacar duas frentes: Gestão de Riscos em Segurança da Informação pela norma ISO 27005 e a Cloud Security Alliance (CSA). A primeira é bem conhecida do mercado, por ser um ponto central da adoção da Gestão de Segurança da Informação. Já a segunda trata-se de uma organização sem fins lucrativos, de presença global, formada com a missão de promover a utilização das melhores práticas para garantia da segurança em ambientes de cloud computing, focando em pesquisa, educação e certificação.
Como resultado destes projetos de pesquisa, a CSA disponibiliza ferramentas e guias como “Security Guidance for Critical Areas of Focus in Cloud Computing”, “The Notorious Nine Cloud Top Threats”, ”Cloud Control Matrix” e ”Consensus Assessments Initiative”, que se alinhados e usados em conjunto corretamente aos grupos de atividades previstos na ISO 27005 e a fase de planejamento do ciclo PDCA da mesma norma, podem resultar em uma interessante abordagem que alerte para os riscos da adoção, seus níveis e tratamento mais adequado de acordo com cada realidade.
Levando em consideração os níveis de risco encontrados para o novo cenário, o sumário que pode ser extraído dos dados finais, talvez não informe a organização se ela deve ou não migrar para cloud, mas seguindo o restante do PDCA, ela poderá repensar diversos aspectos da tomada de decisão, através de medidas e prazos, com uma chance muito maior de que suas informações estejam a salvo no novo ambiente.
[Crédito da Imagem: Cloud COmputing – ShutterStock]