Tudo na vida é risco, se não aceitássemos isto, estaríamos até hoje nos escondendo na segurança das cavernas por conta do medo de enfrentar nossos predadores. Mas a evolução é uma condição natural dos seres humanos e por isto, riscos são aceitáveis.
No caso do Google Apps a premissa básica do programa é a mobilidade e isto requer que aplicações e arquivos de dados sejam hospedados na nuvem. Os profissionais que trabalham com Computação em Nuvem encontram muita resistência e ceticismo dos seus usuários quanto à segurança e privacidade das mensagens e arquivos hospedados neste ambiente. Estes afirmam: “Jamais colocarei meus dados no Google, pois tenho medo que minhas mensagens sejam bisbilhotadas” ou “Que garantias a Google me dá, caso eu perca um arquivo?”.
Se a insegurança for grave, recomendo a estes usuários que não abandonem a sua “zona de conforto”, ou seja, trabalhem com seus dados locais e usem um serviço de “courier” para entrega suas mensagens.
A Google gasta muito dinheiro aperfeiçoando o seu sistema de segurança de forma a garantir que suas mensagens tenham seu conteúdo restrito, sejam entregues no tempo correto e que seus arquivos estejam protegidos em sua nuvem.
Certificações de segurança
Por conta deste assunto tão polêmico vamos comentar um pouco sobre a preocupação da Google com relação às certificações de segurança vigentes no ambiente Google Apps.
FISMA
O Federal Information Security Management Act de 2002, ou “FISMA”, é uma lei federal dos Estados Unidos referente à segurança da informação dos sistemas de informação dos órgãos federais.
FISMA se aplica a todos os sistemas de informação utilizados ou operados por agências federais dos EUA – ou por empreiteiros ou outras organizações, em nome do governo.
- A Google foi a 1ª empresa do setor de Cloud Computing a completar a certificação FISMA para um aplicativo em nuvem multi-tenant.
- Google Apps opera no nível FISMA-moderado com “Grau de risco operacional Baixo”.
http://searchsecurity.techtarget.com/definition/Federal-Information-Security-Management-Act
SAS70 Tipo II e SSAE-16
A Google é certificada desde 2008 em SAS 70 Tipo II, que agora passou a ser SSAE-16 e ISAE 3402 Tipo II (Essa certificação é um tipo ISO de qualidade, em segurança. disponibilidade e redundância).
Esta certificação comprova que a Google pode fornecer aos administradores do Google Apps tranquilidade, pois seus dados estarão seguros sob um padrão de auditoria amplamente reconhecido.
Nesta certificação o Google Apps atende os seguintes controles e protocolos em vigor:
• Segurança lógica
• Privacidade
• Data Centers com segurança
• Gerenciamento de incidentes e disponibilidade
• Gestão da mudança
• Organização e administração
ISO 27001
A Google conquistou recentemente a Certificação ISO 27001 o que comprova a segurança do Google Apps for Business.
A Certificação ISO 27001 essencialmente garante que o Google está seguindo todas as diretrizes dos protocolos de Gestão da Segurança da Informação e sua melhores práticas.
O ISO 27001 é o certificado independente mais reconhecido mundialmente em relação à segurança de sistemas, todo o processo de certificação levou cerca de nove meses até sua aprovação final.
http://www.iso27001security.com/
Conclusão
Neste artigo apenas abordamos aspectos de certificação em segurança. Além disto, a Google implementa inúmeras formas de garantir a sua informação, mas isto será visto em outro artigo. Apesar deste esforço, de vez em quando tomamos conhecimento de boatos como:
“Um amigo do primo do seu cunhado que tem um vizinho que trabalha na empresa XPTO, teve seus dados perdidos na nuvem Google Apps”.
Quando você vai checar a veracidade deste boato, não consegue determinar o que aconteceu, pois nunca consegue determinar a origem.
Devemos lembrar que hoje temos mais de dois milhões de organizações utilizando o Google Apps e dentre estas grandes empresas.
Aqui fica a pergunta: “Será que estas empresas gostam da sensação de perigo ou realmente confiam no produto?”
Multitenancy – Refere-se a um princípio em arquitetura de software, onde uma única instância do software executado em um servidor pode servir à múltiplas organizações. É considerada como um dos atributos essenciais de Cloud Computing