O temor da segurança está resolvido? A IDC prega que aplicativos complexos e dados com perfil mais crítico podem e devem migrar para a nuvem e o Gartner garante que cloud é mais confiável e segura para os dados do que ficar com eles dentro de casa. Mas será que eles estão certos? O momento indica que o pré-conceito, envolto em névoas de medo, de alocar os dados na nuvem está-se desfazendo, tanto que empresas como telcos e bancos de diversos países já migram suas aplicações de missão crítica para a plataforma.
Em recente declaração, Daryl Plummer, vice-presidente do Gartner, garantiu que cloud é mais seguro que soluções on promise. Para o executivo, o ponto crítico na discussão dos ambientes na nuvem está na privacidade dos dados, algo que está sendo solucionado plenamente no mundo e mesmo no Brasil com o maior investimento dos provedores.
Melhor, se até mesmo a agência espacial norte-americana, a Nasa, que convive com montanhas de dados de altíssima missão crítica, está na nuvem, por que sua empresa não pode estar lá? Calma, dirão alguns!
No entanto, é inegável que os provedores estão mais melhor preparados para salvaguardar os seus dados do que a grande maioria das corporações. “As empresas prestadoras de serviço de cloud possuem mais investimento e políticas de segurança que estão em comppliance com as regulamentações e padrões do mercado, mesmo aquelas específicas de verticais da economia”, explica Julio Faerman (foto), evangelista da Amazon Web Services, justificando a tal supremacia em segurança.
O medo quanto à confiabilidade dos dados na nuvem já havia diminuído, como lembra Maurício Fernandes, da Dedalus, broker no mercado de cloud e parceiro de empresas como Google, Microsoft e AWS. Porém, segundo ele, sofreu um abalo com as revelações do wikileaks há dois anos. “Ficou meio confuso, porque muitas pessoas e executivos ficaram com a impressão de que todos os dados ficavam disponíveis, abertos, na nuvem. Agora, voltamos à percepção correta de que se está mais seguro na plataforma de cloud do que fora dela”, assegura.
Como exemplo, Fernandes fala da escala que os provedores têm para barrar ataque de Denial of Service (DoS), que são hoje cada vez mais comuns no ambiente corporativo. Essa escala, bem como a tecnologia sempre atualizada e a presença de equipes e profissionais especializados conferem grande vantagem aos provedores nessa comparação. Fatores que se somam ao fato de que as empresas precisam desesperadamente cortar custos, que tem como resultado a diminuição de verba para as equipes internas e os projetos de TI.
Mercados e maturidades
É claro e lógico que alguns mercados atingiram uma maior maturidade que o Brasil na combinação nuvem-segurança (ou mesmo em sua percepção), porém os representantes locais asseguram que temos melhorado e caminhado com velocidade na adoção da plataforma e que a segurança não é mais um fator de preocupação. No entanto, é necessário partir da premissa de responsabilidade compartilhada (assim como definiu a justiça quanto à guarda de filhos recentemente) e não deixar tudo nas mãos dos provedores quando o assunto é tão sensível.
Mas como definir os papéis? “Existem diversos benefícios como elasticidade, escala e outros fatores ao trabalhar na nuvem, e o provedor tem essas responsabilidades bem como garantir a segurança física, da infraestrutura de rede. Para isto, precisa seguir normas e melhores práticas, porém as corporações também têm o seu papel, especialmente nas aplicações. O provedor garante o que o cliente precisa e deseja, mas esse último tem de fazer definições e implementar políticas internamente”, argumenta Felipe Guitel, gerente de Marketing da Trend Micro.
Faerman, da AWS, concorda e apoiado nessa premissa de gestão mitigada dá o seu exemplo. “Entregamos uma camada de segurança na Amazon Web Services e disponibilizamos uma série de possibilidades e ferramentas complementares, mas alguns aspectos da política ou mesmo os componentes que serão adotados passam pela escolha do cliente”, completa.
E as corporações?
Mal comparando, se uma empresa possui uma política de segurança inadequada e não analisa ou mesmo aprimora os seus protocolos ao migrar, a tendência é [ se o provedor não for atuante] reproduzir os mesmos erros na nuvem. No entanto, por conta da vasta oferta de ferramentas e controles, até mesmo essa corporação vai atingir um melhor nível com a mudança de plataforma.
No geral, as políticas de segurança melhoraram muito nos últimos anos, e não apenas no aspecto da infraestrutura ou mesmo por conta da nuvem, e sim de uma forma mais ampla. “Olhando os ativos organizacionais e as interações entre pessoas, processos e tecnologia, estamos melhores. Se a maturidade do nosso mercado ainda evolui e não é a mais efetiva, a nuvem traz benefícios para todos“, explica Guitel, da Trend.
Da mesma forma que trouxe aspectos positivos, como escala e mais velocidade, o dinamismo da nuvem também precisa ser acompanhado por uma política de acordo com o ambiente. Não adianta aproveitar a plataforma disruptiva, como chamam alguns, e lançar um produto ou serviço diferenciado em tempo recorde se não existir algo que assegure a integridade dos dados do mesmo.
Assim como o discurso em diversos casos não é acompanhado pela prática. Uma empresa varejista, por exemplo, pode ser uma maravilha na administração, com excelente política de segurança de dados, mas e na ponta, na loja? Em alguns casos, o que se vê é um horror com todo mundo usando a mesma máquina de forma anárquica, independentemente do nível hierárquico.
Modo de usar
Para se ter uma ideia da diferença entre o que um provedor pode ter em ferramentas ou mesmo treinamento, Faerman informa que a AWS tem hoje mais de 1,8 mil verificações de segurança possíveis que podem ser aplicadas aos seus clientes em todo o mundo, algo impensável no campo corporativo. Sem comparar o treinamento ou especialização. Aliás, o normal é que entre as empresas de médio e pequeno portes não exista nem mesmo um profissional dedicado ao tema da segurança.
Como norma, a AWS não impõe uma política de segurança aos seus clientes, entretanto existem standards. “Todos os arquivos enviados pelo nosso serviço são seguros por padrão, nosso modelo traz uma segurança padronizada e algumas regras são definidas pelos usuários, como a política de acesso. Temos serviços de gestão de identidades e oferecemos recursos e mecanismos necessários, mas sem imposição, como recomendação”, garante Faerman.
Já a Dedalus trabalha com três formatos de serviços de segurança com seus clientes. O que a empresa traz tudo que possui para o provedor. Outro em que são implementadas ferramentas, como antivírus, nos servidores do cliente e, o Mis complexo dos três, em que toda a gestão de segurança da corporação é feita pelo provedor.
A filosofia da Trend, por sua vez, é expandir as parcerias com provedores e canais, desde os grandes como IBM e HP até data centers locais, como também ocorre no Brasil. “Está cada vez mais fácil não apenas contratar a plataforma como serviços agregados, inclusive de segurança, na nuvem”, conclui Guitel.
Entre os serviços mais complexos de segurança oferecidos na nuvem é possível falar em criptografia, que pode chegar até o segmento de hardware. Além de outros mais analíticos e consultivos, como auditoria de dados, registro de operações nos servidores ou mesmo rastreabilidade das mudanças de configuração dos ambientes. Ações que podem indicar até mesmo a possibilidade de ameaças futuras.
Perigo, perigo
No Brasil, como em outros países, a tendência é que as empresas utilizem a segurança do provedor e as defesas da nuvem apenas no horizonte da infraestrutura. Um erro crasso. “Muitas empresas avaliam a questão da segurança na nuvem como algo apenas de responsabilidade do provedor, mas é preciso ver o todo, e as aplicações muitas vezes não estão nas mãos do parceiro”, critica Guitel. Ele recomenda contratar o provedor também na aplicação e construir um contrato de serviços bem estruturado.
Pior, as corporações não têm consciência de que muitos dos problemas de integridade de dados surgem nas aplicações. Fernandes dá um exemplo de um cliente sem, claro, revelar o nome: “Uma empresa de grande porte rodava o ERP, da SAP, na Amazon, e pediu-me consultoria. Fizemos uma varredura (de graça), instalamos os agentes nos servidores e o relatório apontou 345 alertas graves. Algo impressionante…com portas abertas, webservices sem boas práticas etc, e o problema não era estar ou não na nuvem. Era um problema de administração da aplicação. Automatizamos a gestão de segurança da plataforma e resolvemos”, completa.
Missão crítica, sim
Alguns críticos da nuvem apontam que o fato de os setores da economia que operam massivamente com missão crítica, como os bancos, não adotarem a nuvem em larga escala é um sinal de que a plataforma não é segura. No entanto, isso tem mudado em ritmo acelerado. No Brasil, uma outra barreira cultural foi erguida, a de que no ambiente bancário tudo ou quase tudo é feito dentro de casa. Seria, então, medo de perder as rédeas da gestão de TI?
Existe ainda um outro aspecto, o controle de comppliances e protocolos que o setor bancário precisa seguir. “Mas mesmo com a quantidade de normas do setor, isso tem mudado. Muitas áreas internas já operam na nuvem e percebem que o atendimento aos usuários ganha mais agilidade e velocidade”, admite Guitel, da Trend.
Para Fernandes, da Dedalus, o freio dos bancos nacionais é 2/3 por fundo cultural e 1/3 pela tecnologia utilizada, com ambientes que usam linguagens antigas ou de complexa migração para a nuvem. “Mesmo assim, a parte de web banking de contato com o cliente final está na nuvem, com o processamento das operações ainda nos mainframes. E isso funciona bem”, garante, mesmo ponderando que o custo é alto.
O executivo cita casos globais que mostram uma mudança de conceitos. A Nasdaq, ele revela, roda totalmente na nuvem e tem informações extremamente críticas. Outro exemplo, um dos principais bancos japoneses, e mesmo a Bovespa que tem uma parte de suas operações com os serviços de cloud da Microsoft. “Temos cada vez mais bancos, Governos e empresas com perfil de dados de missão crítica adotando a plataforma de cloud. As coisas estão mudando e o preconceito tem desaparecido”, explica Faerman, da AWS, que cita como exemplo a Avianca, empresa do Grupo Itaú, e a Serasa, serviço de proteção ao crédito.
Um projeto local que envolve dados críticos em larga escala é o do grupo de ensino universitário Kroton Anhanguera, desde 2010 com a Dedalus. “Eles têm 1 milhão de alunos e 20 mil professores em todo o País hoje, e postam vídeos, PDFs e mesmo aulas remotas. Estavam em um data center convencional e a infraestrutura não segurava nos momentos de pico, havia muitas quedas. Fizeram testes e o data center antigo ficou uma semana fora do ar. Trabalhamos desde 2010 e realizamos transformações, havia 300 mil alunos na época, e agora 1 milhão, e o serviço não cai. Web para eles é uma importante ferramenta de trabalho”, conclui.
Como Amazon, Dedalus e Trend completam essa frase?
“Operar na nuvem, hoje, pode ser um sinal de maior segurança para as empresas porque…
…é mais seguro, pelas políticas de comppliance e do ponto de vista de engenharia pelos recursos de monitoramento. Temos mais de 1,8 mi verificações de segurança e oferecemos mecanismos e parceiros para níveis mais elaborados de defesa”, Julio Faerman, evangelista da Amazon Web Services.
…a plataforma é melhor, e segurança tornou-se um assunto sofisticado. Não se recomenda mais fazer tudo dentro de casa, a vantagem do provedor é uma questão de tecnologia e volume”, Maurício Fernandes, presidente da Dedalus.
…em um modelo de responsabilidade compartilhada, é possível aproveitar os benefícios e as melhores práticas da segurança física na nuvem. O cliente deve estar atento e habilitar uma política compatível, sem transformar a segurança em um gargalo”, Felipe Guitel, gerente de Marketing da Trend Micro.
Acesse os outros sites da VideoPress
Portal Vida Moderna – www.vidamoderna.com.br
Radar Nacional – www.radarnacional.com.br