novembro 30, 2010

[Segurança] Segurança da Computação em Nuvem em quatro slides

Hoje eu tive a oportunidade de participar de um painel sobre segurança de Cloud Computing durante o SICGov 2010, o IV Congresso de Segurança da Informação e Comunicações para Governo, realizado em Brasília/DF durante esta semana.

Como eu dividi o palco com mais dois painelistas, os senhores Cezar Taurion da IBM e Raimundo Nonato da Costa, da Microsoft, eu optei por preparar um material bem curto que sintetizasse os principais pontos que julgo serem os mais importantes quando consideramos as vantagens e os riscos de segurança relacionados a computação em nuvem. Por isso, eu acabei criando uma apresentação aonde destaquei os seguintes pontos:
  • A Computação em Nuvem nos oferece vários benefícios do ponto de vista de segurança da informação, na medida em que facilita a resolução de alguns problemas clássicos, como a disponibilidade das aplicações, atualização de versões e aplicação de patches (o que pode ser gerenciado pelo provedor de Cloud Computing), a segregação de ambientes (uma vez que fica fácil e barato levantar versões de testes e homologações de suas aplicações) e a implementação de um plano de recuperação de desastres (pois isto pode estar embutido na oferta de Cloud Computing ou a empresa pode utilizar a nuvem para hospedar versões de contigência para suas aplicações existentes, criando um "datacenter virtual").
  • A discussão sobre os riscos da Computação em Nuvem deve, necessariamente, começar com uma análise de riscos baseada nas necessidades de negócio, para que a empresa ou o órgão de governo identifique suas necessidades, riscos e controles de segurança que necessitará adotar ou exigir do provedor de Cloud Computing. Isto nada mais é do que um processo de análise de riscos que deveria ser natural para a empresa ou entidade, independente de tratarmos de Computação em Nuvem ou qualquer outro serviço ou tecnologia.
  • Embora a Computação em Nuvem herde vários riscos associados às tecnologias que utiliza e ao seu modelo de negócio (como, por exemplo, riscos associados ao controle de acesso, virtualização, modelo de terceirização, etc), ela também apresenta um conjunto específico de novos riscos que tornam a análise de riscos mais complexa, e diferente do que as empresas e entidades estão acostumados, como, por exemplo, os riscos associados as suas novas características e paradigmas.
  • Eu considerei importante exemplificar o que eu considero como sendo os "novos riscos" que a Computação em Nuvem traz para as empresas, e por isso utilizei o último slide da minha curta apresentação para listar apenas alguns deles, como por exemplo, a necessidade de preocupação com a localização geográfica de seus dados (para evitar que sua aplicação ne Nuvem e seus dados estejam, fisicamente, em um país com controles legais ou cenário de ameaças distinto do que a empresa esteja acostumada) e, o mais interessante, o fato de que a facilidade de contratação dos serviços de Cloud Computing representa um risco, uma vez que as áreas de negócio podem facilmente contratar uma nova aplicação de um fornecedor externo sem o conhecimento e a anuência das áreas de Tecnologia da Informação (TI) e de segurança da empresa.




O painel foi excelente, pois o Cezar Taurion apresentou os principais conceitos e os principais passos para adoção da computação em nuvem, enquanto o Raimundo Nonato destacou as estratégias e cuidados que os governos e órgãos públicos devem considerar ao utilizar o Cloud Computing. Ao final tivemos algumas perguntas interessantes da platéia, como a preocupação em como auditar um provedor de Cloud Computing e a existência de padrões e normas para tal (o que, a propósito, está sendo discutido na ABNT).

No decorrer do painel, surgiram vários comentários que eu considerei interessantes, como os pontos abaixo. Eu aproveitei e publiquei vários comentários no Twitter durante o painel, para permitir uma participação do público remoto.
  • Segundo o Cezar Taurion, a Computação em Nuvem representa uma mudança de visão e entendimento do que é TI atualmente, e daqui a 10 anos vai parecer algo natural. eu complementei este comentário lembrando que daqui a 10 anos, os principais executivos serão pessoas que, provavelmente, já nasceram no mundo Internet e conhecem tecnologia desde pequenos.
  • Gostei também de outra frase do Cezar Taurion: "nós superestimamos a adoção de Cloud Computing a curto prazo e subestimamos o seu impacto no longo prazo."
  • O Raimundo Nonato, da Microsoft, apresentou fotos do datacenter modular que é utilizado atualmente, que consiste em conjunto de equipamentos montado dentro de um container, e que pode ser facilmente adicionado a vários existentes para ampliar a capacidade total de processamento.
  • Foi concenso entre os painelistas que a adoção de Cloud Computing pelas empresas deve ser feita aos poucos e seguindo uma cuidadosa estratégia. Por exemplo, a empresa ou o órgão de governo deve começar escolhendo aplicações menos críticas.
  • Outro ponto interessante foi a questão da auditoria e confiabilidade no provedor. Neste ponto, ambos o Cezar Taurion e o Raimundo Nonato destacaram a importância em selecionar uma empresa grande e confiável para fornecer os serviços de Cloud Computing.
  • Ao final, eu destaquei que Cloud Computing representa uma ótima oportunidade para que as pequenas e médias empresas tenham acesso a tecnologia e a soluções de negócio sem a necessidade de grande investimentos. Ela também facilita o acesso dos usuários a tecnologia, mesmo nos casos de usuários ou escritórios remotos - o que pode ser crucial para uma empresa pequena ou de médio porte.

O SICGov 2010 foi organizado e realizado pelo Gabinete de Segurança Institucional da Presidência da República, por intermédio do Departamento de Segurança da Informação e Comunicações (DSIC).

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.