Recentemente, a CSA – Cloud Security Alliance, através do seu Capítulo Brasil lançou em língua portuguesa o documento denominado “Guia de Segurança para Áreas Críticas focado em Computação em Nuvem versão 2.1”. Este documento deve ser um guia de leitura obrigatória para todos os profissionais de TI, pois ainda que não tenham nenhum projeto relacionado com Cloud Computing ainda, em breve deverão ter.
Isso, porquê o mercado tem se tornado cada vez mais competitivo para as empresas de um modo geral. Com isso, estas não podem passar por problemas que gerem algum tipo de indisponibilidade operacional. A Tecnologia da Informação tem sido uma das ferramentas mais importantes utilizada pelas empresas para se manterem no mercado e com isso a sua dependência tende a aumentar a cada dia.
A contratação de serviços de Computação em Nuvem é uma direção que naturalmente todas organizações seguirão, motivadas pelas suas estratégias de investir definitivamente naquilo que é importante para o negócio, deixando um pouco de lado as áreas meio. Para os que ainda não estão familiarizados com o conceito de Cloud Computing, a figura 1 pode ser de grande valia, pois apresenta uma visão geral do assunto. Mais informações podem ainda ser obtidas na íntegra do documento da CSA.

Figura 1: Modelo visual de definição de Computação em nuvem do NIST

A grande dificuldade, no entanto, é a definição sobre quais serviços contratar, por onde começar, quais os riscos envolvidos, qual o melhor cenário, qual o melhor momento, entre outras, e que já deve estar tirando o sono de muitos CIOs.
Com base no guia da CSA e algumas publicações, abaixo segue um modelo recomendado dos passos a serem seguidos para a tomada de decisão:
1. Identificar o ativo – Dados ou Aplicações, para ser implantado na nuvem;
2. Avaliar qual a importância do ativo para a organização;
3. Mapear os modelos de implantação possíveis a partir dos riscos existentes e requisitos do negócio;
4. Avaliar os potenciais modelos de Serviços na Nuvem e Provedores, considerando os fatores de risco conhecidos e se necessário, realizar uma avaliação de riscos mais aprofundada;
5. Esboçar o potencial fluxo de dados entre a empresa, a nuvem, pontos de acesso remoto e potenciais clientes;
6. Neste momento deve-se avaliar todos os resultados obtidos nas etapas anteriores e tomar a decisão com levando-se em conta os riscos e aderência aos requisitos do negócio.

Existe diversos modelos de implantação de serviços em computação e nuvem que são apresentados na Figura 2. Nele é possível observar que os dados algumas vezes passarão pela mão de terceiros e/ou em vias públicas e é nestas duas questões que está a maior discussão quanto à Segurança da Informação.


Figura 2: Modelo “Cloud Cube”do Jericho Fórum
Fonte: Guia CSA

A confiança no provedor de serviços é fundamental para a segurança na tomada de decisão, pois o CIO estará colocando parte da sua responsabilidade nas mãos de terceiros e se estes falharem, as conseqüências poderão cair sobre o contratante. Portanto, é muito importante conhecer bem sobre Cloud Computing e seus riscos antes da tomada de decisão por qualquer pessoa. O Guia da CSA é uma ótima fonte para quem quer começar a entender do assunto e se embasar para as tomadas de decisão. Além disso, o histórico de relacionamento com o fornecedor e sua reputação, também fazem grande diferença na hora de dividir as responsabilidades, afinal, confiança é algo muito difícil de se construir e leva tempo, ao passo que a quebra da mesma pode ocorrer num piscar de olhos.