Antes de começar a ler este texto, provavelmente você já tenha respondido à pergunta do título. E, mais provável ainda, de maneira negativa. Afinal, dizer que a nuvem pública é menos segura do que, por exemplo, servidores locais, já virou uma “pós-verdade” — adjetivo que, segundo o dicionário Oxford, faz referência a “circunstâncias em que os fatos objetivos têm menos influência na formação de opinião pública do que os apelos emocionais e as opiniões pessoais”.
No entanto, durante conferência ocorrida nos dias 8 e 9 deste mês, em São Paulo, o que seu ouviu foi justamente o oposto. Claudio Neiva, vice-presidente de pesquisas de uma empresa de consultoria, reiterou o posicionamento por ela mantido nos últimos três anos.
Na contramão do que prega o senso comum, sustentamos que trabalhar dados na nuvem pública é normalmente mais seguro do que fazê-lo em suas próprias instalações, “no data center que você tem dentro de casa”, como reforçou Neiva.
Isso porque, justificou ele, inexistem “evidências” sobre a debilidade em termos de segurança por parte dos mais renomados provedores de serviço (CSPs): “Os problemas observados estavam relacionados a falhas cometidas pelos usuários, a exemplo de senha e autenticação fracas”.
Neiva também chamou atenção para o reflexo da infraestrutura — com processos estabelecidos, qualidade, escalabilidade — dos principais provedores (hoje em torno de 15, classificados como “Tier 1”), tanto em recursos técnicos quanto operacionais: “Sua capacidade de acesso a profissionais mais qualificados para manter a estrutura de segurança do ambiente, com um nível de maturidade maior que a maioria das empresas pode encontrar no mercado, também é um fato.”
“Geralmente, estamos preocupados tecnicamente com a segurança. Mas, do ponto de vista de utilização, de saúde financeira (dos CSPs), de verificar se esses provedores vão ter condição de sustentar tal serviço por muito tempo, às vezes, esquecemos desses detalhes”, completou Neiva.
Controle da informação, a grande questão
Sim, a preocupação com a maturidade de segurança da nuvem – com vistas a endereçar todos os processos e mecanismos de seu acesso e utilização – é de suma importância. Mas não o principal, segundo o analista. “A questão mais importante é a criação de uma política de utilização da nuvem: o que eu posso e o que eu não posso colocar lá. (…)O provedor de nuvem tem a obrigação de manter segura a infraestrutura que suporta a visualização de todos os clientes. Já [a segurança] do conteúdo é obrigação do cliente” — cujos profissionais de segurança, privacidade, conformidade e gerenciamento de riscos devem ser competentes nesse tipo de ambiente”, disse Neiva.
A virtualização e o papel do DevSecOps
Dentro do que efetivamente vai para a nuvem, a partir de processos de virtualização, como fica a segurança em meio a demandas – por exemplo, aplicações, que cada vez mais demandam agilidade e, por isso, não podem esperar muito tempo pela avaliação da área? Ou, como disse Neiva, “ainda mais do CISO”?
A resposta é o DevSecOps, metodologia — tida como uma das principais tendências tecnológicas — que implica o envolvimento, à luz de uma mentalidade ágil, da equipe de segurança da informação ao longo de todo o processo do desenvolvimento – do planejamento até a codificação, testes, implementação, operação e monitoramento.
Conforme orientação, sob a perspectiva da abordagem Carta (Continuous Adaptive Risk and Trust Assessment, ou análise continua e adaptável de risco e confiança), no tocante a novas aplicações é preciso que as empresas busquem, em meio a bibliotecas, vulnerabilidades conhecidas, neutralizando a maior parte dos riscos. Já para códigos proprietários, deve-se buscar um equilíbrio entre a velocidade e segurança exigidas pelo negócio.
Outras tendências apontadas
- Até o final desta década, 50% das empresas irão requerer uma aprovação, em caráter de exceção, de cargas de trabalho (workloads) em casa, ou seja, fora de uma infraestrutura de nuvem não pública.
- As organizações irão parar de se referir a computação em nuvem como “exceção” e, em vez disso, a computação local se tornará o cenário menos comum até 2022.
“Temos evidências suficientes que as coisas estão indo por esse caminho. Simplesmente dizer não à adoção de nuvem não será uma solução para todo mundo. O que precisamos entender é como fazer isso de forma homeopática”, de olho na evolução das soluções oferecidas nesse ambiente, resumiu Neiva, que também compartilhou um plano de ação, que pode ser conferido abaixo, em uma de suas apresentações na Conferência:
- Defina uma estratégia de nuvem de, no mínimo, três anos e alinhada aos objetivos da empresa;
- Identifique quais cenários já estão propícios à migração e quais necessitam de certos investimentos para garantir sua visibilidade, conformidade, entre outros requisitos do negócio;
- Estude políticas de utilização da nuvem: por quem, como e quando ela será acessada;
- Desenvolva competências técnicas e operacionais relacionadas à virtualização. Entre elas, o entendimento de DevOps e seu conjunto de ferramentas.
- Descubra quais as falhas, dentro do seu conjunto de ferramentas, que afetem a visibilidade ao mudar para a nuvem;
- E desenvolva competências de trabalho diferentes daquelas associadas ao ambiente tradicional.
Quer migrar para a nuvem? A Allen possui soluções e especialistas que estão prontos para ajudá-lo nesta tarefa! Conheça nossas soluções de Cloud clicando aqui!
Fonte: ComputerWorld.
Comentários