Recursos/White Papers

Tecnologia

A nuvem pública pode ser mais segura que on-premises? Para o Gartner, sim

Na contramão do que prega o senso comum, consultoria sustenta que trabalhar dados na nuvem pública é normalmente mais seguro do que fazê-lo em suas próprias instalações

Lucas Mosca, para Computerworld

Publicada em 23 de agosto de 2017 às 04h27

Antes de começar a ler este texto, provavelmente você já deve ter discordado da pergunta do título em algum momento. Afinal, dizer que a nuvem pública é mais segura do que servidores locais pode, para algumas pessoas, beirar a "pós-verdade" — adjetivo que, segundo o dicionário Oxford, faz referência a "circunstâncias em que os fatos objetivos têm menos influência na formação de opinião pública do que os apelos emocionais e as opiniões pessoais".

Mas, durante a Conferência Gartner Segurança & Gestão de Risco, ocorrida nos dias 8 e 9 deste mês, em São Paulo, o que seu ouviu foi exatamente isso. Claudio Neiva, vice-presidente de pesquisas da consultoria, reiterou o posicionamento por ela mantido nos últimos três anos.

Na contramão do que prega o senso comum, o Gartner sustenta que trabalhar dados na nuvem pública é normalmente mais seguro do que fazê-lo em suas próprias instalações, “no data center que você tem dentro de casa", como reforçou Neiva.

Isso porque, justificou ele, inexistem "evidências" sobre a debilidade em termos de segurança por parte dos mais renomados provedores de serviço (CSPs): "Os problemas observados estavam relacionados a falhas cometidas pelos usuários, a exemplo de senha e autenticação fracas". 

Neiva também chamou atenção para o reflexo da infraestrutura — com processos estabelecidos, qualidade, escalabilidade — dos principais provedores (hoje em torno de 15, classificados pelo Gartner como “Tier 1”), tanto em recursos técnicos quanto operacionais: "Sua capacidade de acesso a profissionais mais qualificados para manter a estrutura de segurança do ambiente, com um nível de maturidade maior que a maioria das empresas pode encontrar no mercado, também é um fato."

“Geralmente, estamos preocupados tecnicamente com a segurança. Mas, do ponto de vista de utilização, de saúde financeira (dos CSPs), de verificar se esses provedores vão ter condição de sustentar tal serviço por muito tempo, às vezes, esquecemos desses detalhes”, completou Neiva.

Controle da informação, a grande questão
Sim, a preocupação com a maturidade de segurança da nuvem – com vistas a endereçar todos os processos e mecanismos de seu acesso e utilização - é de suma importância.  Mas não o principal, segundo o analista do Gartner. "A questão mais importante é a criação de uma política de utilização da nuvem: o que eu posso e o que eu não posso colocar lá. (...)O provedor de nuvem tem a obrigação de manter segura a infraestrutura que suporta a visualização de todos os clientes. Já [a segurança] do conteúdo é obrigação do cliente” — cujos profissionais de segurança, privacidade, conformidade e gerenciamento de riscos devem ser competentes nesse tipo de ambiente", disse Neiva.

dadosnuvem

A virtualização e o papel do DevSecOps
Dentro do que efetivamente vai para a nuvem, a partir de processos de virtualização, como fica a segurança em meio a demandas – por exemplo, aplicações, que cada vez mais demandam agilidade e, por isso, não podem esperar muito tempo pela avaliação da área? Ou, como disse Neiva, “ainda mais do CISO”?  

A resposta é o DevSecOps, metodologia — tida como uma das principais tendências tecnológicas — que implica o envolvimento, à luz de uma mentalidade ágil, da equipe de segurança da informação ao longo de todo o processo do desenvolvimento - do planejamento até a codificação, testes, implementação, operação e monitoramento.

Conforme orientação do Gartner, sob a perspectiva da abordagem Carta (Continuous Adaptive Risk and Trust Assessment, ou análise continua e adaptável de risco e confiança), no tocante a novas aplicações é preciso que as empresas busquem, em meio a bibliotecas, vulnerabilidades conhecidas, neutralizando a maior parte dos riscos. Já para códigos proprietários, deve-se buscar um equilíbrio entre a velocidade e segurança exigidas pelo negócio.

Outras tendências apontadas pelo Gartner

- Até o final desta década, 50% das empresas irão requerer uma aprovação, em caráter de exceção, de cargas de trabalho (workloads) em casa, ou seja, fora de uma infraestrutura de nuvem não pública.

- As organizações irão parar de se referir a computação em nuvem como "exceção" e, em vez disso, a computação local se tornará o cenário menos comum até 2022.

“Temos evidências suficientes que as coisas estão indo por esse caminho. Simplesmente dizer não à adoção de nuvem não será uma solução para todo mundo. O que precisamos entender é como fazer isso de forma homeopática”, de olho na evolução das soluções oferecidas nesse ambiente, resumiu Neiva, que também compartilhou um plano de ação, que pode ser conferido abaixo, em uma de suas apresentações na Conferência Segurança & Gestão de Risco:

- Defina uma estratégia de nuvem de, no mínimo, três anos e alinhada aos objetivos da empresa;

- Identifique quais cenários já estão propícios à migração e quais necessitam de certos investimentos para garantir sua visibilidade, conformidade, entre outros requisitos do negócio;

- Estude políticas de utilização da nuvem: por quem, como e quando ela será acessada;

- Desenvolva competências técnicas e operacionais relacionadas à virtualização. Entre elas, o entendimento de DevOps e seu conjunto de ferramentas.

- Descubra quais as falhas, dentro do seu conjunto de ferramentas, que afetem a visibilidade ao mudar para a nuvem;

- E desenvolva competências de trabalho diferentes daquelas associadas ao ambiente tradicional



Reportagens mais lidas

Acesse a comunidade da CIO

LinkedIn
A partir da comunidade no LinkedIn, a CIO promove a troca de informações entre os líderes de TI. Acesse aqui