Meu nome é Aylton Souza, sou o Especialista de Indústria para Hosting / S+S e Soluções de gerenciamento.

Tendo iniciado minha carreira em tecnologia e segurança no início da década de 90 e toquei projetos de seguranca no Brasil e no exterior, fui o 4o CISSP da America Latina e um dos primeiros Lead Auditors certificados pelo British Institite, alem do prazer da premiacao SECMASTER em 2006 e 2007.

Como meu primeiro post, gostaria de falar um pouco sobre a onda de serviço 'na nuvem' e os desafios de segurança que temos pela frente.

Com a nova onda de serviços ‘nas nuvens’ (ou ‘on the cloud’  se eu nao gostasse de evitar os anglicismos) uma das grandes perguntas sobre o assunto está ligada a preocupacao com segurança: Até que ponto algo que nao temos controle pode ser seguro?

Mais e mais caminhamos para uma quebra de paradigma. Enquanto as questoes obvias de privacidade e disponibilidade frequentam os workshops, discussoes de projeto e mesas de bar, é difícil nao questionar se um datacenter / empresa bem estabelecida não é uma opção melhor para quando o custo, risco ou capacitação são desafios para uma empresa, grande ou pequena.

Manter um serviço ‘dentro de casa’ ou hospedá-lo fora de casa? Enquanto algumas funções funcionam melhor dentro ou fora de casa, é fundamental analisar sob a perspectiva de negócio e foco.

Será que é mesmo melhor depender daquele servidor debaixo da mesa do que reger uma relação com um fornecedor de serviços através de uma SLA? O amigo do filho do dono que 'conhece computacao' eh uma fonte de suporte melhor do que um grande datacenter?

Em especial para pequenas e médias empresas, um quadro de TI reduzido muitas vezes é um desafio que compromete as premissas básicas de segurança por pura falta de mãos para executar e olhos para ver cada uma das emergencias. É o principio que chamamos de ‘escolher a arvore de um lado e receber os taloes de cheque grampeados do outro’

Sem dúvida alguma é fundamental identificar se as SLAs envolvidas e a política de privacidade determinada pelo prestador de serviço é compatível com as premissas de disponibilidade e privacidade da empresa. Sem dúvida é uma alternativa interessante o suficiente para ser considerada.

O equívoco que ainda veremos nessa fase de transição está ligado a ignorar esse passo simplesmente pelo gosto ou pela percepção de melhorias, mas sem o devido alinhamento com as verdadeiras necessidades de negócio.

Para completar, existem algumas questões de segurança ainda por vir. Nossas políticas e práticas estão preparadas para lidar com esse novo mundo? Como lidaremos com retenção de informações, SLAs, descarte de informações, privacidade, ciclo de vida e outros tantos pontos importantes no mundo das nuvens? As respostas não são fechadas, mas a única certeza imutável  é de que não serão os mesmos métodos nem as mesmas fórmulas.

Um exemplo recente (para os mais jovens, recente significa um panorama de 15 a 20 anos) foi a invasão das redes corporativas, desbancando os terminais burros e PCs ‘stand alone’, e mais recentemente a própria internet. A defesa de remover  drives de diskette ou simplesmente não ser parte da rede deixou de ser válida. E temos agora a oportunidade de aprender com os erros e acertos do passado .

Em suma, cavalhos velhos terão de aprender novos truques ou serão consumidos pela nova era.