Controle na nuvem

“Computação em nuvem implicaria uma grande confiança nas conexões de internet, mas comprometeria ou exporia ao roubo as informações da empresa”, diz um dos respondentes da pesquisa de setembro InformationWeek Analytics sobre cloud computing. “A partir do ponto de vista de compliance de PCI seria um pesadelo”.

Mas ainda há os extras: escalar aplicativos rapidamente e sem problemas enquanto se economiza gastos operacionais e capitais associados à manutenção de servidores são atraentes o suficiente para que este modelo continue ganhando popularidade com os líderes de negócios. E os proponentes de cloud computing, incluindo os grandes fabricantes que buscam uma parte deste mercado lucrativo, são mestres na acentuação da prospecção positiva e na redução das partes negativas potenciais, como falha de eletricidade e desafios de governança.

Então, como podem se pode conciliar a necessidade de governança com as diretrizes dos líderes de negócios para, ao mesmo tempo, trazer capital e manter os custos atuais sob controle? Nosso conselho: os CIOs devem sentar-se com os grupos de segurança, diretivo legal e com os donos de dados para discutir todos os problemas. Ter estas discussões acaloradas é a única maneira de conter o ceticismo, como está expresso no estudo, que apontou que apenas 18% de 456 profissionais de tecnologia de negócios disseram utilizar serviços de cloud computing, comparados aos 34% que dizem não ter interesse na tecnologia.

Mais da metade diz preocupar-se com a segurança, o desempenho, o controle, o lockin do fabricante e o suporte. Tem de se levar em conta que os executivos já “ouviram esta música” antes com o software como serviço (SaaS). Se você não controla seus dados – ou, em alguns casos, nem mesmo sabe onde eles residem -, não pode governá-los e, com certeza, não pode prometer a um auditor que eles estão protegidos contra acesso não autorizado.

Proteção e governança

No entanto, ainda mais que SaaS, a computação em nuvem, por sua natureza distributiva, levanta questões em relação a direitos de privacidade e atendimento a normas e regulamentações. Isto é verdade, se você se inscreve em um modelo de infraestrutura de cloud computing, no qual os recursos são deixados em bases medidas, como acontece com a Elastic Cloud Compute (EC2) da Amazon e o Azure da Microsoft – ou ainda um modelo de plataforma de aplicação, onde os serviços de aplicação são preenchidos com sua informação, como o Salesforce.com ou PeopleSoft.

Problemas de governança, como gerenciamento de dados e compliance regulatório, estão bem no limbo. As cortes e os grupos industriais irão, eventualmente, ajudar no desenvolvimento de diretrizes, mas ainda estão cada um na sua.

Em um cenário de co-locação, onde uma empresa deixa espaço, energia e conectividade de rede e a TI está livre para inserir quaisquer equipamentos que desejar, o fornecedor deve ter controles de auditoria governando o acesso físico ao seu hardware e mitigando o risco de alguém roubar os dados localmente. Em um ambiente de infraestrutura de cloud, a situação é radicalmente diferente. Seus dados e a força de processamento podem ter de ser mudados de locação para locação, possivelmente com níveis variáveis de controle de acesso físico.

Os atuais sistemas de virtualização de alguns provedores de infraestrutura de computação em nuvem podem ainda não serem capazes de oferecer segurança fortemente, pois as máquinas virtuais compartilham um hypervisor e estão de fato separadas e imunes de ataques. Os provedores de cloud – em particular, a variação de infraestrutura – tendem a ser opacos na oferta de serviços de computing com pouca visibilidade nas atuais arquiteturas e tecnologias. Você não pode fazer a auditoria do que não se vê, e isto é o que mata em muitas indústrias reguladas.

Por um outro lado, Christopher Hoff, arquiteto-chefe de segurança da Unisys, aponta que os fabricantes que começaram com SaaS podem ter tido de construir seus próprios data centers e agora utilizam a infraestrutura de serviços na nuvem, tais como a Amazon Web Services, que oferece não só os principais recursos de computing, mas também características de segurança de valor agregado, como defesas de negação de serviços (denial-of-service), monitoramento de escaneamento de porta (port-scan monitoring), firewall básico, e separação múltipla (multitenant), que é mais do que um típico fabricante startup de SaaS poderia oferecer por si próprio.

Quando terceiros terceirizam

Para tornar os problemas ainda mais complicados, todos os tipos de provedores de serviços podem agora fazer o processamento de cloud off-load, às vezes não percebido pelos detentores dos dados.  “Governança tem a ver com onde os dados residem e como são classificados,” diz John Pironti, presidente da consultoria de TI IP Architects. “As empresas terceirizadas estão terceirizando o processamento delas. Então, o executivo de TI também tem de se preocupar em onde vão parar seus dados.”

Pironti cita uma empresa para qual ele fez consultoria com o processo de dados terceirizados para um fabricante na Índia. A companhia passou por um processo de diligência para assegurar que o outsourcer iria encontrar padrões de segurança.

Entretanto, o fabricante indiano, por sua vez, tinha um parceiro de processamento terceirizado na China. O cliente de Pironti não tinha descoberto que seus dados haviam migrado para a China até que uma auditoria de rotina detectou as conexões à empresa chinesa. Já a corporação indiana disse que estava fazendo exatamente o que o cliente original fazia – terceirizando os processos para economizar custos.

Isso significa que as leis em relação à detenção e responsabilidade sobre os dados que comprazem o serviço original de hospedagem já não se aplicam? Dependendo a quem você perguntar, as respostas podem ser diferentes. Para Pironti, qualquer empresa que terceirizou o processamento de dados encontrou problemas similares de governança e as mesmas regras se aplicam. Deve assegurar-se em ter definições claras e responsabilidades definidas  no contrato de privacidade de governança e nos requerimentos de segurança.

Para isso, será necessário um ter conselho diretivo legal por causa das leis de privacidade serem demasiadamente inconsistentes de país a país, e até mesmo de estado para estado nos Estados Unidos. “O tipo de dados em um serviço de cloud pode ter ramificações regulatórias significativas e legais”, diz Carolyn Lawson, CIO da California Public Utilities Commission (Comissão de Utilidades Públicas da Califórnia). Ela aponta que na Nona Corte de Apelos (a 9th Circuit Court of Appeals) há leis que dizem que, sob a lei de privacidade de comunicações gravadas (Stored Communications Privacy Act), provedores de serviços de e-mails/SMS hospedados não podem desempenhar o trabalho sem que a empresa que está pagando pelo serviço tenha uma garantia.

Em outras palavras, se você contrata um provedor de serviços de cloud para gerenciar os e-mails de seus empregados, este provedor pode não te mandar cópias das mensagens sob demanda, mesmo que você esteja pagando as contas. Isto pode causar uma rachadura na descoberta eletrônica de investigações internas.

Stuart Charlton, arquiteto-chefe de software Elastra, uma startup no segmento de cloud, aponta efusivamente que para fazer negócios dentro da União Europeia (UE) é preciso assegurar aos cidadãos que seus dados privados não residam em países com leis mais brandas – como nos Estados Unidos. E, por causa destas leis mais restritivas, Lawson aconselha que, antes de as organizações governamentais da Califórnia considerarem cloud computing, é necessária uma certificação que os dados privados se mantenham dentro das fronteiras ou, depois de conferir com advogados, a hospedagem de dados em outros estados é permitida e aceitável. 

Nuvem sem fronteiras

Pensar em dados terceirizados – muito menos utilizando um serviço como o EC2 da Amazon ou o Azure da Microsoft – está fora de cogitação por razões de segurança? Como a empresa que viu seus dados irem para a China, você pode acabar sendo um cliente inadvertido de qualquer forma. A Elastra, por exemplo, é uma fabricante de gerenciamento por cloud computing. Um de seus clientes de referência é Christian James, que oferece aplicativos de ponto de vendas baseados em software como serviço.

A oferta, chamada de PayGo SaaS, pode ser hospedada em seus servidores ou no EC2 da Amazon e utiliza um processador de cartão de crédito, o Authoriza.net, para processar as compras de cartão. São três entidades separadas que podem ou não ter um impacto no compliance geral da indústria do cartão. Os representantes da Cristian James dizem que a empresa toma medidas para assegurar que o software é compatível ao PCI, mas não estão certos se os processos quanto às aplicações são armazenadas com o EC2 da Amazon.  

A MedCommons, que faz software para armazenar e gerenciar históricos de saúde de pacientes, tem um problema parecido. Ela vende seu software diretamente e baseado em SaaS EC2 da Amazon. O cientista-chefe da empresa, Adrian Gropper, aponta que, com parte da licença SaaS, os clientes devem assinar o acordo da Amazon, como também acontece com a MedCommons.

Chame os advogados agora, porque, estando sujeito ao PCI, HIPAA ou ambos, você precisa fazer questões detalhadas sobre onde e como os dados são armazenados e de quem é a responsabilidade disso. E as respostas devem estar sob contrato. Não se importe em procurar entidades governamentais federais ou estaduais ou grupos industriais a partir de agora. Eles simplesmente não estão se movendo na mesma velocidade para se manterem atualizados com a tecnologia. 

Troy Leach, diretor-técnico do Conselho de Padrões de Segurança da PCI, explica a posição da entidade: “Tentamos manter um método tecnológico neutro e direcionado aos riscos, especialmente aos associados ao ambiente de dados do detentor do cartão. Estamos atualmente avaliando se os atuais requerimentos da versão 1.2 do documento que regulamenta o padrão de segurança dos dados da indústria de cartões de pagamento (PCI) no sentido de mitigar ameaças e vulnerabilidades relacionadas aos componentes virtuais. O conselho espera oferecer transparência no tópico no próximo ano”.

Em conformidade

A governança engloba mais que consciência de locação. Disponibilidade, acessibilidade, auditoria e monitoramento também são peças-chave. Milhões de clientes da Salesforce sofreram uma queda de energia de 38 minutos no começo de janeiro e os usuários de web services da Amazon também viram um downtime em 2008.

A lição: preste bem atenção no contrato de nível de serviço (SLA, na sigla em inglês) do provedor. Menos que 99,9%, traduzindo, mais ou menos 8,75 horas de downtime por ano, inaceitável na maioria dos casos. Tenha certeza que você entende todas as exclusões também. Por exemplo, o cláusulas do SLA geralmente se limitam aos equipamentos e aos serviços sob controle do provedor e exclui problemas como quedas de internet. 

A TI deve assegurar que os dados sensíveis ou regulados estejam protegidos e que o acesso seja auditado. É na compliance que estão os maiores pontos de atenção; alguém tem de ser responsável pela proteção aos dados, ainda que os acordos de serviços como os do EC2 da Amazon e o Azure da Microsoft estejam bem claros – estas empresas não vão se responsabilizar pela perda de dados ou multas ou outras penalidades legais sofridas durante a utilização de suas plataformas de cloud de uma forma segura, e, de fato, dependendo da sua situação, os dados estarão mais bem assegurados se for feita uma inspeção.

Você pode ter melhor sorte com provedores menores. Por exemplo, o Zoho, que oferece produtividade e outras aplicações no cloud, passou por algumas auditorias externas a pedido de clientes e bancadas pelos clientes. Note que a auditoria SAS-70 no provedor de serviço não é um substituto suficiente para uma revisão independente. 

Para os iniciantes, geralmente, não haverá a oportunidade de revisar o relatório completo do auditor, que detalha informações muito sensíveis, como a arquitetura e os controles do provedor de serviço. Você verá somente questão de opinião, que é uma soma do julgamento do auditor se o controle do provedor atingir suas metas. Ademais, as auditorias SAS-70 são tipicamente aplicadas somente em um subset dos sistemas de TI do provedor de serviço, então a questão de opinião podem nem mesmo cobrir todas as porções relevantes da operação.

Até um planejamento legal em controles adequados de ambientes de cloud é trabalhado por meio da regulação, legislação ou casos de casos nas cortes, a TI está tentando se enturmar cada vez mais com a cloud.

Conceitos rápidos segurança na nuvem

1. Defina suas necessidades de governança

São internas, externas, legais? Faça a lista dos requerimentos e como eles são feitos.

2. Classifique seus dados

Antes de determinar que dados você pode armazenar de forma segura no cloud, primeiro você tem que classificá-los e identificá-los de acordo com a sensibilidade e tipo.

3. Escolha de forma inteligente

Identifique os fabricantes que podem atender às suas necessidades de processamento e governança. Líderes diretos de negócios devem ser separados dos outros, não importa o quanto o preço é atraente.

4. Imponha limites

Defina o que o provedor de serviço pode fazer com seus dados. Proibir o outsourcing de processamento de ir para um terceiro sem o seu consentimento é básico. 

5. Coloque as regras por escrito

Publique políticas e procedimentos indicando quais fabricantes de cloud podem receber tais tipos de dados.