Enquanto muitos CIOs ainda rascunham estratégias de cloud, hesitando em adotar ou definindo seus fornecedores, os funcionários de suas organizações já utilizam amplamente centenas de recursos em nuvem. O Garnter observa que o conceito tem gerado muitos desafios às companhias.

Segundo a consultoria, geralmente, nenhuma política corporativa ou projeto de proteção é abrangente o suficiente para atender totalmente o modelo de contratação de softwares, plataformas e/ou infraestruturas como serviço.

“Do ponto de vista da segurança e da gestão de riscos, a ambiguidade é especialmente difícil de lidar”, afirma a empresa, sinalizando que o dilema de introduzir um programa de segurança reside justamente na dificuldade que existe de enquadrar tecnologias de forma precisa dentro do conceit

Jay Heiser, vice-presidente do Gartner, observa que, se de um lado, muitos diretores de segurança da informação enxergam a nuvem como um estilo de computação, outras partes da empresa veem apenas como “coisas acessadas pela Internet”.

Independente dessa questão semântica, os analistas reforçam que é essencial ter uma estratégia bem definida, assim como políticas de uso. Para a consultoria, as empresas devem focar três áreas principais: multilocação, virtualização e software como serviço.

Segurança em nuvem

O Gartner afirma que a multilocação proporciona flexibilidade limitada nos serviços para empresas dividirem espaço com outros clientes. “Com os dados fora do controle físico, a segurança acaba se tornando um problema”, observa.

De fato, segundo a consultoria, 38% das organizações que não planejam utilizar public cloud apontaram a segurança e a privacidade como os principais motivos de risco.

No entanto, as organizações podem estar usando esse argumento como desculpa, tanto pelo medo de abdicar do controle sobre os dados quanto pela grande mudança no status quo do modo como estão acostumadas a trabalhar.

Contudo, não há correlação entre falha de segurança e o grau de multilocação. Segundo o especialista, às vezes, adotar uma abordagem híbrida pode ser a melhor forma para que algumas empresas ganhem confiança no modelo.

Já o tema virtualização, de acordo com Heiser, requer uma gestão de vulnerabilidade e processos de comparação distintos para o ambiente de nuvem.

Segundo ele, as empresas podem usar ferramentas diferentes para gerenciar máquinas virtuais, uma vez que sua natureza complexa, dinâmica e distribuída não permite a indicação física de segurança como as “luzes piscantes” dos modelos tradicionais.

Por fim, os softwares como serviço oferecem um nível cada vez maior de segurança, com inúmeras funcionalidades de controle. No entanto, as aplicações SaaS estão, no geral, sob o comando dos usuários finais, oferecendo uma transparência mínima e sem possibilidades de personalização para as demandas das empresas.

Priorize escolhas de SaaS

Os profissionais de segurança precisam definir suas prioridades, o tempo e os melhores recursos para lidar com o contexto de risco no uso de SaaS. Dessa forma, é necessário dividir esses sistemas em três níveis:

Nível 1: Realisticamente, cerca de 80% do mercado está centrado em 100 serviços de Cloud. Os principais fornecedores têm opções comprovadas, mas as organizações precisam se debruçar sobre o tema e verificar se realmente elas estão fora de risco para usar as soluções de forma segura.

Nível 2: Estas empresas, tipicamente grandes marcas que estão experimentando Cloud Services, não tinham oferecido antes como ofertas principais por mais de cinco anos. Geralmente com uma estratégia vertical de oferta de aplicativos, eles bloquearam avaliações de terceiros. É neles que os CISOs devem focar suas avaliações e seus recursos.

Nível 3: Os milhares de aplicativos de computação em nuvem classificados como nível 3 são praticamente irrelevantes, segundo Heiser. Não se pode assumir que um pequeno provedor de serviço cloud (CSP) seja seguro ou financeiramente estável. Apesar de ser um risco aceitável, estes aplicativos devem ser utilizados com cuidado.