Má avaliação de custos e negligências na segurança da informação podem levar a surpresas desagradáveis com impacto no negócio
A automatização, a redução de custos e a redundância de dados, entre outros fatores, tornam a cloud computing muito atrativa. Mas o processo de adoção pode envolver erros fundamentais:
1 – Não controlar dados de identificação
Uma das maneiras de suportar processos de autenticação em cloud computing é através de sistemas de gestão de identidade empresariais. Mas muitos serviços em cloud computing permitem o registo a todas as pessoas com a criação de elementos de identificação próprios, ligados a endereços pessoais, e sem a organização saber.
Mas isso não significa que o departamento de TI ou a empresa devam deixar isso acontecer, alerta John Thielens, Chief Security Office da Axway.
2 – Negligenciar a segurança das API
Quando uma empresa migra sistemas para uma nuvem, os usuários precisam se beneficiar de APIs (interfaces de programação de aplicações) para poderem aproveitar os serviços da melhor maneira. As plataformas de cloud computing aproximam serviços internos e capacidades dos empregados. Uma integração baseada em API suporta isso, mas precisa de ser protegida, também avisa o CSO.
3 – Achar que o risco de outsourcing é ilusão
Uma empresa poderá fazer outsourcing de parte da sua infraestrutura usando cloud computing, mas pensar que pode fazer o mesmo sem considerar o risco, suas obrigações e as políticas de conformidade é uma ilusão. As empresas precisam obter alguma transparência por parte do fornecedor de serviços de cloud computing, para implantar modelos de cloud seguros e mitigar o risco para as estratégias da empresa.
4 – Permitir o registo descontrolado em soluções cloud computing
É fácil um empregado registar-se em serviços de cloud computing, de vários fornecedores e aplicações de grande e pequeno porte, sem qualquer conhecimento técnico. Apesar dessa facilidade e flexibilidade ser um dos benefícios mais interessantes da cloud computing, a utilização desses serviços precisa de ser sujeita a avaliações de risco, revisão de contratos,e verificações de conformidade.
5 – Sobrestimar a segurança das plataformas
Na pressa para adotar os serviços de cloud computing e perceber o potencial econômico que podem oferecer, as empresas estão concentrando-se na funcionalidade dos serviços de nuvem, observa Steve Durbin, vice-presidente, do Information Security Forum. Assim, esquecem-se de questionar sobre a maneira como os fornecedores de cloud computing oferecem segurança da informação ou como os níveis de serviço podem ser verificados.
Isto acontece quando os clientes assumem que os fornecedores oferecem maior segurança pelo fato de terem maiores departamentos de segurança e políticas de segurança, processos e procedimentos mais fortes. Mas frequentemente os fornecedores de serviços de cloud computing procuram resolver os desafios de segurança mais básicos internos, e depender de plataformas de segurança automatizadas para responder à maior parte das necessidades associadas às práticas de segurança.
6 – Manter a independência face ao fornecedor
Os esforços para desenvolver novas normas – como o TOSCA e o CAMP, ambos da OASIS- Organization for the Advancement of Structured Information Standards – oferecem ferramentas que as empresas podem levar para a cloud computing, como arquiteturas, sem ficarem presas a um fornecedor. São ferramentas capazes de suportar um nível de independência suficiente para uma organização poder adotar outras abordagens de cloud computing, mais adequadas. A facilidade e a rapidez com que se consegue mudar de fornecedor é também melhor se esta flexibilidade ficar garantida.
7 – Não compreender os custos
Quando os fornecedores de cloud computing apresentam os seus serviços, muitas vezes apresentam as ofertas mais básicas para terem boas presenças em comparações de custos, face à oferta de concorrentes. “Infelizmente, após a contratação de um fornecedor, frequentemente as empresas idenetificam a necessidade de serviços adicionais, licenças de software e licenças de hardware necessários para executar todas as tarefas de TI para que o negócio continue crescendo”, diz Jerry Irvine, CIO, da Prescient Solutions e membro da National Cyber Security Task Force, nos EUA.
Os custos de segurança e aqueles relacionados com a conformidade podem até aumentar. As empresas subestimam ainda os custos devido a uma expectativa irrealista de redução do número de recursos internos de TI, depois de colocarem as aplicações em cloud computing.
