Estabelecer padrões pode não ser a resposta, uma vez que as normas não acompanham ou antecipam a rapidez das inovações. No entanto, há o que padronizar, colaborando para que os principais conceitos em torno da segurança em nuvem tenham estrutura e conformidade.
É aí que entra a organização sem fins lucrativos Cloud Security Alliance (CSA), fundada em 2009. Atualmente com 20 mil membros, é frequentemente citada como uma das principais vozes no movimento que leva segurança à computação em nuvem. Como explica um membro do conselho da CSA e chefe de segurança da informção (CSO) da Sallie Mae, Jerry Archer, a organização não aspira ser um organismo de normalização, mas procura formas de promover as melhores práticas que seriam aceitas por usuários, auditores de TI, fornecedores de cloud e soluções de segurança.
Archer explicou como a CSA funciona e não só como resolve os problemas de segurança na nuvem, mas também como a nuvem irá melhorar a segurança para todos.
Poderia nos dar uma descrição sobre o que a CSA faz?
Você pode agrupar o que fazemos em cinco áreas principais. 1) Desenvolver estratégias em torno do que você deve saber e como você deve começar na nuvem. 2) Ajudar na educação das pessoas em relação à segurança em nuvem. 3) Estabelecer as melhores práticas em torno de auditoria e compliance, e traduzir alguns controles típicos SAS 70 e outros regimes de auditoria nos frames para a nuvem. 4) Estamos avaliando como devemos olhar e avaliar a cloud em segurança. 5) Prestando a atenção para saber o que o futuro nos reserva.
Como a CSA determina com quais projetos irá trabalhar?
Atualmente temos 20 mil membros, e as ideias podem vir de qualquer um deles. Você pode propor uma ideia para o grupo. Se você começar, as pessoas vão trabalhar com você.
No começo, não tínhamos financiamento. Mas passamos a ter patrocinadores, e pessoas que financiam alguns dos trabalhos. Mas, ser objetivo é muito importante para nós. Nosso conselho está constantemente se certificando se um fornecedor não está se excedendo e concentrando os investimentos em determinadas áreas. Nós não queremos que a CSA siga a agenda de qualquer empresa.
Você disse que a CSA não tem intenção de criar padrões rígidos como o SAS 70 ou o PCI. Qual a sua contribuição para a indústria de computação em nuvem?
Achamos que os padrões da indústria devem ser criados por entidades, como a ISO e outros, que são boas nisso. Muitas vezes trabalhamos com as organizações de normalização existentes para obter conselhos e orientações. Mas acreditamos que podemos ser mais ágeis se não estivermos ligados a padrões específicos. Temos alianças formais com a ISO e a International Telecommunications Union (ITU). Também estamos trabalhando com o NIST [Instituto Nacional de Padrões e Tecnologia nos Estados Unidos] e estamos abertos a parcerias com outras organizações de padrões.
Você vê algum conflito entre o direito do usuário de fazer perguntas detalhadas sobre fornecedores de cloud e suas medidas de segurança, e o direito dos provedores em manter em segredo os detalhes por causa da segurança?
Os provedores jamais poderão dizer a alguém determinados assuntos, tais como seus firewalls são configurados. Por outro lado, há muitas informações que, se forem transmitidas corretamente, seriam extremamente úteis para a segurança.
Se separar os fatos dos exageros, como consumidor de nuvem eu poderia obter informações suficientes de você sem colocar em risco a sua segurança e ainda me fornecendo o tipo de conhecimento de que preciso para confiar no ambiente em que estou.
Até onde a CSA consegue enxergar o futuro da nuvem?
É ingênuo afirmar que é possível prever o futuro com mais de dois anos à frente. Tudo está mudando e fica dificil prever as consequencias. A nuvem irá mudar tudo sobre computação.
Todo mundo vai para a nuvem e a segurança continuará a evoluir. Empresas como Sallie Mae, financeiras e outras vão para a nuvem e demandarão níveis de segurança iguais ou melhores do que o que eles têm agora.
Nenhum comentário:
Postar um comentário