Os sistemas brasileiros de votação eletrônica e de declaração de imposto de renda estão entre os mais avançados do mundo, superando inclusive os sistemas de alguns países mais ricos. Para José Campos, o que é feito em termos de tecnologia da informação no Brasil é exemplo para todo mundo.

Palestrante no 18º CNASI – Congresso de Auditoria em TI, Segurança da Informação e Governança –, Campos abordou as questões que estão surgindo com a perspectiva do cloud-computing, como os desafios que o modelo oferece para a segurança e o papel de CIO’s CISOs diante do tema.

Para ele o consenso que existe sobre cloud computing é de que se trata de um modelo de software como serviço, de plataformas de serviços e data centers dinâmicos, entre outros. No entanto, acredita que discutir hoje o melhor modelo para o cloud-computing é como discutir a escalação do time brasileiro para a copa do mundo: de certa forma, todos têm razão em suas opiniões.

Uma coisa, porém, é certa: “A adoção é inevitável”, disse. “Quem lê os papers da Gartner e as pesquisas da Price sabe que isso é verdade. Cabe aos CSOs e CISOs apontarem os problemas para que as mudanças sejam adotadas de forma responsável. E eles precisam convencer a cadeia de liderança da empresa, conversar com pessoal de negócios, pois estamos tratando de ganho de escala, de custo-benefício. Os gastos com equipamento estão sendo transferidos para gastos de serviços. Isso é escalabilidade”, defende Campos.

Há uma série de desafios para a segurança diante do cloud-computing: a interdependência entre setores públicos e privados; a evolução da tecnologia e dos modelos de negócios, criando um ambiente dinâmico de hosting; o aumento no rigor dos requerimentos regulatórios; e a sofisticação dos ataques, incluindo muitas atividades focadas em infiltrar e interromper serviços online.

Campos apresentou um mapa mundial de ameaças de malware, no qual regiões como Brasil, China, Rússia e Oriente Médio chamam a atenção pela disseminação do problema. “Já o Japão”, diz Campos, “reduziu consideravelmente as suas ameaças, e conseguiu isso por estabelecer corretamente seus processos”.

Para estruturar corretamente os controles, Campos considera essencial envolver os clientes nas discussões sobre os riscos. Também é preciso considerar as características de um ambiente dinâmico em relação ao estático, pois as soluções mais baratas seriam as estáticas, mas não seriam as mais indicadas para sistemas que enfrentam situações de pico, como o da Receita para a declaração do imposto de renda.

Outro fator importante é em relação aos padrões que serão desenvolvidos em cloud-computing. “O que irá acontecer quando alguma empresa resolver mudar o seu contrato de serviço de cloud computing, como será feita a transferência dos dados?”, questiona, citando uma iniciativa pioneira com o propósito de promover a padronização dos serviços: a Cloud Security Alliance, projeto que começa a se desenvolver. Além disso, é preciso evitar a generalização da abordagem. “Não se pode tratar um sistema de banco de dados da mesma forma como se trata um sistema para a web”, adverte.

Sobretudo, para Campos é preciso voltar ao que é básico. Ainda há pouca implementação da estrutura básica de segurança nas empresas, a qual é composta pelos fatores de planejamento estratégico; controle de acesso por meio da definição de perfis; SLA, Service Level Agreement; pessoal (segregação de funções, código de conduta, conscientizações); e de continuidade, ou seja, responder aos incidentes (criminal compliance).

Fonte: B2B Magazine