Uma má avaliação de custos e negligências na segurança da informação podem levar a surpresas com impacto no negócio.
A automatização, a redução de custos e a redundância de dados, entre outros factores, tornam a cloud computing muito atractiva. Mas o processo de adopção pode envolver erros fundamentais:
1 – Não controlar dados de identificação
Uma das maneiras de suportar processos de autenticação em cloud computing é através de sistemas de gestão de identidade empresariais. Mas muitos serviços em cloud computing permitem o registo a todas as pessoas com a criação de elementos de identificação próprios, ligados a endereços pessoais, e sem a organização saber.
Mas isso não significa que o departamento de TI ou a empresa deva deixar isso acontecer, alerta John Thielens, Chief Security Office da Axway.
2 – Negligenciar a segurança das API
Quando uma empresa migra sistemas para uma cloud, os utilizadores precisam de beneficiar de API (interfaces de programação de aplicações) para poderem aproveitar os serviços da melhor maneira. As plataformas de cloud computing aproximam serviços internos e capacidades dos empregados. Uma integração baseada em API suporta isso, mas precisa de ser protegida, também avisa o CSO.
3 – Outsourcing do risco é ilusão
Uma empresa poderá fazer outsourcing de parte da sua infra-estrutura usando cloud computing, mas pensar que pode fazer o mesmo com o risco, com as suas obrigações e com a conformidade é uma ilusão. As empresas precisam de obter alguma transparência por parte do fornecedor de serviços de cloud computing, para poderem implantar modelos de risco e mitigar estratégias da empresa.
4 – Permitir o registo descontrolado em soluções cloud computing
É fácil um empregado registar-se em serviços de cloud computing, de vários fornecedores e aplicações de grande e pequeno porte, sem qualquer conhecimento técnico. Apesar dessa facilidade e flexibilidade ser um dos benefícios mais interessantes da cloud computing.
A utilização desses serviços precisa de ser sujeita a avaliações de risco, revisão de contratos,e verificações de conformidade.
5 – Sobrestimar a segurança das plataformas
Na pressa para adoptar os serviços de cloud computing e perceber o potencial de poupança que podem oferecer, as empresas estão a concentrar-se na funcionalidade dos serviços de nuvem, observa Steve Durbin, vice-presidente, do Information Security Forum. Assim, esquecem-se de questionar sobre a maneira como os fornecedores de cloud computing de cloud computing oferecem segurança da informação ou como os níveis desta podem ser verificados.
Isto acontece quando os clientes assumem que os fornecedores oferecem maior segurança pelo facto de estes terem maiores departamentos de segurança e políticas de segurança, processos e procedimentos mais fortes. Mas frequentemente os fornecedores de serviços de cloud computing procuram resolver os desafios de segurança mais básicos internos.
E dependem de plataformas de segurança automatizadas para responder à maior parte das necessidades associadas às práticas de segurança.
6 – Manter a independência face ao fornecedor
Os esforços para desenvolver novas normas – como o TOSCA e o CAMP, ambos da OASIS- Organization for the Advancement of Structured Information Standards) – offerecem ferramentas que as empresas podem levar para a cloud computing, como arquitecturas, sem ficarem presos no mundo de um fornecedor. São ferramentas capazes de suportar um nível de independência suficiente para uma organização poder adoptar outras abordagens de cloud computing, mais adequadas.
A facilidade e a rapidez com que se consegue mudar de fornecedor é também melhor se esta flexibilidade ficar garantida.
7 – Não compreender os custos
Quando os fornecedores de cloud computing apresentam os seus serviços, muitas vezes apresentam as ofertas mais básicas para terem boas presenças em comparações de custos, face à oferta de concorrentes. “Infelizmente, após a contratação de um fornecedor, frequentemente as empresasidenetificama a necessidade de serviços adicionais, licenças de software e licenças de hardware mesmo são necessários para executar todas as tarefas de TI para que o negócio tem crescido acostumado”, diz Jerry Irvine, CIO, da Prescient Solutions e membro da National Cyber Security Task Force, nos EUA.
Os custos de segurança e aqueles relacionados com a conformidade podem até aumentar. As empresas subestimam ainda os custos devido a uma expectativa irrealista de redução do número de recursos internos de TI, depois de colocarem as aplicações em cloud computing.