A CIA e a nuvem
<p>Se a sua empresa não confia na segurança do modelo de cloud computing, pode querer ver o que a agência de inteligência está a fazendo</p>
A Companhia é um termo que os conhecedores usam para se referir à
CIA. Existe alguma organização que leve a segurança mais a sério?
Talvez, mas provavelmente não dentro da Fortune 500. E ainda assim, a
CIA decidiu migrar para a nuvem.
Sério. De acordo com a FCW, uma publicação que acompanha a interseção do governo e da tecnologia, a CIA celebrou um contrato para a computação na nuvem com a Amazon,
que pode valer até 600 milhões de dólares ao longo de 10 anos.
Especificamente, os Amazon Web Services vão ajudar a agência de
inteligência a desenvolver uma infraestrutura de nuvem privada.
O quê? Esperava que a CIA fosse colocar os seus segredos na EC2 da Amazon? Eu não penso assim!
Mas saiba que uma razão pela qual a CIA avançou para a computação em
nuvem em 2009, foi porque viu o modelo de cloud computing como sendo mais segura do que os
sistemas de TI convencionais. Nessa altura, Jill Tummler Singer, que era
o CIO da CIA, disse:
“mantendo a nuvem dentro das suas firewalls, pode focar os seus mais
fortes sensores de detecção de intrusões e prevenção no seu perímetro,
ganhando assim vantagem significativa sobre o vetor de ataque mais
comum – a Internet”.
Embora não saibamos exatamente como a CIA vai usar os serviços da
Amazon, é uma aposta segura de que irá criar as suas próprias nuvens
privadas. Mas o hardware usado para essas nuvens pode não estar
localizado na sede da CIA, em Langley, na Virgínia. Em vez disso, o
hardware de cloud da agência pode muito bem estar escondido em algum lugar no enorme centro de dados da Amazon, localizado próximo de
Ashburn, na Virgínia. Ou distribuído nos muitos centros de dados da Amazon. Porquê? Bem, como qualquer outro órgão do governo
ou empresa privada, a CIA quer poupar dinheiro no seu orçamento de TI.
Ora se a CIA confia na nuvem, praticamente qualquer um pode confiar
nela – desde que, é claro, consiga ficar de olho na segurança e se
certificar que tanto você como o seu fornecedor estão tomando as medidas
necessárias para salvaguardar os seus dados. Como Michael McConnell,
ex-director da Agência Nacional de Segurança (NSA), disse
no ano passado, “as economias da nuvem são tão convincentes que não
podem ser negadas. [Mas] temos de garantir corretamente os aspectos da
segurança”.
Como se faz isso? A CIA não vai contar, nem revelar os seus planos de cloud na próxima temporada da [série televisiva] “Homeland“. Mas existem orientações de grupos como a European Network and Information Security Agency
(ENISA) sobre como as empresas de TI devem lidar com os fornecedores de
nuvem pública e monitorizar as suas medidas de segurança.
Não trate de migrar para a nuvem como uma espécie de compra de
mercadorias. Vai sempre precisar fazer o trabalho de casa para se
certificar de que os seus serviços baseados em nuvem estão devidamente
atualizados e utilizam as melhores práticas de segurança.
Como Mark Gilmore, presidente e co-fundador da Wired Integrations, observou recentemente,
se as “pessoas não cumprem as normas de segurança, como o uso de
passwords complexas, e deixam as máquinas funcionando dias a fio, a
probabilidade de intrusão vai aumentar e, eventualmente, os recursos
serão acessadors ilegalmente”. Em suma, noções básicas de segurança
permanecem as mesmas, se utilizar sistemas baseados na nuvem ou uma
configuração cliente/servidor dentro de casa.
A Companhia sabe disso, e a sua empresa também devia saber.
