Codifique uma vez, codifique sempre

Um dos temas mais discutidos em TI é a segurança em nuvem. O motivo geral desta preocupação é a prevenção ao acesso a dados e aplicativos não autorizados, e quando o tema é perseguido, e não apenas reconhecido como um problema, geralmente esbarra em duas questões principais: impedir o acesso por terceiros (hackers, crackers, entre outros) e de partes internas, como por exemplo, entrada de funcionários não autorizados.

Os dois são problemas, mas, em ambos os casos, os fornecedores de plataformas em nuvem oferecem garantia que parece reconfortante. Ou seja, eles dispõem de mais segurança de hospedagem de dados que a maioria. A principal razão para isso é que eles investem grande parte do tempo controlando ferramentas de segurança, monitorando ameaças e impondo controles de permissão.

O que não está claro na disputa dos fornecedores em nuvem, no entanto, é que existe uma terceira possibilidade de acesso, que os provedores não vão barrar: quando a entrada for do próprio usuário ou a pedidos das agências governamentais.

Provedores de computação em nuvem variam muito em relação as restrições que concedem aos dados, no entanto, nenhum acesso é forçado. Muitas empresas como a Dropbox, usam dados codificados, mas tem a desvantagem de ter que decifrar tudo o que foi criptografado.

A reação que vemos frequentemente nesta política comum é, ? se eu não estiver fazendo nada errado, eu deveria me preocupar?. Esta visão é, claro, um pouco ingênua. Pois mesmo que você não faça nada errado, os orgãos governamentais vão examinar os documentos da sua empresa sem obrigação contratual de mantê-los em segurança. Em outras palavras, por um simples problema burocrático de acesso a contas erradas, por exemplo, as agências do governo podem disseminar informações confidenciais livremente.

Algumas empresas, como a Box.net, não codificam seus dados a menos que você compre um plano que inclua este serviço. No começo desta semana, a Microsoft anunciou que os consumidores estrangeiros não estavam imunes a problemas semelhantes, ou seja, a USA Patriot Act Forces pode ter acesso irrestrito a qualquer hospedagem de dados que residam dentro ou fora do país.

Esta é a grande preocupação. Duas partes (o governo e o provedor de nuvem) têm acesso aos dados, mesmo quando este estiver codificado. Nas duas ocasiões o acesso é irrestrito.

Os provedores não vão defender os seus dados em seu nome, e ainda terão que fornecer tudo o que for solicitado pelo governo. Em último caso, o acesso é praticamente livre. O provedor pode ainda mudar os termos de privacidade a qualquer momento e sua única chance será apagar seus arquivos ? possibilidade que pode gerar grandes prejuízos caso a infraestrutura de sua empresa dependa de um aplicativo em nuvem.