Usuários que adotaram a computação em nuvem (cloud computing) por conta de alguns benefícios como a capacidade de expandir estruturas de forma rápida e provisionar sistemas, começam a mudar o foco para buscar formas de resolver algumas fraquezas do sistema.

Hoje, o ambiente de cloud computing tem características similares às de uma cidade do Velho Oeste em expansão, mas seu crescimento desenfreado está levando à frustração, uma palavra que se ouve cada vez mais nas discussões de usuários sobre serviços hospedados.

Clientes de serviços em nuvem – assim como alguns fornecedores – reclamam cada vez mais sobre a falta de tratamento de dados e padrões de segurança. Alguns observam que não há regras exigindo que os fornecedores informem seus clientes sobre os locais onde seus dados estão armazenados – mesmo que eles estejam hospedados em países que não estão sujeitos à legislação norte-americana de segurança de dados.

Tais frustrações estão se tornando mais evidentes conforme um número maior de empresas abraça o modelo de computação em nuvem. Entre os exemplos está a empresa de viagens online, Orbitz LLC, que oferece uma gama crescente de serviços na rede – de agendamento de partidas de golfe a reservas de bilhetes para cruzeiros e ingressos de shows.

O Chief Security Officer da Orbitz, Ed Bellis, diz que a decisão da companhia de usar ofertas de software como serviço – Software-as-a-service (SaaS) – na nuvem permitiu que a empresa crescesse com mais rapidez e que seus executivos se concentrassem em competências estratégicas. No entanto, a empresa, que é tanto usuária como fornecedora de serviços na nuvem, observa uma necessidade urgente de trabalhar com padrões de segurança neste ambiente, afirmou Bellis durante a conferência SaaScon 2010, realizada no início de abril. A Orbitz tem de lidar com uma série de obrigações, que vão de auditorias a inspeções de data center.

Os padrões em desenvolvimento pelo grupo Cloud Security Alliance, uma aliança sem fins lucrativos criada há um ano por usuários e fornecedores de serviços em nuvem, pode oferecer uma solução. Os padrões, na avaliação do CSO da Orbitz, apresentariam os dados em um formato único, permitindo que os clientes saibam exatamente “qual é nossa postura de segurança”.

Para Bellis, os padrões “seriam o céu” e iriam “cortar um terço de nosso trabalho interno com diligência”. O caminho para chegar à padronização, entretanto, pode ser longo, já que exige o suporte de um grande número de usuários e fornecedores de cloud computing

O vice-presidente de operações da empresa Doctor Dispense LLC, Keith Waldorf, que também participou da conferência, criticou a falta de flexibilidade nos termos estabelecidos em contratos com alguns fornecedores. Segundo ele, entre os acordos de nível de serviço (SLA) que a empresa de prescrições online teve de assinar com um fornecedor de cloud fez com que a Doctor Dispense ficasse limitada ao uso das soluções de hardware e de software oferecidas pelo fornecedor, quando o contrato foi assinado, mesmo que o fornecedor atualizasse suas ofertas.

Os contratos de serviços em nuvem de hoje “estão por todo lugar, mas são realmente direcionados aos fornecedores”, declarou o executivo da Doctor Dispense, que acabou migrando para outro fornecedor de SaaS.

Grandes empresas podem ter mais vantagens ao negociar contratos de serviços em nuvem. Por exemplo, como parte de seu contrato de uso das aplicações de produtividade online do Google Apps, a prefeitura de Los Angeles, na Califórnia, fez com que o Google Inc. concordasse em pagar uma indenização caso violasse acordos de confidencialidade com o órgão.

Mas a maioria dos usuários não tem essa influência, observou o fundador da Cloud Security Alliance, Jim Reavis. Em alguns casos, segundo ele, os fornecedores de cloud podem nem mesmo ter de fornecer as informações de log necessárias para provar que houve uma violação de dados.

Entre os executivos entrevistados na SaaSCon, nenhum tentou prever quando os usuários de computação em nuvem começariam a ver contratos com níveis de transparência sobre procedimentos de manipulação de dados e segurança.

Fonte: http://computerworld.uol.com.br/tecnologia/2010/04/19/faltam-padroes-de-seguranca-a-cloud-dizem-usuarios/