Mesmo com toda tecnologia empregada, acordos SLAs’ e um grande apelo de marketing e principalmente financeiro, a utilização de serviços em Cloud deve ser muito bem avaliada antes de assinar o contrato, principalmente a localização de destino dos seus dados.

Analise o hipotético (mas possível) cenário:

Hoje, 26/05/2011 os principais jornais noticiam que em virtude da cyberguerra sem precedentes que iniciou-se no mês passado, atacando e indisponibilizando os principais sites e sistemas governamentais, está obrigando os países a reverem urgentemente os acessos entrantes e implantar filtros em seus backbones internacionais, prática que mais se aproxima do Grande Firewall Chinês.

Essa mudança tem causado indisponibilidade de milhares de sites ao redor do mundo, gerando uma inestimável perda financeira. No Brasil, grande parte dos sistemas vitais para o governo, incluindo os sistemas responsáveis pela Declaração do Imposto de Renda, NF-e, SPED entre outros, estão sofrendo a dias com ataques DDOS internacionais.

Milhares de empresas Brasileiras também tem sido duramente afetadas pelos bloqueios, gerando impossibilidade de acesso aos seus e-mails, documentos e sistemas como CRM que estão hospedados em datacenters em outro país.

As filiais nacionais dos principais provedores cloud do mundo dizem que infelizmente pouco podem fazer, pois os bloqueios tratam-se de “força maior”.

Enquanto não obtemos uma solução efetiva, as empresas voltam para os anos 90 e algumas até tiram seus equipamentos de fax do armário, pois e-mails, CRM’s e outros sistemas críticos hospedados fora do Brasil estão praticamente inacessíveis há dias.

@@@

A globalização dos serviços de informação como é discutida, comercializada e fomentada no mercado, foca principalmente em transferir alguns ou todos os serviços de tecnologia mantidos localmente para datacenters de grandes players.

Em todos os casos, os fornecedores hospedam os dados no local e país que estrategicamente e financeiramente acharem melhor. Tirando de lado os powerpoint’s perfumados, seus dados em Cloud Computing em outro país, significa a mesma coisa para sua empresa que a Usina de Itaipu em outro país significaria para o Brasil, ou seja, passamos a ficar expostos não apenas a um risco tecnológico mas também político.

Cada país possui suas leis, seu plano de resposta incidente e sempre estarão expostos a riscos diferentes. Para contratar um CRM em Cloud ou qualquer serviço sabendo que o país que será hospedado seus dados é um grande alvo de cyber ataques e o risco de indisponibilidade é altíssimo, o ganho, seja ele qual for, deve ser altamente significativo, pois o risco acompanhará os benefícios.

É também muito importante o apoio de um departamento jurídico especializado na contratação, não apenas pela análise profunda do contrato e sim pelo conhecimento das leis que podem afetar a segurança e privacidade de seus dados, mas esse é outro artigo.

A leitura de algumas sessões do controverso EUA Patriotic Atc (Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism) e suas ramificações são no mínimo interessantes.

A maior parte dos contratos segue no geral a mesma linha:

0 O Utilizador também compreende e concorda que estas informações podem ser transferidas para os Estados Unidos da América e/ou outros países para armazenamento, processamento e utilização pela XPTO e/ou respectivos afiliados.


Acredito no Cloud Computing e tenho certeza que esse é o futuro para algumas aplicações, entendo que o mercado está apenas no início do Cloud no mundo, mas, acredito e defendo que os dados devam ser mantidos em seu país de origem para minimizar o impacto sobre qualquer incidente de força maior que possa ocorrer.

Esse é um assunto muito amplo que poderia ser discutido por muitas horas e muitas páginas como essas. Quem sabe esse possa ser um requisito de segurança para utilização e contratação de serviços em Cloud no futuro.

* Vinicius Lara Cezar é Consultor Sr. em Segurança da Informação e Continuidade dos Negócios. É certificado pelo DRI - The Institute For Continuity Management – EUA e o primeiro certificado CBCV do Brasil. Atua em diversos projetos em médias e grandes empresas.