Antes de a câmara municipal de Los Angeles (EUA) fechar com o Google um contrato de US$ 7,25 milhões pelo serviço de e-mail para os 300 mil funcionários da cidade, a instituição sofreu com as especulações sobre a segurança das informações. O departamento de polícia de Los Angeles e a promotoria pública se preocupavam que as informações confidenciais pudessem ser expostas por estarem armazenadas em nuvem, quer dizer, nos servidores do Google e não no próprio data center da Câmara Municipal, que, por sua vez, ouvia os boatos que corriam pelas empresas de todo aquele país que consideravam a opção de adotar computação em nuvem. "A segurança é a questão principal", disse Eduardo Hewitt, representante do intendente municipal, Tony Cardenas. 

Para convencer a Câmara, o Google teve de concordar com uma lista de condições especiais de segurança, incluindo:

• Tirar a impressão digital de todos que trabalham com o Google e com a Computer Sciences Corp no projeto que irá desenvolver e gerenciar o serviço para a cidade de Los Angeles; 
• Codificar todos os dados em trânsito;
• "Destruir" os dados em descanso, com pedaços armazenados em drives separados, para que seja necessário um programa e uma chave de decodificação caso alguém queira juntar os pedaços e tornar o arquivo legível. 
• Armazenar todos os dados da cidade de Los Angeles dentro do território nacional (EUA)
• Limitar o acesso aos dados aos funcionários do Google e CSC que estiverem de acordo com os requisitos de autorização da câmara.  

O Google também oferece reembolso mínimo por danos e erros, incluindo quebra de sigilo, falhas na rede como resultado de ações tomadas pelo Google ou pela CSC e danos pessoais a funcionários da Câmara causados pelo Google ou pela CSC. A quantia paga em tais casos ainda está sendo negociada, disse Kevin Crawford, assistente geral da área de TI da Câmara Municipal de Los Angeles. 

Mas por que a Câmara precisa de tantas medidas e algumas que até excedem a implementação corporativa de computação em nuvem? "Por causa da renovação dos produtos para o setor público", explicou Crawford.  

Vários órgãos da cidade simplesmente não se convenceram com a segurança da computação em nuvem e exigiram as condições adicionais. Mas Crawford diz que a cidade não pagou nada extra e que, na verdade, negociaram descontos com o Google. "Ainda conseguimos um desconto de 40% em varejo", declarou. 

A tensão sobre a segurança de computação em nuvem, incluindo as preocupações sobre as possíveis renovações, não está limitada, de jeito nenhum, ao setor governamental. Quando  InformationWeek Analytics perguntou a 547 profissionais de tecnologia de negócio quais eram suas preocupações em relação à computação em nuvem, as questões de segurança ocuparam os três primeiros lugares na lista, ultrapassando questões de desempenho, recuperação de danos ou inalterabilidade.   

A computação em nuvem tem sido considerada um opção porque as empresas e as agências governamentais estão muito interessadas no baixo custo das licenças e do suporte ao usuário que o serviço promete. A implementação rápida também trabalha a favor da computação em nuvem. Ainda assim, a questão da segurança se mostra mais importante do que a economia e, para muitas empresas, é o que acaba com qualquer possibilidade de adotar as nuvens. 

A Gartner prevê que as empresas gastarão cerca de US$ 10 bilhões neste ano em dois tipos de computação em nuvem: infraestrutura como serviço (em que as empresas compram poder de computação conforme precisam) e software como serviço (em que as empresas pagam pelo acesso online a um software, desde e-mail, passando por CRM até business intelligence).

Enquanto as empresas podem assinar serviços nas nuvens cada vez mais vastos, os departamentos de TI não têm a mesma história que têm com software local, portanto, não têm como garantir que podem encontrar os pontos críticos, como falha na segurança, com a mesma facilidade. Quais são os novos pontos de invasão? Como as empresas podem garantir que os dados armazenados no data center do fornecedor estão seguros? Quando as informações devem ser criptografadas?

Na pesquisa de InformationWeek Analytics sobre o tema, 57% citaram "a tecnologia em si como problema de segurança" como a principal preocupação com computação em nuvem.  As melhores práticas e os padrões para computação em nuvem estão emergindo agora. "A segurança é e deve ser sempre a principal preocupação das empresas que pensam em adotar a computação em nuvem", enfatiza Steve Cakebread, ex-presidente e chefe de estratégias da Salesforce.com, que agora está na eHealth, uma revendedora online de seguro-saúde, e na Solarwinds, uma fornecedora de gerenciamento de rede. 

Para entender os potenciais riscos de segurança, as empresas devem fazer uma avaliação completa de um serviço de nuvem - começando com a rede, checando as operações do fornecedor e desenvolvendo o aplicativo em nuvem.  

Como ainda não existe uma lista estabelecida das melhores práticas para computação em nuvem como existe para os sistemas de TI locais, fica aqui um conceito para ser levado em conta: ainda é a empresa, ou seja, a área de TI que contrata o serviço de computação em nuvem e que será responsável pela segurança dos dados e aplicativos que vão para as nuvens. "No final das contas, os possíveis problemas com segurança de dados cairão nas costas da nossa área de TI e não nas do fornecedor", disse Ash Patel, CIO global da Aon Consulting, uma das três unidades de negócio da Aon Corp., consultora de seguros e prestadora de serviços. 

Para abordar em profundidade este assunto, IT Web traz os principais pontos do estudo de InformationWeek Analytics. Acompanhe!

- Baixo custo é o maior atrativo para a adoção da computação em nuvem
- Segurança na nuvem: é preciso identificar os problemas
- Recurrent Energy colocou nas nuvens todos os aplicativos
- Computação em nuvem: cliente corporativo continua cauteloso
- Segurança na nuvem: padrões estão sendo trabalhados
- E-mails destacam-se entre os aplicativos na nuvem
- ABC da computação em nuvem