27 maio 2009

Debaixo do Colchão: uma luz sobre a questão de segurança do Modelo SaaS – software como um serviço

Foi a necessidade de segurança que deu surgimento aos bancos e ao próprio papel moeda, quando os mercadores de ouro e prata, por terem cofres e guardas, passaram a acolher a responsabilidade de cuidar do dinheiro dos outros e entregar recibos em papel das quantias guardadas. Contudo, mesmo após o surgimento e a consolidação destas instituições, muitos ainda continuaram a guardar seu dinheiro debaixo de seus colchões, por julgarem que ali teriam um local mais seguro. Está prática acabou por desaparecer somente com o surgimento da inflação, pois o dinheiro deveria ser protegido também contra a sua própria desvalorização.

Obviamente, vocês podem imaginar o trabalho que os primeiros bancos tiveram no início, sem a ajuda da inflação, para convencer seus potenciais clientes que o dinheiro deles ficaria mais seguro em outras mãos. Eu julgo que os fornecedores que abraçaram o modelo SaaS passam pelo mesmo desafio outrora enfrentado pelos bancos. Isso porque, quando se discute o conceito de software como um serviço, a questão de segurança vem à baila também com muita freqüência: os preciosos ativos que são os dados da minha empresa ficarão suficientemente seguros sob a guarda de terceiros?

Um paralelo interessante pode responder à preocupação das empresas sobre hospedar seus dados na sua própria casa ou no datacenter de um terceiro: hoje, o seu dinheiro está mais seguro em um banco ou debaixo de um colchão? A resposta para essa questão dependerá da solidez, reputação, estrutura e capacidade de investimento deste fornecedor. Ou seja, para selecionar o seu fornecedor SaaS, você deverá usar a mesma lógica que usa, ou deveria usar, para escolher o seu banco – aliás, foi preciso um forte revés na economia para lembrar a muitos que instituições financeiras também vão à bancarrota. Recentemente, depois que muitos perderam dinheiro no mercado financeiro, um fabricante inglês de colchões decidiu lançar um modelo que já vem com cofre, facilitando a vida de quem decidiu voltar aos velhos tempos!

Quando uma empresa decide por uma solução SaaS, ela está em busca de uma implementação rápida, de maior flexibilidade para acompanhar a sua evolução, de ausência de custos internos de manutenção e de facilidade de acesso por meio da web. Mas, todas essas excelentes razões para uma boa tomada de decisão não podem ser levadas a cabo sem levar-se em conta a segurança que o fornecedor conseguirá proporcionar. Entenda que o mercado SaaS está em franco crescendo – o Gartner publicou em abril de 2008 que até 2011, 25% das novas implementações de software serão baseadas em SaaS –, atraindo gente séria e aventureiros que desejam desfrutar desta nova onda. Tenha em mente que ser um fornecedor SaaS não é para qualquer um e você precisará separar o joio do trigo antes de tomar a decisão final.
Para que você possa ter certeza que está escolhendo um fornecedor correto, avalie a sua solidez e o que ele oferece em termos de segurança, tanto lógica como física. Por exemplo, minha empresa é Consulting Partner de um fornecedor SaaS: a salesforce.com. Nele, para que você tenha acesso à aplicação e ver o conteúdo filtrado dos dados, terá que passar por três níveis lógicos de segurança: no login, na autenticação de seu usuário e na própria aplicação, que contém regras de segurança dos dados. Isso é basicamente fácil de se implementar, pois o seu fornecedor terá apenas que usar de bom senso e cuidado no desenho do aplicativo.

Entretanto, quando falamos de segurança física, o buraco vai um pouco mais abaixo, pois não dependerá apenas de adequadas normas de programação, mas sim, de uma boa quantia de recursos financeiros. Voltando ao exemplo do salesforce.com, eles possuem dois datacenters e um laboratório em localidades distintas, situados em costas diferentes dos Estados Unidos, com replicação segura e em tempo real dos dados e backbones dedicados. Suas instalações físicas têm seguranças 24 horas por dia, 365 dias por ano. Todas as portas, incluindo as gaiolas onde ficam os hardwares, têm leitura biométrica das mãos. Para acessar internamente essas gaiolas, são requeridos cinco níveis de leitura biométrica.

Esses prédios são totalmente anônimos, não tendo nenhum sinal externo de que se trata de uma instalação da salesforce.com. Existem câmeras digitais cobrindo cada uma destas instalações e muros externos à prova de balas, com todo o perímetro cercado por barreiras de concreto. Câmeras e detectores de movimentos por luz estão integrados com alarmes silenciosos, tendo comunicação direta com as autoridades policiais locais. Visitas de clientes ou parceiros, obviamente, são proibidas. Quantas instalações no Brasil são configuradas desta maneira? A sua instalação é assim?

E este último ponto é interessante, pois levanta uma questão que pode passar despercebida para alguns: se algum fornecedor de SaaS convidar você para conhecer as instalações físicas do datacenter dele, comece a desconfiar dos padrões de segurança seguidos. Para mim, é quase como um banqueiro te convidar para conhecer o cofre dele!

Um comentário:

  1. Mas se o cliente não conhecer o local, como ele vai saber se realmente existe todo esse aparato de segurança? As empresas podem usar desse artifício para cobrar mais caro enganando o cliente.

    ResponderExcluir

 

©2009 VENDAS B2B | Template Blue by TNB