Quase uma década desde a sua introdução, o Software como Serviço (SaaS) tornou-se um termo comum em TI. Apesar do amplo conhecimento sobre o funcionamento do modelo sob demanda e de um entendimento relativo sobre seus muitos benefícios – eficiência de custo, rápida implantação, flexibilidade, escalabilidade – sua adoção por muitas empresas tem sido lenta.
[private] O motivo mais citado para a falta de interesse das empresas pelo SaaS está relacionado a preocupações com a segurança. Embora as empresas atuais possam obter benefícios da capacidade sob demanda e economia do SaaS, o modelo exige que abandonem o controle sobre aplicativos e dados. Isso traz ao primeiro plano a questão da confiança. Em particular, as organizações que compartilham dados sensíveis através da Internet precisam de controles rigorosos de segurança para garantir a confidencialidade, integridade e disponibilidade, assim como o atendimento às normas. Na migração para um ambiente de SaaS, esses controles devem estender-se para provedores de SaaS e locais de hospedagem de dados que a empresa utiliza.
Infelizmente, os controles de segurança variam significativamente de um provedor de SaaS para outro. Portanto, as empresas precisam ter certeza de que seus provedores investiram em medidas de segurança de última geração. Isso ajuda a garantir que as políticas de proteção de dados e de segurança dos clientes existentes na empresa irão se estender facilmente para os aplicativos de SaaS adotados. As práticas recomendadas ditam que deve haver proteção constante para informações críticas, contra todas as formas possíveis de ataque. Na avaliação de provedores de SaaS, os profissionais devem abordar quatro áreas principais — aplicativo, infraestrutura, processo e segurança do pessoal — cada uma das quais sujeita ao seu próprio regime de segurança.
1. Segurança para aplicativos
Com serviços de SaaS, a necessidade de segurança começa assim que os usuários acessam o aplicativo de suporte. Os melhores provedores de SaaS protegem seus produtos com forte autenticação e sistemas de autorização igualmente poderosos.
2. Segurança para a infraestrutura
Como um serviço sob demanda, as soluções de SaaS são boas apenas na medida em que estão disponíveis. Os melhores provedores da categoria devem ter uma infraestrutura redundante altamente disponível, para fornecer serviços ininterruptos aos seus clientes. Se o provedor de SaaS não hospeda serviços e dados
3. Segurança para processos
Provedores verdadeiramente qualificados indicam que receberam certificação SAS 70 Tipo II do Instituto Americano de Contadores Públicos Certificados (AICPA) ou equivalentes internacionais.
4. Segurança para funcionários
As pessoas são um importante componente de qualquer sistema de informação, mas elas também podem representar ameaças internas ainda mais perigosas do que qualquer invasor externo. Para fornecedores, deve haver controles administrativos para limitar o acesso dos funcionários a informações do cliente. O ideal seria ter os funcionários do provedor de SaaS com acesso a informações sensíveis testados e talvez até certificados antes de interagirem com clientes. Além disso, precisam assegurar que seus funcionários se mantenham atualizados, oferecendo treinamento e testes contínuos para certificação, como forma de conferir se a competência e os conhecimentos continuam em nível adequado. É fundamental a realização de verificações de antecedentes e que os funcionários assinem obrigatoriamente contratos de confidencialidade.
Para a maior parte das empresas, manter padrões de segurança corporativa é um esforço de TI caro e demorado. A identificação do provedor adequado de SaaS que reúna os critérios acima pode resultar em melhoria significativa em termos de custo e eficiência.
Aqueles que lidam com informações corporativas sensíveis, investem muito tempo e recursos no desenvolvimento de procedimentos e controles abrangentes de segurança para cada aspecto de suas ofertas de serviços. Além disso, os provedores de SaaS passam por um número muito maior de verificações de segurança em comparação a departamentos tradicionais de TI corporativa, devido aos recursos e tempo limitados desses últimos. Por estas razões, os recursos de segurança de provedores de SaaS com muita experiência em segurança geralmente excedem aqueles de muitas empresas, tornando o SaaS um enorme valor agregado para muitas companhias. Conduzir uma avaliação adequada dos fornecedores de SaaS é o primeiro passo para qualquer empresa determinar se o provedor é o mais adequado para o trabalho. [/private]
* Texto escrito por Eduardo Balam, Diretor comercial da IntraLinks para a América Latina e atua há mais de 15 anos em empresas multinacionais do segmento de TI, dez dos quais dedicados à área comercial, com experiência em Software, Hardware e Serviços.