O mundo tem se transformado nas últimas décadas, principalmente por causa do avanço tecnológico, que atinge todas as áreas da sociedade. No mundo dos negócios não é diferente, é praticamente impossível imaginar as empresas sem o suporte tecnológico em suas operações, sejam elas ligadas ao objetivo fim do negócio ou não. O fato é que a tecnologia deixou de ser algo exclusivamente experimental e acadêmica para se tornar um parceiro estratégico para as corporações.
 
Porém, como contraponto às facilidades proporcionadas pela tecnologia, aumentam-se também os riscos relacionados principalmente à confidencialidade e integridade das informações, disponibilidade dos dados, atendimento a regulamentos e leis etc.
 
A exposição a esses riscos cresce significativamente diante de tecnologias emergentes, como é o caso do Cloud Computing (em português “Computação em Nuvem”), que é a utilização de recursos tecnológicos, por meio de uma rede privada (link dedicado) ou pública (Internet), acessados remotamente. Dentre os principais serviços oferecidos pelas empresas fornecedoras dessa nova tecnologia destacam-se:

• IaaS (Infrastructure as a Service – infra-estrutura como serviço) – Exemplo: utilização de servidores.
• PaaS (Plataform as a Service – Plataforma como serviço) – Exemplo: utilização de plataforma web, e-mail etc.
• SaaS (Software as a Service – Software como serviço) – Exemplo: utilização de softwares de vários tipos, como ERP.

 
O SaaS, por exemplo, funciona da seguinte forma: a empresa usuária X deseja utilizar um ERP, mas não quer expandir seu hardware, adquirir um banco de dados ou manter uma equipe interna para dar suporte à ferramenta. Então ela busca no mercado empresas que forneçam o SaaS e escolhe a empresa fornecedora Y, que já possui a infraestrutura pronta e simplesmente interliga a sua estrutura à da empresa contratante. Esse modelo permite que a empresa usuária sequer precise saber onde de fato fisicamente estão instalados os servidores que processam os seus dados, a exemplo de como já acontece com os serviços conhecidos de e-mail on-line.  
 
O grande paradigma dessa facilidade está relacionado ao sigilo, disponibilidade e segurança dos dados processados. Como se manter confortável e seguro dentro desse contexto estritamente virtual?
 
As empresas que contratam os serviços de Cloud Computing desejam, além de um serviço prestado com excelência e dentro dos níveis acordados, segurança, sigilo, confidencialidade e disponibilidade dos seus dados. Já as empresas fornecedoras de serviço desejam possuir um diferencial que traga conforto aos clientes e, consequentemente, expandir a sua carteira. A partir daí, nasce a necessidade de se conhecer os riscos existentes e tomar ações reais para gerenciá-los. 
 
A adoção de controles internos (políticas e procedimentos) para garantir o êxito das operações chaves do processo executado é uma das maneiras mais comuns para gerenciar os riscos, mas apenas isso não basta. Mesmo que a empresa fornecedora de serviços possua uma área de qualidade e/ou de auditoria interna, é necessário um diagnóstico externo e com independência para a obtenção de um resultado mais significativo e com isenção, o que pode dar maior conforto à empresa usuária. Sob esse aspecto, temos a aplicação das certificações como ISO/IEC 20000, quanto à utilização das boas práticas no gerenciamento de serviços de TI, e o SAS 70 para os controles internos adotados para o gerenciamento de riscos.
 
O CobiT  (Control Objectives for Information and Related Technology , que é um framework de boas práticas para Governança de TI, mantido pelo ITGI – IT Governance Institute), possui um direcionamento para tratar os riscos, gerenciando-os de quatro maneiras:

1)    Mitigação – tomando ações para diminuir a possibilidade de que ele aconteça;
2)    Transferindo – compartilhando o risco com um parceiro de negócio ou a contratação de um seguro;
3)    Aceitando – confirmando e monitorando os riscos, tendo um plano de ação pronto para respondê-los quando necessário;
4)    Evitando – adotando uma opção diferente que evite completamente o risco.
 
Os riscos relacionados à tecnologia não devem ser encarados como “casualidade” e tampouco se deve contar com a sorte para evitá-los. Os riscos são uma realidade irreversível, principalmente hoje, no mundo digital, onde as fronteiras não possuem limites mensuráveis. Tão emergente quanto a busca por soluções capazes de agregar valor, desempenho e qualidade, é a necessidade de encontrar alternativas que garantam conforto quanto à segurança dos dados processados e dos controles internos adotados pela empresa fornecedora, que garantam a continuidade das operações.

* artigo feito em conjunto com Leonardo Silva, associado da Terco Grant Thornton.