abr
27
2012

Como proteger sua propriedade intelectual em cloud computing

Por volta desta época no ano passado, a assinatura de contratos de computação em nuvem estava a todo vapor, e não apenas para o gerenciamento de e-mail, mas para o software e infraestrutura. Pouco tempo depois, Greg Bell, diretor e líder de serviços para a proteção das informações da KPMG nas Américas, começou a ser procurado empresas de diversos ramos.

O motivo? Clientes de serviços de cloud _ mais os executivos das áreas de negócios do que os executivos de TI _ entraram em pânico quando começaram a perceber que sua propriedade intelectual estava correndo algum risco. Alguns, como um cliente que descobriu que potencialmente havia exposto fórmulas preciosas de sua empresa, tiveram que trazer o software e os processos de volta para casa, a um custo nada pequeno. “Eles passaram rapidamente por uma avaliação, fizeram movimentos muito agressivos [em cloud computing], e depois tiveram que recuar porque não foram capazes de adotar os controles adequados”, diz Bell.

Há sempre algum perigo quando entregamos dados críticos da empresa a um terceiro. “Cloud computing implica questões de propriedade intelectual semelhantes à terceirização de TI tradicional em que você confia dados sensíveis para um fornecedor que provavelmente não vai tratá-lo com o mesmo cuidado como se fosse você mesmo”, diz Jim Slaby, diretor de pesquisa de terceirização de segurança da HfS Research. “Os aplicativos serão executados em infraestrutura de TI que você não possui ou controla.”

Serviços baseados em nuvem introduzem maiores ameaças para a propriedade intelectual. A natureza do negócio _ quer se trate de software (SaaS), infraestrutura (IaaS), plataforma (PaaS) _ torna mais difícil saber onde os dados estão, quem tem acesso a eles, e como eles estão sendo usados, observa Sino, da KPMG. Há um grau muito maior de virtualização de servidores de armazenamento. “[Por exemplo], por trabalhar com uma estrutura altamente distribuída, é muito mais difícil para o provedor garantir que os arquivos apagados foram excluídos de forma segura, e não apenas tiveram seus ponteiros removidos”, diz Slaby.

Provedores de nuvem são mais propensos a utilizar subcontratados para atender a picos de demanda. Dados armazenados na nuvem muitas vezes saltam de país para país, alguns com leis de Propriedade Intelectual fracas ou inexistentes. “Da mesma forma, se seu provedor permitir que empregados dele acessem remotamente seus dados a partir de países com leis de propriedade intelectual fracas, você pode estar colocando a sua propriedade intelectual em risco de roubo ou apropriação indébita”, explica Rebecca Eisner, da Mayer Brown. “A cláusula de um contrato que prevê que o fornecedor de nuvem possui direitos sobre todo o conteúdo que um cliente coloca em seus sistemas pode ser aceitável se o conteúdo for um retrato de seu cão. Mas é totalmente inaceitável se estivermos falando sobre o seu ambiente de desenvolvimento”, diz Edward Hansen, sócio e co-presidente de sourcing da Baker & McKenzie.

Como o nome sugere, dados e propriedade intelectual na nuvem podem estar flutuando também no éter com dedução de qualquer obrigação do vendedor ou de controles introduzidos pelo cliente para o negócio. “Normalmente, [os clientes] estão focados na redução de custos e desempenho. Questões de propriedade intelectual são vistas como “questões de advogado”, diz Eisner Mayer Brown. “Na realidade, a capacidade de um provedor de nuvem para proteger direitos de propriedade intelectual deve receber exame detalhado, tanto quanto a solução de segurança da informação, o preço e o suporte técnico.”

“Estamos vendo surgir alguma consciência do quanto alguns contratos de provedores de nuvem são fracos em termos de segurança”, acrescenta Slaby, da HFS Research. “Mas é difícil resistir ao canto da sereia de menores custos e maior flexibilidade.”

Para você proteger suas jóias da coroa corporativas na nuvem, aqui estão nove dicas:

1 – Escolha o fornecedor certo

Leve a sério a devida diligência. “Dado que a categoria e seus jogadores ainda são relativamente novos, pense em como você vai extrair a si mesmo e sua propriedade intelectual sensível caso o seu provedor de nuvem não faça jus ao seu contrato, saia do negócio, ou seja adquirido por um concorrente”, aconselha Slaby. “Dê uma olhada atenta sob o capô e confira os planos de recuperação de desastres.” Se você quer a proteção sofisticada de segredos comerciais, busque apenas os fornecedores que oferecem soluções sofisticadas com maiores requesitios de segurança.

2 – Seja rigoroso na seleção do serviço

Faça um favor a todos: não assine o seu primeiro contrato de nuvem para uma função core business. “Muitos clientes que procuram os benefícios da nuvem estão propositadamente testando os fornecedores com serviços commodities. É uma boa maneira de entender as nuances do modelo.”

3 – Leia a linha fina

Serviços em cloud são enganosamente simples nos enunciados. “Em muitos casos, a simplicidade está mascarando a complexidade subjacente que tem sido consideradoa e resolvida contra o cliente”, diz Hansen, da Baker & McKenzie. “Leia o contrato, não o site”, acrescenta Igreja. “Existem termos que contradizem diretamente a publicidade, e estes precisam ser desentocados antes que qualquer dado seja movido.” Não é incomum ver advogados negando a responsabilidade do fornecedor quando informações confidenciais são publicadas. Nunca, jamais, assine contratos online de provedores de nuvem, aconselha Todd Fisher, da K & L Gates, que critica acordos que dão o uso prestador de serviços de dados de clientes para outros fins que não para a prestação dos serviços ou a propriedade de obras derivadas com base nesses dados.

4 – Adicione um pouco de linha fina de seu próprio país

Se o seu negócio envolve a circulação de dados sensíveis na nuvem, fortes proteções contratuais são críticas. Eisner, da Mayer Brown, sugere a inclusão de requisitos que o provedor de segurança vem indicando e aprovando e outros requisitos, padrões da indústria, os direitos de auditoria ou o de realizar auditoria regular, receber relatórios de certificação, saber os locais onde os dados e os pedidos serão processados ​​e armazenados, aprovar subcontratados, manter processos de controle de mudanças que prevejam aviso prévio e as oportunidades de contornar ou atenuar as alterações pendentes. Certifique-se que as proteções e controles são explícitos e mensuráveis, acrescenta Slaby.

5 – Espere pagar mais

Termos padrão vão manter os serviços de computação em nuvem mais baratos. “Quando você remove essa capacidade de fazer algo especial para o seu ambiente, você cria custos adicionais”, diz Bell, da KPMG.

6 – Considere a criação de Propriedade Intelectual

É menos provável que proteções à Propriedade Intelectual sejam criadas no âmbito de um acordo de cloud computing do que em um contrato padrão de terceirização, mas acontece. “Alguns clientes contratam um provedor de nuvem para executar uma nuvem privada, onde pode haver a oportunidade da exigência de cláusulas de proteção à Propriedade Intelectual”, diz Fisher, da K & L Gates. “Outra exceção é se o cliente necessita que o provedor de nuvem desenvolva determinadas interfaces para acesso aos serviços em nuvem.” Nesses casos, o comprador de nuvem pode querer manter a propriedade das interfaces ou evitar que o provedor de nuvem as reutilizem para os concorrentes.

7 – Geografia se torna um problema também

“Se a Propriedade Intelectual vai ser considerada em um ambiente de nuvem, as leis do local onde o provedor mantém seus servidores devem ser verificadas para garantir que direitos inesperados ou impedimentos legais não surjam de uma hora para outra”, diz Igreja, da  Baker & McKenzie.

Fixe-se. Considere a adição de uma camada de segurança de dados adicional. “A menos que seu fornecedor esteja disposto a intensificar as cláusulas contratuais restritivas e os acordos de nível de serviço em relação à privacidade de dados, muitas empresas vão querer considerar o uso de criptografia fim-a-fim para os dados que residam na nuvem”, diz Slaby, da HFS Research, “especialmente se elas estiverem sujeitas a preocupações de conformidade regulamentar.”

8 – Impeça bloqueios.

Algumas disposições do contrato de nuvem sunjugam o acesso aos seus dados aos critérios do vendedor se o negócio for cancelado mais cedo. “Os clientes devem sempre garantir que eles possam acessar seus dados a qualquer momento e que, se o contrato terminar por algum motivo, possam movê-los para outro fornecedor”, diz Hansen, da Baker &.

9 – Revisite os controles em uma base regular

“Os compradores devem manter os olhos abertos para novas ameaças potenciais”, diz Slaby, da HFS Research.

.

Fonte: Originalmente publicado por  CIO/EUA em 27 de abril de 2012 às 08h10