Segurança – ou a falta dela – não é motivo para manter-se fora da tendência de adoção da arquitetura orientada a serviços (SOA). Mesmo que a maturidade de proteção de dados no modelo ainda não tenha chegado, 30% das empresas do mundo já utilizam o padrão para integrar informações de clientes e parceiros.

Para alcançar patamares seguros e estáveis de utilização de SOA é preciso avaliar atentamente os ambientes que serão contemplados com soluções de segurança para que os investimentos feitos não se tornem obsoletos em pouco tempo.

Antes de buscar fornecedores ou desenvolver softwares de proteção, os líderes de TI precisam estabelecer um projeto de design para a segurança de tal arquitetura. Esse plano deve contemplar os ambientes que serão protegidos, as especificações dos produtos já utilizados na infraestrutura da companhia (para que as novas soluções possam ser integradas a tais ferramentas) e as previsões para a área de segurança e tecnologia da empresa nos próximos anos.

A criação de uma rede particular (VPN, da sigla virtual private network, em inglês) para suportar as solicitações e respostas das aplicações em SOA é uma opção simples e eficiente de garantir a proteção dos dados – quando acessados internamente. No caso de serem consultados externamente, é necessário que haja dois níveis de gerenciamento de identidade.

Na primeira etapa, é exigido um certificado digital específico para aquele que tentar acessar a VPN – assim somente aqueles com a certificação poderão ter contato com os dados corporativos.

O segundo nível contempla situações nas quais dois ou mais usuários comunicam-se e utilizam (por meio de anexos, por exemplo) as aplicações em SOA. Nesses casos é preciso que os usuários consigam autenticar-se um ao outro antes de enviar informações corporativas valiosas por meio da combinação de senhas e códigos.

A consultoria Forrester Research recomenda a criação de sistemas de proteção que não requeiram configurações e códigos muito específicos - o que dificultaria a integração com as demais soluções da companhia. Os gestores responsáveis pelas políticas de segurança para SOA devem ter em mente que o projeto precisa ser flexível e aplicável também no longo prazo.

Encontrar a combinação ideal de padrões de fornecimento, produtos e plataformas de proteção de informações não é fácil e demanda pensamento estratégico. Seguem algumas dicas de como começar essa tarefa:

1. Identifique suas necessidades de segurança e as normas regulatórias as quais deve cumprir. Assim, comece a listar quais são os aspectos indispensáveis do projeto. Esse conjunto de pré-requisitos funcionará como a base da política de proteção em SOA;

2. Depois de definidas as principais demandas de segurança, começa a fase de identificar produtos e fornecedores que supram essas necessidades. Nessa etapa é necessário que o responsável pelo projeto priorize a aquisição de ferramentas que possam ser integradas às demais do parque de TI da companhia;

3. Esteja certo de que todos os produtos poderão trabalhar juntos e tome os cuidados necessários para que fornecedores realizem a implementação das soluções de forma correta.

Randy Heffner é vice-presidente da consultoria Forrester Research