Desmontando el cloud

CloudEmpresasGestión CloudGestión de la seguridadSeguridad

Para Marcos Paredes, director de Tecnología de Ozona, reflexiona sobre los aspectos vitales del cloud, entre los que destaca la seguridad.

Según el informe sobre “Las Tecnologías de la Información y las Comunicaciones en la empresa española 2011” de AMETIC y Everis, la penetración de las TIC en las compañías españolas en 2011 creció 6,5 puntos respecto al año 2010. Este mismo estudio indica que las soluciones cloud están creciendo a un ritmo todavía mayor. ¿Cuál es el motivo? Quizá sus ventajas para obtener flexibilidad, ahorro de costes y mejorar la productividad dentro del ámbito empresarial.

Actualmente, se escribe y se habla mucho sobre cómo el cloud ha revolucionado el mercado y se ha convertido en uno de los instrumentos más eficaces para poder sortear la crisis actual y hacer progresar el negocio. Según preveía un informe de IDC sobre el mercado de cloud en España en 2011, este tipo de soluciones debía crecer un 42% y superar los 217 millones de euros. También lo confirmaban datos de la consultora Penteo, que aseguraba que el 38% de las empresas españolas había adoptado, en algún ámbito, alguna solución cloud y la nube estaba presente en casi dos de cada tres empresas en nuestro país.

Esta situación no es extraña, porque gracias a la implantación de este tipo de soluciones, las empresas de todos los tamaños pueden reducir costes y agilizar los procesos de gestión para garantizar su eficiencia.

Si bien es cierto que también presenta algunas barreras como limitaciones legales, seguridad o integración de servicios. Así lo indicaba Neelie Kroes-vicepresidenta de la Comisión Europea y responsable de la Agenda Digital para Europa-, el pasado 29 de enero en el Foro Económico Mundial de Davos (Suiza). Por ese motivo, el cloud debe consolidarse y normalizarse para lograr la confianza de los usuarios y de las empresas.

En este sentido, existen varias iniciativas de normalización a nivel internacional dentro de ISO/IEC para estandarizar la terminología, la arquitectura de los servicios cloud, la interoperabilidad entre servicios, etc.

También existen propuestas para elaborar guías específicas de aplicación de estándares ya existentes como las normas ISO 20000 o ISO 27001 a servicios cloud y abordar su problemática específica.

Con la aplicación de la ISO 20000 o la ISO 27001 a los servicios cloud, un proveedor de servicios podrá demostrar que su sistema de gestión de los servicios y su sistema de gestión de seguridad tienen conformidad con los requisitos de disponibilidad, capacidad, niveles de servicio, seguridad, etc. descritos en estas normas.

Cloud pública o privada: ¿cuestión de seguridad?

Los diferentes tipos de nube (privada, pública, híbrida…) ofrecen diferentes niveles de personalización y gestión del servicio. Pero, ¿son igualmente seguras? ¿Qué ocurre con las leyes de protección de la información?

Se denomina nube pública al servicio cloud accedido desde Internet y con infraestructura compartida. Suele tratarse de entornos limitados en cuanto a personalización, ya que se trata de servicios o aplicaciones de uso general tanto por usuarios corporativos, como domésticos. Los servicios de email son el ejemplo típico de este tipo de cloud (Gmail, Hotmail, etc.), aunque en los últimos tiempos están irrumpiendo con fuerza también las herramientas ofimáticas y de colaboración. Algunos de estos servicios son gratuitos y otros son de pago mediante una pequeña suscripción.

Las ventajas de este modelo se basan fundamentalmente en el ahorro producido por economías de escala y por la sencillez y rapidez de contratación y acceso al servicio. Por el contrario, al tratarse de infraestructuras compartidas por cientos de miles de usuarios, una brecha de seguridad podría comprometer información sensible de muchas organizaciones. Además, ha de tenerse en cuenta la ubicación geográfica de la información de los usuarios del servicio, ya que existen divergencias muy notables entre las leyes de protección de datos de los diferentes países.

En el extremo opuesto se encuentra la nube privada. En este caso la infraestructura es dedicada a cada cliente. Esto hace que el nivel de personalización y parametrización del servicio sean prácticamente ilimitados. Este suele ser el modelo de cloud elegido por las organizaciones para aquellos servicios que soportan el core de negocio.

Desde el punto de vista del coste del servicio, esta solución puede tener costes elevados por lo que es recomendable realizar un detallado análisis de ROI y TCO antes de abordar un proyecto de implantación de una nube privada.

En cuanto a la seguridad y protección de datos, al tratarse de infraestructuras dedicadas, el cliente conoce en todo momento la ubicación de su información y la legislación de protección de datos que aplica.

Finalmente, la nube híbrida combina, para diferentes servicios, la nube pública y la privada. Más que un tipo de nube en base a la compartición o no de la infraestructura, se basa en la posibilidad de seleccionar, en función de la criticidad de la información y del servicio, un modelo de servicio en nube pública o privada.

De esta manera, por ejemplo, una compañía puede tener su email en una nube pública mientras mantiene en una nube privada el servicio de ficheros, o el ERP corporativo. Así, se obtienen los beneficios de bajo coste de las nubes públicas mientras que la información crítica está bajo control en la nube privada.

Conclusiones

Partiendo de que la seguridad total no existe, no es posible sentenciar que las nubes privadas sean más seguras que las públicas. Todo depende de la gestión de la seguridad y de los protocolos aplicados en uno y otro caso. Sin duda, un buzón de email en un servicio gratuito como Gmail, será más seguro que un buzón en una nube privada en la que se descuiden los protocolos de seguridad básicos.

Por el contrario, si hablamos del cumplimiento de las leyes de protección de la información, existe una diferencia importante entre nubes privadas donde sabemos en cada momento dónde se ubica nuestra información, y, por tanto, si se está cumpliendo con la normativa vigente, y las nubes públicas donde, al menos en teoría, la información puede estar ubicada en cualquier lugar del mundo. Para evitar estos problemas, muchos proveedores de cloud pública garantizan por contrato que los datos de los usuarios están en un determinado país.

Otro aspecto a destacar en el mundo cloud es cómo garantizar la identidad de un usuario que accede al servicio cuando estos, por definición, pueden ser accedidos desde cualquier lugar y con casi cualquier tipo de dispositivo.

La autenticación de doble factor, en cualquiera de sus formas, acabará imponiéndose para aquellos servicios más sensibles y críticos. De la misma manera que no es posible sacar dinero de un cajero sin conocer el PIN de nuestra tarjeta (o tecleando el PIN sin tener la tarjeta), no parece razonable que las organizaciones permitan el acceso a su ERP corporativo mediante una autenticación basada en usuario y contraseña.

Leer la biografía del autor  Ocultar la biografía del autor