Como analizaba en mi comentario titulado ¿”Nubarrones” en la Nube (Cloud Computing)? (12 de marzo) una de las
afirmaciones más generalizadas en estos momentos, casi un estereotipo, es que la
seguridad es uno de los frenos (por no decir obstáculo o barrera) para el Cloud
Computing. En esa afirmación, como en muchas otras, de entrada usamos el término
seguridad de una forma genérica que en ocasiones da lugar a equívocos …
En primer lugar, hay que tener en cuenta como
“Cloud Computing” implica un nuevo paradigma en muchos aspectos de la TIC tanto
en el diseño de sus servicios, como en la forma de trabajar con ellos, con el
consiguiente y necesario cambio cultural: en la parte del usuario (entendiendo
por tal en este caso, el departamento TIC de una entidad que decide usar
Servicios de una Cloud Pública) que en el aludido comentario del 12 de marzo resumíamos en la “gestión de servicios frente a la gestión
de activos”, pero en la parte del Prestador de Servicos Cloud
también implica un cambio aún mayor tanto en el diseño de su infraestructura,
como en la forma de operar con ella, etc. Y esos aspectos irán calando entre los
profesionales del sector TIC, aunque en muchos casos aún no han sido asumidos.
Para centrar el tema creo que es bueno analizar unos cuantos ejemplos que
ilustren el cambio de paradigma al que aludo:
Por ejemplo en el tema de diseño de
infraestructuras TIC, para crear un entorno cloud no tiene sentido comprar
máquinas robustas y con alta tolerancia a fallos (por ejemplo, doble fuente de
alimentación, doble controladora de disco, configuración RAID 1+0, 2 tarjetas de
red conectada switches diferentes, etc.), la filosofía es poner máquinas mucho
más baratas y asumir que se pueden estropear, en cuyo caso su trabajo será
asumido por otras máquinas (lo mismo con el almacenamiento de la información,
las comunicaciones y otros criterios de diseño). Esto, como se ve, ya rompe
conceptos muy asentados de seguridad, en este caso los relacionados con la
“disponibilidad”.
El mismo ejemplo anterior significa que un
usuario de una Cloud Pública significa, además de las ventajas características
del Cloud Computing (que se pueden en resumir en pagar por lo que realmente usa,
solo por el tiempo que lo usa, y en el momento que lo necesita, es decir
transformar el CAPEX en OPEX), tiene la ventaja adicional de poder establecer
planes de “continuidad del negocio” y DRP que hasta el momento, tal vez, le eran
inviables por coste.
Del mismo modo, tal vez, se deban redefinir el
uso de las estrategias defensivas (firewall, etc.) cuando se trabaja en un
entorno cloud (por ejemplo llevándolas a la aplicación o, en el otro extremo del
abanico de posibilidades, analizando si de verdad la aplicación es la correcta
para llevarla al modelo cloud).
Sin embargo sí es cierto que estas Cloud Públicas
traen consigo nuevos riesgos de seguridad, sobre todo en lo relacionado con las
leyes de protección de datos española y europea, o con los requisitos de
estándares como la ISO 27.000, que se están resolviendo en función del servicio
que se contrate, p.e. criptografiando la información almacenada en la Cloud o la
“circulante”, etc.. En esto casos además puede llegar a ser inviable en casos
donde la legislación u otras regulaciones no permitan que los datos salgan de la
organización o del país (bien impidan su almacenamiento externo de datos o bien
su procesamiento).
Este es uno de los motivos tecnológicos (también
regulatorios) que inducen a muchas empresas (especialmente grandes) a optar por
una Cloud Privada propia, pese al inconveniente de que todo es CAPEX. Entre los
dos extremos existen soluciones intermedias como las Cloud Comunitarias (donde
el CAPEX se comparte con otros socios) y las Cloud Híbridas (donde hay parte de
CAPEX y parte de OPEX). Pero también surgen nuevos servicios como las “Cloud
Privadas Alquiladas” donde empresa como TISSAT ofrecen una cloud dedicada al
cliente con infraestructuras nuestras (con tecnología OpenStack).
No hay comentarios:
Publicar un comentario