miércoles, 9 de marzo de 2011

El camino hacia las nubes: sorteando los obstáculos

Carlos Boto Coto
Gerente de Seguridad Gestionada

La tendencia es clara: la computación como servicio a través de Internet parece imparable. Cada vez son más las organizaciones que deciden migrar servicios de TI a La Nube en busca de sus ventajas. Sin embargo, el camino que deben recorrer no está libre de riesgos:

  • Incumplimiento legal y privacidad. En La Nube las infraestructuras, plataformas y la información pueden estar distribuidas por todo el mundo lo que dificulta en muchos casos aplicar legislación concreta que resuelva los problemas de la privacidad de la información. Asimismo, muchas organizaciones manifiestan su inquietud por la forma en la que se maneja su información, que podría ser vendida, modificada e incluso borrada.
  • Dependencia del proveedor. La Nube podría limitar la libertad del usuario al hacerle dependiente del proveedor del servicio. El cliente únicamente tiene la posibilidad de usar las aplicaciones y servicios que el suministrador esté dispuesto a ofrecer. Por otra parte, también tendría limitadas las opciones ante un proceso de cambio de proveedor.
  • Dependencia del ancho de banda. Así como la máquina de vapor hizo posible la revolución industrial, el crecimiento del ancho de banda ha hecho posible modelos como el Cloud Computing. La gran dependencia de este elemento que tiene La Nube se debe tener muy en cuenta a la hora de adoptar el modelo.
  • Deslocalización de infraestructuras, plataformas e información. Las empresas manifiestan su preocupación por la ubicación de los activos que sustentan los servicios en el Cloud Computing. La multipropiedad es algo frecuente en La Nube y un cliente puede llegar a perder el conocimiento de la situación real de su información.
Ante estas dificultades, no es sorprendente que en la actualidad el 86% de las empresas españolas estén indecisas a la hora de apuntarse al Cloud Computing.

BENEFICIOS DE VIVIR EN LAS NUBES
A pesar de los riesgos mencionados, vivir en Las Nubes puede aportar interesantes beneficios:
  • Ubiquidad. La Nube está disponible desde cualquier punto con conexión a Internet.
  • Agilidad. Para una empresa que tenga que abordar un proyecto de establecimiento de servicios corporativos desde cero, puede ser una gran ventaja llevarlos a La Nube ya que su despliegue se puede realizar de forma rápida.
  • Coste. Un servicio en La Nube puede tener costes de inversión menores, ya que se gestiona como un gasto. Por otra parte, puede representar un ahorro en recursos operacionales de mantenimiento, soporte e instalación.
  • Sencillez. Por regla general las aplicaciones en La Nube se acceden a través de un navegador web, por lo que no es necesario instalar diferentes aplicaciones en cada PC.
  • Multicanal. Cada vez mas, el acceso a los servicios desplegados en La Nube puede hacerse  prácticamente desde cualquier dispositivo: PCs, smartphones, tablets, etc.

¿CÓMO VOLAR HACIA LA NUBE?
El primer paso que debería dar una organización para emprender el camino hacia las nubes, es realizar un análisis de riesgos completo que tenga en cuenta cómo trata el proveedor los siguientes aspectos:
  • Marco legislativo.
  • Protección de datos.
  • Deslocalización de las infraestructuras y plataformas.
  • Subcontrataciones.
  • Medidas de privacidad adoptadas.
  • Capacidades del proveedor.
  •  Flexibilidad de adaptación de los servicios ofertados.
  • Gestión de vulnerabilidades.
  • Respuesta ante incidentes.
  • Gestión de identidades y control de acceso
  • Sistemas de encriptación.
  • Seguridad física y personal.
  • Seguridad de las aplicaciones.
  • Flexibilidad del proveedor para poder auditarle.

Si evaluando los riesgos y sopesando los beneficios finalmente se decide ir a la Nube, es importante tomar en cuenta las siguientes recomendaciones:
  • Empezar con servicios sencillos. Es preferible comenzar con servicios que no sean críticos para el negocio y únicamente lo que la organización esté dispuesta a asumir en función del riesgo.
  • SLAs: Establecer acuerdos del nivel de servicio con el proveedor.
  • Cumplimiento normativo. Comprobar que el proveedor cumpla con el marco legislativo aplicable a la organización.
  • Medidas de seguridad. Verificar que el proveedor utilice controles que aseguren la confidencialidad, integridad y la disponibilidad de la información.
  • Auditoría. El proveedor debe de dar opciones para poder auditar el servicio regularmente.
  • Formación. Concienciar al personal de lo que significa trabajar en la nube y los riesgos que implica.
  • Comunicaciones. Es necesario tener redundancia en las comunicaciones ya que, como hemos mencionado anteriormente, La Nube depende totalmente de la disponibilidad del ancho de banda.
  • Asegurar la confidencialidad de las comunicaciones con la Nube mediante cifrado.

¿PUEDE LA NUBE SER SEGURA?
¿Cómo securizar un servicio cuando está distribuido en instancias localizadas en diferentes países? ¿Cómo abordar un proyecto de seguridad en La Nube cuando todavía no hay estándares de referencia concretos? ¿Cómo cumplir la normativa legal cuando nuestros aplicativos e información pueden estar dispersos por todo el mundo? Todas estas preguntas podrían resumirse en la siguiente: ¿Puede La Nube ser segura? La respuesta es sí, teóricamente y técnicamente puede serlo,  pero en la práctica existen ciertas dificultades:
  • No todos los proveedores de servicios en La Nube permiten ser auditados a los niveles requeridos por los clientes.
  • Muchos proveedores implementan sus propias medidas de seguridad, pero no permiten a una tercera entidad independiente, y elegida por el cliente, que monitorice su seguridad.
  • La monitorización en tiempo real basada en NIDS (Network Intrusion Detection Systems) se hace difícil ya que el procesamiento del servicio puede estar muy distribuido.
  • El coste para que un proveedor adopte las medidas particulares de un cliente puede ser mayor que el coste del propio servicio dado en La Nube.
  • Los clientes pueden tener políticas de seguridad que el proveedor no pueda o no esté dispuesto a aceptar.
  • Un proveedor puede evadir la responsabilidad legal ante cualquier incidente legal al estar localizado en países no sujetos a marcos legislativos regulatorios.

CONCLUSIONES
Migrar a La Nube tiene numerosas ventajas, pero también implica superar ciertas barreras. Asimismo, La Nube presenta un gran reto para la seguridad al ser un paradigma que todavía no está maduro. No cabe duda que La Nube puede ser muy ventajosa para desplegar servicios cuya confidencialidad de la información no sea crítica para la organización y puede ser muy conveniente para entidades que carezcan de recursos para utilizar otras opciones. A pesar de todo, un modelo tecnológico que permite el acceso a cualquier servicio corporativo desde cualquier lugar, mediante cualquier dispositivo, en cualquier momento, y a un coste razonable, es algo que está más allá de cualquier tendencia o moda. El camino hacia Las Nubes no ha hecho más que comenzar.   


Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)