La seguridad es la primera causa de desconfianza en el cloud computing… ¿De verdad?
Por José Mª Ochoa:
Como decía la canción, «vamos a contar mentiras, tralará …»
Pues sí, estoy constantemente encontrando noticias como esta (y no digo que engañe la ONTSI sino que quien responde habitualmente se “esconde”):
El informe “Cloud Computing. Retos y Oportunidades” del ONTSI analiza la situación del cloud computing a nivel mundial, europeo y, en particular, en España, donde se analiza específicamente el conocimiento y grado de uso del cloud computing por parte de pymes y micropymes, el 99,8% del tejido empresarial.
La revolución ya ha empezado y, de hecho, el informe del ONTSI constata que el 45,2% de las pymes españolas con página web conoce las soluciones de cloud computing y, de estas, el 21,7% declara estar utilizando ya alguna solución bajo el modelo cloud.
No obstante, todavía queda mucho camino por recorrer. Con lo que si lo interpretamos desde la otra cara de la moneda: El 54,8% de las pymes españolas con página web reconoce desconocer la tecnología cloud y, por otro lado, el 78,3% de las empresas que afirmar tener conocimiento sobre esta tecnología, aún no se ha lanzado a su uso.
Entre los obstáculos que explican este bajo grado de adopción, el informe apunta; En primer lugar, el desconocimiento de los beneficios del modelo (63,1%), segundo, las limitaciones presupuestarias (30,5%) y, tercero, los costes elevados asociados a la contratación (24,9%).
Otra barrera importante, que se suma a la pérdida del control de los procesos (26,5%) y la dependencia del proveedor (20,8%), se encuentra en la percepción de riesgos en materia de privacidad y la confidencialidad (55,2%).”
Y digo yo…
Si “según el último estudio sobre tendencias en la seguridad informática sólo el 31% de los directivos responsables de seguridad TI considera que su disciplina no es vista en sus organizaciones como una prioridad estratégica”… ¿dónde está el miedo a llevar las aplicaciones e incluso los datos a centros de computación que tienen unos niveles de seguridad y respaldo que la mayoría de las empresas de España ni podrían soñar en tener?.
Pues bien, de esto tenemos la culpa nosotros (los proveedores de “cloud”) que hasta el momento (fase de despegue del cloud computing) somos los actores principales de este lío. Lo siento, pero lo que ahora hace falta es ser honrados y meridianamente transparentes y exponer todos los esfuerzos, inversiones y arquitecturas que hemos implementado para que los usuarios (empresas) que se proponen ir hacia los servicios gestionados tengan claro los enormes beneficios que también obtendrán en el nivel de seguridad llevando sus servicios (o parte de ellos) a la “nube”.
Sabemos que un altísimo porcentaje de PYMES tienen protecciones perimetrales básicas implantadas en su estructura de TI… ¡¡¡ gracias a Dios, ya era hora !!!!. Pero también sabemos que se instalan, en algunas ocasiones se realiza alguna subscripción y en la mayoría de ocasiones ni se mantienen ni se actualizan… y esto es más que un agujero, eso sí el desconocimiento da la “libertad y la tranquilidad”. Pero que se muestren estas reticencias para pasar a una estrategia de servicio en “cloud” sinceramente… no lo entiendo y eso es porque no lo explicamos claramente, y en muchas ocasiones ni ha estado en la estrategia de comunicación de nuestros servicios.
Bien, pues es hora de aclararlo y exponerlo
Por lo menos para la mayoría de proveedores, lo que voy a contar se aplica … no quiero llevaros a engaños, hay proveedores menos serios que este tipo de cosas ni las dicen ni las hacen … eso está en la responsabilidad de cada uno y de la necesidad de información y preocupación que tenga el cliente que es quien en último caso debería de sentirse obligado a preguntar.
En la mayoría de proveedores de “cloud” se tiene una estructura de FW (en muchos casos en varias capas) bien estrucutadas; implantados correctamente, mantenidos a diario y con actualizaciones programadas, monitorizados 24×7 y con un respaldo de servicio técnico pocas veces mejorables.
En la mayoría de proveedores de “cloud” se integran sistemas de detección/prevención de intrusión (IDS/IPS), equipos que protegen ante ataques de denegación de servicios (DoS), equipos de gestión de tráfico (QoS) que permiten inteligencia en la red con inspección profunda de paquetes (DPI) … ni que decir que integran en sus sistemas las firmas más actualizadas de antivirus con los mejores fabricantes del mercado.
El hardware en el que corren las apps y en la que basan su “negocio” es de fabricantes líderes de mercado (CISCO, HP, IBM, etc …), con contratos de mantenimiento 24×7 y con unos niveles de alta disponibilidad que les hacen poder reportar SLAs del 99,99% en muchos casos.
Suelen tener unas estrategias de backup de datos más que correctísimos, basados éstos en software líderes y especialista en ese entorno, y su estructura de backup a HD así como cinta y custodia de la misma en ubicación externa (¡¡¡ cuidado que este punto es en el que más se flaquea !!!).
Y bueno, mi opinión y consejo…
Si puede ser una empresa cercana donde se interesen no solo por el volumen de “chicha” (procesador, memoria, HD …), sino también por hacer “artesanía TI” pues mejor que mejor … y qué os voy a decir, si mi responsabilidad está en Alhambra-Eidos y os escribo esto … entenderéis que todo esto lo hacemos aquí.
Espero que al menos estas ideas os aporten información que podáis manejar a la hora de evaluar servicios en la nube.
Fuente: ITBlog Alhambra-Eidos
Otra posible causa es el desconocimiento de lo que es en realidad la computación de nube…
Hola Jose María,
En mi opinión das en el clavo proponiendo ser transparente y explicando algunas de las medidas de seguridad que implementais. Sería un punto más que contarais con un estándar internacional como la ISO 27001 para garantizar una gestión de la seguridad estándar, control del riesgo y auditorías de tercera parte regulares. Sin embargo, soy proveedor de consultoría de esta norma así que no soy objetivo :).
El problema es tanto de los que decimos «ojo, no es oro todo lo que reluce en la nube» como de los que defienden la nube generalizando y diciendo que las empresas tendrán más seguridad en la nube que en su propia organización. También tienen culpa los que meten en el mismo saco a empresas como Amazon, con Arsys o Alhambra-Eidos, con Dropbox y Google, con Salesforce, con distribuidores de alojamiento que no tienen ni infraestructura…a proposito del marketing se mezclan churras con merinas y el usuario percibe que algo no está claro.
La seguridad en la nube no está en si nube sí o nube no, está en el proveedor y en las garantías que este te ofrece por su historial, por contrato, por referencias, por auditorías de tercera parte, etc.
Si subes documentos a Dropbox estos pueden ser examinados por Dropbox, si utilizas Gmail tus correos son leidos y examinados por Google, tú mismo admites que utilizas tecnología de inspección profunda de paquetes…entonces es obvio que la privacidad es algo a tener en cuenta. No digo que no cumplais. Vosotros dais un paso al frente y decís lo que hacéis. Muchos proveedores en la nube no.
Es normal que haya desconfianza. Los usuarios, los clientes de la nube, deben conocer a sus proveedores lo mejor que puedan, leer el contrato, negociar las condiciones (si es posible), fijarse en los SLA, monitorizarlos y conocer los riesgos y gestionarlos. Solo así se puede hacer un uso responsable de la nube desde el punto de vista del responsable de TI. ¡Esa es mi opinión!
¡Saludos!