EncuentrosCloud Computing

Mitos y verdades de la seguridad en la nube

La nube es suficientemente segura, aunque nunca se puede garantizar al 100% una protección completa. En definitiva, de la administración y gestión de la información corporativa sensible se debe ocupar la propia compañía.

No es ningún secreto que la seguridad figure como uno de los grandes quebraderos de cabeza de los CIO, y supone un freno a la implantación de los entornos de cloud computing en las empresas. Sin embargo, las compañías deberían tener también presentes otras cuestiones que normalmente suelen pasar desapercibidas, y que son mucho más relevantes y críticas. Así, aunque la protección de la información corporativa es clave, muchas compañías deciden delegar con total exclusividad la responsabilidad del dato a un tercero, cuando realmente de la administración y gestión de la información sensible se debe ocupar la compañía, o al menos estar más pendiente. Estas conclusiones se desprenden de una tertulia organizada por Computing para conocer cuál es la demanda real de este tipo de entornos y si el cloud es o no seguro.


Para comenzar, los participantes pusieron sobre la mesa los problemas para iniciar la transición hacia la nube, “esa problemática se entiende de dos maneras, por un lado, el cumplimiento normativo, ya que hay ciertas regulaciones que limitan el uso de los servicios en la nube, y por otro lado, la seguridad en sí misma, ya que tiene que tener en cuenta criterios como la confidencialidad o integridad, por lo que el problema no es tanto la seguridad sino la propia gestión de la misma”, aclara Félix Martín, gerente del departamento de Servicios de Seguridad de HP. Mientras tanto, Juanjo García, responsable de grandes cuentas de Arsys, añade que efectivamente, el cloud no da tantos problemas de seguridad como de cumplimiento de normativas y estándares de calidad, y es que “la seguridad se está convirtiendo en tabú, cuando en realidad es lo menos importante”, puesto que pesa más “el desconocimiento: todo el mundo llama cloud a todo, hay mucho temor y desconocimiento”. Al respecto, Manuel Pérez, director comercial de Exevi, se muestra de acuerdo, “el problema se reduce a una falta de conocimiento, pero además es imprescindible que los proveedores de ese servicio de cloud, en la modalidad que sea, incorporen buenas prácticas en la gestión del servicio adecuadas para el cliente, porque si los proveedores adquieren buenas prácticas, mejorarán sus servicios y darán más garantías”.
“El problema”, afirma por su parte Miguel Serrano, responsable de Ventas de Akamai, “es que algunas compañías tienen recelo porque muchos proveedores prestan servicios de cloud a nivel usuario y no a clientes corporativos, y tienen dudas a la hora de delegar a un tercero su información”. Por ello es necesario “dar confianza y educación a un mercado que tiende a mezclar y confundir conceptos”. También hay quien considera al cloud computing como una evolución natural de la informática, como es el caso de Fernando de la Cuadra, director de Educación de Ontinet, confirmando que “se tiene que comprender que la nube es una nueva forma de hacer las cosas, que sí implica seguridad y que funciona de verdad: es más sencillo, y por tanto más barato, más seguro y más cómodo”.

¿Cloud o no cloud?<br /> </strong>En ocasiones se piensa que la seguridad es un concepto distinto al estar en la nube, pero los proveedores participantes en la tertulia aseguraron que en realidad es lo mismo. Por lo tanto, <strong>nadie puede ofrecer garantías al 100%.</strong> “Los clientes que no cuenten con políticas adecuadas de contingencia y backup de datos, tienen más probabilidades de perderlos, estén o no en la nube”, sentencia Félix Martín de HP, añadiendo que “<strong>el cloud no es seguro ni inseguro</strong>, lo que hay que hacer es evaluar a fondo los requerimientos. La oferta cloud es muy variada, hay mucha oferta comercial que puede no tener detrás las garantías necesarias, por ello hay que saber elegir al mejor proveedor”. <br /> Además, <strong>no tiene por qué trasladarse todo a este entorno</strong>, “no todo el core se puede subir al cloud”, opina Juanjo García de Arsys. Efectivamente, “la oferta de seguridad tiene que ofrecer los servicios más seguros posibles a un coste mínimo, y el cliente no puede delegar absolutamente todo al cloud porque no se lo puede ofrecer”, completa Félix Martín. Mientras tanto, para Manuel Pérez de Exevi, “la seguridad no está siempre más garantizada si se tiene en casa, porque el hecho de no tener un administrador a veces para ciertas compañías es más seguro, especialmente en el caso de las pymes, que tienen por lo general pocos recursos y no pueden contar con servidores de alta disponibilidad”. Por esos motivos, “el modelo cloud en sí por naturaleza no es más inseguro; <strong>depende de cómo se haga”.</strong> El problema es que “hay que concebir el <strong>cloud como una arquitectura con un enfoque diferente</strong>, hay casos de éxito de muchas compañías que han decidido no tener en casa un montón de sistemas y procesos. El mejor camino para tomar decisiones consecuentes es mirar al mercado y comprobar cuál ha sido su experiencia”, añade Miguel Serrano de Akamai.  <br /> Otro aspecto a tener en cuenta a la hora de optar por una estrategia de seguridad en cloud computing es <strong>considerar también a los proveedores de las redes de comunicación</strong>, según alertó Fernando de la Cuadra de Ontinet, puesto que “son los que están en medio. El cloud implica a tres actores: empresa, proveedor de servicios y proveedor de comunicaciones, y este es un elemento importante a considerar”. <br />   El <strong>tamaño de la empresa sí importa</strong> a la hora de tomar la decisión de llevar las infraestructuras a la nube, y es que “las necesidades cloud son diferentes, y eso va a determinar la<strong> evolución del mercado a corto plazo</strong>. Una pyme generalmente demanda no tener nada de infraestructuras, por necesidad de costes. Sin embargo, una empresa grande ya tiene la infraestructura montada, y tiene que evaluar qué aplicaciones concretas debe trasladar, porque no todo es susceptible”, explica Félix Martín. Siguiendo con esta idea, Manuel Pérez añade que no solamente el tamaño importa, sino también el tipo de aplicaciones que se deseen llevar a la nube.

<strong>¿Nube pública o privada?<br /> </strong>Igualmente, ha quedado claro que la <strong>divergencia entre nubes públicas y privadas no es la seguridad</strong>, ya que “con la normativa vigente no es un problema porque hay garantías suficientes”, apunta Miguel Serrano de Akamai. Félix Martín añade que “más importante que el debate entre nube pública o privada es el <strong>nivel de servicio que se ofrece en la nube</strong>. Toda la seguridad desde las infraestructuras al nivel físico y lógico se controla desde dentro de la empresa, y lo mismo sucede con las aplicaciones, pero a medida que evoluciona el nivel de servicio se delega al proveedor esa seguridad. Entonces en conclusión el debate no debe ser si es público o privado, sino el nivel de transferencia que se delega”, comenta Martín. <br /> Fernando de la Cuadra quiso poner sobre la mesa el hecho de que “<strong>existe miedo, pero ya no tanto por la seguridad sino por la sensación de pérdida de control de los datos</strong>”. Sin embargo, hay quien considera que ese problema está ampliamente solventado con el outsourcing, como es el caso de Miguel Serrano y Juanjo García.

<br /> <strong>Una tendencia imparable<br /> </strong>Otra cuestión interesante tiene que ver con el <strong>tratamiento que se hace de la información</strong>, especialmente en aquellos casos en los que el cliente quiera darse de baja del servicio. El problema es que, aunque la LOPD obliga a proceder al borrado total de la información una vez que el cliente se dé de baja, “en otros países no sabemos si esto sucede, lo que <strong>podría llegar a ser un problema para una multinacional que decida romper un contrato de cloud computing</strong>”, asegura Miguel Serrano. Sin embargo, este problema puede solventarse con los proveedores globales, que están preparados para aplicar la normativa en los sitios donde haga falta. <br /> Con todo, la informática en la nube es una <strong>tendencia imparable</strong>, “no es una moda. Las empresas se podrán subir antes o después, pero acabarán vinculadas en mayor o menor medida al cloud”, asevera Manuel Pérez. El resto de participantes se muestra de acuerdo, aunque “todavía queda mucho porque <strong>hace falta acostumbrar a los usuarios</strong>”, explica Fernando de la Cuadra. “La pelota está más del lado de la oferta: los proveedores tienen que ser capaces de ofrecer el modelo adecuado. El mercado irá evolucionando de acuerdo con la demanda”, concluye Félix Martín.

<br />

Computing 805