Los peligros del modelo cloud computing

La idea de cloud computing (informática en nube) –inspirada en una arquitectura cuyo estado natural consiste en una pila de recursos fuera de la empresa, proporcionados por un proveedor externo, y soportados y compartidos a través de Internet- ha ido ganando ímpetu en los últimos meses. Sus promesas de reducción de costes y de mejora de la flexibilidad TI han conseguido despertar el interés de las empresas, aparte del de muchos consumidores. Pero el uso de modelos cloud computing también conlleva algunos riesgos, entre los que se incluyen peligros relacionados con la conformidad, la disponibilidad y la integridad de los datos corporativos.

Según los expertos, muchas compañías no reflexionan sobre estos riesgos con la suficiente seriedad. Por ejemplo, el tener en funcionamiento la tecnología apropiada de recuperación ante fallos constituye un componente importante para securizar lo que ha venido a denominarse la “cloud” (nube), un elemento que, no obstante, a menudo las empresas pasan por alto, según Josh Greenbaum, director de Enterprise Applications Consulting. Lo más paradójico es que la mayoría de esas mismas compañías se aseguran de contar con sistemas de recuperación ante fallos de servicios bien consolidados y probados, como la alimentación eléctrica. “Si cualquiera se acerca a las instalaciones de una gran organización, seguro que podrá ver en el exterior alguna construcción que albergue un sistema de potencia alternativo por si fallara el principal. Ninguna depende únicamente de la red pública”, explica Greenbaum, quien subraya que la situación en el caso de los servicios cloud computing no debería ser diferente.

En algunos casos, el riesgo de fallo resulta demasiado alto para depender de la cloud. Por tanto, si toman la decisión de colocar algunos servicios y aplicaciones sobre ella, antes de hacerlo, las empresas deberían preguntarse cuál sería la forma adecuada de gestionar los riesgos.

David Cearley, vicepresidente y analista de Gartner, cree que el establecimiento de límites al uso de tecnologías cloud resulta esencial y que, en consecuencia, las empresas deberían analizar con la máxima atención, midiendo siempre los riesgos frente a las eficiencias que la cloud computing pueda aportar en cada momento y lugar de aplicación. Quizá cediendo algún control sobre sus datos, las organizaciones pueden conseguir mejores economías de costes. Pero que este beneficio consigan compensar los riesgos dependerá de cada caso, y para averiguar si así es habrán de tenerse en cuenta tanto los ahorros y las eficiencias que se lograrán, como el nivel de sensibilidad de los datos afectados. Y, en cualquier caso, la decisión sobre si el riesgo merece la pena habrá de ser tomada conjuntamente por los responsables TI y ejecutivos. Según Cearley, cualquier recurso o servicio TI terminará con el tiempo estando disponible como un servicio sobre la cloud, pero en cada negocio particular habrá algunos que no convenga colocar en ella.

Existen diferentes motivos que hacen desaconsejable consumir determinados servicios TI de la cloud. Entre ellos, la incertidumbre respecto de la ubicación concreta de los datos. “En una pila compartida fuera de la empresa, ésta no tendrá ningún conocimiento o control sobre el lugar en que corre cada recurso. Por tanto, si existe alguna preocupación acerca de la localización de los datos, por ejemplo, tal preocupación podría representar un motivo para no utilizar la cloud en las aplicaciones y servicios relacionados con tal información”, explica Cearley.

La responsabilidad caerá sobre la empresa
Por otra parte, aunque existe una gran cantidad de estándares, incluidos servicios como SAS Interaction Management, aplicables para la seguridad y conformidad TI -y que gobiernan ya la mayoría de las interacciones de negocio en múltiples compañías-, y aunque con el tiempo tales estándares habrán de ser trasladados a la cloud, de momento aún no lo han sido, como señala Greenbaum. Los suministradores de servicios y aplicaciones TI “en nube”, entre los que cabe destacar como pure players a Salesforce.com y Netsuite, “no ofrecen la clase de gobernabilidad y gestión de riesgos y conformidad a que obligan las regulaciones existentes”. Y hasta que surjan modelos y estándares de seguridad para la arquitectura cloud computing, la mayor parte del riesgo, y la responsabilidad si algo va mal, pesará sobre los hombros de los responsables de TI, no en los de los proveedores de servicios cloud computing.

Kristin Lovejoy, directora de la división de gestión de seguridad, gobernabilidad y riesgos de IBM, coincide en que, en último término, es el consumidor de los servicios el responsable de mantener la confidencialidad, integridad y la disponibilidad de los datos. De ahí el peligro que supone dejarlos en manos de un proveedor de servicios externos sin las suficientes garantías.

Lovejoy cita a modo de ejemplo el hecho de que la regulación HIPAA (Health Insurance Portability And Accountability Act) no recoja detalles específicos relativos al outsourcing o al offshoring, lo que deja un cierto vacío normativo al respecto. Simplemente, en sus secciones 164.308 y 164.314, exige que cualquier compañía consiga garantías de que toda aquella empresa que maneje sus datos como tercera parte, los protegerá con el suficiente celo. Es decir, cabe deducir que será la compañía cliente la responsable de haber considerado suficientes las garantías en cuestión si finalmente no lo resultan.

Cómo elegir las aplicaciones a poner sobre la cloud sin peligro
Ante esta situación, hasta que el control de la información sobre la cloud avance, Lovejoy recomienda a las empresas seguir el principio “context versus core” (contexto frente a núcleo), de Geoffrey Moore, estratega de negocio y socio director de TCG Advisors.

Moore define las prácticas core -de núcleo de negocio o nucleares- como aquellas que proporcionan a la empresa una diferenciación competitiva. A diferencia de éstas, las prácticas de contexto –o contextuales- son generalmente de naturaleza interna. Entre estas últimas cabe citar los servicios de recursos humanos y de gestión de nóminas, por ejemplo. Las aplicaciones que soportan ambos tipos de prácticas, las de núcleo y las de contexto, pueden a su vez dividirse en aplicaciones de misión crítica y de misión no-crítica. “Si una aplicación de misión no-critica queda fuera de servicio o tiene algún problema, la empresa podrá, al menos, sobrevivir”, explica Lovejoy.

La regla de Moore en este caso diría, según Lovejoy, lo siguiente: si la práctica de negocio que se valora es de contexto y de misión no-crítica, lo aconsejable será siempre ponerla sobre la cloud; si se trata de una práctica contextual, pero de misión crítica, probablemente también convenga hacerlo; pero si la aplicación es de núcleo y de misión no-crítica, seguramente convendrá mantenerla protegida detrás de la frontera del firewall corporativo; y, finalmente, en caso de tratarse de una aplicación de núcleo de negocio y de misión crítica, deberá, sin excepción, quedar dentro de la empresa, protegida por su cortafuegos.

Una buena seguridad lleva su tiempo
Otro de los principales retos del enfoque TI basado en cloud, por otra parte, es que no sigue las normas que, en términos generales, se consideran base para una buena seguridad de nivel corporativo, explica John Pescatore, analista jefe de Gartner para seguridad. El aspecto que más preocupa a Pescatore en este sentido está vinculado a la frecuencia con que los servicios basados en cloud son actualizados y modificados. Cita para ilustrar su idea el complejo desarrollo de la iniciativa SDLC (Software Development Life Cycle) de Microsoft, que asume que el software de misión crítica no habrá de sufrir cambios sustanciales en períodos de entre tres y cinco años.

“En la nube, cada dos semanas se añade alguna nueva funcionalidad. La aplicación cambia continuamente. Pero SDLC no ha sido construido para ello, y, por tanto, una gran cantidad de empresas no estarán preparadas para el ritmo acelerado de cambio de las propuestas cloud computing. Estamos regresando a los viejos días de Netscape, cuando esta compañía distribuía nuevas funcionalidades realmente rápido y nadie disponía de un ciclo de seguridad que pudiera seguir tal ritmo”, argumenta Pescatore.

Para empeorar las cosas, los usuarios empresariales no tienen la alternativa de decidir quedarse con una versión anterior de su aplicación basada en cloud. “En la cloud, debes aceptar la próxima versión, posiblemente anulando cualquier seguridad que se hubiera construido ya en torno a ella o conseguida mediante su integración con la infraestructura del cliente”.

Según tamaño y sector de actividad
Para resolver todos estos inconvenientes a corto plazo, allí donde la seguridad sea una cuestión clave de negocio y de misión crítica -especialmente en los sectores de grandes corporaciones, instituciones financieras y gobierno-, los departamentos TI deberán añadir su propio nivel de seguridad. Esto encarecerá los costes, de forma que la cloud computing no saldrá más barata que correr la aplicación dentro de la empresa, según argumenta Pescatore. “Pero en pocos años, la seguridad fuerte será llevada a un nivel más básico, y habrá seguridad suficiente en la cloud para cualquier, o casi cualquier, empresa”.

En todo caso, también conviene matizar que, aunque las organizaciones de mayor tamaño no puedan aún confiar en la seguridad proporcionada por la cloud, para las de menor tamaño este enfoque puede representar, por el contrario, incluso una mejora de su actual seguridad, en opinión de Pescatore. Una razón es que el proveedor del servicio basado en cloud tendrá sin duda capacidad para invertir más recursos en la seguridad que cualquier pequeño negocio individual, dado que el coste se distribuirá entre cientos de clientes. Se trata, en definitiva, de los mismos beneficios de economía de escala que siempre han proclamado los proveedores de co-locación, hosting y hospedaje en general.

Otro motivo, es, según Pescatore, que tan pronto como un proveedor cloud parchee alguna vulnerabilidad de seguridad en su software, todos sus clientes quedarán inmediatamente protegidos, a diferencia de lo que ocurre en el caso de los parches descargables, que deben ser aplicados por personal TI interno.

Ganando control sobre la localización de los datos
Un aspecto específico de los servicios basados en cloud, ya apuntado brevemente al principio y que puede afectar a las empresas tanto de pequeño como de gran tamaño es la localización de sus datos. Este asunto, sin embargo, cambiará en los próximos años, en opinión de Pescatore. Resulta algo particularmente importante para aquellas compañías que realizan sus negocios atravesando fronteras nacionales, dado que están sujetas a diferentes leyes de gestión de datos y privacidad según los distintos países donde actúen. Por ejemplo, la Unión Europea fija límites bastante estrictos sobre qué datos acerca de sus ciudadanos pueden ser almacenados y durante qué período de tiempo. En algunas zonas del planeta también se exige al sector bancario que los datos financieros de los clientes no salgan de su país de origen. Y muchas normativas obligan a que determinados datos no sean mezclados con otros, como puede ocurrir en las bases de datos y servidores compartidos de los proveedores de servicios basados en cloud.

Ciertamente, hoy día, una empresa nunca sabe dónde están almacenados sus datos en la cloud. Y este hecho genera todo tipo de problemas de conformidad en cuestiones como privacidad, segregación y seguridad de los datos. Pero esta indeterminación de la localización de la información es algo que ya ha empezado a cambiar. Por ejemplo, Google permite a sus clientes especificar dónde guardar los datos de sus aplicaciones Google Apps, apoyándose para ello en los recursos tecnológicos conseguidos de la compañía de seguridad para correo electrónico Postini. El Banco Suizo, por ejemplo, quiso que los archivos con datos de sus clientes permanecieran almacenados en Suiza, algo que ahora Google puede garantizar, y así se ha hecho.

Un paso más adelante en este sentido consistiría, según Pescatore, en la posibilidad de separar físicamente los datos de una empresa de los de otros clientes corporativos del mismo proveedor dentro de la arquitectura multi-inquilino (multitenant) típica del modelo cloud, basado por naturaleza en la compartición de recursos. Algo que, de acuerdo con las previsiones de este experto, vendrá de la mano de las todavía incipientes, pero cada vez más potentes, tecnologías de virtualización.

Confíe en su instinto de control
Los expertos en seguridad coinciden en la idea de que no importa cuán riguroso pueda ser el acuerdo de un nivel de servicio (SLA) o fuerte la tecnología de seguridad de un determinado suministrador. Reducir el riesgo en cualquier entorno está estrechamente ligado a la voluntad de cada compañía de auditar lo que está funcionando bien y lo que no.

El consultor Greenbaum considera que existe un instinto en todo ser humano que le lleva a intentar controlar todo lo que estima importante, no confiando para ello en nadie más que en sí mismo. En el caso de la informática en cloud, según Greenbaum, quizá se trate de algo deseable. Cuando de cloud computing se habla, la mayoría de los expertos ofrecen básicamente el mismo consejo, que puede resumirse en dos famosas citas. Una es un proverbio ruso: “confía pero comprueba”; la otra, una frase del famoso antiguo CEO de Intel, Andy Grove: “sólo el paranoico sobrevive”.