¿Qué pasa con la Seguridad y el Cloud Computing?

Algunos tuvimos la oportunidad de celebrar el pasado día mundial de Internet con una mesa redonda sobre Cloud Computing en la que participaron ocho personalidades de distintas multinacionales, de las que solo una de ellas era española. La mesa redonda estuvo moderada por la Consejera de Justicia y Administraciones Públicas de la Generalitat Valenciana y la verdad es que fue bastante interesante, e incluso yo diría que pertinente y adecuada en los tiempos que corren, tanto por la forma, como por el fondo.

Cloud es una moda. Todos estaban de acuerdo en que ya no es una utopía. Es una realidad, pero una realidad de moda. También parecían estar todos de acuerdo que una de las grandes ventajas que tiene este nuevo paradigma (así lo presentan algunos) es la reducción de costes. “Es una nueva forma de hacer outsourcing en un entorno global y virtual”, decían algunos. “Es una forma clara de reducir costes e incluso de incrementar la productividad”, decían otros. La verdad es que en medio de todas estas afirmaciones, vertidas incluso en ocasiones con pasión, yo me preguntaba si no será este otro de esos conceptos que usan las grandes firmas para seguir haciendo negocio con cosas que el resto de los mortales no acaban de entender.

En mi humilde opinión Cloud Computing es un concepto muy interesante que seguro ya tiene y tendrá aplicaciones en diversos campos, ahora bien, la solución a todos los problemas no es el Cloud Computing, ni siquiera es un modelo de gestión o una tecnología disruptiva equivalente, como algunos defienden, a la aparición de Internet. Para empezar, porque es un modelo que ya funciona en la red desde hace tiempo y porque lo único que se ha hecho es bautizarlo con un nombre pegadizo que estoy seguro moverá cifras millonarias en los próximos años.

Se habla de la consolidación de unos cuantos Data Centers gigantes a nivel mundial como proveedores de servicios en la nube y su connivencia con unos cuantos operadores y algunos proveedores de aplicaciones en la misma nube. Se habla del traslado de cantidades ingentes de información a la nube, de información de todo tipo y color, se habla de los inmensos beneficios que le puede suponer para una empresa de tamaño medio hacer uso de este modelo, e incluso, alguno se atreve a poner un ejemplo dónde los ahorros de costes superan el 50%, citando incluso la organización en cuestión.

Yo no sé si esto será exacto o si será una “realidad aumentada”, pero ¿alguien se ha parado a pensar lo que realmente significa esto? ¿Alguien se ha parado a pensar en las implicaciones de seguridad que puede tener el traslado indiscriminado del conocimiento de las organizaciones de todo tipo a la nube? ¿Alguien se ha parado a pensar en el riesgo de la concentración de activos y conocimiento para una compañía o para un estado? Si a veces no pueden las organizaciones confiar en sus propios equipos, ¿por qué van a hacerlo en los equipos de terceros de forma masiva e indiscriminada? ¿No creen ustedes que aunque este modelo tiene y va a tener sentido para algún tipo de aplicaciones e información no lo puede tener nunca para otro?

Yo creo que como siempre se han hecho algunos análisis interesados de las virtudes de este concepto y que se han propagado a los cuatro vientos sus ventajas, pero también creo que no se ha contado de la misma forma sus inconvenientes, aunque me consta que si se han analizado. No hay más que ver el estudio que ha publicado recientemente la Cloud Security Alliance (CSA) [PDF] donde tímidamente o superficialmente (como quieran ustedes llamarlo) analizan los principales problemas de seguridad con los que se encuentra el Cloud Computing llevado a sus extremos. Cloud Computing es por tanto una moda con grandes virtudes y con grandes defectos. Si no se desarrolla con sumo cuidado, el mismo concepto es, en sí mismo, una amenaza para la seguridad de las organizaciones. No conté las palabras que se usaron en la mesa redonda pero les aseguro que la palabra Seguridad salió muchas veces y la usaron todos los participantes en la mesa redonda, incluyendo algunos invitados del público. Evidentemente esto quiere decir algo, ¿no creen?

Seguro que seguiremos hablando del recién nacido “Cloud” porque va a dar mucho juego….

Comments

  1. Francisco Benet says

    Personalmente pienso que a) es una moda b) respecto a los costes, es como pasar de gasto a inversion y viceversa, realmente disfraza…como el alquiler c) la seguridad solo se vende como servicio, el valor añadido nunca se lo cree nadie.

    Por lo tanto me cuidaría muy mucho de verter cantidad de datos, por mucho contrato de confidencilidad que haya por medio, a fin de cuentas es como un seguro de vida, solo te sirve cuando estas muerto, y en ese momento solo es para pagar tu funeral (y la hipoteca).

    Buen post !

  2. Creo que es la reaparición de servicios planteados hace diez años bajo el modelo ISP, ASP solo que ahora las telecomunicaciones permiten ya plantearse estas opciones de forma más seria. En parte el problema está en el poco valor que da la Dirección de las organizaciones al área TI justificado también por la falta del personal técnico de “vender” su sudor y esfuerzo. A corto plazo puede que los números puedan convencer. A largo plazo, puede ser un error dramático poner en manos ajenas el conocimiento y la gestión de una parte tan importante de la organización. Es un regalo envenenado porque no es facil deshacer el cambio una vez que externalizas todo y además, hay que valorar mucho la pérdida de control que ésto produce o la limitación en las tomas de decisiones que conlleva que sea un ajeno quien gestiona el sistema circulatorio de tu empresa.

  3. Totalmente de acuerdo con que, precisamente por las preocupaciones sobre seguridad, el cloud computing tendrá mucho éxito en determinados servicios, mientras que en otros, simplemente, las empresas no dormirían tranquilas. El tiempo lo dirá, en cualquier caso.

    Un saludo.

  4. Creo que la respuesta a tu pregunta es muy simple: Análisis de Riesgos. Si los riesgos a los que se expone la traslación de activos de información a la nube son tan grandes, la decisión es obvia: aunque suene bonito, el Cloud Computing no es para todas las entidades ni se puede aplicar a todos los casos.

Trackbacks

  1. […] This post was mentioned on Twitter by Security Art Work and jose m Lechon, Sebastián Guerrero. Sebastián Guerrero said: ¿Qué pasa con la seguridad y el Cloud Computing? http://bit.ly/axxnpW Y luego este vídeo http://bit.ly/9ZIpBr Bien Cesar, bien! […]

  2. […] de control sobre los servicios externalizados y concentrados en datacenters de megacorporaciones también hay mucho que hablar, y por otro lado los proveedores de sistemas virtuales están redefiniendo sus productos haciendo […]