10 diciembre 2012

El problema del Cloud Computing

Que el cloud computing es algo más que una moda es evidente. Ha nacido para quedarse, y haríamos mal en intentar negarlo o no darle la importancia que se merece. Muchas organizaciones lo están adoptando o acabarán haciéndolo, nos guste o no a los que trabajamos en el ámbito de la seguridad. Quizás los profesionales del sector de la seguridad hayamos pecado a veces de idealistas, de precavidos, maximizando unos inconvenientes que desde el punto de vista del negocio van a ser en muchos casos asumibles. Pero lamentablemente también es cierto que el negocio se ha dejado impresionar más veces de las que debería por un planteamiento que en ningún caso es la panacea que nos quieren vender los proveedores de servicios cloud. Y es que, en el fondo, el problema del cloud computing no es un problema de seguridad, sino de negocio.

El planteamiento, como vais a ver, es muy simple. El negocio de un proveedor de servicios cloud son, obviamente, esos servicios: infraestructuras TIC, plataformas, aplicaciones... Su objetivo será maximizar el beneficio que le proporcionan esos servicios, tratando de ofrecérselos al mayor número de clientes posible. Por lo tanto, el objetivo será diseñar servicios lo más completos y universales que sea posible, manteniendo obviamente unos niveles de servicio aceptables.

Por el contrario, el negocio de un cliente de servicios cloud es... aquello a lo que se dedique cada cliente. Fabricación, transporte, energía, servicios públicos... Lo que sea. Para ello hará uso de los mejores medios tecnológicos que pueda conseguir. Y entre estos medios aparecerán, como no, diferentes servicios informáticos. Algunos los implementará el departamento TI de la propia organización, y otros tratará de conseguirlos en forma de servicios cloud. Y aquí es donde se produce el problema.

El cliente va a requerir que los servicios informáticos que utiliza estén lo más alineados posible con su negocio. Dicho de otro modo, que sean lo más a medida posible. Sin embargo, el proveedor cloud va a tratar de ofrecer los servicios cloud que más encajen con su propio modelo de negocio, es decir, lo más genéricos y estándares posible. Y obviamente esto va a producir un importante desencuentro entre ambos planteamientos.

En este punto, y no antes, es donde entra en juego la seguridad. Cada cliente, dentro de su modelo de negocio, va a tener unos requisitos de seguridad específicos. Si en su actividad trata datos de carácter personal de nivel alto, requiere que los servicios informáticos cumplan con las medidas de seguridad definidas por el RDLOPD. Si gestiona datos de tarjetas de crédito necesita que los servicios implementen las medidas de seguridad exigidas por PCI-DSS. Si es una administración pública, necesitará que los citados servicios cumplan con las medidas de seguridad exigidas por el ENS para el nivel que corresponda en cada caso. Sencillamente, porque su negocio se lo exige.

Lamentablemente, los actuales proveedores de servicios cloud no suelen ser capaces de responder adecuadamente a estas exigencias. Cada vez podemos encontrar más proveedores de servicios cloud que presumen de seguridad, se certifican en ISO 27001, cumplen con la directiva europea de protección de datos... y piensan que eso es suficiente. No se dan cuenta de que es suficiente para SU modelo de negocio, pero puede no serlo para el de sus clientes. Un cliente español que trate datos personales de nivel alto mediante una aplicación SaaS necesita que el log del registro de accesos a la base de datos de dicha aplicación esté bajo el control directo del responsable de seguridad, lo cual va más allá de cualquier directiva europea de protección de datos o certificación ISO 27001. Del mismo modo, un cliente que trate información confidencial o de carácter estratégico a nivel europeo debería pensárselo mucho antes de contratar un proveedor de servicios cloud estadounidense, sujeto a la Patriot Act por mucho que sus datos no vayan a salir de territorio europeo. ¿Cuántos proveedores de servicios cloud estadounidenses podrían garantizar el suficiente nivel de confidencialidad frente a este hecho?

En definitiva, no podemos olvidar que un proveedor de servicios cloud no es ni más ni menos que una empresa, con sus propios intereses, modelo de negocio y restricciones legales. Por lo tanto, en caso de querer hacer uso de los servicios informáticos que ofrece habrá que evaluar detenidamente si todas esas particularidades son compatibles con nuestro propio modelo de negocio y con los requisitos funcionales, legales y de seguridad que sean aplicables al uso que queremos hacer de esos servicios. Que no hay inconveniente? Adelante, seguro que el modelo cloud aporta grandes beneficios a nuestra organización. Que sí que los hay? Buenas noticias para el departamento de TI, que seguro que hace todo lo posible para demostrarnos que la decisión de no externalizar el servicio ha sido la adecuada.

6 comentarios:

Victor Fernandez dijo...

Únicamente estas considerando nube publica en cualquiera de sus variantes: SaaS, PaaS e IaaS.

Hay que considerar la nube híbrida y sobre todo la nube privada.

Un abrazo.

Joseba Enjuto dijo...

Hola, Victor,

En realidad, más que el tipo de nube lo que estoy considerando es su propiedad. Cualquier proveedor de servicios cloud "autónomo" encajará en el planteamiento del post, aunque ofrezca servicios de nube privada (llamémosle nube privada "externalizada"). Por el contrario, cualquier nube interna (privada o comunitaria) quedaría fuera de dicho planteamiento, ya que en este caso el cloud no es en sí mismo un negocio, sino un medio (exclusivo o compartido sectorialmente, respectivamente).

jarauta dijo...

¿Es un tema de rentabilidad del negocio?
El poder ofrecer en nube pública te permite optimizar la gestión y desempeño de las entregas, despliegues, gestión de incidencias, problemas, etc. así como la capacidad de las infraestructuras. De hecho, el prestar el servicio en nube pública debería dar pie a cobrar más barato a tus clientes aunque por sólo una aplicación obtengas más beneficio por el servicio, además de por llamarle Cloud. Si se lo instalas en su red privada e infraestructuras será la aplicación web de toda la vida, que después de la implantación le cobrarás el mantenimiento

Joseba Enjuto dijo...

En realidad sí que se podría decir que es por un tema de rentabilidad. Pero más que por amortización de la infraestructura es por especialización del servicio. En el fondo, esto es algo que ya sabe el refranero español desde hace muchos años: "Quien mucho abarca, poco aprieta". Y en este caso, ese "apretar" se traduce en personalización del servicio a las necesidades de cada negocio y cada cliente.

Empresas de servicios tecnologicos dijo...

Sin duda son muchas las ventajas del Cloud Computing para toda empresa o negocio. Es fundamental saber elegir el proveedor mas adecuado y que nos asesore sobre el servicio que mejor se ajusta a nuestras necesidades, cumpliendo todas las normativas de seguridad. Saludos.

Anónimo dijo...

Ayer me comentaban un paralelismo que me hizo gracia. Si en una empresa alguien entra para realizar un outsourcing no duraría ni 5 minutos y encima tendría hasta a los sindicatos en su contra.
Ahora se acoje con entusiasmo el cloud como símbolo de modernidad y la pregunta sería ¿hay alguna diferencia?
Más allá de los problemas con la LOPD o rendimiento (es imposible que la latencia frente a bases de datos o ficheros no se note en CDPs alejados geográficamente) actualmente el Cloud es caro, porque las empresas tienen unas políticas muy agresivas en este aspecto y sobre todo representa un secuestro tecnológico evidente, ya que volver hacia atrás puede ser una tarea inasumible.