Trabajar en la nube, es decir, almacenar datos y aplicaciones de forma remota en lugar de en instalaciones internas o propias debería reducir los costes TI y acelerar la productividad de cualquier empresa que se encuentre en crecimiento y se esté adaptando a los nuevos mercados, tan cambiantes actualmente.
Pero, a pesar del aumento de plataformas que ofrecen servicios en la nube pública como por ejemplo Amazon Web Services, Microsoft Azure y Google Cloud, menos del 10% de los datos del mundo son almacenados actualmente en la nube.
Servicios en la nube, la gran incertidumbre
Entonces, ¿qué está retrasando a todas estas compañías a entrar en el mundo de los servicios en la nube?
La respuesta es la seguridad. ¿Es seguro operar en servidores alojados a miles de kilómetros y gestionados por personal que no conocemos? ¿Realmente compensa trabajar en la nube? ¿Qué ventajas nos aporta la nube?
Antes de entrar en materia, déjame contarte algo que parece obvio y que ayuda a entender cómo podemos asumir ciertos miedos cuando nos enfrentamos a los grandes cambios.
Construir tus propios centros de datos es costoso y requiere mucho tiempo, un tiempo del que seguramente tu equipo IT no dispone. Además, el mantenimiento de hardware como podría representar una sala de servidores, en algunos casos, consume mucha energía. No solo nos referimos a la energética, también a la del departamento de IT, pendiente siempre del buen estado y funcionamiento de los equipos. En cambio, la administración de infraestructuras o software ofrecidos como servició (IaaS/SaaS) aplicaciones de software reduce los recursos de TI a sólo gestionar y administrar.
Una opción muy buena que te ofrece la nube es que puedes subcontratar toda esta gran cantidad de hardware y software a empresas especializadas en tecnología que pueden ampliar o reducir el nivel de servicio según tus necesidades. Esto puede ahorrarte tiempo y dinero. Fácil, ¿no te parece?
Según Gavan Egan, director gerente de Soluciones Cloud y TI de Verizon afirma que “los líderes empresariales buscan optimizar y hacer crecer sus negocios, y la nube puede darles eso: reducir los costos y brindar una mejor experiencia al cliente».
Además, poder conectarte a una gama de servicios basados en la nube ya preparados te ayuda a desarrollar nuevos productos a un ritmo más rápido, lo que te brinda mayor ventaja competitiva. Pero, volvamos a la seguridad.
¿Cuáles son los riesgos?
Continuando con Egan, él afirma que «el mayor riesgo es ceder el control de tus datos a otra persona que use diferentes centros de datos en lugares remotos». Y añade «¿qué sucede en caso de un desastre? También está poniendo tus datos junto a los de otra persona».
En otras palabras, tus datos podrían perderse, borrarse, corromperse o robarse. Y no hace mucho que exactamente esto es lo que pasó, cuando MySpace anunció que había perdido por accidente más de 50 millones de canciones y miles de fotos y archivos publicados en su plataforma entre 2003 y 2015.
La pregunta es la siguiente, ¿MySpace no tenía un plan B de seguridad? ¿Es posible que pueda ocurrir lo mismo a empresas como Google o Amazon? Pues sinceramente, creo que es posible, pero también debo decirte que a diferencia de MySpace, estos gigantes están en el mejor momento de su historia, despegando a toda potencia, y cuentan con numerosos recursos en materia de seguridad, hardware, personal cualificado y un presupuesto escandaloso para mantener su estructura intacta.
Seguridad en la nube
Entonces, ¿cómo los proveedores de servicios en la nube mantienen seguros nuestros datos?
La forma más obvia es a través del cifrado, tanto mientras los datos están en tránsito como mientras está «en reposo» en los servidores en la nube” explica Ian Massingham, evangelista jefe de Amazon Web Services (AWS) para Europa, Medio Oriente y África.
AWS, el mayor proveedor de plataformas de nube pública con más de un millón de clientes activos al mes, tiene más de 1.800 controles de seguridad que rigen sus servicios”, añade Massingham.
El cifrado es un componente clave de la seguridad de la nube
Los clientes pueden optar por controlar sus propias claves de cifrado si lo desean, así como establecer las reglas de quién puede y quién no puede acceder a los datos o aplicaciones.
«La mayor parte de nuestra innovación en seguridad proviene de la demanda del cliente, por lo que la barrera de seguridad se incrementa cada vez más”.
«Pero no somos los dueños o custodios de los datos, sólo suministramos los recursos», y añade Massingham , «no controlamos cómo se protegen los datos, los clientes lo hacen».
Pero el punto clave de lo que nos habla Massingham es sin duda este, “somos nosotros quienes debemos controlar nuestros datos, ellos sólo se proveen de las herramientas necesarias para que podamos disfrutar de nuestros datos de por vida”. Entonces, ya lo tenemos claro, ¿no?
Cada vez coge más sentido el factor humano. La plataforma no es sólo la responsable de la pérdida de datos, sino que también lo podrían ser las personas.
La pérdida de datos de MySpace en la famosa migración no se puede destinar exclusivamente a un error de sistema o de hardware, sino que también hubo influencia humana. Te imaginas abriendo la puerta de tu jefe y decirle, – Hola, tienes un momento, he perdido todos los datos de nuestros usuarios desde 2003 a 2015 y no puedo recuperarlos porqué no seguí el protocolo correcto –. Seguramente si nos encontrásemos frente a esta situación, ahora ya no estaríamos ocupando nuestro puesto de trabajo.
Pero lo importante de la noticia es quedarnos con el detalle de que las plataformas en la nube sí son seguras y que cuando éstas fallan, no es a causa de un único error sino que puede haber varios.
Para cerrar este bloque, quiero remarcar que la seguridad no sólo depende de la plataforma ni del hardware, sino que también depende de las personas que deciden sobre cómo se debe gestionar esa seguridad. Eso implica llevar a cabo un determinado protocolo dentro de tu empresa para gestionar dicha seguridad. Éste deberá decidirse junto con tu equipo o por lo contrario, si no dispones de personal cualificado puedes contratar a un equipo especializado en seguridad externalizando.
¿Qué otros métodos de seguridad utilizan?
Mark Crosbie, jefe internacional de confianza y seguridad de Dropbox, la compañía de colaboración y almacenamiento de archivos en la nube, dice que “la forma en que se cifran los datos también puede aumentar el nivel de seguridad”.
«Dividimos cada archivo de datos en fragmentos en un proceso llamado fragmentación, y estos fragmentos se encriptan y almacenan por separado en diferentes lugares, por lo que si alguien lograra ingresar y descifrar los datos, sólo tendría acceso a bloques aleatorios».
Aaron Levie, director ejecutivo de su rival en la nube Box, dice: «En lugar de enviar los archivos, Box envía un enlace al archivo: puede obtener una vista previa del contenido sin descargar los datos. Nuestro software fue diseñado para ofrecer una forma mucho más segura de compartir contenido».
Dropbox también alienta a las empresas a utilizar la autenticación de dos factores: contraseñas complementadas con un código de una sola vez generado por un dispositivo diferente, como un teléfono inteligente o un fob.
«Los malos siempre apuntan a la contraseña, las personas siguen siendo el enlace más débil», dice el Crosbie.
Entonces, sabiendo que los grandes players del almacenamiento en la nube tienen sus infraestructuras a prueba de ataques. ¿Los datos son más seguros en la nube?
Pues lo decíamos antes, eso depende de la calidad del proveedor de servicios en la nube y la relación con la calidad de su propio departamento de TI. Para nosotros, el factor humano es determinante. El hardware puede fallar, por supuesto, dado que existen factores externos como los desastres naturales, un incendio, pero incluso argumentando estas variables, podemos decir que los datos seguirán siendo seguros en la nube.
La mayoría de las principales violaciones de datos que se han producido en los últimos cinco años, desde Sony hasta Ashley Madison, TalkTalk hasta Target, han sido de bases de datos internas, no basadas en la nube, dice Amichai Shulman, directora de tecnología de la firma de ciberseguridad, Imperva.
¿Las brechas de datos al estilo de Ashley Madison se producirían con menos frecuencia si los datos se almacenarán en la nube?
Pero agrega: «Siempre existe una amenaza inherente de que el personal administrativo que trabaja para un proveedor en la nube pueda acceder a sus máquinas o datos desde dentro, es un riesgo empresarial que se está asumiendo».
Esta es la razón por la que los principales proveedores de la nube les dan a los clientes la opción de manejar sus propias claves de cifrado, lo que significa que nadie dentro del proveedor podría obtener acceso, incluso si lo desearan.
Y algunas compañías ahora están adoptando un enfoque «híbrido»: mantener sus datos más confidenciales en una nube privada y otros datos y aplicaciones en la nube pública. Pero, si es tan seguro…
¿Por qué no se están moviendo todos a la nube?
Buena pregunta… Todavía son los primeros días: se estima que menos del 10% de los datos del mundo se almacenan en la nube.
«Las instituciones financieras se han mostrado renuentes a ir a la nube porque puede haber agujeros en el modelo, son adversos al riesgo», dice Kamran Ikram de Accenture.
Pero el movimiento es imparable, leí en mayo una noticia en la que el Banco Santander migraría su infraestructura tecnológica hacia un entorno basado en múltiples nubes con plataformas globales apoyadas por metodologías ágiles que ayudan a acelerar la transformación tecnológica del Grupo. Entre las nuevas soluciones, el banco contará con Microsoft Azure, gestión de datos, inteligencia artificial y servicios cognitivos”.
¿Importa la distancia en todo el asunto del almacenamiento de datos?
Los centros de datos pueden estar en cualquier parte del mundo, pero las empresas a menudo desean que sus datos se mantengan cerca de casa.
Las preocupaciones sobre la privacidad de los datos, especialmente en Europa después de la rescisión del acuerdo de intercambio de datos de Safe Harbor y las filtraciones de Edward Snowden, hacen que los proveedores estén ofreciendo cada vez más la opción de alojar datos en las propias regiones de los clientes.
La firma estadounidense de almacenamiento de archivos y colaboración Box, por ejemplo, anunció recientemente que expandirá sus ubicaciones de almacenamiento de datos a Alemania, Irlanda, Singapur y Tokio, apoyándose en las infraestructuras de nube existentes proporcionadas por IBM y AWS.
Tener esta opción es particularmente importante para los sectores fuertemente regulados, como los servicios financieros y la atención médica.
Al fin y al cabo, lo importante es con quién hablará cuando quiera migrar sus servicios a la nube, no la plataforma que escogerá.
Escoger la plataforma depende en gran medida de lo que quieras hacer dentro de la misma. Ciertos proveedores de la nube se especializan en funciones específicas: Almacenamiento, desarrollo de Apps, Backups, Vender, etc..
Pero, ante todo, un proveedor de servicios en la nube debe comprender su negocio, sus necesidades y responder en tiempo real a cualquier inconveniente. Tu plataforma no responde, no habla, su proveedor sí. Recuerda, los errores no sólo los cometen las plataformas, sino también los cometemos los humanos.
La seguridad es cuestión de confianza, habla con responsables de datos que hayan tenido experiencias similares en tu sector y pregunta todas las soluciones existentes en el mercado. En 30 segundos sabrás si estás hablando con la persona y la empresa adecuada.
