Entradas etiquetadas como Nube privada

La seguridad en la Computación en la Nube

He oído que uno de los tópicos más recurrentes cuando se habla sobre el “Cloud Computing” es el tema de la seguridad. Se dice que las aplicaciones en la Nube son más riesgosas y susceptibles de ataques informáticos de diversos tipos. Además se tiene la impresión de que al estar hospedadas en servidores externos a la empresa, los datos corren más riesgos de ser perdidos o robados; y que, por ende, una Nube privada es más recomendable que las aplicaciones en la Nube Pública. Todo esto me recuerda los albores de Internet cuando se decía que pagar con tarjeta de crédito en Internet era un riesgo mayúsculo y sin embargo el porcentaje de robos o fraudes de información al pagar en línea con tarjeta, en el peor de los casos, no son mayores que los realizados fuera de línea.

No me malinterpreten. No digo que no debamos tener cuidado. Debemos tener mucho cuidado de dónde comprar en Internet de la misma manera que una empresa debe tener cuidado de qué proveedores de aplicaciones Software-as-a-Service contrata. Pero una vez salvado este punto yo me atrevo a decir que los riesgos son menores a los riesgos que tradicionalmente se tienen con las aplicaciones instaladas “in-house” de la misma manera que nuestra tarjeta no corre más riesgos al pagar en línea de los que tomamos al pagar con ella en un restaurant.

Yo creo que el problema es de percepción. Se tiene la percepción de que al no tener el control de la infraestructura de nuestra aplicación (Hardware y Software), esta corre más riesgos. Nos sentimos más seguros de poder “ver y tocar” los equipos o las aplicaciones en cualquier momento. Es decir, caminar hacia el cuarto de hardware y entonces ver que están ahí y revisar en el equipo mismo que los procesos de las aplicaciones están ejecutándose adecuadamente; como si el hecho de poder ver los equipos pudiera, por arte de magia, crear mecanismos más seguros en nuestra infraestructura. En síntesis, queremos tener el control total de ello.

Pienso que este es un punto de vista un poco inocente. En realidad, con los servicios en la Nube de hoy día (de Infraestructura -IaaS- , Plataformas -PaaS- y Aplicaciones -SaaS- ) es difícil que nuestro departamento de TI llegue a tener el grado de especialización y la tecnología de avanzada (state-of-the-art) que estos servicios tienen (salvo quizá para algunas grandes empresas que sí cuentan con recursos para lograrlo). Me refiero, por ejemplo, a servicios de respaldo de datos, seguridad de los equipos, confidencialidad, datacenters, personal especializado, y hoy día hasta seguridad de las redes con tecnologías como la de VPN. Los Service Level Agreement (SLA), ó Acuerdos de Nivel de Servicios, son muy ventajosos para las empresas clientes; se ofrece mantener sus activos funcionando 365x24x7, nivel de servicio que sería difícil igualar por un departamento interno.

Realmente el tema de la seguridad se relaciona más con el diseño de toda la Arquitectura de nuestras soluciones informáticas y todos los elementos relacionadas (redes, equipos, aplicaciones de negocio, middleware, etc.). La seguridad no mejora si usamos una Nube privada por sobre la Nube pública sino que la seguridad únicamente mejora si nuestra arquitectura (ya sea pública o privada) está mejor diseñada e implementada. Y me atrevo a decir que en una gran mayoría de casos, la nube pública será más segura que la privada para desplegar soluciones de Cloud Computing.

Lo anterior se vuelve aún más crítico cuando aunamos dos elementos más: el hecho de que normalmente será mucho más barato el contratar servicios bajo demanda en la Nube pública (infraestructura, plataformas de desarrollo, aplicaciones de negocio, etc.) que comprar equipos o licencias de software, y además asignar a nuestro personal (o subcontratar) para desarrollar y mantener nuestra propia nube privada. Es decir, el factor económico es un factor adicional a favor de la Nube pública. Y finalmente, la Nube pública nos pone en contacto directo para poder aprovechar un enorme gama de recursos (servicios, software, herramientas, APIs, etc.) que son accedidos únicamente desde una plataforma de Nube pública. Hoy día prácticamente todo se accesa vía REST APIs y las aplicaciones de negocios interactúan “fácilmente” unas con otras en la Nube.

En fin, yo recomiendo olvidarnos un poco de nuestros prejuicios de no tener el control, y de querer “ver y sentir” en nuestra propias instalaciones a nuestros activos de TI, para, en cambio, iniciar un proceso de experimentación y exploración de los servicios de la Nube pública y aplicaciones Software-as-a-Service (SaaS) en ella. De hecho, un buen servicio de Nube pública en ocasiones provee mecanismos de control y monitoreo mucho más sofisticados de los que internamente podríamos mantener. Pienso que el tiempo, como en el caso de los pagos con tarjeta, acabará por darnos la razón.

, , , , , ,

Deja un comentario