Por Acacio Martín, Director General Fortinet Iberia
El cloud computing está cada vez más presente en el mundo empresarial. Los CIOs están convencidos de que, implementado correctamente, el cloud computing puede mejorar enormemente la agilidad y productividad de las compañías a la vez que reducir el coste de la infraestructura. Tanto las grandes como las pequeñas empresas trasladarán partes significativas de sus operaciones a la nube en uno o dos años.
Pero no todas aquellas organizaciones que realicen la migración a la nube obtendrán los resultados deseados. Aquí señalamos los cinco errores en los que no se debe incurrir:
1. No optar por el modelo cloud adecuado
Las compañías que se trasladan a la nube pueden elegir entre las clouds públicas, privadas, comunitarias o híbridas.
- Cloud pública: Pertenece a un proveedor cloud y está disponible al público general en la modalidad de pago por uso.
- Cloud privada: Pertenece a la organización que la ha desplegado y es para uso interno del arrendatario.
- Cloud comunitaria: Es un modelo cooperativo compartido por un conjunto de arrendatarios, normalmente de la misma industria.
- Cloud híbrida: Conjuga los modelos de despliegue cloud anteriores, permitiendo que las aplicaciones y los datos se muevan fácilmente de una nube a otra.
Cada tipo de nube tiene sus propias ventajas. Los factores a considerar antes de adoptar un modelo u otro es la criticidad para el negocio de las aplicaciones que la empresa quiere mover a la nube, los problemas de regulación, los niveles de servicio necesarios, los patrones de uso para las cargas de trabajo y cómo debe estar integrada la aplicación con otras funciones de la empresa.
2. No integrar la seguridad de la nube dentro de su política de seguridad corporativa
Sus políticas de seguridad corporativa y seguridad en la nube deben estar integradas. En vez de crear una nueva política de seguridad en la nube, hay que ampliar las políticas de seguridad existentes para adaptarlas a esta nueva plataforma. Para modificar su política para la nube, hay que considerar factores similares: dónde se encuentra almacenado el dato, cómo está protegido, quién accede a él, cumplimiento de normativa y acuerdos de nivel de servicio.
Cuando esto es adecuado, la adopción de cloud computing puede ser una oportunidad de mejorar las políticas y postura de seguridad.
3. Contar con el proveedor de servicios basados en la nube
No asuma que sus datos están asegurados automáticamente porque cuenta con un proveedor de servicio. Necesita hacer una revisión de la tecnología y los procesos de seguridad de su proveedor, comprobar cómo están asegurando sus datos e infraestructura. Concretamente deberá controlar lo siguiente:
Portabilidad de la aplicación y los datos: ¿Le autoriza su proveedor a exportar aplicaciones, datos y procesos ya existentes a la nube? ¿Puede usted importarlos fácilmente?
Seguridad física del centro de datos: ¿Cómo protege físicamente el proveedor de servicios sus centros de datos? ¿Utilizan centros de datos SAS 70 Type II? ¿están suficientemente entrenados y formados los operadores de sus centros de datos?
Seguridad de accesos y operaciones: ¿Cómo controla su proveedor el acceso a las máquinas físicas? ¿Quién puede acceder a ellas y cómo están gestionadas?
Seguridad del centro de datos virtual: La arquitectura cloud es clave para la eficiencia. Hay que descubrir cómo están integradas y securizadas piezas individuales como los nodos de computación, los de red y los de almacenamiento.
Seguridad de aplicación y datos: Para implementar sus políticas, la solución cloud nos permite definir grupos, perfiles con control de acceso basado en roles, políticas de claves y encriptación de datos (en tránsito y reposo).
4. Creer que ya no es responsable de la seguridad de sus datos
No piense que por externalizar sus aplicaciones o sistemas pueden abdicar de la responsabilidad ante una brecha de datos. Algunas pymes caen en este error pero deben entender que son los responsables últimos de los datos de clientes y terceros implicados. Sería su CEO el que iría ante los tribunales, no el proveedor de la cloud.
5. No conocer la normativa local
Los datos que son seguros en un país pueden no estarlo en otro. En muchos casos vemos como los usuarios de servicios cloud no saben dónde está su información. De hecho, en el proceso de armonización de las leyes de protección de datos de los estados miembros, la Unión Europea es muy estricta a la hora de proteger la privacidad mientras que en América las leyes, como la US Patriot Act, otorgan al gobierno y a otros organismos control ilimitado para acceder a información que pertenece a compañías.
Siempre hay que saber donde se encuentran nuestros datos. Si fuera necesario, almacene sus datos en más de una localización. Es aconsejable elegir una jurisdicción donde podamos acceder a ellos en caso de que el contrato con el proveedor se terminara inesperadamente. El proveedor de servicio debería darnos la flexibilidad sobre dónde queremos que esté nuestra información.
En conclusión, la adopción de la tecnología en la nube conlleva una serie de riesgos a tener en cuenta, y las firmas deben conocerlos bien para evitarlos y maximizar sus inversiones en cloud computing.
Permítame que añada un error más: seguir pensando con una mentalidad cerrada y no abrir la mente a esta tecnología.
La adopción de la tecnología implica un deseo de abrirse a la innovación y de utilizar la herramientas para mejorar, expandirte y aumentar tu competitividad. El miedo al cloud computing es el peor error de una empresa. Y, desde mi honesta opinión, este post está cargado de miedo más que de precaución.
La computación en nube es segura, fácil, accesible, y dan la misma oportunidad a todos.
Gracias.
María fantástico solo que se le olvida un pequeño detalle: la tecnología debe estar al servicio del ser humano y no al revés y con todas estas cosas, tal y como están concebidas y se venden, sucede justo al revés. ¿Qué acogida quiere usted que tenga una tecnología que no asegura los datos de carácter personal? Hay demasiado inconsciente por ahí pensando que no pasa nada pero ya me lo contará dentro de nada. No olvide una cosa muy sencilla: quien tiene la información tiene el poder y de eso se trata precisamente: de un cúmulo de información enorme que produce un poder omnímodo y enorme. Esto que se vende como la panacea universal es viejo, muy viejo. La extinta República Federal Alemana, por ejemplo, es un claro ejemplo de ello y ya ve usted en qué consistía la cosa. Así es que menos entusiasmo tecnológico y más sentido común. Estamos llendo directamente hacia un fascismo mundial gracias a la acaparación y tratamiento de datos que curiosamente están siempre en manos de los mismos. Saludos
Hoy son cinco los errores más habituales, y mañana ocurrirá algo y consideraremos que son seis. Yo no confío en las nubes. Me gusta tener mi información localizada físicamente.
A mi abuelo también le gustaba tener sus ahorros debajo de un ladrillo localizados físicamente.
Yo me pregunto que le parecería a Vd. si todos hiciéramos como hacia mi abuelo por los años 40 – 50.
Perdoneme pero su comparación no admite tal. El dinero es imprescindible como medio de intercambio y de desarrollo económico. La información que se puede subir a la nube, no. Así es que aunque sólo fuera por eso su ejemplo no vale. Por otra parte lo que dice este señor es lo más razonable del mundo. Si algo caracteriza a la nube es que ella misma conlleva la pérdida de control y soberanía sobre la información. Ya no la tiene usted, luego ya no puede controlarla. Depende de un tercero que hará con ella lo que le venga en gana, cuando quiera y como quiera por mucho que en un contrato le jure por Snoopy que no hará mas que lo que usted le diga. De hecho ya gracias a la Patriot Act Microsoft y Google reconocen haberle dado dados a las autoridades americanas de empresas y particulares europeos. Eso que reconozcan a lo que ha de añadir lo que no reconozca que será seguramente, como los icebergs la parte más grande, la oculta. Tecnología sí pero repito, al servicio del ser humano y no al revés.
Pienso que que los errores, en la implantación de cualquier herramienta TIC, suceden cuando no se han estudiado todos y cada uno de los aspectos que harán válidas, y viables, las decisiones que se pretendan adoptar, y éstos pueden ser cinco o cincuenta, pero estoy de acuerdo, por algún punto hay que empezar …
Yo lo que creo es que tu abuelo era un sabio. Deberías seguir su ejemplo.