Para cuestiones personales, uso la nube. Es conveniente y me facilita la vida. Para ambientes corporativos no estoy tan convencido y tengo sentimientos encontrados.
Aunque al hablar de nube hay aspectos como por ejemplo el de costos (muchos dicen que hay ahorros por irse a la nube) o de compatibilidad con las tecnologías usadas en la empresa, en los siguientes párrafos me pienso concentrar en aspectos de seguridad y privacidad.
Seguridad y la Nube.
Con la nube, debemos de pensar que estamos transfiriendo la responsabilidad de mantener nuestra información segura a alguien más. Y cuidado, puede ser que no estemos transfiriendo totalmente la responsabilidad, ya que si algo pasa a esa información, no será tan fácil simplemente echar la culpa a un tercero y lavarnos las manos (diferencia entre responsabilidad operativa y legal).
Existen diversos aspectos que hay que cuidar al proveer o bien, al contratar a un servicio en la nube, como por ejemplo seguir (o como cliente exigir que se atiendan) aspectos que marcan documentos como el del NIST (Cloud Computing Guidelines for Managing Security and Privacy) o tal vez del estándar ISO/IEC 27001. También me viene a la mente los lineamientos del Cloud Security Alliance, por mencionar algunos.
La pregunta del millón: ¿Hay más seguridad en la nube o en nuestras propias infraestructuras? Difícil pregunta y no hay una respuesta única. Depende. En ambas trincheras se pueden hacer muy buenos trabajos o muy malos.
Es cierto que si se trata de nuestra infraestructura, podemos añadirle a nuestra cebolla cuantas capas de seguridad queramos y robustecerla al nivel y calidad que queramos (y que permita el presupuesto), pero también es verdad que más de una corporación simplemente no lo hace, no puede llevarlo a cabo o peor, no le interesa. Desde el punto de vista de la nube suceden los mismos casos; lo cual nos lleva a pensar que no es garantía vivir en un lado o el otro.
Finalmente, lo cierto es que mientras haya cada vez más mudanzas a la nube, cada uno de estos servicios se volverá muy atractivo y jugoso para los crackers. Atacando con éxito uno solo, se obtiene acceso al objetivo primario y a varios más.
¿Y mi confidencialidad?
La primera pregunta que me viene a la mente cuando me hablan de la nube es: se mantendrán mis datos confidenciales? ¿Conseguiré la privacidad anhelada? Muchas corporaciones se ven atraídas por los ahorros de la nube y no piensan dos veces en la seguridad.
La verdad es que para cierto tipo de datos sencillamente no se debe ir uno a la nube (creo); estoy pensando en cuestiones de seguridad nacional o datos que manejen organizaciones gubernamentales que posean información altamente crítica y relevante. Otro caso: una empresa con codiciados patentes e investigaciones. Ejemplos son más de uno donde el ahorro que supone la nube no justifica (en mi opinión) el hecho de mudarse a esos hermosos algodones blancos.
Un aspecto para tratar de mantener la confidencialidad allá arriba en la nube es el concepto de PIE (Pre Internet Encryption). Se refiere a que antes de que mandemos nuestros datos a un tercero, se le aplique cifrado y llegue a la nube ya protegida; el proveedor de la nube no tendrá en su poder las llaves criptográficas y el control de la confidencialidad recae en nosotros pero sacamos provecho de las bondades de la nube. Por ejemplo, el PIE sería un aspecto importante a considerar en la solución de nube que nos interese.
Confianza.
Llevar los datos o procesamiento a la nube se trata de confiar en una entidad más de las que ya de por sí confiamos en un esquema de no-nube, en el cual la infraestructura es nuestra y la protección está a nuestro cargo, pero sería un error pensar que es un esquema donde únicamente confiamos en nosotros para mantener la seguridad de la infraestructura.
En la no-nube debemos de confiar en quien codificó nuestro sistema operativo o el fabricante de nuestros ruteadores y switches. Y confiamos en quien creó nuestras herramientas de seguridad que tenemos. Seguramente no habrá un backdoor o un elemento de espionaje, cierto? (Es sarcasmo ya que sí hay más de un caso; por ejemplo el twitter de Bejtlich los documenta frecuentemente en @taosecurity).
Algunas preguntas me vienen a la mente.
¿Confiamos en que nuestro proveedor de nube cumpla con lo establecido en el contrato?
¿Confiamos que nuestros datos no vayan a un país con leyes que nos desfavorecen?
¿La nube estará disponible siempre que la necesitemos?
¿Qué pasaría si nuestra nube que contratamos se va a la quiebra y desaparece o es vendida a una compañía que no nos conviene?
¿Nos conviene un litigio por una discrepancia con el proveedor de nube extranjero que implica demandas y abogados con un proveedor no sujeto a leyes mexicanas?
Armar nuestra propia nube es una opción para quienes no confían en nubes de terceros pero quieren darle a los usuarios las facilidades y ventajas que ofrece una nube. Hablo de nubes privadas. Obvio en este esquema hay que olvidarse de reducción de costos porque lejos de disminuir, aumentan. Pero ahí está la opción.
Conclusiones.
La nube ofrece varios beneficios (de hecho uno que no mencioné es el que provee en cuestiones de continuidad operativa Business Continuity Planning y Disaster Recovery Planning).
Dependerá de nuestra habilidad para saber seleccionar a quien ofrezca los elementos de seguridad que se apaguen a nuestros requerimientos y que ofrezca un nivel de riesgo aceptable si es que decidimos vivir en las nubes.