Cloud Computing es un modelo que se encuentra en crecimiento, de acuerdo con estudios de Gartner, Cloud Computing se ha posicionado dentro del Top 10 de Tecnologías Prioritarias (primer lugar en 2011 y tercer lugar en 2012). Forrester refuerza este estudio pronosticando un crecimiento del mercado de Cloud computing y su oferta de servicios, calculando un negocio de 40 mil millones de dólares para 2012.
En Pink Elephant sabemos que muchas veces en las empresas solamente se piensa en los beneficios que promete Cloud, los cuales suelen ser muy atractivos para TI, al ofrecer reducción de costos de capital, mayor agilidad y flexibilidad, capacidad adecuada, disponibilidad oportuna y mejores niveles de servicios, pero siempre hay que tener en cuenta diversos cuestionamientos que nos lleven a conocer mejor el proceso de implementación de Cloud, por ejemplo: ¿existe seguridad para el acceso a mis datos?, ¿existe alguna norma sobre Cloud?, ¿dónde están mis datos?
Estas interrogantes, nos llevan a analizar los riesgos en la adopción de Cloud Computing, tres de los aspectos a considerar son el Legal, los Estándares y la Seguridad. ¿Cuál es la situación actual y a futuro en estos aspectos? y ¿cuáles son los riesgos en estos tres factores a considerar?
Aspecto Legal
En el aspecto legal existen muchas interrogantes, esto debido a la ubicación de los datos, ya que dependiendo del lugar físico donde se encuentren, será la legislación local que se aplique.
Como tal, a nivel mundial los delitos cibernéticos no están aun tipificados, en algunos países como Estados Unidos, tienen definidos cuales son estos delitos y como se deben castigar. Sin embargo a pesar de estas reglamentaciones existe un problema, el cual se discute a nivel mundial y que afecta a Cloud; la propiedad de los datos, ¿de quién son los datos en internet?
A nivel mundial existe una iniciativa de ley llamada ACTA, la cual, ha sido muy polémica y que tiene sus bases en la ya rechazada, iniciativa SOPA. ACTA tiene por objetivo defender los derechos de autor, sin embargo esta iniciativa de ley es muy polémica debido a que viola garantías fundamentales como la libertad en internet y el derecho a la privacidad, esta ley permitiría que los proveedores de internet revelen a las autoridades información de aquellos usuarios que violen los derechos de autor, las autoridades podrían establecer multas y suspender el servicio a los infractores. Este acuerdo fue polémico debido a que gran parte de las negociaciones fueron hechas de manera privada entre los gobiernos.
ACTA afecta a Cloud Computing positivamente, ya que, daría certeza sobre la propiedad de la información, que las empresas suban a Cloud Computing, permitiendo castigar algún uso indebido de la información y obligando al proveedor de servicios de Cloud a ser transparente en el manejo de los datos.
Sin embargo aún está pendiente un marco legal a nivel mundial que nos de certeza de acción legal en caso de sufrir un robo de datos.
Sobre los Estándares
El crecimiento de TI está basado en varios factores, pero uno que ha impulsado este crecimiento es la adopción de estándares, normas y mejores prácticas. En Pink Elephant hemos detectado como esto ha dado certeza al área de TI para ofrecer servicios de calidad; y se está volviendo un común denominador para las empresas avalar la entrega y gestión de servicios sobre estas normas y estándares, lo cual nos lleva a la pregunta: ¿existen estándares, normas o mejores prácticas en Cloud Computing?
Los esfuerzos de diferentes compañías por establecer una serie de medidas o mejores prácticas entorno a Cloud Computing llevaron a la creación de la Cloud Security Alliance (CSA), una organización formada por diversas empresas que ofrecen servicios Cloud Computing ( EBay, Amazon, AT&T, etc.).
La CSA es una organización sin fines de lucro, la cual promueve la adopción de las mejores prácticas y se basa en la seguridad en Cloud Computing, ofrece un certificado de Cloud Security Knowledge (CCSK), que fue diseñado para establecer la línea base de conocimiento en problemas de seguridad con Cloud Computing.
Microsoft anunció el 11 de Abril del 2012 la “reinvención” de sus certificaciones con un enfoque hacia Cloud Computing. Las nuevas certificaciones reflejan el constante cambio en los roles de los profesionales de TI y los desarrolladores dentro de la nube, en base a esto las nuevas certificaciones se alinean a soluciones “del mundo real” más que a productos específicos.
Estos esfuerzos son la base de lo que podremos esperan en estándares reconocidos en Cloud computing en un futuro, sin embargo actualmente no existe algún estándar consolidado, que nos permita tener certeza de resultados en los servicios de Cloud Computing, por lo cual el riesgo continua latente de no obtener estos resultados por falta de Estándares o mejores prácticas.
Aspectos de Seguridad
Según Forrester la principal preocupación por la cual las empresas no han adoptado Cloud computing es la falta de seguridad. Tocamos 2 temas que afectan directamente a la seguridad: el aspecto legal y los estándares, ambos temas se encuentran en desarrollo y cuando estos se resuelvan dará mayor fortaleza a la seguridad en Cloud, sin embargo, existen otros riesgos de seguridad a considerar.
En un estudio realizado por Forrester, se menciona que la posibilidad de pérdida de datos es factor determinante que está retrasando la adopción total de estas tecnologías. En este estudio se detalla que el 40% de los encuestados, explicó que la utilización de este tipo de servicios, por el momento, no responde a todas las garantías que se exigen en la política de seguridad de su empresa. Además, un 30% señaló que no están seguros de que la nube y los dispositivos móviles se puedan adaptar, al menos por ahora, a los sistemas de control y gestión de identidades.
El Hacking es otro factor que afecta la seguridad en la nube, en ocasiones los servicios en línea experimenta una ataque realizado por terceros, estos ataques nos pueden llevar a la perdida de información o a un corte en el servicios
Para dar mayor seguridad a Cloud Computing se tienen que fortalecer los 2 temas iniciales, en el aspecto legal se debe crear una ley a nivel mundial que garantice la propiedad de la información, además de que nos otorgue certeza jurídica tipificando los delitos cibernéticos, para así, poder atacar problemas de seguridad como el Hacking y robo de información.
En aspecto de mejores prácticas se deben de crear estándares enfocados a Cloud Computing, que sean reconocidos a nivel mundial y que garanticen una adecuada gestión de servicios evitando de esta manera la perdida de información y cortes en el servicio.
Los servicios que se ofrecen a través de Cloud Computing, en poco tiempo podrán competir fácilmente con cualquier otra plataforma, incluso podría llegar el día donde sean consideradas seguras. Sin embargo, estos servicios están en una etapa de definición de reglas, estándares, legislación e incluso, de los mismos servicios que ofrecen. Por lo cual se tiene que realizar un análisis cauteloso antes de subirnos a la nube.
Oscar Vite Chávez, consultor de Pink Elephant