logo-cibernos

¿Quieres estar al día con las noticias de Cibernos LATAM?

Noticias Cibernos LATAM
 

Riesgos y limitaciones del uso de la nube pública en tu organización

El ritmo de adopción de los servicios “cloud” o en la nube por parte del mundo corporativo está fuera de toda duda.
El informe State of the Cloud 2016, publicado por RightScale sobre una base de 1.060 profesionales de IT encuestados, señaló entre otras cosas que:

  • Los departamentos de IT utilizan una media de 1,5 nubes públicas y 1,7 nubes privadas.
  • El 17% de las organizaciones ya cuentan con más de 1.000 VMs (máquinas virtuales) en nubes públicas, un 31% en el caso de nubes privadas.

Como puedes comprobar, la implantación de nube privada está creciendo más rápidamente que el uso de la nube pública.
 
¿Hay motivos para ello?
Desde mi punto de vista sí.
La utilización de nubes públicas presenta excelentes ventajas en lo que se refiere a escalabilidad, recorte de gastos en las primeras etapas de desarrollo y accesibilidad de la información desde diversas localizaciones y dispositivos.
Sin embargo, también implica una serie de riesgos y limitaciones que deben ser analizados antes de poner en manos de un tercero la estructura IT de tu organización.
 

Entornos compartidos con otros usuarios

Si por algo se caracterizan los servicios cloud públicos es por el hecho de que las máquinas virtuales de tu organización están conviviendo en el mismo servidor con las de otros tantos clientes del proveedor.
A priori, esto podría parecer irrelevante. Sin embargo, tiene una serie de importantes implicaciones:

  • No se tiene acceso al hypervisor y, por tanto, no se dispone de la opción de instalar funcionalidades a nivel de host.
  • La inadecuada separación de los datos de diferentes clientes podría conducir a que un eventual ataque contra uno de ellos, afecte a los demás.
  • La actividad de un cliente podría generar que el servidor en común fuera inhabilitado por cuestiones de seguridad, dificultando o incluso haciendo imposible que el resto de clientes accedieran a su información.

 

Actualizaciones forzadas

En el caso de la nube pública, la gestión del sistema queda en manos del proveedor.
Esto puede liberar de una gran carga de trabajo a tu departamento interno de IT, pero también te deja a merced de los cambios que dicho proveedor estime oportuno realizar para mejorar la seguridad y calidad del servicio.
En principio, estos cambios deberían redundar en beneficio de tu organización. Sin embargo, pueden suponer la pérdida súbita de funcionalidades críticas para tu negocio o la llegada de nuevas prestaciones que requieran la correspondiente evaluación de seguridad.
 

Ausencia de control sobre la implantación de las políticas de seguridad

Todos los esfuerzos que tu organización pueda llevar a cabo para implantar una política interna de seguridad de la información resultarán menos efectivos en el momento en que trasladéis los datos desde la red interna a una nube pública.
Sobra decir que el acuerdo a nivel de servicios pactado con el proveedor no es un instrumento suficiente para garantizar que vuestros criterios se manifiestan en la adopción de medidas de seguridad adecuadas.
De hecho, Gartner ha señalado en repetidas ocasiones que un alto porcentaje de los proveedores de servicios en la nube (SaaS) no son lo suficientemente transparentes ni proporcionan las medidas de seguridad acordadas.
 

Posibles caídas del servidor

Todos los proveedores del mercado afirman proporcionar unos excelentes ratios de disponibilidad. No obstante, incluso los grandes líderes como Amazon, Microsoft o Google han sufrido caídas que han dejado sin servicio a miles de clientes.
Si bien es cierto que la caída de un servidor puede acontecer también en tus instalaciones, la diferencia con el uso un sistema propio radica en la falta de control sobre el fallo, la gravedad del mismo, las opciones de recuperación y el estado de este proceso.
El impacto que una caída del servicio tiene para tu organización depende tanto del momento, como de las características de tu negocio.
Valorar la importancia de tu información, aplicaciones y/o servicios te marcará el nivel de control necesario sobre ellos. Su criticidad te condicionará su alojamiento en un tipo de nube pública, privada o híbrida.
 

Deficiente gobierno de acceso e identidades

Una de las causas más frecuentes de las brechas de seguridad es la deficiencia en las medidas de control y gobierno de los accesos y la identidad de los usuarios.
Los repositorios con la información y credenciales de los empleados y usuarios de las organizaciones se han convertido en un objetivo prioritario de los piratas informáticos. Los ciber-ataques están cada vez más presentes en los departamentos de seguridad de las organizaciones, que trabajan en gran parte en prevenir esos ataques así como en detectarlos lo antes posible. El grado de control de los accesos e interacción con la información que permite la infraestructura de nube pública nunca será comparable a las opciones de seguridad planteables en tu propia infraestructura.
 

Dificultad para el cumplimiento de las normativas de seguridad de la información

La legislación reguladora del uso, almacenamiento y protección de datos supone un factor crítico que debe tenerse en cuenta a la hora de contratar los servicios de un proveedor cuyos servidores se encuentran localizados en regiones distantes del mundo.
En el caso de querer disponer de un servicio cloud, un acierto puede ser recurrir a proveedores cuya legislación aplicable sea la misma a la de tu organización. Además, poder tratar las incidencias a través de distintos canales y en el mismo idioma te evitará grandes dolores de cabeza.
Tener constancia de la ubicación de las instalaciones te proporcionará, también un nivel de seguridad mayor.
¿Cuáles son las garantías que dicho proveedor proporciona en cuanto al sometimiento a la legislación que tu propia organización debe respetar?
 

Dificultad para realizar backups y restauración de datos

Puede que los proveedores cloud dispongan de servicio de backup pero eso no significa que sus clientes cuenten con un sistema de restauración en caso de un desastre de IT y, mucho menos, que éste pueda realizarse a nivel local en lugar de en la nube.
Con frecuencia, será necesario realizar el backup de tus máquinas virtuales offcloud, utilizando tu propio data center local o, al menos, un servidor en una nube pública distinta.
 

Dificultad en la estimación de costes

Los modelos de facturación de los proveedores de nubes públicas pueden llegar a resultar algo complejos.
Esto se debe a que tienen en cuenta múltiples variables de uso y recursos consumidos, tales como el volumen de almacenamiento, el ancho de banda requerido o el uso de la CPU. Para colmo, no todo tipo de actividad recibe la misma consideración, sino que puede generar un coste distinto.
El resultado, es una notable impredecibilidad de los costes, en función de la carga de trabajo que tenga lugar en cada momento.
 

Ausencia de evaluación de la seguridad del proveedor del servicio cloud

Con más frecuencia de la debida, muchas organizaciones contratan proveedores de servicios en la nube sin haber realizado una comparativa real que permita contrastar los sistemas de seguridad de éstos con las exigencias propias de la organización.
Dejar en manos del proveedor la seguridad de tus servicios y aplicaciones IT puede conducir a un desastre informático de consecuencias graves.
 

Cesión de la propiedad de los datos

Aunque no es habitual que las organizaciones acepten esta condición, no está de más señalarla para tenerla en cuenta. Uno de los aspectos más polémicos de cuantos afectan al uso de la nube pública, aunque como digo no es el más común, es el hecho de que muchos de los contratos de los proveedores incluyen cláusulas de cesión de la propiedad alojada en los servidores.
Este tipo de medidas suele aplicarse debido a que proporciona a los proveedores un mayor nivel de protección y, además, les confiere el derecho a explotar la información para crear nuevas fuentes de ingresos.
Sobra decir que la firma de un contrato de estas características deja a tu organización en una situación muy vulnerable.

Conclusión:

En definitiva, dada mi experiencia, puedo decirte que en la actualidad, los riesgos a los que se somete la información corporativa de las organizaciones con la adopción de cloud pública no son valorados de forma real y consciente por un gran número de departamentos de IT. Si bien existe una concienciación cada vez mayor, por lo general aun no tenemos asumidas todas estas consideraciones.
No obstante, cabe decir que, con todo, este tipo de servicios son muy recomendables para ciertas casuísticas. Lo importante es tener el conocimiento necesario para ser capaces de evaluar y establecer un equilibrio entre costes, seguridad y control sobre la información, entre otros condicionantes determinantes que variarán en función de la organización.

Sobre el autor: Ignacio Gilart Iglesias

Ignacio Gilart Iglesias

Dejar un comentario

Sigue los pasos de un recorrido integral de cumplimiento