La dificultad a la hora de garantizar la seguridad ha sido siempre el argumento esgrimido por aquellos más reticentes a adoptar el cloud. La falta de visibilidad de la infraestructura física, la imposibilidad de realizar auditorías o la pérdida de datos en caso de caída del proveedor o de ataques externos son solo algunas de las desconfianzas que la nube genera, y que en la mayoría de los casos no dejan de ser meros mitos.
Precisamente para desmitificar la idea de la falta de seguridad del cloud, diversos expertos incidieron, en el evento ExpoCloud organizado por EuroCloud Spain en marzo, en las fortalezas de la nube y en lo que debe exigirse a los proveedores para que la seguridad deje de ser un freno.
Es cierto que el cloud computing lleva asociadas una serie de debilidades y amenazas como cierta pérdida de control directo y riesgos de disponibilidad o fuga de información, en palabras de Chema Alonso, experto en seguridad de Informática 64. Sin olvidar que, aunque dar el salto a la nube es un paso sencillo a través de herramientas automáticas, el proceso contrario de bajarse del cloud –conocido como rollback– no es ni mucho menos tan fácil, algo que los proveedores deberían poder garantizar.
No obstante, después de que hemos sido capaces de hacer frente a todo tipo de amenazas informáticas y de infraestructura durante las últimas décadas, Alonso plantea una cuestión clave: “¿A alguien realmente le preocupa la seguridad en la nube? ¿De verdad creéis que es algo con lo que no vamos a poder lidiar?”.
La cadena de la seguridad
El concepto de nube como tal no deja de ser algo etéreo. De ahí que muchas compañías se planteen una duda decisiva cuando se trata de adoptar el cloud: ¿Dónde están los datos? Y aquí todos los proveedores lanzan una respuesta tranquilizadora: en una arquitectura de data center robusta, proporcionada por un proveedor de servicios profesional.
“Uno de los grandes mitos del cloud computing es que es inseguro, porque nunca sabemos dónde está alojada nuestra información”, explica Agustín López, director técnico de DatacenterDynamics. Efectivamente, no deja de ser un mito, “puesto que nosotros mismos seleccionamos al proveedor y es fácil conocer la geolocalización de nuestros datos”, añade.
Al final, la seguridad se trata de una cadena en la que todos los eslabones tienen que ser igual de fuertes, según indica Ignacio Amorrortu, head of BT Compute Spain. El primer eslabón de esa cadena es el data center, la seguridad física. “En este sentido, propugnamos el verificar que los proveedores tienen estándares, como los Tier de Uptime Institute”, apunta. Como opina Pedro Prestel, director de DC Ops de Terremark-Verizon, “para poder tener algo seguro, hay que diseñarlo desde el principio en base a la seguridad. No vale con poner parches”.
Junto al centro de datos, el segundo eslabón es la arquitectura del cloud, que debe ser redundante, sin puntos únicos de falla. Los siguientes pasos de esta cadena son las “tecnologías utilizadas para aislar a los clientes y evitar que los problemas de un cliente afecten a otro; las capacidades de disaster recovery; y los servicios avanzados de seguridad (SOC)”, que permiten hacer frente a amenazas como los ataques de denegación de servicio distribuido (DDOS), indica Amorrortu.
Común también es pensar que un proveedor no puede aportar toda la seguridad que requiere el cliente y, si lo hace, es a un precio mayor. Nuevamente, en muchos casos sigue siendo una idea preconcebida. “La seguridad es una fortaleza cuando constatamos que, gracias a las economías de escala, los proveedores utilizan soluciones de seguridad muy caras que rara vez una empresa se puede permitir. Además, el proveedor tiene la experiencia de millones de ataques detenidos hacia miles de clientes durante años”, en opinión de Fernando Fuentes, responsable de ventas de gran cuenta en Arsys.
Qué pedir al proveedor
Para eliminar cualquier temor a la seguridad de la nube, es necesario primero “desarrollar una estrategia antes de dar el salto a la nube y realizar un análisis de riesgos”, indica López, y valorar después qué ofrece cada proveedor y cuál se ajusta a las necesidades de la empresa. “El problema es que ahora mismo no es posible comparar las ofertas de cloud de diferentes proveedores porque, aunque comparten una misma nomenclatura, cada una incluye servicios distintos. Cuando no tienes un buen conocimiento de la nube, es difícil poder hacer este tipo de comparaciones”, añade el director técnico de DatacenterDynamics.
La situación se complica si además tenemos en cuenta que actualmente existe una gran fragmentación de la oferta y que no hay una completa estandarización de procesos y procedimientos.
Los proveedores cloud, por su parte, se defienden diciendo que la transparencia que manejan con el cliente es cada vez mayor. Y eso, precisamente, es lo que debe exigírseles. “El cliente debe hacer una estructura de lo que necesita, si lo quiere en su sitio o fuera y qué tipo de arquitectura requiere, y exigírselo así al proveedor. Y si ese proveedor no es flexible, debe irse a otro”, explica Alonso.
A las empresas que ofrecen servicios cloud, por tanto, debe pedírseles que aporten una confianza mucho más contundente, a través de auditorías y certificaciones de terceras partes para asegurar que lo que ofrecen se cumple, certificaciones personales del equipo técnico, un buen nivel de soporte 24×7 y SLAs que ofrezcan garantías de seguridad, según Juanjo García, sales manager de Arsys. “Al proveedor hay que pedirle credenciales de seguridad”, añade Amorrortu, para que el cliente se sienta confiado a la hora de delegar la seguridad.
Cuestión de cumplimiento
En esta búsqueda de la seguridad en cloud, el proveedor debe garantizar también que cuenta con data centers en el país, y que será en ellos donde se almacene la información de los clientes. Se trata principalmente –aunque no de forma exclusiva– de un tema de cumplimiento, puesto que de este modo es más sencillo cumplir con la legislación de cada zona. No hay que olvidar que el compliance ocupa el 75% del tiempo de los equipos de seguridad de las empresas, según datos de Alonso.
En el caso español, “es difícil incluso establecer una única regulación a nivel paneuropeo, por lo que lo importante es quedarnos con la local. En este sentido, las legislaciones que deben tenerse en cuenta en España están claras: la LOPD, la LISI y algunos artículos del código penal”, concreta García.
“Al elegir proveedor, hay que asegurar el cumplimiento que el cliente necesita. Cumplimiento legal de las leyes del país, pero también de las normas sectoriales y de las propias políticas corporativas”, añade el portavoz de BT.
Como concluye Borja Adsuara, director general de la entidad pública española Red.es, “tan importante es la seguridad tecnológica como la jurídica. Como no hay un 100% de seguridad tecnológica, en caso de que ocurra un incidente es necesario saber quién es el responsable, quién responde y qué consecuencias tiene. Y eso el proveedor se lo debe transmitir al cliente”.
