Blog - MERITI

La seguridad y la privacidad en la nube (Parte I)

Escrito por Martin E. Feldstein | 14/06/19 11:52

Uno de los mitos más importantes alrededor de la nube tiene que ver con las dudas que generan sus niveles de seguridad.

Se puede pensar que los datos sensibles estarían flotando por allí, en un lugar desconocido, a la espera de ser cazados por todos los cibercriminales o, peor aún, siendo utilizados por el mismo proveedor de la nube con fines espurios.

Esta idea se refuerza cuando escuchamos noticias como la de mayo de 2017, momento en que el virus wannacry golpeó a 100 países y afectó a 75.000 individuos, empresas y organismo públicos, hasta tal punto que casi el 20% de las instituciones de salud británicas tuvieron serios problemas de funcionamiento con parálisis en sus operaciones, pacientes derivados a otros centros o devueltos a sus casas, y un pedido a la población para que sólo acudiera a urgencias en casos de extrema gravedad.

Sin embargo, esta idea de pérdida de seguridad está alejada de la realidad. La nube es más segura que una infraestructura propia de tecnología. La explicación es sencilla: supongamos una empresa que se ocupa de fabricar ollas, sillas o equipamiento para radiología. ¿Cuántos recursos puede dedicar a estudiar de manera continua el panorama de las amenazas informáticas? Lógicamente, va a preferir invertir en el desarrollo de los procesos centrales que hagan su organización más competitiva. ¿Cuánto presupuesto puede volcar a garantizarse que tiene adquiridas las últimas herramientas disponibles para combatirlas? ¿Cuánto tiempo puede destinar para estas tareas? ¿Hasta qué punto puede estar tranquila de que ha desplegado todos los parches que solucionan agujeros de seguridad?

La vulnerabilidad de un sistema de información deja abiertos espacios que permiten violar la seguridad del sistema y dar acceso a especialistas (hackers) que sí se dedican, como core business, a ponerlos a prueba o incluso a robar información.

Una organización especializada en la nube dispone de los equipos técnicos adecuados, habitualmente varias decenas de profesionales, y cuenta con las mayores certificaciones de la industria, tales como las normas ISO 27001, SAS 70 tipo II, Fisma y demás, que son auditadas por organizaciones internacionales, como Deloitte, Ernst & Young.

Son buenas prácticas de gestión de sistemas, aplicaciones, recursos humanos, tecnología, procesos y centros de datos, tanto en un nivel lógico como físico.

 

[[ También puede interesarte: Trabajo colaborativo y negocios en la economía digital ]] 

Lo primero que estas buenas prácticas nos ofrecen es alta disponibilidad, porque estos servicios cuentan con la masa crítica que les permite garantizar por contrato la disponibilidad de la información en el 99,9% del tiempo. Para cumplir con estos parámetros, sincronizan la información de forma permanente en varios centros de datos físicos. Esto hace que, si se produjera una catástrofe –como un terremoto o un atentado–, el servicio no se vería interrumpido, ya que, frente a la baja de un centro de datos, automáticamente se activa el otro. Ante fallas técnicas, los niveles de redundancia están en la energía, en la red de comunicación y en los dominios servidos. Si deja de funcionar un clúster entero, se redirige automáticamente el flujo de trabajo y se migran los datos para minimizar el impacto. Se dispone de equipos de fiabilidad disponibles las 24 horas, los siete días de la semana, para solucionar todo problema que pudiera surgir. Los servicios son continuos, ni siquiera hay paradas de mantenimiento como aún vemos en los rezagados bancos.

Pero antes de hablar de estos temas a nivel lógico, empecemos por el acceso físico. Menos del 1% de los empleados de un proveedor nube pueden ingresar a los centros de datos. Y para ingresar se deben pasar varios niveles que incluyen la disponibilidad de una credencial especial para ingresar al complejo, superar luego un control biométrico del iris para llegar al área de servidores, siempre con controles de cámaras y personas de seguridad en todo momento y lugar.

Volviendo al aspecto lógico de funcionamiento, se dispone de sofisticadas herramientas, como el sistema Borg, de Google, un gestor de clúster que ejecuta cientos de miles de trabajos, desde miles de aplicaciones diferentes, a través de una serie de clústers, cada uno de los cuales tiene decenas de miles de máquinas, sistemas de archivo diseñados para proveer eficiencia, fiabilidad de acceso a datos con sistemas masivos de clúster de procesamiento en paralelo, un diseño que apunta a manejar un gran caudal de datos y resolución de problemas de latencia (velocidad de respuesta). Todo esto con bases de datos relacionales que escalan horizontalmente a cientos o miles de servidores para manejar las cargas de trabajo transaccionales más grandes.

La dinámica y la respuesta frente a fallas se resuelve con sistemas open source creados para la gestión de aplicaciones en contenedores, que incorpora todos los archivos de aplicación y dependencias de software necesarios y actúa de bloque de construcción que se puede implementar en cualquier recurso informático, independientemente de las configuraciones del software, del sistema operativo o del hardware. Esto da una gran flexibilidad para moverse en la nube y cambiar fácilmente a distintos entornos que garanticen su funcionamiento de forma permanente.

El almacenamiento se administra con técnicas de grabación en forma distribuida y disponibilidad, según el tipo de respuesta necesaria, con servicio de procesamiento de big data, que permiten concentrarse en lo que se quiere obtener más que en entender cómo se encuentra lo que se busca.

Como la necesidad de almacenamiento crece constantemente, estos sistemas se amplían todo el tiempo con su correspondiente replicación, tanto en equipamiento como en la capa de software.

Cuesta imaginar el tamaño de estas infraestructuras. Cada edificio suele albergar alrededor de 75.000 máquinas y llega hasta 100.000 o más. Ya no se habla de transmisiones de datos de terabits por segundo de banda ancha, sino de petabits (1024 terabits). Los centros de datos se interconectan para formar la nube, con redes privadas de alta eficiencia que sincronizan los datos en tiempo real.

Diariamente, se reemplazan discos que, al salir de producción, pasan por proceso de borrado lógico y posterior destrucción física en trituradoras gigantes.

[[ Quizá te interese leer: Cambio organizacional en la era digital: recursos, riesgos y beneficios ]]

 

Imaginen la cantidad de energía que esto consume, ya hablaremos en detalle sobre esto. El calor que se genera que debe ser atemperado de forma confiable y compatible con el medio ambiente. Los servidores deben enfriarse constantemente, para lo que se usan sistemas de condensación y procesamiento de agua con torres de enfriamiento que generan vapor. Podríamos decir, entonces, que los centros de datos de la nube generan nubes de vapor...

Cada uno cuenta con plantas de generación eléctrica y sistemas redundantes de generación de energía distribuidos para funcionar en casos de fallas.

Toda esta gran infraestructura no significa que las empresas que contratan servicios cloud puedan desentenderse de lo que ocurre con la seguridad en la nube. Sí, que recibe un entorno casi imposible de emular por una organización cuya actividad central no sea la administración de información. Sin embargo, según datos de mercado, aún no se le presta gran atención a este tema.

Un estudio de la compañía especializada en el tema Gemalto y de Ponemon Institute encuestó más de 3.400 profesionales de TI y seguridad de TI de todo el mundo, y concluyó que si bien para el 73% de los consultados los servicios y las plataformas basados en la nube se consideran importantes para las operaciones de sus organizaciones y para el 81% su importancia aumentará hacia 2018...

  •  ... el 54% expresó que sus compañías no tienen un enfoque proactivo para la gestión de la seguridad y el cumplimiento con las normas de protección de datos y privacidad en entornos en la nube. 
  • Esto es a pesar del hecho de que el 65% declaró que sus organizaciones tienen el compromiso de proteger la información confidencial en la nube.
  • Además, el 56% no estuvo de acuerdo con que su organización es cuidadosa al compartir información confidencial en la nube con terceros como socios comerciales, contratistas y proveedores.

La nueva realidad de TI en la nube significa que las organizaciones de TI deben establecer políticas integrales para la gobernanza y el cumplimiento relacionados con los datos. A medida que las compañías almacenan más datos en la nube y utilizan más servicios basados en la nube, las organizaciones de TI deben poner mayor énfasis en controles de acceso de usuarios más estrictos con autenticación multifactor y auditar el cumplimiento de las políticas de manejo de la información.

"Esto es aún más importante para las compañías que permiten que proveedores y terceros accedan a sus datos en la nube”, aseguró Gemalto a través de un comunicado.

¿Todavía no te sumaste a la nube?

Mejorá resultados de implementación aumentando la productividad y capitalizando oportunidades de negocios.