La nube y su seguridad

La seguridad será una de las principales razones para migrar a la nube, el mito de no subirse a ella ´por esa situación ya no será una barrera
 -  (Foto: Redacción)

Dr. Uciel Fragoso Rodríguez, coordinador de Redes y Telecomunicaciones de la Dirección Centro de Cómputo del ITAM

La “nube”, como parte de la transformación digital, es cada vez más importante para las empresas, pero también es una de sus mayores preocupaciones por la información guardada en Internet.

Hace competitivas a las organizaciones, porque ingresan a los recursos de cómputo, según sus necesidades, y los “dejan” cuando ya no los requieren; además tienen una administración o interacción mínima con el proveedor de servicios.

Según Oracle CIO –empresa de tecnología enfocada a la base de datos corporativa, cuyo principal negocio son los servicios en la “nube”–, para el 2025 el 80 % de todo el procesamiento de todas las compañías a nivel mundial estará basado en la “nube”; además de que la seguridad en ese año, ya no será una barrera, sino un alentador para adoptarla.

De ahí que es recomendable que los usuarios conozcan que la “nube” goza de las siguientes características:

  • es elástica, porque pueden demandar más y más recursos, ya que pueden utilizar los servicios conforme los van requiriendo
  • servicio medido, compran una estructura
  • autoservicio bajo demanda, pueden ingresar y emplear los recursos sin apoyo de los proveedores del servicio
  • acceso ubiquo, pueden accesar a los servicios disponibles desde cualquier lugar
  • modelo multi-tenant, los proveedores de la “nube” tienen grandes infraestructuras, servidores y almacenamiento; por ende, crean máquinas virtuales en infraestructura virtual sobre una física, compartida entre sus clientes, y
  • modelo Pau (Pay-As-Use), es una opción orientada a optimizar los recursos ofrecidos, por eso solo se pagan los servicios utilizados

Además, el uso de la “nube” está cambiando de modelo de costos en operación de la Tecnología de la Información (TI);  hoy el 80 % del presupuesto de las áreas de TI están destinadas a lo que se llama “CAPEX”  o inversión en tecnología, y un 20 % a la operación, al pago de licencias, de mantenimiento, etc. (OPEX). Con el uso de la “nube” prácticamente los costos se invierten.

Hay que considerar que la arquitectura de la “nube” propone los siguientes modelos de servicio e implementación. En cuanto a los primeros, se tienen los de:

  • infraestructura con servicio (laaS), se contrata a un proveedor en la “nube” para almacenamiento, prácticamente es llevar los servidores de la empresa a la “nube”
  • plataforma con servicio (PaaS), el proveedor de servicio ofrece una infraestructura básica y un servidor para poner las aplicaciones, y
  • software como servicio (Saas), se contrata al proveedor de la “nube” cierta aplicación
  • Mientras que los modelos de implementación son:
  • pública, la infraestructura del proveedor es compartida entre varios usuarios, por ejemplo el correo Gmail
  • privada, es la misma arquitectura pero solo la utiliza un solo usuario, quien la administra, aunque el dueño es el proveedor. Está diseñada para una organización, por ejemplo un call center
  • comunitaria, aplicable para un grupo de organizaciones afines o que persiguen un fin común, e
  • híbrida, una combinación de todas

La seguridad en la nube es una corresponsabilidad entre proveedor-cliente y difiere del modelo del servicio contratado. Por ello existe una iniciativa de una alianza formada por más de 100 organizaciones (Cloud Security Alliance), en la que se proponen las mejores prácticas de seguridad en la “nube”; mismas que versan sobre su:

  • gobernabilidad (estructura organizacional que define los lineamientos de cómo se va a operar): gobernabilidad y administración del riesgo, aspectos legales, cumplimiento y auditoria, administración y seguridad de la información, y de portabilidad e interoperatibilidad, y
  • operatividad: continuidad del negocio y recuperación de desastres, operación del centro de datos, manejo de incidentes, seguridad en aplicativos, encriptación, administración de identidades y control de acceso, virtualización y seguridad como servicios

Con independencia de lo anterior, las compañías pueden adoptar diversas recomendaciones de seguridad, tales como definir sus estrategias de migración, programas de gestión de riesgos, políticas de seguridad y responsabilidades operativas y legales.

Para conocer más del tema, escúchalo directamente de nuestro especialista: