El cloud computing en nuestra sociedad nos presenta
restos y oportunidades que nos permiten
vislumbrar una parte del camino al que nos estamos dirigiendo con la rápida y
continua evolución de la tecnología. No solamente involucra la de gestión de
datos sino el compartir la información de manera global y esto pone a prueba el
diseño de nuestras aplicaciones, la confianza en nuestros servidores y la seguridad
informática.
PROS Y CONS
A medida
que vayamos avanzando en el tema podrá parecer que los riesgos son mayores que
los beneficios que implica el uso del cloud computing, pero observando de un
punto de vista alejado uno se puede dar cuenta que si se desarrolla de manera
correcta los procedimientos de uso del cloud computing los riesgos pueden ser
controlados. A continuación pasaremos a enumerar los beneficios y riesgos.
BENEFICIOS
Cloud computing provee un escalable ambiente
en línea que facilita la habilidad de manejar un incremento del volumen de
trabajo sin causar un gran impacto en el rendimiento del sistema. Tambien
ofrece una significante capacidad computacional y la economia de escala que de
otro modo no podría estar al alcance de las empresas o usuarios, especialmente
las medianas y pequeñas empresas (PYMES) que no podrían no tener los recursos
humanos y financieros para invertir en una infraestructura TIC.
Entre estos beneficios podemos encontrar:
·
Costos
de inversión
Las
pequeñas y medianas empresas (PYMES) pueden proveer únicos servicios usando
recursos de grandes escalas de servicio de la nube del proveedor y añade o
remueve capacidades de su infraestructura TIC para encontrar un pico o fluctuación
en la demanda del servicio mientras solo paga por el uso de la capacidad
actual. Se basa en modelo económico
“paga mientras avanzas”
·
Costos
de ejecución
Puede
ser significantemente más barato rentar un espacio de un servidor agregado por
unas horas a la vez que mantener la propiedad del servidor en sí. Por ejemplo
los precios de renta para el Amazon Web Services están entre los US$ 0.10 –
1.00 la hora. Las empresas no tienen que preocuparse por la actualización de
sus recursos cuando una nueva versión de la aplicación está disponible. Además,
estas empresas pueden basar sus servicios en el
centro de datos de una empresa de mayor envergadura o host sus propias
infraestructura TIC en locaciones ofreciendo el precio más bajo.
Estos
beneficios o ventajas del uso del servicio de la nube pueden ir mucho más allá
del ahorro en costos como el cloud computing permite a los clientes:
· Evita el gasto y la tarea que implica el tiempo de consumo de instalación y
mantenimiento de infraestructura hardware y software de aplicaciones.
·
Permite el rápido aprovisionamiento y uso de
servicios a clientes al optimizar su infraestructura TIC.
El hosting externo de aplicaciones y
almacenamiento también garantiza la redundancia y continuidad del negocio en
caso de falla en el sitio web.
* Acuerdos de nivel de servicio
RIESGOS
Uno de
los grandes impedimentos para la adopción completa del cloud computing es el
cálculo de los riesgos adicionales de todo lo desconocido, conocido y otros. En
los últimos años se ha contemplado estos asuntos como un proveedor y usuario de
la nube en especial la pública. A continuación presentaremos una lista con
riesgos que toda empresa debe afrontar como consumidor de la cloud computing.
* Acceso compartido
Una de las claves del cloud computing es la
“multiposesión” (multenancy), significa que muchos y usualmente clientes o
usuarios no relacionados comparten los mismos recursos computacionales (CPU; almacenamiento, memoria, nombre en el
red, etc.)
La multiposesión es lo que podríamos llamar un “conocido
desconocido” para muchos de nosotros. No solo es el riesgo de que nuestros
datos privados accidentalmente se filtren a otros usuarios, pero el riesgo
adicional nuestros recursos. La explotación de la multiposesión es muy
preocupante porque un defecto podría permitir que otro usuario o un atacante
obtengan todos nuestros datos o podría asumir la identidad de otros usuarios o
clientes.
Muchas nuevas clases de vulnerabilidades se derivan desde
la naturaleza compartida de la nube. Investigadores han descubierto datos de
algunos usuarios desde lo que supuestamente tendría que ser un nuevo espacio de
almacenamiento; otros han descubierto
que pueden echar un vistazo a lo que
sería espacio de la dirección IP y su memoria de almacenaje, y otros han podido
apoderarse en su totalidad de los recursos computacionales de algunos usuarios
simplemente prediciendo que dirección IP o MAC fueron asignadas.
Los problemas en
la seguridad de la multiposesión ahora se han convertido en algo muy importante
para muchos, además de las vulnerabilidades que han comenzado a ser exploradas.
* Explotación virtual
Todo gran proveedor de la nube es un
descomunal usuario de la virtualización. Sin embargo, sostiene cada riesgo
planteado por equipos físicos, además es dueño de amenazas únicas, incluyendo
ataques dirigidos a los hosts de servidores virtuales y a los invitados. Hay
cuatro principales tipos de explotar los riesgos virtuales que son grandemente
desconocidos e incalculables en muchos de los modelos de riesgo de las
personas:
·
Solo host servidor
·
Invitado a invitado
·
Host a invitado
·
Invitado a host
Tambien se conoce que
el cliente o usuario que contrata la nube usualmente no tiene idea que
productos de virtualización o que herramientas de administración en proveedor está
ejecutando.
* Autentificación, Autorización y Control
de Acceso
Obviamente, la elección de los mecanismos de
autentificación, autorización y control de acceso del proveedor es crucial,
pero tambien depende mucho del proceso. Por ejemplo ¿Qué tan seguido ellos
buscan cuentas viciadas? ¿Cuantas cuentas privilegiadas pueden acceder a sus sistema…y
a nuestros datos? ¿Qué tipo de autentificación es requerido por los usuarios
privilegiados? ¿El cliente o usuario comparte un espacio de nombre común con el proveedor y/o indirectamente con
otros usuarios? El espacio de nombre compartido y la autenticación para crear
experiencias de un solo inicio de sesión son buenas para la productividad, pero
aumentan sustancialmente el riesgo.
La protección de
los datos es otra gran preocupación. Si la encriptación de datos es usado y
reforzado, ¿son las claves compartidas entre los usuarios? ¿Quién y cuantas
personas en el equipo del proveedor de
la nube tiene acceso a tus datos? ¿Dónde están físicamente almacenados tus
datos? ¿Cómo son manejados cuando no se los necesita?
Muchos proveedores están dispuestos a responder estas
preguntas, pero el usuario tiene preguntarse si quiere la verdad de la
información.
* Disponibilidad
Cuando se es cliente o usuario de un proveedor de nube
publica, la redundancia y tolerancia a fallos no están bajo su control. Cada
proveedor de nube aclama tener fantástica tolerancia a fallos y disponibilidad,
sin embargo mes tras otro vemos las mejores y más grandes interrupciones del
servicio por horas o incluso días.
Una de las mayores preocupaciones son las instancias en
las que los clientes o usuarios pierden sus datos, ya sea por problemas con el
proveedor de la nube o por ataques maliciosos. Los proveedores usualmente dicen
que hicieron una triple protección de backup de datos o si incluso ellos lo
hayan perdido permanentemente, siempre es bueno que el cliente o usuario
realice un backup personal de lo que está compartiendo con el proveedor.
* Posesión
Este riesgo viene como sorpresa para muchos clientes o
usuarios, pero muchas veces el “cliente o usuario no es el único dueño de
los datos”. Muchos proveedores de nube, especialmente la pública,
incluyendo las más grandes y conocidas, tiene clausulas en sus contratos que
específicamente manifiestan que la data o datos almacenada es del proveedor…. y
no del cliente o usuario.
A los proveedores de nube les guata ser dueños de la
datos porque le brinda más protección legal si algo sale mal. Además, ellos
pueden investigar e indagar los datos del cliente o usuario para crear
oportunidades de ingresos adicionales para ellos mismos. Así que siempre es
bueno indagar ¿Quién es propietario de nuestra data y que puede el proveedor
hacer con ella?
Incluso
cuando los riesgos del cloud computing son conocidos, estos son muy difíciles
de calcular con real precisión.
EL CAMINO A SEGUIR
 |
| Camino a la nube de la computación |
Cuando se trata de las preocupaciones sobre
la seguridad de datos en la nube, el cielo es el límite. Ese fue el consenso
ineludible al que llegaron en lo que se llamó el “LiveWorx Roundtable” entre los
representantes de la industria en concerniente a lo legal, seguridad nacional,
finanzas y muchos otros problemas conectados con la protección de almacenaje de
información potencialmente sensible.
Solo había otra clara conclusión: “Dado al enorme potencial y momento del
INTERNET DE LAS COSAS, no hubo otra opción más abordar el tema”.
Uno de los problemas con esta evolución en
seguridad es que los ingenieros que diseñan los productos no son necesariamente
personas que saben de tecnología de información, y las personas que saben de tecnología
de información son especialistas en seguridad informática. Así que encontrar empleados
con esas habilidades y destrezas es uno de los retos más dificultosos que una
empresa dedicada desarrollar y proveer servicios de la nube pueda afrontar.
Los beneficios del cloud computing son más
que claros, así la seguridad debe ser algo en lo que se invierta tiempo y
capital para permitir que avance continuamente a la par con la evolución tecnológica.
- La
cultura de la seguridad
Las vulnerabilidades
en un particular servicio de la nube o el ambiente del cloud computing pueden
ser potencialmente explotados por criminales, hackers o personas con intentos
malicioso. Sin embargo, ninguna entidad pública o privada es “dueña” del
problema de la seguridad cibernética (nube). Hay una discutible necesidad de
tomar una visión más amplia para promover la transparencia y fomentar la confianza
entre los proveedores de servicios en la nube, las empresa y las agencias
gubernamentales que usa estos servicios, así como entre el gobierno y las agencias
de seguridad y orden.
Además, una
efectiva politica de seguridad cibernética debería ser comprendida y abarcada
por todas las entidades (públicas o privadas, así como las individuales o
grupales). Los sectores públicos y privados deberían seguir trabajando juntos
para:
·
Identificar y priorizar las actuales zonas de
riesgo emergentes.
·
Desarrollar y validar medidas eficaces y controles
de mitigación. Esto implicaría establecer una norma que exige ciertos
requisitos mínimos para asegurar un nivel adecuado de seguridad de intercambio
de información por medio de la nube.
·
Asegurar que las estrategias de seguridad son
implementadas y actualizadas constantemente para mantener el nivel adecuado.
Es razonable asumir
que niveles altos de seguridad pueden ser solamente logrados a costos
marginales. Para fomentar una cultura de seguridad los gobiernos podría incubar
y crear incentivos de mercado para los proveedores de servicios en la nube para
integrar la seguridad en el software, el hardware y el ciclo de vida del sistema
de desarrollo. Un nivel mejorado y un tipo de seguridad es lo más probable que
incremente grandemente el costo de las violaciones de seguridad, lo cual a
cambio reduciría mucho los beneficios del inseguridad de la nube y el
cibercrimen.
Un ejemplo seria la creación
de un entorno propicio para los proveedores de servicios en la nube para lograr
comercialización y ventajas competitivas, si se ofrecen altos niveles y tipos más
innovadores de seguridad para ayudar en la lucha contra la explotación cibernética,
tambien se haría frente a las amenazas internas del ciclo de vida del software,
hardware y el desarrollo del sistema. Esto
se lograría con licitaciones gubernamentales.
No hay comentarios:
Publicar un comentario
Gracias por participar en este Blog!!!