Opinión

Por qué esperar y no descartar la nube

Por Miguel Delle Donne, director de Auditoría de KPMG en Argentina

Con el auge de la virtualización y el final del apogeo de las dot-com, el término “cloud computing o computación en la nube se ha transformado en el concepto más fashion de la terminología informática actual. Se define como “cloud al uso compartido de un conjunto de servicios, aplicaciones, información e infraestructura. Estos recursos deben ser rápidamente ensamblados, para proporcionar un servicio informático adecuado y ajustado a los requerimientos del cliente. Cloud no es una tecnología, sino que es un concepto que establece una nueva forma de utilizar servicios informáticos.

El Instituto Nacional de Estándares y tecnología de los Estados Unidos lo explica, describiendo cinco características (auto-servicio, Internet, recursos compartidos, elasticidad y servicios medibles); tres modelos de servicios (Software as a Service / SaaS; Platform as a Service / PaaS; Infrastructure as a Service / IaaS) y cuatro modelos de implementación (publico, privado, comunitario e híbrido). En definitiva, se trata de un servicio que permite incorporar recursos informáticos, transaccionando con un proveedor vía Internet, seleccionando sólo los recursos que necesito y recibiendo una factura por lo que utilicé. Con el servicio así planteado, algunos comenzaron a pensar a cloud computing como la alternativa para comenzar a procesar las aplicaciones de una empresa y, por qué no, en un futuro, reemplazar los costosos centros de procesamiento de datos, con personal especializado, con licencias de software, seguros y demás.

Para evaluar
Pero, ¿está este concepto lo suficientemente maduro como para considerarlo una alternativa para los activos informáticos de una compañía? Para poder responder a esta pregunta hay que comenzar por un análisis de riesgos, para determinar qué activos informáticos de la compañía serían aptos y cuáles no. La primera evaluación consiste en determinar la probabilidad de ocurrencia y el impacto que tendría la empresa si el activo informático se procesara en la nube:

-se transformará en público en Internet (confidencialidad); es decir, si los controles fallaran, ocasionando que la información sea accedida públicamente en la red o por quienes no están autorizados;

-es modificado o manipulado por personas extrañas a la compañía (integridad); es decir, si los administradores de la nube o de algún otro cliente accedieran y modificaran los datos o los programas;

-estuviera fuera de servicio por un período (disponibilidad); es decir, si se interrumpiera el servicio, provocando que no se pueda disponer del mismo cuando se lo necesite.

Luego del análisis de riesgos, otros aspectos a considerar serían:

-el cumplimiento regulatorio y de auditoría;

-las formas de implementación más apropiadas para la empresa;

-el grado de control disponible en el proveedor para mitigar los riesgos.

Si en el análisis de riesgos surgiera que la compañía podría tener un impacto relativamente importante por la implementación de ese activo en cloud computing, por supuesto que no es aconsejable que el activo pase a la nube. Por ser un concepto relativamente nuevo y orientado a la funcionalidad, es muy probable que los activos informáticos más críticos para la empresa no deban pasar a la cloud, al menos hasta que no se aumenten los controles para asegurar la confidencialidad, integridad y disponibilidad. Un ejemplo se da, con los proveedores de cloud computing, si bien impulsan el servicio, sus propios activos informáticos críticos se siguen procesando fuera de la cloud con un esquema tradicional de procesamiento de datos.

Respecto del cumplimiento regulatorio y de auditoría, la duda es ¿cómo se puede demostrar que todo lo que se está haciendo cumple con las regulaciones vigentes, si se realiza fuera de mi control? En este contexto es muy difícil que se pueda finalizar una evaluación sin hallar riesgos altos no controlados. Esto sin mencionar aquellas regulaciones de países donde impiden que determinados datos se almacenen en el exterior de sus fronteras.

Estas cuestiones en conjunto hacen que para las entidades financieras y aquellas otras que tengan que cumplir con estrictas regulaciones sea muy complicado pensar en este concepto. Por ello, probablemente, para cloud deban establecerse en un futuro nuevos estándares y regulaciones de control porque los actuales no se adaptan al concepto. En cuanto a la forma de implementación, es importante poder determinar los controles que el proveedor tiene. Aquí toma importancia la existencia de acuerdos de niveles de servicios, informes tipo SAS70 o similares.

Campo de pruebas
Pero, desde el punto de vista técnico, el concepto no debería descartarse de plano, en particular porque puede haber activos informáticos para los que su utilización podría resultar beneficiosa. Las compañías tienen áreas no críticas, donde el bajo costo y la rápida implementación pueden ser una alternativa viable. Un caso de aplicación que surge es el relacionado con el desarrollo de sistemas y pruebas.

Es sabido lo que cuesta preparar escenarios de pruebas para aplicaciones. Es así que la variante de generar un escenario para desarrollos y pruebas, por ejemplo, dentro del modelo IaaS, implementado en una nube privada, podría ser una alternativa, dado que, sin afectar la capacidad tecnológica, se podría ganar experiencia en el uso de la cloud, sin arriesgar datos críticos. Hay algunos holdings que ya están evaluando su propia cloud privada para dar servicios internos a las distintas compañías que de ellos dependan.

Otra alternativa es utilizar el concepto para almacenar grandes cantidades de datos no críticos que podrían ser accedidos por clientes desde un sitio web.

Si bien el cloud computing es relativamente nuevo y necesita una mayor maduración como para mitigar los riesgos que hoy tiene, no es una buena opción ignorarlo y esperar a que todo esté solucionado. La idea debería ser: siguiendo una política prudente, administrando los riesgos y seleccionando los escenarios adecuados, utilizar la computación en la nube como alternativa para los activos informáticos de bajo riesgo, porque, en el futuro, quienes tengan la experiencia de uso van a ser los que, primero, puedan beneficiarse de las mejoras que este concepto brinde.

Compartí tus comentarios

¿Querés dejar tu opinión? Registrate para comentar este artículo.
Nombre