Surgen al fin voces tranquilizadoras, que contrastan con otras, incluidos alarmantes estudios y encuestas que, muchas veces más por prevención que por riesgo real, sitúan a las inseguridades de la nube como principal problemática a tener en cuenta a la hora de decidir infraestructuras o aplicaciones cloud

Entre ellas podemos citar la que ha realizado la asociación CompTIA entre profesionales y empresas del sector TI, porque entre sus conclusiones está el que para un 65% de los encuestados, la seguridad es el área del cloud que más atención y claridad precisa.

Ante estos argumentos, Neil MacDonald recomienda tranquilidad, control y confianza y respalda esto en que los suministradores de servicios cloud tienen un enfoque muy diferente de la seguridad hasta el punto de que sea cual sea la solución de protección tradicional que se considere, en la nube es o puede ser mejor y más eficaz.

Entre las razones que subraya MacDonald están el que las grandes marcas del cloud, como Google, IBM, HP, Microsoft, Amazon o Salesforce, consideran que las máquinas van a fallar en algún momento por lo que cuidan mucho que no se interrumpa el servicio: el lograr un suministro permanente e independiente del fallo de alguno de los elementos individuales que constituyen la infraestructura o la plataforma.

Un cambio importante de mentalidad respecto a las actuales buenas prácticas en las que las operaciones y, con ellas, la seguridad TI, no pueden fallar, ni tener brechas o vulnerabilidades: la seguridad tiene que estar dentro del entorno y no ser algo que se añade.

En todo tipo de sistemas y dispositivos, desde servidores y mainframes centralizados a infraestructuras distribuidas, redes, sistemas personales, y mucho más los móviles, la seguridad puede decirse que es un ingrediente del último momento: cuando todo está diseñado o desplegado, se empieza a pensar en las amenazas y en proteger y securizar.

En este sentido, hay que reconocer que la mayoría de los problemas, también en el caso de las vulnerabilidades y brechas de seguridad, se deben a errores humanos. Sin embargo, la automatización elimina cualquier posibilidad de este tipo de fallos siempre que se proporcione libertad a los profesionales y expertos en seguridad a establecer las correspondientes políticas con la más alta prioridad.

De hecho, son los responsables de seguridad los que asumen mayores compromisos para cumplir los objetivos, muchos más que otros suministradores. Por otra parte, basta con echar un rápido vistazo a un contrato de licencia para hacerse una idea de cómo se incrementan esas responsabilidades: desde el instale bajo su responsabilidad y si hay algún problema nos llama, a los SLAs, o contratos de nivel de servicio, que garantizan un 99,99% de disponibilidad y, en caso de que tengamos la mala suerte de que nos toque ese 0,01%, un 20% de descuento o indemnización.

Hay que destacar también que ese enfoque obliga a los usuarios a pensar en los resultados y reconocer que una cosa es el control y otra, bien distinta, la seguridad, al tiempo que recomiendan acabar con los silos de las TI, las redes, los puestos, el almacenamiento, los servidores: todo puede organizarse en torno a la seguridad, manteniendo todas las capacidades de cada una de las áreas y mejorando el comportamiento del conjunto.

Tampoco hay que olvidar que los proveedores de servicios en la nube, subraya el vicepresidente de Gartner, seguro que dedica mucho más personal de seguridad y sistemas de control de acceso al data center que cualquier empresa, por muy grande y avanzada que sea.

Finalmente, las empresas del mundo cloud adoptan con entusiasmo el cambio de modelo y paradigma, mientras que la mayoría del personal de TI, directivos incluidos, lo odian y más si bien en forma de parches o actualizaciones. Para las compañías cloud el cambio es su razón de ser y la seguridad forma parte de su oferta, es un servicio más.

Porque, al fin y al cabo, aunque hablemos de capacidad de proceso, almacenamiento, networking o aplicaciones, el cloud no es otra cosa que un conjunto de servicios que se contratan y consumen bajo demanda y se pagan en función de su uso.

La selección del proveedor cloud

Es evidente que la elección del proveedor es lo verdaderamente crítico porque no todos son HP, IBM o Google ni sus centros de datos van a estar en un bunker inexpugnable en algún lugar sobre el arcoíris.

Es muy importante elaborar pliegos de condiciones, valorar propuestas, preguntarlo todo y, como dice MacDonald, no solo comprobar hasta qué punto está protegido el centro de datos, también como está segmentado y compartido por el resto de los clientes, quién tiene acceso y, en definitiva, quién va a ser su gestor TI en la nube.

Porque gran parte de la innovación de las TIC actuales va a estar directamente relacionada y dirigida al cloud y allí va a estar también nuestra información. Conviene tener todas las respuestas y, entre ellas, tener un gestor conocido de nuestro cloud y, también, aunque seguramente no nos lo dirán, saber dónde estarán nuestros datos y programas, dónde se encuentra ese lugar sobre el arcoíris.