Debilidades y barreras del Cloud Computing destacadas por proveedores

En este post se presentan las debilidades o barreras para la adopción del cloud computing en España:

a) Los proveedores han detectado que existe una gran desconocimiento en el mercado de lo que es y las ventajas que ofrece la
tecnología cloud computing, además de un cierto rechazo a la tecnología derivado, fundamentalmente, de dicho desconocimiento y de que las escasas noticias que llegan a los clientes sobre el cloud, están relacionadas con caídas en nubes públicas, creando desconfianza en el modelo tecnológico y barreras psicológicas.

b) Hasta la fecha, no existe un marco legislativo común en el que se puedan apoyar este tipo de servicios. Algo que a los clientes les genera rechazo por no tener claro cuáles serán sus implicaciones en lo que se refiere al cumplimiento del marco normativo, especialmente lo relativo a la LOPD (Ley Orgánica de Protección de Datos).

c) Existe una gran falta de madurez del sector, y un catálogo de servicio reducido y aún poco adaptado a las soluciones específicas de las áreas de actividad de las empresas.

d) A los clientes les preocupa la pérdida de control y la dependencia que se genera con el proveedor. En este sentido, la respuesta de los proveedores ha sido contundente en lo referido a la necesidad de creación y adhesión a estándares, que facilite las migraciones de una nube a otra.

e) Se está abusando del concepto comercial del cloud en el mercado. Se están integrando muchas iniciativas y soluciones bajo este concepto (virtualización, servicios bajo demanda,…), que no son soluciones cloud estrictamente hablando, lo que ha generado cierta confusión en el mercado.

f) Como en todo nuevo paradigma, existe una gran resistencia al cambio por la introducción de un entorno estandarizado y orquestado que se percibe como una pérdida de control o posibilidad de perder el puesto de trabajo.

g) El desarrollo de servicios SaaS está muy condicionado por la capacidad de las redes de telecomunicaciones fijas y móviles.

Anuncios

Cloud Computing en España

Según Martiniano Mallavibarrena, Sales Consultant ICT de T-Systems Iberia, en una entrevista realizada para RevistaCloudComputing.com, la implantación de la tecnología Cloud en España está siendo progresiva.

Tal y como revela el último Informe de Penteo sobre el Cloud Computing en España, la nube está entrando muy lentamente en la empresa española con una demanda que comienza a considerar seriamente la inversión en esta tecnología. Desde T-Systems, ven una demanda creciente y que las compañías comienzan a considerar esta tecnología entre sus prioridades de inversión.

Además, el nivel de madurez en relación con los servicios cloud sigue subiendo en España y la mayoría de clientes tienen ya criterios claros de selección de servicios y proveedores en cuanto a calidades de servicio y cumplimiento normativo.

El informe Penteo presenta un mercado en proceso de maduración y crecimiento, con numerosos actores con una propuesta de valor atractiva y capacidad para proporcionar servicios de valor a los clientes españoles. Dentro de los actores analizados destaca especialmente el liderazgo de T- Systems, seguido por IBM y HP como principales actores del mercado.

En el análisis de la tendencia que está siguiendo el cloud computing, el estudio constata que ha empezado a abandonar su carácter de tecnología emergente, a medida que la oferta de servicios empieza a madurar y que la demanda comienza a considerarla entre sus prioridades de gasto e inversión. Tras tres años de intensa comunicación de los proveedores, y en un contexto de reducción reiterada de los presupuestos TIC, en 2013 cloud computing ha pasado a ocupar el cuarto lugar en las prioridades de gasto e inversión. Un 60% de las compañías entrevistadas están evaluando o tienen ya las primeras experiencias en cloud de infraestructura, porcentaje que aumenta hasta el 75% en el Software como Servicio.

Las empresas están incrementando los presupuestos dedicados a cloud de manera paulatina, aunque queda mucho camino a recorrer. Son mayoría los CIO (Chief Information Officer o Information Technology Director) que no otorgan un papel protagonista a cloud en su estrategia de sourcing. Sólo un 24% consideran IaaS en su mix de provisión, y un 18% hace lo propio con SaaS.

Respecto a la penetración de soluciones, en SaaS son las soluciones de colaboración, el correo y CRM las que tienen una mayor presencia, muy por encima de otras soluciones de negocio e incluso las de ofimática.
Lo que las empresas españolas buscan es una mayor capacidad, de manera más flexible, y conteniendo los costes. Tanto los máximos ejecutivos como los Directores de Sistemas colocan la rapidez y la agilidad entre las principales prioridades, por encima del coste.

Las principales barreras que tienen para implantar este tipo de soluciones son la seguridad y la ubicación de los datos, mientras que aparece entre ellas la preocupación por las dificultades de integración.

Informe Penteo 2013 | Entrevista a Martiniano Mallavibarrena

Cloud Computing: privacidad en la empresa

En los siguientes puntos se presentan los diferentes aspectos que se han de tener en cuenta en el área de la privacidad del usuario de Cloud Computing:

a) Desde la perspectiva de los individuos que se conectan a la nube: maximizar el control de usuario individual, crear servicios anónimos para usuarios individuales, crear mecanismos para el uso de identidades múltiples y limitar la información de identidad y autenticación para transacciones de alto nivel.

b) Desde la perspectiva de los proveedores de cloud computing: anonimato de la información personal, cifrar datos si contienen información personal, compartimentar-aislar el procesamiento y almacenamiento de datos, controlar los identificadores únicos, gestionar explícitamente los requisitos de seguridad y privacidad entre los proveedores de servicios cloud computing.

c) Desde una perspectiva global: proporcionar un aviso adecuado sobre la privacidad, soportar el desarrollo de PET (Privacy Enhacing Technologies), utilizar la valoración del impacto de la privacidad y coordinar la aplicación de la privacidad y el cumplimiento a través de diferentes áreas jurisdiccionales (por ejemplo, cuando se pasa de un país europeo a un paraíso fiscal). Si los clientes emprenden procesos del tipo test de penetración no suele ser una buena opción en entornos outsourcing como cloud computing ya que el proveedor de la nube no puede distinguir nuestros test con un ataque real y además nuestros test de penetración pueden potencialmente impactar negativamente en otros usuarios de forma inaceptable.

Retos en seguridad del Cloud Computing

A continuación se enumeran los diferentes retos que el Cloud Computing tiene para mejorar en cuanto a la seguridad que ofrece a sus usuarios:

a) Necesidad de gestión del aislamiento.
b) El multi-arrendamiento.
c) Los retos del registro o logging.
d) Las cuestiones de propiedad de los datos.
e) Las garantías de calidad de servicio o QoS.
f) La dispersión de datos y las leyes de privacidad internacionales como por ejemplo la Directiva Europea de Protección de Datos y el Programa norteamericano Safe Harbor, la exposición de datos a gobiernos extranjeros y las citaciones de datos y las cuestiones de retención de datos.
g) La dependencia en supervisores seguros.
h) La atracción de todo tipo de atacantes debido al elevado valor del objetivo que es la “nube”.
i) La seguridad de sistemas operativos virtuales en la nube.
j) La posibilidad de fallos masivos.
k) Necesidades de cifrado en cloud computing: cifrado para el acceso a la interfaz de control de recursos de la red, cifrado administrativo de acceso a las instancias de sistemas operativos, cifrado de acceso a las aplicaciones, cifrado de los datos de las aplicaciones en reposo-almacenamiento y tránsito.
l) Seguridad de la nube pública en contraposición con la seguridad de la nube interna-privada.
m) Carencia de control de versión SaaS pública.
n) Problemas con el movimiento de PII (Personal Identificable Information) y datos sensibles a la nube (valoración del impacto de la privacidad).
o) Utilizar SLAs para obtener seguridad de nube (requisitos sugeridos para SLAs de nube, cuestiones relacionadas con análisis forense en cloud).
p) Planificación de contingencias y recuperación de desastres para implementaciones de nube.
q) Gestión de cumplimientos como SOX, PCI-DSS, HIPAA, FISMA, etc.
r) Auditorias por ejemplo del tipo SAS 70.

Principales componentes de la seguridad en el Cloud Computing de empresa

Los principales componentes del Cloud Computing desde la perspectiva de la seguridad para las empresas son:

a) Servicios de aprovisionamiento cloud.

Las ventajas principales que puede aportar son la rápida reconstitución de servicios, permite la disponibilidad (provisión en múltiples centros de datos de múltiples instancias) y las capacidades de honey-net avanzadas. El principal desafío identificado, el impacto de comprometer el servicio de aprovisionamiento.

b) Servicios de almacenamiento de datos cloud.

Las ventajas principales que puede aportar son la fragmentación y dispersión de datos, la replicación automatizada, la provisión de zonas de datos (por ejemplo por país), el cifrado en reposo y en tránsito y la retención automatizada de datos. Los principales desafíos identificados son la gestión del aislamiento y el multi-arrendamiento de datos, el controlador de almacenamiento (presenta un único punto de fallo en caso de verse comprometido) y la exposición de datos a posibles gobiernos extranjeros.

c) Infraestructura de procesamiento cloud.

Las ventajas principales que puede aportar son la capacidad para proteger masters y sacar imágenes seguras. En este caso, los principales desafíos identificados son el multi-arrendamiento de aplicaciones, la dependencia en los hipervisores y el aislamiento de procesos y los mecanismos de sandbox para aplicaciones.

d) Servicios de soporte cloud.

Las ventajas principales que puede aportar son los controles de seguridad bajo demanda, por ejemplo la autenticación, el logging, los firewalls, etc. Una vez más, los principales desafíos identificados son el riesgo adicional cuando se integra con aplicaciones del cliente, las necesidades de certificación y acreditación como aplicación separada y las actualizaciones de código.

e) Seguridad perimétrica y de red cloud.

Las ventajas principales que puede aportar son la protección contra la denegación de servicios distribuida o DDoS, las capacidades VLAN, la seguridad perimétrica como IAM/IDS/IPS, firewall, autenticación, etc. Por último, el principal desafío identificado es el de las zonas virtuales con movilidad de aplicaciones.

Atractivo del Cloud Computing para las Pymes

Las principales tendencias que nos muestran por qué resulta tan atractivo este modelo para las pymes son:

a) Coste por uso y sin problemas en la implantación.

Uno de los grandes beneficios de las aplicaciones de negocio basadas en cloud es el pago por uso. Son servicios que se pagan mensualmente, por lo que permiten a las empresas controlar los costes. Pueden empezar por un número reducido de licencias e ir aumentando o reduciéndolas en función de sus necesidades. Además, para su implantación no necesitan disponer en su plantilla de un equipo de TI. No obstante, según la evolución del negocio y sus requisitos pueden terminar optando por un modelo híbrido que combine la nube y on-premise.

b) Flexibilidad y facilidad de despliegue.

Las aplicaciones SaaS (Software-as-a-service) pueden ser suministradas y configuradas rápidamente con flujos de procesos, diferenciación de marca, campos adicionales, informes y otras especificidades. Un producto altamente configurable ofrece flexibilidad sin tener que dedicar el tiempo y el gasto de desarrollar nuevo código. Además, no requieren de inversiones adicionales en hardware o servidores, son escalables y no necesitan de una plantilla especializada en TI.

c) Facilidad de gestión y soluciones estandarizadas.

La ausencia de instalaciones de software o de infraestructura da como resultado una menor carga de trabajo para las pymes y su personal. Los empleados no se tienen que preocupar por realizar actualizaciones a nuevas versiones de software o de efectuar copias de seguridad. Los proveedores de apps gestionan esta parte de la ecuación en sus servidores y esas aplicaciones siempre están al día, de forma que los empleados antiguos y los nuevos siempre tendrán la misma versión de la aplicación.

d) Menos recursos de TI necesarios.

Las empresas que acaban de nacer normalmente operan con recursos de TI limitados. Las aplicaciones empresariales basadas en cloud mitigan esta cuestión. Como las pymes buscan constantemente vías para poner en marcha su estrategia y reducir gastos innecesarios, esas aplicaciones presentan un modelo atractivo para el suministro de software e infraestructura.

e) Soporte global.

Los proveedores de SaaS proporcionan diferentes precios según los niveles y acuerdos de servicio. De esta forma, se puede elegir el mejor paquete sin pagar de más o recibir menos de lo que se necesita. Además, a diferencia de las licencias de software tradicionales, incluye soporte global en la cuota de suscripción. Esto significa que también proporcionan actualizaciones y mantenimiento de producto, de forma que no hay costes ocultos o gastos adicionales y las empresas no se tienen que preocupar por el mantenimiento de hardware o los fallos.

f) Alta seguridad.

Para los Servicios basados en la nube, la disponibilidad de la red resulta crítica. Además, la seguridad y fiabilidad de la red está entre las mayores preocupaciones para las empresas que piensan en adoptar ese tipo de servicios. Cuando los datos importantes se trasladan offsite a un proveedor de servicio, la empresa necesita garantizar que el sitio es seguro. Los proveedores albergan sus aplicaciones en centros de datos de primera magnitud y con una gran capacidad, ventilación y prestaciones de seguridad. También emplean encriptación y lo último en protocolos de seguridad para garantizar la seguridad e integridad de los datos.

Cómo elegir un proveedor de Cloud Computing

La elección de un proveedor adecuado de la nube cobra especial relevancia en el mundo empresarial, ya que el desempeño de sus actividades básicas y la satisfacción de sus clientes en términos tanto de calidad como de rapidez y confidencialidad, dependerá en gran medida de ello.

Los criterios más importantes son los siguientes:

a) Legislación: Resulta imprescindible que el proveedor cuente con las acreditaciones y certificados de los organismos internacionales más reconocidos. A nivel nacional la LOPD (Ley Orgánica de Protección de Datos) es una de las más significativas.

b) Seguridad: La seguridad debe estar incorporada en todos sus sentidos como un elemento base en el despliegue de la infraestructura. Los accesos y virus deben de estar bajo control en todo momento y la posibilidad de contar con backups o copias de seguridad.

Otros elementos clave para determinar el grado de seguridad que ofrece el proveedor son los cortafuegos, herramientas para el control de código malicioso y los sistemas de detección y prevención de intrusiones, entre otros. Mucha información es especialmente crítica y, por ello, preocupa el lugar donde esté ubicada. Sin embargo, los centros de datos cuentan con unas medidas de seguridad más elevadas que las que suelen tener implantadas las empresas en sus instalaciones.

c) Disponibilidad: Para ofrecer garantías a la empresa de poder contar con un servicio continuado, es conveniente que los recursos se distribuyan en una plataforma informática redundada para asegurar siempre una alta disponibilidad.

d) Soporte: El equipo de soporte técnico también será fundamental a la hora de decidir uno u otro proveedor. La empresa debe considerar si desea contar con un soporte continuado y atención telefónica, o solo correo electrónico, y si va a tener acceso a un grupo de especialistas en caso de que lo necesite.

e) Integración: Además de todo lo expuesto anteriormente, los servicios ofrecidos por el proveedor deben estar completamente integrados.