Las empresas y los gobiernos están trasladando cada vez más cargas de trabajo a la nube. Pero algunas empresas se resisten a los considerables atractivos de la nube debido a las persistentes preocupaciones sobre la seguridad de los datos de cloud computing. Aunque las inquietudes son comprensibles, la realidad actual es que, si se ejecuta correctamente, la seguridad de los datos de cloud computing puede ser tan buena o mejor que la de las plataformas de TI locales tradicionales.

A esto se le suman las políticas de protección de datos y el requerimiento específico de contener los datos en el territorio nacional lo que puede limitar el uso y aprovechamiento de datacentes sofisticados en otras latitudes del mundo y dejar de lado las tan maravillosas nubes elásticas.

Por qué puede ser la seguridad de los datos de cloud computing tan buena o mejor que la de las plataformas de TI locales

En primer lugar, cabe preguntarse: ¿qué significa la nube? De acuerdo con la definición de cloud computing habitual, los proveedores de servicios en la nube ponen recursos de TI y aplicaciones a disposición de los usuarios en forma de servicio cuantificado que se puede consumir a través de Internet. Los servicios en nube se suelen clasificar como software como servicio (SaaS), plataforma como servicio (PaaS) e infraestructura como servicio (IaaS), como capacidad informática primaria o almacenamiento en la nube.

Por su propia naturaleza, cloud computing implica cierta delegación de control de los clientes en el proveedor de servicios. Sin embargo, control y seguridad no significan lo mismo. De hecho, la seguridad de los datos en cloud computing es potencialmente superior a la seguridad en el centro de datos corporativo típico, debido a las mismas fuerzas que mueven todo el mercado en su conjunto: las economías de escala y la división del trabajo.

En los centros de datos en la nube los costes asociados a la seguridad de los datos se distribuyen entre un gran número de clientes, por lo que los operadores en la nube puede aplicar muchos más recursos a las medidas de seguridad físicas, técnicas y operativas que la mayoría de empresas o agencias gubernamentales. Muchos de los grandes proveedores protegen también la seguridad de los datos en cloud computing mediante el uso de varios centros de datos con replicación entre las instalaciones, a esta buena práctica la conocemos como Georebundancia que incluso en un entorno TI local tradicional se debería implementar.

Y al contrario que la mayoría de empresas y agencias públicas, la actividad principal de los proveedores de nube es la explotación y distribución de servicios de TI. Los proveedores de nubes gestionadas aportan por tanto un nivel de experiencia y conocimientos prácticos a sus operaciones de seguridad de datos que a la mayoría de empresas les cuesta bastante conseguir.

Sin embargo, a pesar que las tecnologías y la experiencia en seguridad de los centros de datos en la nube pueden superar a las de muchos centros de datos empresariales, siguen existiendo preocupaciones válidas sobre la seguridad en lo que se podría denominar el «cuarto nivel» de la arquitectura de nube: la red pública de Internet, a través de la que se distribuyen los servicios de nube a los usuarios finales.

Desde los inicios de la computación el concepto de perímetro informático, como delimitante para establecer los controles de seguridad informática, ha ido evolucionando. En los albores el perímetro eran las paredes del centro de procesamiento de datos que delimitaban el lugar donde estaban la computadora, los discos, las impresoras, lectoras de tarjetas, las unidades de cinta y los operadores. De la fortaleza de esas paredes dependía la seguridad física. En Internet tales paredes físicas no existen, lo cual es una oportunidad disfrazada de problema puesto que antes se descuidaba la integridad de los datos y quién accedía a ellos por su control presencial sobre la máquina, ahora el rigor ha pasado a la protección real de la información desde quién accede a ella, con qué permisos, cuándo, desde dónde y no depender de una cámara de seguridad, el grosor de un muro o las llaves del centro de datos.

Ahí es cuando la seguridad informática en cloud computing es más robusta, brillante y sofisticada y cuenta con la colaboración del mismo internet, así como el conocimiento se abierto y extendido las buenas prácticas y casos de errores fatales también lo cual permite que se enriquezca el know how de quienes protegen este activo tan importante como es la información.

Ahora bien, el tema siempre va a estar rodeado de mitos y demás prejuiciosos casi siempre nacidos de la incapacidad de innovar o adaptar un cambio por parte del equipo TI responsable de dicho departamento. Se suele comprometer el avance y progreso del negocio permitiendo el estancamiento por temores al cambio infundados por el no haberse continuado formando y estudiando los cambios, nuevas tecnologías y formas de hacer las cosas.

Un caso muy particular que mencionaremos como reflexión es cómo Blockchain está siendo aplicado no sólo para transacciones de dinero, sino para transferir información de la manera más confiable posible incluso hasta entre continentes pasando información por el frente de hackers sin que si quiera la noten.

Si las grandes empresas de distintos rubros aplican esta forma de trabajo en la nube, por qué nos resistimos al cambio? – Es necesario comprender que el futuro está aquí y que esos miles de dólares que gasta una compañía en sólo mantener funcional su centro de datos y la tensión que genera el que nada malo le ocurra nos hace distraídos sobre cómo realmente aprovechar esa información que con tanto recelo guardamos en ellos. Resistirnos a este cambio es como forzar en seguir usando telegramas y faxes y no enviar un e-mail.