En el artículo
publicado por Francisco Alcaide titulado los 10 consejos de Zaryn Dentzel menciona que todo el futuro está en la nube. Estar
conectados, no desde un lugar físico o portátil, sino donde nos encontremos con
nuestro dispositivo móvil será la condición que permitirá desarrollar nuestras actividades diarias. Además destaca que "nada de guardar nada en ningún
dispositivo, todo va a la nube".
Ciertamente
compartimos ese criterio y animamos a que se utilice este modelo de colocación
almacenaje de la información; en cual ha demostrado ser muy eficiente en cuanto
al tema de disponibilidad. A fin de cuentas, las personas han aprendido por la
práctica lo que es el concepto de disponibilidad geográfica y pertinencia; todo
esto más por necesidad que por conciencia.
Almacenar la
información en la nube tiene unos beneficios que han venido superando los
riesgos; y de alguna manera las fallas que han venido ocurriendo, la mayoría de
los analistas consideran que son propias de negocios que son emergentes y que
dado el tipo de servicio, no se encuentran ajenos a sufrirlos. Estos consideran
que las caídas de los servicios han sido un problema constante antes de la era
de la computación en la nube. Otro aspecto que motiva a pensar que
definitivamente el futuro está en la nube, es que ofrecen un gran ahorro y un
nivel de elasticidad que es altamente atractiva como para que la opción no sea
ignorada en adelante.
Los riesgos de
la nube
Como bien
argumentan la mayoría de los especialistas,
existen suficientes argumentos e incentivos para operar en la nube, ahora bien
la pregunta constante en todas las organizaciones y también de algunas personas
en particular es: Cuáles son los riesgos de la computación en la nube?
De acuerdo a la
comunidad especializada en manejo de seguridad de información, y organizaciones
tal como Ponemon
Institute, las tendencias que implican generación de riesgos
severos más importantes son: la administración no estructurada de datos, el
terrorismo y los delitos informáticos.
En el caso de
la administración estructurada de datos, depende mucho de la forma y uso que se
de sobre el servicio contratado, pues lo óptimo es aprovechar las economías de
escala que prestan organizaciones como Google o Amazon, las cuales ostentan
instalaciones de dimensiones superiores a unos cuantos campos de fútbol. Por
tanto, quien establece los criterios de administración, la permisología, la
segregación y clasificación de los activos de información en la nube, es la
empresa contratante. Dada esta condición, se debe ser muy organizado en el uso
de los recursos de almacenamiento contratado, pues todos los beneficios de
costos y optimización pueden revertirse al hacer uso indiscriminado de un
espacio, que puede en ocasiones considerarse infinito en forma errónea.
El riesgo que
se deriva de esto, es similar a lo que ocurre en las organizaciones cuando se
otorga permisología sobre carpetas compartidas. Allí los usuarios no son
sensibilizados adecuadamente para administrar sus archivos de trabajo, conllevando esto a crear grandes árboles de directorios,
que llegan a tener tal profundidad que hace que los usuarios nunca más consigan
donde guardaron sus archivos, viéndose en la necesidad de copiarlo nuevamente
en otro directorio, multiplicando “n” veces el mismo archivo en tantos nuevos
directorios y versiones, como éste olvide donde lo había guardado previamente.
El otro aspecto que genera seria preocupación, tanto para los proveedores como
a los usuarios del servicio en la nube, está basada en la concentración de cantidades
ingentes de información en la nube de muchas organizaciones de gran
importancia, incluyendo instituciones de gobierno y de administración pública. Las
cuales se hacen apetecibles a ser objetivos de ataques terroristas, los cuales
podrían dejar fuera de servicio durante un periodo considerable si no se
mantienen las apropiadas medidas de contingencia. De acuerdo a NovaRed, en su
artículo denominado “7 amenazas cibernéticas que tendrá el 2013”; señala que los
ataques patrocinados por gobiernos o la denominada “guerra digital” en
adelante, no disminuirá sus esfuerzos este año, dado que actualmente casi
cualquier nación puede tener el talento y los recursos para crear potentes
armas digitales. Es por ello que todas las empresas que se relacionan con el
manejo de información en la nube difícilmente le indicaran a sus clientes y
contratantes, en que lugar se encuentran físicamente sus servidores, a efectos
de evitar ataques físicos. En cuanto a los ataques lógicos, la constante
evaluación de brechas y el monitoreo permanente, basado en herramientas y componentes
de alto nivel de procesamiento, soportados en modelos neuronales que evalúen
comportamientos y patrones de conducta que conlleven a para prevenir acciones ofensivas
que no sean interpretadas como falso positivos. Esta será la constante de
defensa de este tipo de servicios. A fin de cuentas la alta disponibilidad y la
confidencialidad deberá estar al 100%.
Por último, el delito informático estará enfocado a capturar usuarios que
estén volcándose hacia la nube. La novedad y el cambio de entorno, no nos
salvará de usuarios desprevenidos y de organizaciones de bajos niveles de
madurez en lo que a la formación y cultura en seguridad de la información se refiere. Esto
conllevará a que los ataques también
evolucionen hacia entornos virtualizados y trataran de romper el eslabón más
débil, que en este caso seguirá siendo el usuario. Por ello las organizaciones
deberán hacer mayores esfuerzos para sensibilizar a sus usuarios en prácticas de clasificación de activos y protección de los mismos, así como reforzar los métodos e instrumentos de acceso a la nube.
Riesgo conocidos, entornos
distintos
En resumidas cuentas, cambia sólo el entorno, los
riesgos se pueden potenciar, pues si las organizaciones y sus usuarios no
comprenden que no se está desprendiendo de la responsabilidad de administrar su
seguridad y los medios que lo garantizan, estarán creando una falsa sensación
de seguridad y posiblemente asumiendo riesgo moral. Es sumamente importante,
que toda tecnología y medio donde se ejecute, puede ser altamente segura; sin
duda alguna, cada vez es mejor y es más productiva para cualquier actividad que
se quiera desarrollar. Sin embargo mucho dependerá de cómo cada quién la asuma
y administre en materia de seguridad de información y nunca debemos olvidar que
en tecnología no debe existir la apetencia a los riesgos, es decir, no se deben
asumir riesgos.