Llegamos a ustedes gracias a:



Reportajes y análisis

Consejos de expertos para administrar sus datos en la nube

[12/05/2017] Cuando los oncólogos en el Carolinas HealthCare System (CHS) pasan por la revisión de una junta sobre tumores para discutir los casos de los pacientes, ellos están buscando retroalimentación sobre planes de tratamiento y pruebas clínicas. Durante sus presentaciones, los doctores muestran a sus colegas datos genéticos, reportes de patología, resultados de laboratorio y apuntes médicos - información que se encuentra a su alcance porque está almacenada en una nube Hadoop, dentro de Microsoft Azure.

Esta es la primera incursión en la nube por parte de la red de hospitales sin fines de lucro, y ha generado una cuidadosa evaluación sobre la forma en que el CHS protege y administra sus datos fuera de sus instalaciones.

Las dos grandes áreas que el CHS necesitó enfrentar fueron los temas de networking y de gobierno corporativo, afirma Chris Danzi, vicepresidente asistente de servicios de información y análisis (IAS) en el Carolinas HealthCare System. El sistema del hospital tiene más de 62 mil empleados y opera en 39 hospitales y otras 900 locaciones de cuidado de la salud en el sureste.

Una diferencia obvia entre administrar datos internamente y hacerlo fuera de las instalaciones, es que en la nube los datos pueden ser albergados a cientos de kilómetros de distancia. "Uno está hablando de mover datos a largas distancias, afirma Danzi, "así que tiene que tener un circuito seguro y una red segura que lo conecte a eso. Los gigabytes de datos en movimiento hacia un proveedor de nube cada noche, requirieron que la red de salud contratara a una empresa de telecomunicaciones y comprara una línea dedicada segura.

Desde el año en que migró los datos a la nube, el CHS ha estado utilizando una VPN, la cual está a punto de reemplazar con una conexión privada a Azure. Esto le permitirá a la red de salud utilizar la línea únicamente para su sistema Office 365.

"Otra cosa que uno tiene que considerar es que uno no solo compra este circuito para tener una mayor velocidad, sino que también tiene que segmentarlo entre los usuarios interactivos que van a querer un acceso en tiempo real y la gran carga de transferencia de archivos que realizará, explica Danzi.

Administrar datos en la nube es diferente a administrarlos dentro de las instalaciones, afirma el ejecutivo, en términos de habilidades de los empleados, la forma en que instala el programa de gobierno corporativo de sus datos, y la forma en que habilita parte de su infraestructura tecnológica.

"Aquellas son áreas en donde todo tiene que pensarse de nuevo, desde la perspectiva de alguien que pudiese estar pensando en robar su información, afirma Danzi. "Hemos dominado eso bastante bien dentro de las instalaciones y ahora estamos transfiriendo datos y almacenándolos en distintos lugares, así que tenemos que volver a pensarlo. Y lo tenemos que hacer constantemente. Uno tiene que volver a pensarlo continuamente, porque todos los días se entera de maneras nuevas e inteligentes de robar datos. Pero vale la pena.

Más compañías están optando por el almacenamiento de datos fuera de las instalaciones

Existen pocas dudas de que la nube se está convirtiendo en una parte integral del área de TI y los ambientes de datos de muchas organizaciones. Una reciente encuesta de IDC reveló que un número creciente de organizaciones está integrando los datos en ambientes híbridos y exclusivamente de nube, en lugar de mantener los datos estrictamente dentro de las instalaciones, afirma Stewart Bond, director de investigación de software de integración de datos.

Los datos en la nube podrían encontrarse en una aplicación de software como servicio (SaaS, por sus siglas en inglés), en un sistema de plataforma como servicio (PaaS, por sus siglas en inglés) o contenidos dentro de bases de datos y servidores de archivos implementados en productos de infraestructura como servicio (IaaS, por sus siglas en inglés), afirma Bond. Acceder a los datos en aplicaciones de SaaS con frecuencia requiere del uso de una API. Y el uso de servicios web para acceder a datos es bastante distinto a utilizar un script SQL contra una base de datos de aplicaciones relacional, explica.

Administrar datos en la nube

"En los ambientes PaaS, la implementación determinará si la API de servicios web es requerida, o si los métodos SQL o NoSQL pueden usarse para acceder a los datos, afirma Bond. Se puede acceder a los datos que permanecen en ambientes IaaS mediante constructos de programación que también funcionarían contra fuentes de datos dentro de las instalaciones, pero ese acceso necesitaría ocurrir a través de un canal seguro de comunicaciones. En cualquier caso, la tecnología de administración de datos maestros es de utilidad para reconciliar múltiples y disparejos compartimentos estancos de datos.

Al igual que Danzi, Erez Yarkoni, próximo presidente del consejo de Technology Business Management (TBM), afirma que, al momento de considerar los pasos necesarios para gestionar los datos de nube, antes que nada, las organizaciones tienen que planear con mucho cuidado la capacidad de la red.

"Las cosas obvias que dimos por sentado cuando la información estaba bien en nuestro centro de datos están cambiando y, básicamente, uno está extendiendo la presencia de su red y tiene que ser extremadamente cauteloso respecto a cómo la diseña, afirma Yarkoni, que previamente trabajó como CIO de Telstra y T-Mobile. Eso añade otro elemento que "podría ser muy costoso si uno no planea cuidadosamente la salida y regreso de los datos hacia y desde su ambiente, así como hacia y desde las nubes mismas, además de la forma en que las personas interactúan con la información que coloca en la nube, afirma.

Cuando fue CIO y estuvo involucrado en diseñar sus ambientes de datos, Yarkoni afirma que evitó mover cantidades enormes de datos a la nube siempre que pudo, y si se volvía necesario, debía hacerse a ciertas horas del día. "Si se encuentra moviendo información desde su centro de datos a la nube, y desea algunas garantías de calidad de servicio, tiene que garantizar los enlaces entre aquellas locaciones.

Productos como ExpressRoute for Azure de Microsoft y Direct Connect de Amazon ofrecen enlaces de red dedicados entre un ambiente dentro de las instalaciones y sus respectivas nubes, afirma el ejecutivo.

Una vez que los datos están la nube, los departamentos de TI ya no necesitan herramientas de administración de bases de datos para manejarlos, ya que el largo proceso de administrar el desempeño de la base de datos, el afinamiento y la instalación son todos manejados por el proveedor de nube, afirma Donna Burbank, directora administrativa de la consultora de administración de información, Global Data Strategy, Ltd.

"Entender sus datos y saber dónde están, así como protegerlos, es importante, pero mucha de la administración del día a día desaparece, afirma la consultora. El proveedor de nube ahora supervisa tareas como el desempeño y el afinamiento, y verifica si es que los servidores están operando y si se está realizando una copia de respaldo. (Dicho esto, es un buen procedimiento supervisar al proveedor hasta cierto punto).

Asegurar los datos de nube

Administrar los datos en la nube no es lo mismo que administrarlos dentro de las instalaciones, particularmente cuando se trata del manejo de datos importantes, como información sobre clientes, recalca Burbank. Cuando otra entidad está controlando la información personal, ella aconseja usar el PCI Data Security Standard y claves de tokenización. Cuando las compañías sacan provecho de las eficiencias que ofrece la nube, "aún sigue existiendo mucha confianza implícita, pero uno aún no se encuentra completamente en control, afirma.

Heidi Shey, analista senior de Forrester, concuerda con Burbank en que los tokens de seguridad son una manera válida de proteger los datos, pero ella afirma que las organizaciones deberían estipular quién se encarga de estas claves. "Algunas soluciones de seguridad tendrán cifrado como uno de estos controles, y quién estará a cargo de la clave es la pregunta. Algunas compañías quieren tener el control ellas mismas y otras confiarán en el proveedor, afirma.

Controlar su propia clave es la mejor opción. "Esto añade otra capa de complejidad en ciertos momentos, porque usted es el que administra eso, pero es un control añadido, afirma.

Además de asegurar los datos albergados en la nube, también es importante asegurarse de que los datos estén seguros mientras transiten, afirma Bond. Esto podría requerir de conexiones VPN, HTTPS, SFTP/FTPS y otros métodos seguros de comunicación, afirma.

La encuesta de IDC también mostró que "conforme los datos se distribuyen más en la nube, se vuelven menos confiables, indica. "Los datos maestros -los datos de personas, lugares y cosas que importan a las organizaciones- son los más distribuidos porque en todas las aplicaciones debe existir alguna forma de éstos.

Supervisar a los proveedores de nube

Aunque las organizaciones generalmente empiezan haciendo auditorías de sus proveedores de nube, ese proceso tiende a frustrarse, afirma Andras Cser, vicepresidente y analista principal en Forrester. "Vemos a la mayoría de organizaciones haciendo una auditoría del proveedor de nube en relación a dónde están planeando almacenar sus datos. Las auditorías continuas son más raras de encontrar, afirma. Esto puede deberse a otras prioridades, a la complejidad del proceso, a la cantidad de datos almacenados en la nube y al ritmo acelerado de la adopción de la nube.

Típicamente, Forrester ve a compañías solicitando certificación ISO 27001 y SOC1/SOC2.

Por su parte, el Carolinas HealthCare System ha estipulado que sus proveedores de nube estén bajo una auditoría SOC 2 y que ellos puedan acceder a los resultados. El CHS puede realizar auditorías en sus registros relevantes para los procedimientos de facturación, afirma Danzi del CHS. Con una notificación previa apropiada, al CHS se le permite inspeccionar los centros de datos de sus proveedores. "Usualmente basta con ver un tour de estos, señala.

Aun así, solo el 31% de los 150 profesionales de seguridad encuestados por Forrester en enero del 2017, en Estados Unidos y Canadá, afirmó que clasificaban los datos corporativos en la nube basándose en qué tan importantes son. Asimismo, la encuesta encontró que solo cerca de un tercio (34%) de los profesionales de seguridad de datos sabe dónde se encuentran sus datos basados en la nube.

Los procesos de gobierno de seguridad en la nube también deben ser considerados, así como la alineación de los requerimientos de seguridad corporativa con el cumplimiento de regulaciones y leyes de privacidad, especialmente cuando se trata de información personal, afirma Shey de Forrester.

Debido a que se trata de una entidad de salud, el CHS está percatándose de que la seguridad es más complicada de administrar en la nube. Muchos ambientes Hadoop que las personas usan en la nube son menos maduros que un ambiente estructurado relacional de base de datos, explica Danzi del CHS. El Carolinas HealthCare System está utilizando HDInsight de Apache Hadoop, que cuenta con productos como Apache Ranger, una capa de seguridad para Enterprise Hadoop que administra y maneja el acceso a nivel de usuario.

Microsoft Azure ofrece soporte a dos versiones de implementaciones Hadoop -la versión HDInsight completamente administrada, que aún no ofrece soporte para Ranger, y la versión IaaS, HDP, que sí lo ofrece. HDInsight cumple con HIPAA, "pero no tiene las funciones profundas de seguridad a nivel de usuario que tiene Ranger, así que tenemos que limitar el acceso, explica Danzi. Esa fue una lección importante que el CHS aprendió temprano: Asegurarse de que el proveedor de nube ofrezca soporte a la versión de software que una compañía está usando, o desea usar.

"Uno no puede asumir que estas cosas ofrecen todos los protocolos de seguridad y protecciones a las que está acostumbrado, afirma. "Afortunadamente, alguien aquí preguntó, y esa fue una lección que se aprendió. Adicionalmente, "supimos desde el inicio que la versión de Hadoop que estamos usando es todo o nada en términos de a quién se le puede otorgar acceso. Pero el CHS solo quería que sus administradores de servicios de analítica e información (IAS) puedan acceder a su ambiente. Como resultado, la compañía creó una aplicación segura en Microsoft SharePoint para otorgarle acceso a la información de sus pacientes solo a los doctores en la junta de tumores.

Otro aspecto importante de administrar los datos en la nube es la residencia de los datos y la transferencia de datos, añade Shey. "Si tiene datos de clientes de algún país o región en particular... verá la General Data Protection Regulation entrar en juego, pero ciertos países específicos podrían tener sus propios requerimientos de residencia de datos, en donde el país indicará dónde es que podrá mantener la información en ese país, afirma.

"Uno tiene que saber dónde residen los datos físicos porque las leyes son distintas de acuerdo al país, concuerda Burbank de Global Data Strategy. "Europa tiene reglas más estrictas sobre cómo proteger la información personal de los clientes que Estados Unidos.

Otras consideraciones de administración de la nube

La copia de respaldo y la recuperación de datos deberían estar estipulados en el acuerdo de nivel de servicio (SLA, por sus siglas en inglés) de un proveedor de nube, y es uno de los beneficios clave que deberían ofrecer, afirma Burbank. Esos SLA deberían incluir información sobre si es que el proveedor cuenta con un sitio de failover y dónde se localiza este sitio. "Otra cosa en la que pensar es si será es posible elegir dónde están esos failovers, afirma.

Las organizaciones también deberían pensar sobre los formatos de los datos que manejan en la nube; podría ser en una base de datos relacional, un archivo plano o correo electrónico. Si es que ellos tienen datos de clientes guardados en un almacén de datos de alto volumen, ellos también necesitan pensar sobre si es que poseen las habilidades internas para administrarlos, afirma Burbank.

"Si uno está haciendo mucha limpieza y administración alrededor de los datos, eso es algo que debe tener en cuenta, así como que muchas de las tecnologías de nube no son tan avanzadas para ese propósito, resalta Burbank. "Pero si tiene datos sin procesar con los que podrá escalar y que podrá migrar fácilmente, eso es apropiado para la nube porque no se requiere de mucha administración alrededor de estos.

Las habilidades necesarias para administrar datos en la nube pueden ser difíciles de encontrar debido a que la tecnología es muy nueva. Las habilidades necesarias dependerán de si es que los datos están en un modelo SaaS, PaaS o IaaS, afirma Bond de IDC. En un nivel técnico, el personal de TI podría necesitar estar familiarizado con las tecnologías de Internet como servicios web, FTP seguro y APIs RESTful. Ellos también podrían necesitar familiarizarse con conceptos de arquitectura IaaS como máquinas virtuales, almacenamiento de objeto, zonas de disponibilidad y subredes, afirma.

"A nivel de negocio, los usuarios necesitarán ser conscientes de las políticas que gobiernan dónde... se ingresan y mantienen los datos, y problemas con el tiempo de respuesta en la replicación de datos a lo largo de múltiples sistemas, añade Bond.

Tenga un plan para imprevistos

Danzi del Carolinas HealthCare System compara al ambiente de nube con un Masters Tournament en golf: Un sitio web puede permanecer prácticamente sin usarse por 10 meses del año y después, durante un mes, el sitio puede utilizarse bastante. Similarmente, afirma él, ellos encontraron que algunos de los "científicos de datos entusiastas del CHS acaban de iniciar la operación del lenguaje de programación R para escribir modelos con el fin de estudiar el riesgo de readmisión, por ejemplo. Operar esos modelos cuesta dinero, y "la nube es feliz de otorgar sus recursos para esto, y el medidor sigue corriendo.

Así que el grupo IAS, con la ayuda de Azure, escribió scripts para clausurar los modelos durante la noche, que es cuando el cómputo no se necesita. La nube, afirma Danzi, es "como un globo que se expande y tiene que decirle que se desinfle, y le brinda la habilidad de escribir scripts para clausurar servidores. Eso se llama estabilidad, y querrá asegurarse de que su proveedor de nube le otorgue elasticidad hacia arriba y abajo para que pague por los recursos solo cuando los esté usando.

El también aconseja a las organizaciones reguladas que cuenten con alguien a bordo que tenga buenas habilidades legales. "Uno tiene que asegurarse de cumplir completamente con las regulaciones del HIPAA y buenos acuerdos de asociados de negocio con proveedores de servicios externos.

Muchos proveedores de nube ofrecen productos como la analítica y brindarán analítica de evaluación comparativa para clientes prospecto, así que Danzi afirma que uno necesita asegurarse de que aquellos proveedores vuelvan anónimos sus datos cuando se los presenten a otros miembros de la industria para que el origen de éstos no sea obvio.

Otro tema que debe ser considerado por las organizaciones es que, si escriben un algoritmo en Azure, podrían querer proteger la propiedad intelectual de ese algoritmo para que no sea utilizado por otros en la nube, afirma. "Usted está construyendo el algoritmo con herramientas comunes y tecnología común basada en la nube, junto a las cosas de todos los demás, así que querrá asegurarse de tiene protegida a su IP.

Danzi piensa que toda la información será albergada en la nube de aquí a 15 años. Aunque administrar nuestros datos requiere de mucho esfuerzo adicional, él afirma que vale la pena. "Aunque el nuevo ambiente requiere una vigilancia más constante, el trabajo se justifica porque obtiene acceso a esta tecnología absolutamente sorprendente que se expande conforme crece, se contrae cuando no la usa y le da todas estas capacidades avanzadas.