Llegamos a ustedes gracias a:



Columnas de opinión

El uso del cloud computing genera incertidumbre

Por: Ramiro Merchan, vicepresidente de Cconsultoría de Digiware

[10/11/2010] ¿Considera usted que es inminente la migración de sus aplicaciones a la nube? ¿Aun de sus procesos críticos? Estas preguntas, que el auge y aparente boom del cloud computing, podrían inclinarnos a responder positivamente, parecen en realidad tener una respuesta un tanto más compleja entre nosotros.
En una reciente encuesta sobre auditoría y seguridad en Latinoamérica, así como de la percepción del cloud computing, el 41% de entrevistados consideraban que los riesgos sobrepasaban los beneficios. En un punto intermedio están, también con 41%, quienes señalan que riesgos y beneficios están balanceados. Y finalmente, solo 18% de esta evaluación ponderó que los beneficios alcanzados podrían superar a los riesgos. Una auténtica sorpresa.
Panorama incierto
Este escenario plantea controversia sobre el futuro de la tecnología de nube en la región. A mi parecer, esta sensación tiene que ver en parte con la capacidad de seguridad, control y auditoría con que se contará -o dejará de contar- una vez que se decida por razones económicas migrar hacia estos entornos. La auditoría de cloud computing me trae a la memoria todo lo sucedido con la computación en los últimos 20 años; los que hemos trabajado como auditores de sistemas o especialistas en seguridad, todavía no terminamos de comprender incluso algunas de las tecnologías que ya llevan años en el mercado, y volvemos a enfrentar nuevos retos.
El cloud computing sin duda afecta los esquemas de gestión de TI, protección y auditoría. Es por esto que no resultó ninguna sorpresa que una encuesta adelantada por ISACA a principios del 2010 señalara que 34% de ejecutivos no tenía planes de migrar ninguno de sus servicios de tecnología hacia la nube. Un 12% no consideraba además para nada el tema siquiera; y un 23% decía desconocer si su organización tenía alguna intención en este sentido. Solo un margen de 17% señaló que ya había llevado a este entorno parte de sus servicios críticos.
Integrando las intenciones inmediatas, podríamos estimar que casi un 70% de ejecutivos no ven a la nube como una opción inmediata. Solo un 15% dice que piensa llevar a este entorno algunos servicios y procesos no críticos a manera de evaluación, para ver cómo les va. Esto implica, en términos reales, un proceso bastante lento de adaptación y evolución de confianza en el sistema. De forma paralela a este tránsito irá desarrollándose un largo debate para responder cuestiones concretas: ¿Cómo trabajar el concepto de gestión de riesgos? ¿Cuáles son los riesgos del negocio en este entorno? ¿Qué pasará cuando los riesgos estén en gran medida fuera de control? Y finalmente, ¿quién será responsable de la seguridad de la información? Hay que empezar a establecer protocolos claros al respecto. Si la nube es pública y compartida, la seguridad debe ser definida por el proveedor del servicio. En cambio, si la nube es privada, la responsabilidad corresponde a la organización misma.
Retos para la gerencia
Por todas estas consideraciones, es fundamental solicitar a los auditores de nuestra propia organización todos los puntos de vista posibles. Los riesgos del cloud computing pueden clasificarse en dos categorías: Una, que es la de los riesgos propios que acarrea el tener servicios en outsourcing; y otra, señalada por los riesgos inherentes a la computación en la nube. Sin duda ya en este punto, habrá quienes se hagan esta pregunta sobre este sistema de una nube compartida por muchos usuarios y un solo proveedor: ¿Si mis operaciones y procesos están en instalaciones compartidas con la competencia, cuál es el valor real para mí?
Es una situación donde la moneda tiene dos caras, porque si bien esto puede evaluarse como un demérito, es verdad también que nada ayuda a economizar como la economía de escala que plantea este modelo. Y ahí está el valor desde donde se puede reconocer la importancia del cloud computing: Una tercerización transparente, en estado ideal, donde alguien provee todo y otorga las facilidades en todo sentido. Recibir facturaciones solo por la cantidad de recursos usados, tal y como si se tratara de un recibo de luz o agua. Es la posibilidad de contar con recursos de hardware y software a voluntad y en la magnitud que mi operación lo requiera. La mayor economía de escala está en la nube pública, prevista por un tercero independiente.
Allí están dispuestos, para quien desee vincularse a la nube, la oferta de hardware, software, conectividad, servicios y aplicaciones; todo el mundo estará colgado ahí demandando servicios.
CIO, Perú