Llegamos a ustedes gracias a:



Columnas de opinión

El caso contra el Cloud Computing: Segunda parte

Por: Bernard Golden, CEO de la consultoría HyperStratus

[27/03/2009] En la primera parte de la serie ?El caso contra el Cloud Computing?, mencioné que al conversar con ciertas personas involucradas con este tema, pude comprobar, no sin cierta sorpresa, que hacían especial énfasis en las barreras que deben enfrentar las empresas interesadas en adoptar la computación en la nube. A raíz de esta experiencia, me pareció útil reunir las dificultades que surgieron en estas discusiones, y comentar algunas de ellas con miras a mitigar su impacto en la opinión general.

Así, en la entrega precedente me ocupé de la afirmación según la cual, en este momento, no sería posible migrar directamente una aplicación corporativa de arquitectura típica hacia alguno de los servicios de nube disponibles puesto que todos imponen su propia arquitectura.
En esta ocasión, me gustaría discutir el segundo punto de la lista: por qué las empresas son y serán reacias a adoptar la computación en la nube.
Cloud computing implica riesgos legales, de regulación y de negocios
La mayoría de compañías opera bajo riesgos limitados. Por ejemplo, en Estados Unidos, las compañías que gestionan fondos públicos tienen cláusulas legales de divulgación respecto a sus estados financieros. Asimismo, dependiendo de la industria en que se inscriba cada empresa, puede tener que observar leyes y regulaciones específicas. En el sector salud, por ejemplo, la privacidad de la información está regida por las restricciones HIPAA (siglas de Health Insurance Portability and Accountability Act). Además, hay requerimientos más generales para la manipulación de datos como la capacidad de rastrear cambios, establecer auditorías de los registros, etc., especialmente en caso de litigio. De la misma manera, en ciertos países, la información del cliente se debe manejar con mucho cuidado debido a los requerimientos locales de privacidad. Por ejemplo, algunas naciones europeas estipulan que esa información debe mantenerse dentro de las fronteras del país, quedando prohibido almacenarla en otro lugar.
Volviendo al riesgo de negocio, nos encontramos con situaciones más relacionadas al control operacional y la estabilidad de la coyuntura política. Algunas empresas se mostrarán muy reticentes a colocar sus operaciones fuera de su control directo, por lo que podrían insistir en correr sus aplicaciones en sus propios servidores que, a su vez, están ubicados dentro de sus propios data centers (esto no solo se da en el caso de la nube, a menudo se presenta a propósito del SaaS -software as a service, software como servicio-, y otros servicios más generales del cloud computing).
Más allá de las especificaciones legales, normativas y políticas, las personas con las que conversé coincidieron en afirmar que las empresas tendrían que enfrentar una situación específica: el riesgo asociado al propio proveedor de la nube. En este sentido, algunos mencionaron que la oferta de la nube de Amazon no es su negocio principal. Lo más interesante, sin embargo, fue que al pedirles que precisen cuál era el negocio principal de Amazon respondieron vender libros. Personalmente, considero que los esfuerzos de negocio de Amazon van mucho más allá de los libros, y una respuesta como ésa  solo puede revelar poca familiaridad con todo el rango de actividades de Amazon. De todas maneras, no deja de ser pertinente la inquietud sobre la especialidad principal de Amazon y su grado de involucramiento en la computación, y de hecho el tema podría cobrar aún más vigencia si la compañía se extiende a través de muchas iniciativas.
Para los demás proveedores de la nube, que probablemente son considerados como compañías de tecnología más tradicionales, el tema de la actividad principal no es una preocupación prioritaria. De todas maneras, no es algo que se deba dejar de lado, puesto que siempre se podrá objetar que la oferta de la nube de cada uno no es su principal foco de negocio-, de manera que, en algún momento, la compañía tendrá que decidir si su oferta de nube solo distrae recursos y, en ese caso, si no sería mejor descontinuar el servicio. Semejante posibilidad cobra sentido si consideramos, por ejemplo, el reciente cierre de varios de los servicios de Google.
Así que, en líneas generales, hay una serie de riesgos posibles que una empresa debe tener en cuenta al analizar el uso de cloud computing: desde aspectos específicos como impuestos por la ley, hasta riesgos operacionales de carácter general derivados del hecho de depender de un proveedor externo.
Sin embargo, las personas que compartieron conmigo estos inconvenientes potenciales mostraron, en mi opinión, cierta tendencia a exagerar la realidad y a describirla de manera muy imprecisa. Permítanme explicarme.
En primer lugar, la mayoría de proveedores de la nube son conscientes de los riesgos de regulación que pesan sobre ellos. Saben que para atraer usuarios de negocios de amplio espectro tendrán que adaptarse a esa limitación. En todo caso, para poder empezar, obtener experiencia y ganar impulso, han optado por no concentrarse en procesos o funcionalidades demasiado exigentes. En lugar de ello, Amazon, por ejemplo, se orientó en principio hacia aplicaciones corporativas para startups o de menor sofisticación.
En mi opinión, fue una estrategia inteligente. Basta con darle un vistazo al prolongado esfuerzo de SAP por entregar un servicio sobre demanda con atributos equivalentes a sus paquetes tradicionales, para comprender hasta qué punto se puede retrasar el desarrollo de un proyecto en el afán de intentar ofrecer la misma calidad y capacidad desde el saque. Como sea, confío en que los proveedores de la nube seguirán ampliando sus capacidades para manejar mejor estos aspectos de riesgo.
Es más, muchas de las personas que me comentaron este tipo de riesgo lo consideran como algo que solo puede ser gestionado por los data centers internos: por ejemplo, se suele decir que la propia naturaleza del cloud computing le impide ocuparse de los aspectos de riesgo. Sin embargo, mi colega John Weathington, cuya compañía, Excellent Management Systems, implementa sistemas de conformidad  para manejo de riesgo, cuestiona la idea de que las nubes son inherentemente incapaces de ajustarse a un framework de este tipo, precisando el concepto de conformidad o compliance como una mezcla de procesos, tecnología y políticas. En su opinión, afirmar que la administración de riesgo es ajena a la computación de la nube, indica un conocimiento limitado de la administración compliance.
Un segundo factor que suele atribuírsele a la computación en la nube para considerarla demasiado riesgosa es una percepción demasiado optimista de las prácticas reales de administración de riesgo. John compartió conmigo algunos ejemplos en que las compañías que no gestionaban adecuadamente (o, simplemente, ni siquiera se ocupaban de ello) la adecuación o compliance en sus sistemas internos de TI. De alguna manera, en esta actitud se refleja también la condición humana: subestimar los riesgos asociados con las condiciones actuales o conocidas, y exagerar los riesgos que implica una situación nueva. En todo caso, criticar la computación en la nube por considerarla incapaz de soportar administración de riesgo y, a la vez, pasar por alto las actuales debilidades de la administración de riesgos no ilumina precisamente el panorama y, en cambio, puede hacer que la persona que formula esa crítica parezca más impulsiva que reflexiva.
Ligado a este segundo factor, aunque guardando las distancias, tenemos un tercer factor: el sencillo pero contraproducente enfoque de abordar todos los riesgos como si estos fueran a presentarse en el peor de todos los escenarios. En otras palabras, identificar un requerimiento de data como si necesariamente exigiera almacenamiento local con controles complejos, y llegar a la conclusión de que la computación en la nube es demasiado peligrosa para cualquier sistema. Concentrarse en algunas situaciones o gestiones de data que no pueden ser resueltas por el cloud computing representa el peligro de asumir que la nube será rechazada por todos los sistemas o escenarios. Si bien no todos caen en este tipo de generalización, en algunas reuniones he sido testigo de cómo ciertas personas se limitan a zanjar el asunto con frases del tipo "y qué me dices de las HIPAA", para luego cambiar de tema, como si el anterior hubiera quedado completamente agotado.
No se puede negar, sin embargo, que estas reflexiones y temores sobre los riesgos son comprensibles. De hecho, el poco entusiasmo de parte de numerosas organizaciones de TI cuando se trata de adoptar nubes externas, puede atribuirse al presunto peligro que implica la asimetría de riesgos a la que se enfrentan. Es decir, sin duda se les puede complicar seriamente la vida si algo sale mal respecto a los datos, pero nada les impide implementar un proceso de evaluación de riesgos y reducir costos aprovechando recursos externos de la nube. Cabe recordar que el trabajo de las organizaciones de TI consiste justamente en vivir permanentemente en guardia respecto a la seguridad de la data, lo cual puede afectar su perspectiva del riesgo y llevarlos a actuar de manera muy conservadora en cuanto a este tema.
Como sea, dadas las presiones reales para evaluar el cloud computing por razones de agilidad de TI y costos generales de examinación, rechazarla con una objeción tan inconsistente como "la computación en la nube es muy riesgosa, no has oído hablar del problema que surgió por X?" donde X es alguna ley o normativa que no fue debidamente tomada en cuenta por la organización al elaborar su estrategia.
Entonces, qué se debe hacer para abordar el asunto de la administración de riesgo en el cloud computing?
Primero, comprender a cabalidad cuáles son los riesgos y los requerimientos de adaptación, y establecer cómo manejarlos en el entorno actual de sistemas internos. Pocas cosas pueden causar peor impresión que afirmar que la computación en la nube no es apropiada debido al riesgo, y no tener una respuesta sólida para la pregunta ¿Cómo estamos manejando ese tema en este momento?.
Segundo, (asumiendo que todavía no lo ha hecho) implementar un mecanismo de evaluación de riesgos para definir los niveles de riesgo, y convertirlos en parte del ciclo de vida del desarrollo del sistema. Sin esto, es imposible evaluar si determinado sistema es un buen candidato para operar en la nube.
Tercero, evaluar a los potenciales operadores de hosting en la nube a partir de sus prácticas de administración de riesgos. Con esta información, los proyectos pueden confrontar su análisis de riesgo con el proveedor en la  nube, lo cual permitiría definir con mayor certeza si el hosting de la nube es apropiado para ese sistema.
La evaluación de riesgo del host en la nube debe ser tratada como un objetivo dinámico, no como una situación estática. Este campo se está desarrollando rápidamente, y las evaluaciones que tenemos hoy probablemente hayan perdido vigencia dentro de seis meses.
Durante el presente año, las organizaciones de TI recibirán cada vez más presión en términos de costos y, particularmente, sobre la posibilidad de que la computación enbla nube sea considerada como una opción de desarrollo. Con un framework de riesgo a la mano, será posible tomar decisiones apropiadas, y justificarlas.
Bernard Golden es CEO de la firma de consultoría HyperStratus, que se especializa en virtualización, cloud computing and temas afines. También es autor del libro Virtualization for Dummies, un best seller en este tema.
CIO.com