Llegamos a ustedes gracias a:



Reportajes y análisis

Iniciativa en la nube GAIA-X: Lo que los CISOs deben saber

[12/01/2021] Europa no tiene una presencia sólida en el espacio de la computación en la nube. El auge de los hyperscalers en la nube fuera de EE.UU. y China -y la dependencia europea de estos- combinado con una guerra comercial entre el este y el oeste, y los temores de que los gobiernos accedan a datos más allá de sus propias fronteras, está incomodando a algunos en la UE.

Para remediar esto, una nueva iniciativa en la nube llamada GAIA-X de Francia y Alemania busca ayudar a las empresas de tecnología europeas a competir con los titulares y ofrecer a los CIOs y CISOs europeos una nube hecha en Europa que brinde garantías en torno a la portabilidad y la privacidad, y que esté protegida de los gobiernos extranjeros.

¿Qué es GAIA-X?

Anunciado por primera vez en octubre del 2019, el proyecto GAIA-X proporciona una plataforma en la nube que se ajusta a los "valores europeos" en cuestiones como la soberanía de los datos, protección y apertura de datos. GAIA-X está diseñado para competir con proveedores en la nube como Microsoft Azure o Amazon Web Services (AWS).

En lugar de crear un competidor diseñado expresamente y de construir una infraestructura desde cero, GAIA-X tiene como objetivo ser en parte marketplace, en parte estándares y en parte organismo de certificación, ofreciendo un catálogo de servicios de proveedores europeos existentes, que han sido adaptados y certificados para cumplir con sus requisitos, y que el cliente luego contrata con el proveedor individual. Busca lograrlo a través de una serie de servicios federados, y alineando a los requisitos de GAIA-X a los proveedores de interconexión y redes y a los proveedores de servicios que participen.

Entre las empresas involucradas están Atos, Bosch, BMW, Deutsche Telekom, EDF, Orange, OVHcloud, SAP y Siemens. Los casos de uso enumerados en el sitio hasta ahora se enfocan principalmente en el sector industrial, sanitario, financiero y público, como el monitoreo de condiciones, los centros de datos Edge y el almacenamiento e intercambio de registros médicos. Se esperan pruebas de concepto y una versión alfa más adelante en el 2021.

Orange, la empresa francesa de telecomunicaciones, se encuentra entre el grupo de proveedores europeos que se unieron a la iniciativa GAIA-X desde el principio. Cedric Prevost, director de soluciones confiables en la nube de Orange, señala que la compañía cree que GAIA-X es una oportunidad para crear un espacio de datos europeo con soberanía y transparencia como núcleo, construir una base sólida para la confianza en Europa, y aprovechar las regulaciones de protección de datos como GDPR para que Europa pueda tener la mejor infraestructura y servicios de datos.

"No se busca que GAIA-X, por sí solo, funcione mejor que los principales actores de la nube, anota Prevost. "Aportará más transparencia a las diferentes características clave de las ofertas de los actores en la nube, especialmente (pero no limitado a) los atributos relacionados con la soberanía, facilitando la interoperabilidad entre proveedores, y asegurando que los valores fundamentales como la reversibilidad o la privacidad de los datos sigan pautas claras.

Prevost dice que las ofertas de nube pública existentes de Orange, como Flexible Engine o Flexible Computing Advanced, estarán disponibles en el ecosistema GAIA-X, y se trata principalmente de integrar estos servicios confiables en el marco de interoperabilidad GAIA-X.

¿GAIA-X es atractivo para los CIOs y CISOs?

Forrester informa que hasta el 80% de las cargas de trabajo en la nube en Europa ya están en al menos uno de los principales proveedores de nube, y solo el 12% de las empresas europeas eligieron un proveedor de nube pública con sede en Europa, dando por sentado la necesidad de otro proveedor.

La soberanía de los datos en la nube no es un problema nuevo y para muchas empresas no es el más urgente. Por los méritos de sus propias capacidades técnicas, es posible que GAIA-X sea limitadamente atractivo, comenta Paul McKay, analista senior del equipo de seguridad y riesgo de Forrester, especialmente para clientes como el Reino Unido. "El atractivo se dirigirá a las empresas con sede en Europa, añade. "No creo que sea muy atractivo para las empresas que tienen sede en otros lugares y cuentan con operaciones europeas.

Parte de la propuesta de GAIA-X es política. La dependencia de Europa de Azure, AWS y Google Cloud provenientes de EE.UU., y las ofertas de nube de Alibaba de China, perjudican a los proveedores europeos, y los políticos están preocupados por las disputas comerciales en curso. Esto, combinado con una regulación de gran alcance proveniente de Estados Unidos y China en torno al acceso a datos más allá de sus fronteras, podría hacer que algunos CIOs y CISOs europeos busquen otra opción viable.

"Está claro que, si bien la seguridad es importante, el nivel de capacidad de seguridad que ofrecen los hyperscalers es considerado suficientemente bueno por la mayoría de los clientes, señala McKay. "Sin embargo, en algunos países -siendo Francia y Alemania los dos que surgen con más frecuencia- todavía hay muchas dudas sobre el nivel de transparencia y apertura de los hyperscalers, por lo que sienten que es necesario crear este tipo de oferta. Si nos fijamos en el tipo de casos de uso a los que parecen apuntar, parece ser razonable que Europa busque tener una posición de liderazgo.

McKay dice que GAIA-X podría ser atractivo para las organizaciones que buscan más transparencia en torno a la soberanía de los datos, y dónde residen y se procesan los datos de los hyperscalers. Esto es especialmente cierto para casos de uso como la copia de seguridad y la recuperación, el procesamiento de datos confidenciales que la organización debe saber dónde están ubicados en todo momento o el almacenamiento de propiedad intelectual en ubicaciones indeseables. "Para competir con los hyperscalers, [GAIA-X] debe centrarse en las áreas en las que puede proporcionar un valor único, y eso proviene del conocimiento del dominio en casos de uso específicos de la industria, explica. "Podría verlos compitiendo como una alternativa para esas cargas de trabajo sensibles, si es que proporcionan un conjunto de soluciones que resuelven problemas en dominios donde los clientes no están felices con el mercado existente.

Como miembro del panel fundador de GAIA-X, el portavoz de Siemens, Yashar Azad, dice que el interés de su empresa en el proyecto es impulsar el crecimiento de los ecosistemas de datos europeos. Dice que "prácticamente cualquier caso de uso que se base en la generación de conocimientos a partir de datos industriales es un candidato potencial para utilizar GAIA-X.

Sin embargo, cuando se trata de seguridad, señala que Siemens no ha estado involucrado y que todavía no se pueden comunicar más detalles sobre la seguridad de GAIA-X con suficiente confiabilidad, en parte debido a que la Asociación GAIA-X, que está obligada a tomar decisiones de diseño vinculantes, aún no ha iniciado operaciones. "Confiamos en que tanto GAIA-X, como los principales actores de la nube, continuarán tomando amplias medidas para garantizar la ciberseguridad. Tenga en cuenta que la propuesta de valor de GAIA-X no se trata tanto de ofrecer una mejor ciberseguridad, sino de brindar a los usuarios un mejor control sobre sus datos.

¿Qué necesitan saber los CISOs sobre GAIA-X?

El interés de GAIA-X en la seguridad se basa principalmente en mantener los "valores europeos en torno a la soberanía como núcleo de su ecosistema. Esto se lleva a cabo a través de "reglas de política que todas las empresas deben respetar para formar parte de GAIA-X. Estos incluyen términos de contratación que deben permitir la reversibilidad sin barreras y atributos precisos de las descripciones de servicios de los proveedores en torno a cosas como ubicaciones de centros de datos, cumplimiento de GDPR o regulaciones extraterritoriales como el US CLOUD Act.

Prevost sostiene que, como es un ecosistema descentralizado, GAIA-X proporcionará tres servicios comunes: una identidad federada para garantizar que el uso de múltiples proveedores siga siendo fácil de llevar a cabo, un catálogo de proveedores y sus servicios para permitir que los clientes los encuentren, y un marco de cumplimiento para asegurar que todos sigan las reglas del ecosistema. "Los detalles sobre las características de seguridad de los servicios federados de GAIA-X, como la identidad, aún están en proceso, agrega. "Es por eso por lo que aún no se ha descrito completamente, pero definitivamente se hará una vez que las especificaciones estén listas para comenzar una fase beta.

Por lo que sabemos, los mecanismos federados de identidad y confianza permitirán a los usuarios impulsar rápidamente sus requisitos de seguridad y soberanía designados en todos los servicios GAIA-X que utilice un cliente. El usuario decide qué datos residen dónde, a dónde se les permite ir y quién tiene acceso a ellos. Los usuarios podrán cambiar y trasladar datos entre diferentes proveedores GAIA-X.

Si bien algunas de las promesas sobre la habilitación de la transferencia de datos y la transparencia podrían ser una contribución útil al mercado, McKay duda que exista suficiente diferenciación para atraer a los CIOs y CISOs. "No he visto ninguna evidencia que sugiera que esto hará una gran diferencia en el mercado europeo, más allá de tratar los problemas de soberanía y seguridad de los datos. Necesito ver un valor empresarial contundente que hará que los CIOs se lo tomen en serio.

Un problema principal en torno a GAIA-X es la falta de detalles sobre cómo funcionaría el proyecto en la práctica, tanto en seguridad como en términos generales. "Todavía son libros blancos, señala McKay. "Nada de eso está desarrollado todavía. Ese es el problema. Necesitamos ver algo real muy pronto si es que esto va a funcionar.

McKay quiere ver más claridad en torno al esquema de certificación European Cloud Security, que podría hacer que GAIA-X trabaje con ENISA para crear un conjunto de garantías en bandas que permitan que los usuarios vean qué servicios pueden ofrecer la seguridad, transparencia, apertura y garantías regulatorias requeridas para cargas de trabajo y datos específicos. "Lo que falta es definir cuál es este conjunto preciso de requisitos de seguridad, objetivos de control, etc., el tipo de detalle habitual que esperaría ver sobre lo que se requerirá en cada uno de esos niveles... Eso va a ser muy importante para determinar dónde estarán los proveedores de servicios y sus ofertas de servicios dentro del paquete de proveedores.

Es probable que haya problemas relacionados con esperar que los proveedores de la nube demuestren el cumplimiento "ex ante (es decir, se puede demostrar el cumplimiento de las reglas antes de una infracción) con los requisitos de seguridad de GAIA-X una vez definidos. "Esto significa que los proveedores de la nube deberán tener medios dinámicos para demostrar continuamente el cumplimiento, e implementar medios técnicos para mostrar el movimiento de datos, señala McKay. "Si bien algunos aspectos de este tipo de monitoreo ya existen, para ciertos proveedores de servicios GAIA-X, hacer esto y asegurarse de que los organismos reguladores que supervisan la certificación de GAIA-X lo consideren ex ante de manera segura será difícil.

McKay actualmente aconseja que los CISOs vigilen GAIA-X, pero que no lo consideren en serio hasta que demuestre que puede proporcionar un valor real y los CIOs comiencen a prestarle más atención a la adopción. "Si esas pruebas de concepto fallan o no entregan el valor esperado al menos para mediados de este año, y no vemos que funcione algo que tenga un valor único en el mercado en términos de capacidad empresarial y de seguridad, entonces no veo cómo esta iniciativa tendría futuro a largo plazo. En mi opinión, los próximos seis a nueve meses son realmente cruciales para saber si eso sucederá o no.

Al mismo tiempo, los grandes proveedores de la nube no se están quedando de brazos cruzados. Además de unirse a GAIA-X, muchos están aumentando los esfuerzos en torno a la informática confidencial y están desafiando el alcance del gobierno. Microsoft prometió recientemente que cuestionará e impugnará todas las solicitudes gubernamentales de datos de clientes empresariales o del sector público de cualquier gobierno en el que exista una base legal para hacerlo, y que proporcionará una compensación monetaria a los clientes si los datos se divulgan en respuesta a una solicitud del gobierno que viola el GDPR.

A corto plazo, McKay señala que es necesario que se tomen buenas decisiones de personal en torno al liderazgo de la fundación GX para impulsar el proyecto. Para tener éxito a largo plazo, cree que la UE debe comenzar a adoptar y familiarizarse con el proyecto, y vincularlo a la estrategia digital más amplia del mercado para ser más atractivo en todo el continente y no solo Francia y Alemania.

McKay también advierte que GAIA-X podría dañar sus propias oportunidades en el mercado si sucumbe a las "dificultades proteccionistas, y es adoptado entre los organismos gubernamentales simplemente por el deseo de evitar a los grandes operadores tradicionales. "No veo cómo ayudaría a su reputación en el mercado si considera como algo proporcionado por el sector público sobre la base de la soberanía y justamente en el lugar en que el proveedor tiene su sede, en lugar de ganar porque ofrece la mejor solución técnica para los requisitos de los organismos gubernamentales, explica. "Tiene que ganar porque merece ganar. Tiene que ser la mejor solución técnica, no solo la mejor solución francesa o la mejor solución alemana.