Cloud Computing, un breve vistazo desde las alturas

Este será el primero de cinco posts que tratarán de aportar una visión global de qué es el Cloud Computing y cómo afecta a las empresas en términos de riesgos, controles y buenas prácticas. En concreto, a través de esta serie de posts trataré de arrojar luz sobre qué diferencias o particularidades presenta este nuevo paradigma en relación a la auditoría TI y en contraposición a las soluciones on-premise.

Pero… ¿qué es el Cloud Computing? No te preocupes si no sabrías contestar con firmeza a la pregunta. La mayoría de personas, profesionales del mundo de las TIC o no, y entre las que me incluía hasta ahora, solo tienen una intuición de lo que supone el paradigma. Y como algo no se puede analizar sin entenderlo… ¡Vamos a dedicar este post a definirlo lo mejor posible!

Y para ello, voy a comenzar referenciando una definición del NIST (National Institute of Standards and Technology) [1]: «El Cloud Computing es un modelo que permite el acceso ubicuo, compartido, conveniente y a demanda a recursos de computación asegurando rapidez y mínima gestión e interacción con el proveedor de servicios.»

Personalmente, me parece una definición completa, pero difícil de entender sin contexto.

El Cloud Computing, como decíamos al comienzo del post, tiene como paradigma opuesto el software o los productos on-premise. Este término hace referencia a las soluciones software soportadas por recursos físicos (ordenadores, servidores, redes…) en propiedad y bajo mantenimiento de la organización que las consume. Es decir, todo aquello que queda dentro de casa. En el momento que dichas soluciones o recursos físicos son externalizados, bajo una serie de condiciones y distinciones, podemos hablar de Cloud Computing.

Y sí, no cualquier externalización de servicios TI puede ser considerada Cloud Computing, y no todos los servicios de Cloud Computing son iguales. Antes de comenzar a explicar cuáles son los retos que presenta este paradigma para el auditor, me gustaría dejar claro este tema.

Entonces, ¿bajo qué condiciones podemos considerar que hemos adoptado o estamos ofreciendo soluciones de Cloud Computing? Pues bien, todo aquello que adopte este modelo debe cumplir con cinco características esenciales [1] [2]:

• Servicio a demanda. El consumidor debe poder reservar y utilizar recursos de manera unilateral sin la necesidad de interactuar con el proveedor de los mismos.
• Acceso remoto de banda ancha. El consumidor debe poder acceder de manera remota a los recursos ofrecidos por el proveedor a través de mecanismos estandarizados.
• Gestión de recursos. El proveedor debe gestionar los recursos ofrecidos de manera eficiente, asegurando su disponibilidad y asignando estos de manera dinámica e independientemente de la localización del consumidor.
• Elasticidad rápida. El proveedor debe suministrar los recursos de manera transparente y sin limitaciones al consumidor. Esto es, que la demanda pueda crecer de manera ilimitada sin afectar al servicio.
• Servicio medido. El proveedor debe optimizar y controlar automáticamente el uso de los recursos para dar solo lo necesario al consumidor.

Asimismo, y como decíamos más arriba, existen una serie de distinciones. En función de qué ofrecemos o consumimos, podemos distinguir entre tres modelos de servicio [1] [2]:

• Software as a Service (SaaS). Provisión de aplicaciones software (ofimática, sistemas de gestión empresarial, e-mail…). El consumidor puede hacer uso de las mismas sin conocer el hardware o los mecanismos que las soportan.
• Platform as a Service (PaaS). Provisión de plataformas para el despliegue de aplicaciones software. Dichas plataformas reúnen una serie de requisitos o restricciones para alojar aplicaciones, como el uso de bibliotecas, herramientas y frameworks soportados por el proveedor. El consumidor desconoce el hardware que las soportan, pero tiene la capacidad de configurar los parámetros de las aplicaciones que despliega.
• Infrastructure as a Service (IaaS). Provisión de recursos de computación (procesamiento, almacenamiento, conexión…). El consumidor puede desplegar y utilizar cualquier tipo de aplicación software (sin restricciones) y a pesar de desconocer los detalles de infraestructura para la provisión de los recursos, puede decidir sobre aspectos como cuántos procesadores utilizar, cuánto almacenamiento reservar, etc.

Sin embargo, si nos fijamos en cómo desplegamos nuestros servicios de Cloud Computing, podemos hablar de dos grandes modelos de despliegue [1] [2]:

• Private Cloud. Dedicada a una sola organización. No debe confundirse con un centro de datos privado, ya que puede ser provista por un tercero. Debe cumplir las cinco características anteriormente mencionadas.
• Public Cloud. Dirigida al consumo público. Cualquier interesado puede hacer uso de los servicios ofrecidos. Gestionada por un proveedor ajeno a los consumidores.

Y ahora que sabemos qué es el Cloud Computing, cuáles son sus manifestaciones y qué diferencias presenta respecto al modelo clásico de software on-premise, vamos a tratar de intuir cuáles son los retos que podemos encontrarnos al intentar auditar una organización que lo ha adoptado.

Leyendo una serie de artículos y documentación [3] [4] [5] he podido llegar a la siguiente conclusión: el mayor reto que presenta el Cloud Computing para el auditor es delimitar qué queda dentro y fuera de la organización [3]. Pero no solo eso, este paradigma introduce también nuevos agentes (principalmente proveedores) y nuevas formas de trabajar que traen muchos dolores de cabeza a un auditor TI. Al fin y al cabo, el auditor debe considerar antes de realizar su trabajo cúal es el uso esperado de los servicios, quiénes son los agentes encargados de gestionarlos y qué relaciones guardan entre sí [4]. Con este nuevo paradigma, esto último se ha complicado severamente. Además, si hablamos de Cloud Computing, ¡hablamos de almacenamiento y procesamiento distribuido y remoto de datos! Esto es, retos en privacidad, integridad, disponibilidad y seguridad [5]. Otra pesadilla más para el auditor.

Dicho esto, y como decía al comienzo, en los siguientes posts me centraré en los riesgos concretos que presenta este paradigma para la empresa, los controles que se deben considerar, y aquellas buenas prácticas y herramientas que nos pueden ayudar a implementarlo de manera segura. También intentaré demostrar la relevancia de este tema trayendo algunos ejemplos de empresas que han logrado dominarlo con éxito o que han fracasado en el proceso.

¡Hasta aquí el primer post! Un saludo y gracias por leerme.

[1] «The NIST Definition of Cloud Computing», NIST publications, acceso el 6 de octubre de 2019, https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-145.pdf.

[2] «Chou’s Theories of Cloud Computing: The 5-3-2 Principle», Microsoft Technet, acceso el 6 de octubre de 2019, https://blogs.technet.microsoft.com/yungchou/2011/03/03/chous-theories-of-cloud-computing-the-5-3-2-principle/.

[3] «IT auditing – They are watching you», CIO, acceso el 6 de octubre de 2019, https://www.cio.com.au/article/432758/it_auditing_they_re_watching/.

[4] Adam Kohnke, «Auditing Amazon Web Services». ISACA Journal, All roads lead to risk, volumen 3 (2019): 51-55.

[5] Sanjay K. Madria, «Security and Risk assessment in the Cloud». IEEE Computer, Emerging Computing Paradigms, volumen 49, n. 9 (2016): 110-113.