Mejores prácticas en la nube

Mejores prácticas

En entregas anteriores hemos visto las características de las tecnologías en la nube y “on premise”, qué políticas deben seguir y en qué fijarnos a la hora de contratar un servicio en áreas de seguridad y privacidad de los datos. En esta publicación voy a resumir algunas de las mejores prácticas que debemos llevar a cabo tanto a la hora de contratar, como a lo largo del servicio.

Cuando una empresa va a contratar un servicio, en primer lugar el proveedor debe tener los términos del servicio de manera clara y bien definidos. Además, estos términos tuenen que poder ser personalizados por el cliente, ya que no todas las empresas son iguales. Cada empresa tiene sus propias políticas y el contrato debe tener definidos los términos sin dar lugar a “vacíos legales”. Si estamos en un ámbito internacional, hay que comprobar si el proveedor sirve a este nivel, éste está obligado en este caso a dar un rato equitativo a empresas de diferentes países, manteniendo la misma calidad del servicio.

Debemos comparar los cifrados de información entre proveedores: para comprobar qué tan seguro van a estar nuestros datos, debemos preguntar a la empresa qué tipo de cifrados se emplean. AES (Advanced Encryption Standard) es uno de los mejores cifrados de datos, contratar servicios de un proveedor que use este tipo de cifrados es muy recomendable.

Durante el tiempo hay que comprobar si se cumplen las políticas de seguridad de la industria. Estas cambian continuamente, por lo que hay que realizar exámenes cada cierto tiempo. No es necesario hacerlo en todos los apartados, se deben centrar en gestión del riesgo, auditorias y análisis de vulnerabilidades.

Comprobar si el servicio de mantenimiento y el soporte técnico es 24×7, y que los centros de operaciones están a cargo de ingenieros certificados. Tanto como si la propia empresa se dedica a ofrecer servicios en la nube, como si vamos a contratarlo hay que comprobar que los profesionales de la empresa están cualificados y al día. Para ello, os presento las certificaciones que más han influido en el entorno empresarial en este año 2016, extraído de un informe de Forbes:

  • CompTIA Cloud+: conocimientos en profundidad del cloud computing, se cumplen las mejores prácticas en seguridad, virtualización y computación en la nube. Demuestra que se es capáz de implementar, mantener y ofrecer infraestructura en la nube.
  • MCSE Private Cloud: certificación de Microsoft para aplicaciones web.
  • VMWare VCP6: automatización y gestión en la nube y nube híbrida.
  • AWS Certified Solutions: certificación de Amazon para profesionales con experiencia en el entorno AWS (Amazon Web Services).
  • EMCCA (EMC Cloud Architect): certificación de arquitecto de la nube. Existen otras certificaciones relacionadas que tratan las categorías de arquitecto de centro de datos (EMCDCA) y administrador de almacenamiento (EMCSA)

Tanto en un sistema distribuido como en local, hay que aplicar las últimas actualizaciones lo antes posible: los crackers tienen como objetivo principal sistemas que no han sido correctamente actualizados. Una actualización más novedosa reduce el riesgo a que se haya encontrado una vulnerabilidad.

Hay que mantener una copia de seguridad de los datos en los servidores de la empresa: está muy bien que la responsabilidad de la pérdida de información sea del proveedor. Pero si esta información es irrecuperable el daño a la empresa puede ser importante si ésta no se dedica a mantener su propia copia de seguridad.

Si hemos contratado un servicio en la nube hay que estar al tanto de las políticas del servicio: los servicios en la nube cambian rápidamente de políticas a lo largo del tiempo. ¿Quién no ha recibido un e-mail de Google, Dropbox u otros servicios anunciándonos que van a aplicarse cambios en las políticas? Por ello hay que estar al tanto si el contrato que tiene nuestra empresa con el servicio va a sufrir cambios, y estudiar si supone algún problema.

No hay que conformarse con las mejores prácticas genéricas que aquí expongo. Cada industria tiene sus propio conjunto de mejores prácticas que están más enfocadas a su dominio, no es lo mismo una empresa que se dedica a ofrecer una plataforma de gestión de proyectos que un servicio de asistencia médica.

Éxitos.

He hablado mucho de los servicios, ¿pero qué ocurre en la realidad? Actualmente los servicios que ofrecen soluciones en la nube están de auge, son malas noticias para el software “on-premise”. Muchos servicios para organizar proyectos, crear presentaciones, documentos que anteriormente eran realizados, por ejemplo, con la suite de Microsoft (Office, Project…) han sido progresivamente sustituidos por soluciones como Google Docs, Redbooth, Todoist… En las empresas al trabajarse más en remoto, y debido al gran número de dispositivos que se emplean, le es mucho más rentable emplear estas herramientas y evitar la instalación y mantenimiento del software en múltiples dispositivos.

Actualmente Microsoft está migrando sus herramientas del escritorio a la nube, aunque un poco tarde ya que una tajada del mercado que antes poseía ha migrado a las soluciones que ofrece Google.

Personalmente, creo que donde antes teníamos software destinado para una tarea instalado en el ordenador ahora usamos un híbrido entre aplicación local y servicio distribuido. Por ejemplo, para planificar mis tareas he pasado de emplear los software de notas que ofrecía tanto Microsoft con OneNote como Apple con su aplicación de notas a un servicio específico en la nube como Todoist. En vez de ser una aplicación que sincroniza los datos en diferentes dispositivos, es un servicio que me permite acceder a mis datos tanto a través del navegador como a la aplicación específica en el escritorio. Esto lo hace especialmente cómodo, por ejemplo si no tengo acceso en un momento específico a mis propios dispositivos y necesito comprobar alguna información.

REFERENCIAS

[1] “Cloud Computing Best Practices”, visitado en 6 de noviembre de 2016, https://www.rit.edu/security/content/cloud-computing-best-practices

[2] “Best Practices for Enterprise Cloud Computing”, visitado en 6 de noviembre de 2016, http://www.itbusinessedge.com/slideshows/best-practices-for-enterprise-cloud-computing-07.html

[3] “Best cloud computing certifications for 2016”, visitado en 6 de noviembre de 2016, http://www.tomsitpro.com/articles/cloud-it-certifications,2-537.html

[4] “An example of success in the cloud”, visitado en 6 de noviembre de 2016, http://talkincloud.com/cloud-computing/example-success-cloud