Con este último artículo llegamos a la conclusión de la serie de posts que hemos estado realizando durante prácticamente los últimos dos meses. Por esa misma razón, qué mejor oportunidad que esta para echar un vistazo a lo que nos depara el mundo de los sistemas de control industriales en los siguientes años. [Leer más…]
Cloud Computing, conclusiones
En este quinto y último post, me gustaría reflexionar sobre lo visto hasta ahora. Para ello, voy a destacar los conceptos más relevantes de los cuatro posts anteriores y os voy a traer una serie de opiniones y advertencias concretas que nos pueden dar mucho que pensar. En definitiva, me gustaría utilizar este post para ofrecer una visión crítica del Cloud Computing y complementar los contenidos que hemos ido viendo.
El Cloud Computing, como bien sabemos, es un modelo para facilitar u ofrecer servicios y recursos de computación (almacenamiento, procesamiento, gestión…) bajo demanda, con elasticidad, escalabilidad y de forma remota [1]. Un modelo opuesto a lo que conocemos como software on-premise.
Y recordado eso, reflexionemos, ¿por qué ha triunfado este modelo? ¿por qué se está adoptando de manera masiva por parte de las empresas? Podríamos pensar que es debido a los beneficios inmediatos que ofrece: escalabilidad, flexibilidad… Y es cierto, el Cloud Computing permite a las empresas ser más ágiles y reducir la complejidad de sus operaciones externalizando servicios y productos que no son su core de negocio [1]. Las empresas ya no tienen que desplegar infraestructuras TIC (IaaS, PaaS), y en ocasiones, ni siquiera deben desarrollar sus propias aplicaciones, pudiendo dedicarse a consumir software de terceros (SaaS). Además, los riesgos que tiene asociados este paradigma (ya sean técnicos o de gestión), como hemos podido ver, son controlables si contamos con un buen equipo de auditoría y un contrato blindado con el proveedor adecuado. Sin duda alguna, las ventajas que ofrece adoptarlo superan con creces a los inconvenientes.
Pero yo, como os decía al comienzo del post, os invito a verlo con otros ojos. Os invito a verlo con algo más de desconfianza. Si os fijáis, el Cloud triunfa no solo por lo que supone a nivel tecnológico o técnico, sino también porque es mucho más barato que tener software on-premise [1]. Al menos, de momento. Y esta última frase, pone sobre la mesa un riesgo que quizá no hayamos visto explícitamente en los posts anteriores. Y es probablemente, al menos a mi juicio, el más grave de todos.
Como vimos en el segundo post, hoy en día, el 94% de las empresas utilizan algún tipo de servicio Cloud. ¿Qué pasaría si de repente, visto que tantas empresas son dependientes del Cloud Computing, los proveedores comienzan a subir las tarifas? ¿Qué ocurriría si Amazon Web Services, Microsoft Azure o Google Cloud se dan cuenta de lo necesarios que son para otras empresas y se aprovechan de la situación?
Pensaréis, bueno, si los proveedores suben los precios, las empresas volverán al modelo de software on-premise. Así que, tampoco pasaría nada. Al final, los proveedores tendrían que ceder. En mi opinión, eso no es así. No es tan sencillo.
Una vez se adopta el Cloud, los costes que supondría volver a traer de vuelta a casa los sistemas, plataformas e infraestructuras serían la ruina de la mayoría de organizaciones. Si hemos visto que es caro, complejo y difícil migrar de on-premise a Cloud. Pensadlo al revés, imaginad un caso de repliegue. Un caso en el que una empresa se vea forzada a volver al software on-premise, ya no por no haber realizado una migración adecuada al Cloud, sino porque no puede hacer frente a los compromisos económicos con el proveedor.
Vuelve a calcular tu plan de recuperación ante desastres (DRP) [2]. Vuelve a establecer un RTO y RPO. Vuelve a comprar el hardware. Vuelve a acondicionar las instalaciones oportunas. Vuelve a contratar técnicos de sistemas (y despide a tus especialistas en Cloud). Costes, costes y más costes inasumibles para muchos negocios.
Decía Richard Stallman, un hombre sin duda polémico, que se equivoca con muchas cosas pero que acierta con muchas otras, que el Cloud Computing es una trampa elaborada para que las empresas compren sistemas cerrados y propietarios que les costarán cada vez más dinero [3]. Y si nos ponemos a pensarlo, debe ser un riesgo a considerar (más allá de lo que podamos opinar acerca del software privativo y el software libre). Al menos, yo así lo creo.
Debemos andar con pies de plomo cuando nos ponemos en manos de terceros. De hecho, ya vimos en el post de controles que el Cloud Computing es puro Outsourcing. En concreto, vimos que existe un control específico para (más o menos) lo que estamos hablando: “Asegurar que los procedimientos, capacidades y alternativas para migrar las operaciones en la nube a otro proveedor están previamente definidas al consumo del servicio en caso de que sea necesario por incumplimiento de los requisitos contractuales o cese del servicio del proveedor contratado”. Yo, personalmente, complementaria este control con la alternativa de volver al software on-premise. Y además, añadiría el riesgo de las condiciones de renovación, ya que igual no solo no encontramos otro proveedor, sino que igual procedemos a renovar contrato con el actual y nos encontramos con una subida de precios que no podemos asumir.
En relación a esto último, debemos saber que no solo existe el riesgo de no poder seguir pagando, ¡sino de pagar más de lo que creíamos que íbamos a pagar! ¿A qué me refiero con ésto? Pues que la propia elasticidad del Cloud supone un riesgo a la hora de predecir costes [2]. En otras palabras, añade complejidad y volatilidad a los presupuestos TI. De hecho, a veces acabamos pagando más de lo que pagaríamos con software on-premise [4].
Por otro lado, tal y como vimos en el post de riesgos y siguiendo esta línea de razonamiento pesimista, contratar software como servicio (SaaS) es una pérdida de control total para una organización [3]. En el futuro, veremos como empresas dependientes de proveedores SaaS se enzarzarán en batallas legales para poder seguir consumiendo servicios que han dejado de tener soporte, por acceder a datos históricos cuya existencia no estaba contemplada en el contrato o por defender que la propiedad intelectual de los resultados ofrecidos por el software les pertenece.
Con todo esto tampoco quiero dar a entender que el Cloud Computing es malo o que es peligroso. Nada más lejos de la realidad. Considero que el Cloud Computing es el futuro. Pero se suele decir que hasta que algo malo no pasa, no se toman medidas. Y en ese sentido, debemos ser críticos y, como auditores, anticiparse a la catástrofe, considerando tanto la esfera técnica como la de negocio cuando nuestra empresa quiera adoptar una nueva tecnología o un nuevo modo de hacer las cosas. Del mismo modo, no debemos caer en la trampa de que el Cloud es la solución a todos nuestros males. Quizá, nuestra organización no tenga la necesidad de adoptarlo, o incluso, no le convenga.
Asimismo, me gustaría aclarar que muchos de los problemas de los que hablamos también existen, en cierto modo, en el modelo de software on-premise. Si compramos software, infraestructuras y plataformas para meter ‘dentro de casa’, su mantenimiento y renovación conlleva muchos riesgos [5]. Pero lo que es cierto, es que aquellos relativos a la dependencia con terceros, se magnifican con el Cloud Computing. En este post, como os habréis dado cuenta, he tratado de arrojar luz sobre dicho problema.
Además, me gustaría decir que la mayoría de los riesgos que hemos ido viendo (relativos a costes, control y privacidad) son mitigables, en parte, adoptando modelos de despliegue de nube híbrida y privada. Las diferencias de estos modelos con la nube pública ya las comentamos en anteriores posts. Principalmente, lo que se logra es reducir esa peligrosa dependencia con proveedores, manteniendo muchas de las ventajas del Cloud. Esto las empresas lo saben y es por ello por lo que está ocurriendo una migración masiva de nubes públicas a nubes híbridas y privadas [4]. Al principio resultan más caras, pero a la larga, otorgan más control y seguridad. Son la opción más prudente.
Finalmente deciros que, si os fijáis, da igual lo que estemos auditando, todo se reduce a identificar riesgos (tanto técnicos como de gestión), implantar controles, lanzarse a la piscina y, periódicamente, revisar que dichos controles se cumplen. Al final, si nos fijamos, la palabra auditoría, etimológicamente, viene del verbo latino audire. Esto es, viene del verbo oír. Un auditor lo primero que debe hacer es escuchar, ver, observar, para luego revisar, informar y recomendar.
Eso es lo que he tratado de hacer a lo largo de estos posts. Espero que os hayan servido para aprender sobre el Cloud y sobre todo, para aprender acerca del mundo de la auditoría TI. Para mí, ha sido un placer escribirlos. ¡Un saludo y gracias por leerme!
[1] «Computación en la nube – Beneficios, riesgos y recomendaciones para la seguridad de la información», ENISA, acceso el 28 de noviembre de 2019, https://www.enisa.europa.eu/topics/threat-risk-management/risk-management/files/deliverables/cloud-computing-risk-assessment-spanish
[2] «How to escape the Cloud and move back to on-premise systems», TechRepublic, acceso el 28 de noviembre de 2019, https://www.techrepublic.com/article/how-to-escape-the-cloud/
[3] «Cloud Computing es peor que una estupidez», RedUsers, acceso el 28 de noviembre de 2019, http://www.redusers.com/noticias/richard-stallman-cloud-computing-es-peor-que-una-estupidez/
[4] «Cloud Repatriation: When Is it Time to Bring Workloads Back On-Prem?», GreenHouseData, acceso el 28 de noviembre de 2019, https://www.greenhousedata.com/blog/cloud-repatriation-when-is-it-time-to-bring-workloads-back-on-prem
[5] «On Premise vs. Cloud: Key Differences, Benefits and Risks», Cleo, acceso el 28 de noviembre de 2019, https://www.cleo.com/blog/knowledge-base-on-premise-vs-cloud
Cloud Computing, controles
En el post anterior recorrimos las diferentes tipos de riesgos que presenta el Cloud Computing y terminamos diciendo que es necesario utilizar los controles adecuados para poder mitigarlos. Y estos controles, comentamos que los íbamos a encontrar en marcos de trabajo. Pues bien, dedicaremos este post a explicar lo que son los controles y qué debe hacer un auditor para asegurarlos. Asimismo, y a modo de ejemplo, estudiaremos una serie de controles que responden a riesgos concretos que he extraído de diferentes fuentes. Sin más dilación, comenzamos.
¿Qué es un control? En pocas palabras, podríamos decir que es un mecanismo que define una organización con la finalidad de mitigar un riesgo. Y con mitigar nos referimos a, por un lado, reducir la probabilidad de ocurrencia del riesgo y, por otro lado, reducir el daño que pueda causar en caso de que ocurra. Estos criterios, probabilidad e impacto, aunque no lo dijéramos en el anterior post explícitamente, suelen ser los dos ejes de análisis a la hora de priorizar los riesgos.
Para entenderlo mejor, pongamos un ejemplo. Si tenemos un riesgo concreto de privacidad y seguridad (tal y como vimos en el anterior post) con los datos que almacenamos en la nube, póngase, riesgo de que nuestros datos sean interceptados por terceros no autorizados en la red de comunicaciones que mantenemos con el proveedor, podríamos tener el siguiente control: asegurar que los datos en tránsito por las redes de comunicación oportunas entre proveedor y consumidor están encriptados con claves privadas que solo conoce el segundo [1]. Esto es, si cumplimos con lo que dice el control, logramos mitigar el riesgo.
¿Fácil? Pues en realidad es más complejo de lo que parece. En primer lugar, existen multitud de riesgos concretos que debemos tener en cuenta, y es por eso, que como decíamos en el anterior post, vamos a necesitar guías y marcos de trabajo que nos permitan considerarlos sin que se nos escape ninguno. Y además, y esto aún no lo he dicho, los controles no solo deben implementarse… Deben auditarse. En otras palabras, debe asegurarse que los controles se cumplen. Y para ello, lo normal es que cuando se define un control, se le asocien una serie de pruebas de control o acciones de auditoría.
Para ese mismo ejemplo que veíamos antes, recogido de un documento oficial de ISACA [1], se definen las siguientes acciones de auditoría: (1) obtener las políticas de encriptación y procedimientos para datos en tránsito de la organización, (2) evaluar si los procedimientos incluyen lo siguiente: clasificación de datos en función de la sensibilidad (top secret, confidential, company confidential, public), tecnologías de encriptación adecuadas, gestión de claves apropiada y una lista de organizaciones externas del consumidor que poseen las claves de desencriptado. ¿Ya es algo más concreto verdad? Parece que empezamos a tener el control, valga la redundancia, sobre el control que hemos definido para el riesgo que queremos mitigar.
Dicho esto, y ahora que entendemos lo que es un control y cómo se debe asegurar, he tratado de identificar ciertos riesgos concretos para nuestro paradigma, el Cloud Computing, con el objetivo de haceros ver algunos controles que nos pueden ayudar a mitigarlos. Con esa finalidad, he construido una tabla con tres columnas: dominio (tipo de área donde se enmarca el control), control (definición del control, lo que se debe hacer) y riesgo mitigado (problema al que responde el control).
Para construir dicha tabla, me he apoyado principalmente en el documento [1], el cual define una serie de controles para la mitigación de riesgos en el Cloud Computing haciendo uso del marco de trabajo COBIT y el marco de trabajo COSO ERM. Mi trabajo ha consistido en agrupar los controles más significativos, descartar aquellos redundantes, resumirlos, clasificarlos por dominios y relacionarlos con el riesgo que buscan mitigar. Además, he usado a modo complementario los documentos [2] [3] [4] y he considerado los contenidos del anterior post para la definición de los riesgos mitigados. La tabla es la siguiente:
Espero que esta tabla os haya servido para haceros una idea de qué controles necesitamos si nuestra compañía quiere adoptar el Cloud. Supongo que os habréis dado cuenta, que tal y como adelantamos en el anterior post, todo gira entorno a controlar la complejidad del paradigma y asegurar que trabajamos con un tercero que nos ofrece las garantías necesarias. Asimismo, comentaros que si os quedáis con la curiosidad y queréis ver qué acciones de auditoría concretas tiene asociadas cada control, os recomiendo acudir al documento [1].
Para finalizar, como reflexión, permitidme deciros que si os fijáis, existen muchos tipos de controles, algunos más técnicos y otros quizás más de gestión. Y que a veces, al menos yo (como estudiante de ingeniería) y con ciertas preferencias personales hacia el mundo del desarrollo, nos cegamos con los aspectos tecnológicos y no somos capaces de ver lo importantes que son los aspectos organizativos. Si no hay una política de gestión de claves bien definida, da igual lo sofisticado o puntero que sea tu sistema criptológico, vas a tener vulnerabilidades. De la misma manera, por muy buena política de gestión de usuarios que hayas definido, como no uses una tecnología robusta que permita implementar de manera segura sus directrices, tienes un problema. Lo mismo, para los contratos y cumplimientos…
Con esto simplemente os quiero hacer ver que las TIC deben estar alineadas con negocio. Que las TIC, cada vez están más afianzadas como parte de la estrategia de la organización. Y que las TIC, cada vez están más lejos de ser una simple capa de soporte. En definitiva, quería remarcar que un auditor TI no es solo un profesional que asegura con su buen criterio que todo está en orden, sino también un puente entre el negocio y la tecnología.
Hasta aquí el cuarto post. ¡Gracias por leerme y nos vemos en el siguiente!
[1] «IT Control Objectives for Cloud Computing», ISACA, acceso el 16 de noviembre de 2019, https://www.isaca.org/chapters2/kampala/newsandannouncements/Documents/IT%20contro%20objectives%20for%20Cloud%20computing.pdf
[2] «Protiviti’s View on Emerging Risks – Cloud Computing», KnowledgeLeader, acceso el 16 de noviembre de 2019, https://www.knowledgeleader.com/knowledgeleader/content.nsf/web+content/nlpreviewjuly2019
[3] Zacharias Enslin, «Cloud computing adoption: Control objectives for information and related technology (COBIT) – mapped risks and risk mitigating controls». African Journal of Business Management 6 37 (2012): 10185-10194, acceso el 16 de noviembre de 2019, https://oceano.biblioteca.deusto.es/permalink/f/193pu0n/TN_crossref10.5897/AJBM12.679, https://academicjournals.org/journal/AJBM/article-full-text-pdf/363FCF530555
[4] «Riesgos y amenazas en Cloud Computing», INTECO-CERT, acceso el 16 de noviembre de 2019, https://www.incibe.es/extfrontinteco/img/File/intecocert/EstudiosInformes/cert_inf_riesgos_y_amenazas_en_cloud_computing.pdf
Cloud Computing, riesgos a considerar
En este post, y tal como adelanté en el anterior, me voy a dedicar a ofrecer una visión general sobre los riesgos asociados al Cloud Computing.
Lo primero que debemos entender, si queremos listar o categorizar los riesgos asociados a este paradigma, es que dependiendo del modelo de servicio o del modelo de despliegue que elijamos (las diferencias quedaron claras en los anteriores posts) podemos encontrarnos con diferentes tipos de riesgos [1].
Por ejemplo, no es lo mismo desarrollar una nube privada y mantener todo dentro de nuestra organización que contratar a un proveedor de servicios y externalizar nuestra capacidad de cómputo y almacenamiento a una nube pública. Igualmente, no podemos considerar que existen los mismos riesgos si estamos consumiendo un modelo de servicio PaaS (Platform as a Service) que SaaS (Software as a Service). En el primero solo tenemos fuera de la empresa el hardware y los sistemas de soporte (las aplicaciones son nuestras, o al menos las ponemos nosotros) y en el segundo, no tenemos dentro de casa ni un -maldito- trozo de código [2]. ¿Se ve a lo que me refiero?
Y si a eso le añadimos que lo normal no es adoptar un único modelo de servicio o un único modelo de despliegue (por ejemplo, la nube híbrida es la combinación de los dos modelos de despliegue principales junto a soluciones on-premise) estamos ante un escenario de riesgos complejo de analizar. ¡No sé ni por donde se va a desmontar mi negocio!
Pero bueno, no todo es tan negativo. La industria se ha preocupado por este tema y ha solucionado parte de la complejidad. De hecho, hoy en día, a 2019, contamos con categorizaciones bastante exhaustivas y tenemos a nuestra disposición marcos de trabajo que, en mayor o menor medida, nos pueden ayudar a detectar y mitigar los riesgos asociados a este paradigma de manera metódica.
Una categorización que considero suficientemente completa es la que he leído en [1]. En este artículo, se listan seis esferas o áreas de riesgo que puede llegar a presentar el Cloud. Voy a tratar de resumirlas, pero recomiendo leer el artículo original:
- Autenticación. Todo lo relativo al control y el aseguramiento de la correcta autenticación de usuarios. El Cloud Computing presenta retos en este ámbito, o mejor dicho, magnifica los retos que ya existían en modelos de computación tradicionales. La confidencialidad de la información está en el punto de mira cuando todos nuestros sistemas residen en la nube. Sobre todo, si residen en la nube pública, cuya gestión y buen gobierno dependen de un tercero.
- Seguridad y privacidad. Otro frente es garantizar que los datos con lo que se opera en la nube se mantienen seguros y privados. Y de nuevo, los riesgos relativos a esta esfera tienen que ver precisamente con la irrupción de un nuevo agente: el proveedor de servicios. Cuando se contrata a un proveedor, se debe asegurar que este sigue los estándares y controles oportunos, o que tiene las certificaciones necesarias.
- Compatibilidad con sistemas internos. Una serie de riesgos asociados al Cloud Computing tienen que ver con que la mayoría de compañías no pueden migrar todos sus sistemas a la nube. Por ejemplo, aquellos que son parte esencial de la estrategia de la organización, que son considerados propiedad intelectual o que son tan diversos que no son compatibles con la infraestructura de ningún proveedor. Existen dificultades y peligros en la interoperabilidad de sistemas, así como en la integridad de los datos que manejan. De nuevo, debido al factor de externalización.
- Disponibilidad. Existen también riesgos relativos a la disponibilidad de los sistemas que residen en la nube. Hoy en día, dicha disponibilidad debe ser garantizada en todo momento, ya que los sistemas han comenzado a ser parte esencial de cualquier organización. En la nube, dada la complejidad del paradigma, se deben realizar controles, mecanismos y procedimientos de redundancia y testing muy exhaustivos, lo que expone a una organización a mayores costes y amenazas.
- Continuidad de negocio. Si una organización adopta el Cloud (principalmente si hace uso de nubes públicas), está delegando su continuidad de negocio a un tercero: el proveedor de servicios. Si el proveedor sufre un ataque o una catástrofe, la empresa cliente también.
- Propiedad intelectual y aspectos legales. Hay riesgos asociados con la dificultad de decidir quién posee realmente los datos en un entorno Cloud. ¿El proveedor? ¿El cliente? Las complicaciones legales entorno a este tema deben ser un riesgo a considerar. Asimismo, el Cloud Computing presenta riesgos a nivel de cumplimiento. Por ejemplo, leyes o reglamentos tales como el GDPR obligan a las empresas a considerar aspectos relativos a la protección de datos personales. Su incumplimiento puede acarrear multas millonarias. Si el proveedor no las cumple, el cliente tampoco.
Otra categorización que he encontrado interesante es la presente en [3] (apartado: Cloud Adoption – key risks and how to mitigate them), más centrada en las preguntas que debe realizarse toda organización que quiere migrar su infraestructura TI al Cloud. No obstante, no vamos a entrar en más detalles. La categorización anterior ya nos da una visión suficiente para hacernos una idea de los riesgos que presenta el Cloud. De hecho, podemos observar que la mayoría de riesgos tienen que ver con dos factores: la complejidad inherente al paradigma y la puesta en escena de un nuevo agente, el proveedor de servicios.
Visto los tipos de riesgos, puede ser buena idea priorizarlos. Y por supuesto, esta priorización debe estar ligada a la naturaleza y objetivos de nuestra organización. Si somos una empresa de servicios, póngase Netflix, debemos considerar la disponibilidad y la continuidad del negocio como factores de máxima prioridad. Sin embargo, si somos una empresa farmacéutica con un alto número de patentes, quizá sea más prioritario para nosotros los mecanismos de autenticación de nuestros sistemas y la privacidad y seguridad de nuestros datos, así como los aspectos relativos a propiedad intelectual. La disponibilidad quizá no sea crítica, o al menos no en la misma medida. Con esto quiero decir, que la priorización debe ser relativa a nuestras necesidades y no debemos caer en el error de intentar priorizar todos los riesgos de la misma manera.
A modo de anécdota, y para que veáis que esto no es palabrería, deciros que hace apenas unas semanas, Amazon Web Services (AWS), probablemente el mayor proveedor de servicios Cloud, sufrió un ataque DDoS que tumbó durante 8 horas muchos de sus servicios (EC2, RDS, ELB…) [4]. Los clientes que dependían de dichos servicios, paralizados. Al final, si quiero atacar a una empresa, puedo atacar directamente a su proveedor de servicios Cloud. ¡Easy peasy! Por ello, es esencial elegir al proveedor adecuado.
Pero como decíamos con anterioridad, existen marcos de trabajo que nos van a permitir evitar este tipo de escenarios. Si queremos cubrir, o al menos considerar, todos los posibles riesgos asociados al Cloud (imaginad que sois el encargado de la gestión de riesgos TI en vuestra empresa), necesitamos herramientas, guías y muchas tablas. Sí, muchas tablas, si no queremos morir en el intento. Con esto quiero decir que no se debe reinventar la rueda. Podemos apoyarnos en marcos de trabajo que incluyan todos los controles y procedimientos oportunos a considerar. Y para nuestra suerte, existen muchos de ellos [5]. Además, ya existen otro tipo de esfuerzos (documentación, pautas, artículos) para permitir a los profesionales centrar el tiro [6].
En el siguiente post, trataremos de profundizar en dicho ámbito: los controles y marcos de trabajo asociados al Cloud Computing.
¡Gracias por leerme y nos vemos en el siguiente post!
[1] «Risk Landscape of Cloud Computing», ISACA, acceso el 2 de noviembre de 2019, https://www.isaca.org/Journal/archives/2010/Volume-1/Pages/Risk-Landscape-of-Cloud-Computing1.aspx
[2] «Entendiendo la nube: el significado de SaaS, PaaS y IaaS», Genbeta, acceso el 2 de noviembre de 2019, https://www.genbeta.com/desarrollo/entendiendo-la-nube-el-significado-de-saas-paas-y-iaas
[3] «Moving to the cloud – key considerations», KPMG, acceso el 2 de noviembre de 2019, https://assets.kpmg/content/dam/kpmg/pdf/2016/04/moving-to-the-cloud-key-risk-considerations.pdf
[4] «AWS customers hit by eight hours DDoS attack», Info Security, acceso el 2 de noviembre de 2019, https://www.infosecurity-magazine.com/news/aws-customers-hit-by-eighthour-ddos/
[5] Alosaimi Rana, Alnuem Mohammad. «Risk Management Frameworks for Cloud Computing: a critical review», International Journal of Computer Science & Information Technology 8 4 (2016), acceso el 2 de noviembre de 2019, https://pdfs.semanticscholar.org/6c88/c8f09a734317a611d4bcc566225907cbda31.pdf
[6] «Managing Cloud Risk: Top Considerations for Business Leaders», ISACA, acceso el 2 de noviembre de 2019, https://www.isaca.org/Journal/archives/2016/volume-4/Pages/managing-cloud-risk.aspx
Cloud Computing, cifras y casos de éxito
En el post anterior prometí demostrar a través de una serie de ejemplos que el Cloud Computing es importante, que es tendencia, y que es un verdadero reto para las empresas. Pues bien, ¡dedicaremos este post a recorrer casos de distintas organizaciones que han tenido que enfrentarse al Cloud! Pero antes de ello, veamos algunos números de vértigo que he recogido de varios artículos y fuentes.
Lo primero, ¡es la economía, estúpido! El mercado de servicios de Public Cloud ascenderá a finales de este año 2019 hasta los 206 billones de dólares según la prestigiosa consultora Gartner [1]. Sí, 206 billones de dólares. Un aumento relativo del 17.33% respecto al año 2018.
Lo segundo, la adopción de este paradigma en el mundo empresarial. En 2020, el 83% de la carga de trabajo de las organizaciones pasará al Cloud [2]. De hecho, hoy en día, el 94% de las empresas utilizan algún tipo de servicio Cloud [3] y de media, el 30% del presupuesto de TI en una empresa es para pagar este tipo de servicios [4].
Lo tercero, y para mí, lo más sorprendente, el 66% de las organizaciones tienen un equipo o centro específico para tecnologías Cloud [5]. Existe una fuerte apuesta por parte de las empresas por consolidar este paradigma y formar empleados especialistas en él. Lo ven como algo de futuro.
Sin duda, unas cifras que dan qué pensar y que son difíciles de creer. Traduzcamos ahora estos números en casos reales de organizaciones que en los últimos años han dirigido sus estrategias de transformación digital hacia las tecnologías Cloud.
Para mí, un claro caso de un gigante que ha adoptado el Cloud con éxito es el de General Electric. Esta empresa multinacional de servicios financieros, infraestructura y medios de comunicación, es uno de los mayores conglomerados del mundo y, en el año 2014, comenzó a aplicar una estrategia de transformación digital que revolucionó la manera de trabajar que mantenían hasta el momento. Tres años después (en 2017), y como consecuencia de seguir dicha estrategia, eligió a Amazon Web Services (AWS) como proveedor principal para alojar más de 2000 aplicaciones y servicios en la nube [6]. Según su CTO y vicepresidente, esta ha sido una de las mayores y más importantes transformaciones que ha habido en la historia de General Electric, y asegura que les ha ayudado a reorientar recursos hacia tareas de innovación que, hasta el momento, estaban ocupados manteniendo y diseñando centros de datos tradicionales.
Otro ejemplo de una compañía totalmente diferente a General Electric que ha transformado la manera en la que opera a través del Cloud es Pearson, la compañía multinacional de contenidos y servicios educativos. Para esta organización, el Cloud ha sido el habilitador que les ha permitido subirse al tren de la transformación digital en el ámbito educativo. En concreto, a través del establecimiento de una infraestructura de Cloud híbrida global ha podido liberar recursos e invertirlos en el desarrollo de nuevos productos educativos web que siguen las tendencias y demandas del mercado actual [7]. Un momento, ¿Hybrid Cloud?
Sí, y aunque no lo mencionamos en el post anterior, también existe un modelo de despliegue intermedio entre el Public Cloud y el Private Cloud. Este modelo de despliegue es el favorito de la mayoría de organizaciones, ya que les permite mezclar soluciones on-premise, nubes privadas y nubes públicas de terceros según las necesidades [8]. Otorga una flexibilidad mayor que los dos grandes modelos y además, coge lo bueno de ambos, asegurando mayor control sobre los datos y la infraestructura, propio de la nube privada, pero sin renunciar a la capacidad de crecimiento de la nube pública. Por ello, pongo este ejemplo de Pearson, ya que es una empresa que se decidió por este modelo. Además, me resulta apasionante como el Cloud puede ayudar en sectores tan diversos, como la educación. Y hablando de la transversalidad del Cloud y la informática en general, ¿sabéis qué empresa también tiene una clara estrategia de digitalización entorno al Cloud?
¡Netflix! La famosa compañía de entretenimiento y distribución de contenido audiovisual en línea. Sí, sé que es una empresa tecnológica, pero hasta ahora, no tenían una fuerte apuesta por los servicios en la nube. La razón que les ha hecho ver la luz es la inesperada popularización de sus servicios. Desde hace apenas unos años, Netflix ha pasado de ser un servicio minoritario, a ser la regla general cuando deseas ver una serie o película. Esto les ha obligado a considerar migrar sus centros de datos tradicionales a un entorno Cloud para poder soportar los grandes picos de procesamiento [9]. Y les ha ido bien. De hecho, les ha permitido expandirse de manera flexible en función de la demanda, ahorrando costes y gestionando los recursos de manera eficiente.
Y dicho esto, me queda cerrar el post con una serie de datos adicionales. Hemos demostrado con ejemplos y cifras que el Cloud es tendencia. Pero no hemos hablado aún de los riesgos que supone este nuevo paradigma, ni de la preocupación de la industria entorno a este tema. Tampoco hemos hablado de estándares y herramientas, ni de regulaciones y leyes.
Respecto a esto último, existe una clara preocupación por parte de los gobiernos sobre la adopción descontrolada de este paradigma en términos de seguridad y privacidad. Y dependiendo del país, la jurisdicción es diferente. Por ejemplo, en Estados Unidos no existe una ley general de protección de datos, sino que se han desarrollado leyes para sectores específicos que incluyen regulación entorno a este tema, como la HIPAA (Health Insurance Portability and Accountability Act), que está obligando a todos los servicios Cloud que trabajan en el ámbito de la salud a cumplir con una serie de condiciones o a ser, como dirían ellos, HIPAA Compliant [10].
Por otro lado, tenemos el enfoque europeo con el GDPR (Reglamento general de protección datos) que busca y promete unificar todas las leyes de protección de datos en la UE. Este reglamento es cada vez más exigente, ya que últimamente se han introducido derechos tales como el derecho al olvido [11] que, a pesar de ser necesarios y un gran paso a nivel social, son una verdadera pesadilla a nivel de cumplimiento. Sobre todo, cuando se trabaja con procesamiento y almacenamiento de datos distribuidos como en el caso del Cloud Computing.
Los riesgos concretos y estándares asociados al Cloud Computing los dejamos para el siguiente post. Un saludo y gracias por leerme.
[1] «Roundup of Cloud Computing forecasts and market estimates», Forbes, acceso el 13 de octubre de 2019, https://www.forbes.com/sites/louiscolumbus/2018/09/23/roundup-of-cloud-computing-forecasts-and-market-estimates-2018/
[2] «83% of enterprise workloads will be in the cloud by 2020», Forbes, acceso el 13 de octubre de 2019, https://www.forbes.com/sites/louiscolumbus/2018/01/07/83-of-enterprise-workloads-will-be-in-the-cloud-by-2020/
[3] «State of the Cloud report», Flexera, acceso el 13 de octubre de 2019, https://media.flexera.com/documents/rightscale-2019-state-of-the-cloud-report-from-flexera.pdf?/
[4] «State of enterprise Cloud Computing», Forbes, acceso el 13 de octubre de 2019, https://www.forbes.com/sites/louiscolumbus/2018/08/30/state-of-enterprise-cloud-computing-2018/
[5] «Cloud Computing trends», Flexera, acceso el 13 de octubre de 2019, https://www.flexera.com/blog/cloud/2019/02/cloud-computing-trends-2019-state-of-the-cloud-survey/#94%20Percent%20of%20Respondents%20Use%20Cloud
[6] «GE opens up on how its move to the AWS public cloud is progressing», ComputerWeekly, acceso el 19 de octubre de 2019, https://www.computerweekly.com/news/450427890/GE-on-how-its-move-to-the-AWS-public-cloud-is-progressing
[7] «Three Companies That Transformed Their Businesses Using Cloud Computing», Forbes, acceso el 19 de octubre de 2019, https://www.forbes.com/sites/ibm/2014/11/03/three-companies-that-transformed-their-businesses-using-cloud-computing/
[8] «What is Hybrid Cloud?», SearchCloudComputing, acceso el 19 de octubre de 2019, https://searchcloudcomputing.techtarget.com/definition/hybrid-cloud
[9] «6 Shining Examples of Cloud Computing in Action», Forbes, acceso el 19 de octubre de 2019, https://www.forbes.com/sites/joemckendrick/2012/02/22/6-shining-examples-of-cloud-computing-in-action/#7d68cb824bfc
[10] «Why Being HIPAA Compliant Is Important for Major Cloud Services», Cloudwards, acceso el 19 de octubre de 2019, https://www.cloudwards.net/hipaa-compliant/
[11] «Everything you need to know about the right to be forgotten», GDPR EU, acceso el 19 de octubre de 2019, https://gdpr.eu/right-to-be-forgotten/
Cloud Computing, un breve vistazo desde las alturas
Este será el primero de cinco posts que tratarán de aportar una visión global de qué es el Cloud Computing y cómo afecta a las empresas en términos de riesgos, controles y buenas prácticas. En concreto, a través de esta serie de posts trataré de arrojar luz sobre qué diferencias o particularidades presenta este nuevo paradigma en relación a la auditoría TI y en contraposición a las soluciones on-premise.
Pero… ¿qué es el Cloud Computing? No te preocupes si no sabrías contestar con firmeza a la pregunta. La mayoría de personas, profesionales del mundo de las TIC o no, y entre las que me incluía hasta ahora, solo tienen una intuición de lo que supone el paradigma. Y como algo no se puede analizar sin entenderlo… ¡Vamos a dedicar este post a definirlo lo mejor posible!
Y para ello, voy a comenzar referenciando una definición del NIST (National Institute of Standards and Technology) [1]: «El Cloud Computing es un modelo que permite el acceso ubicuo, compartido, conveniente y a demanda a recursos de computación asegurando rapidez y mínima gestión e interacción con el proveedor de servicios.»
Personalmente, me parece una definición completa, pero difícil de entender sin contexto.
El Cloud Computing, como decíamos al comienzo del post, tiene como paradigma opuesto el software o los productos on-premise. Este término hace referencia a las soluciones software soportadas por recursos físicos (ordenadores, servidores, redes…) en propiedad y bajo mantenimiento de la organización que las consume. Es decir, todo aquello que queda dentro de casa. En el momento que dichas soluciones o recursos físicos son externalizados, bajo una serie de condiciones y distinciones, podemos hablar de Cloud Computing.
Y sí, no cualquier externalización de servicios TI puede ser considerada Cloud Computing, y no todos los servicios de Cloud Computing son iguales. Antes de comenzar a explicar cuáles son los retos que presenta este paradigma para el auditor, me gustaría dejar claro este tema.
Entonces, ¿bajo qué condiciones podemos considerar que hemos adoptado o estamos ofreciendo soluciones de Cloud Computing? Pues bien, todo aquello que adopte este modelo debe cumplir con cinco características esenciales [1] [2]:
- Servicio a demanda. El consumidor debe poder reservar y utilizar recursos de manera unilateral sin la necesidad de interactuar con el proveedor de los mismos.
- Acceso remoto de banda ancha. El consumidor debe poder acceder de manera remota a los recursos ofrecidos por el proveedor a través de mecanismos estandarizados.
- Gestión de recursos. El proveedor debe gestionar los recursos ofrecidos de manera eficiente, asegurando su disponibilidad y asignando estos de manera dinámica e independientemente de la localización del consumidor.
- Elasticidad rápida. El proveedor debe suministrar los recursos de manera transparente y sin limitaciones al consumidor. Esto es, que la demanda pueda crecer de manera ilimitada sin afectar al servicio.
- Servicio medido. El proveedor debe optimizar y controlar automáticamente el uso de los recursos para dar solo lo necesario al consumidor.
Asimismo, y como decíamos más arriba, existen una serie de distinciones. En función de qué ofrecemos o consumimos, podemos distinguir entre tres modelos de servicio [1] [2]:
- Software as a Service (SaaS). Provisión de aplicaciones software (ofimática, sistemas de gestión empresarial, e-mail…). El consumidor puede hacer uso de las mismas sin conocer el hardware o los mecanismos que las soportan.
- Platform as a Service (PaaS). Provisión de plataformas para el despliegue de aplicaciones software. Dichas plataformas reúnen una serie de requisitos o restricciones para alojar aplicaciones, como el uso de bibliotecas, herramientas y frameworks soportados por el proveedor. El consumidor desconoce el hardware que las soportan, pero tiene la capacidad de configurar los parámetros de las aplicaciones que despliega.
- Infrastructure as a Service (IaaS). Provisión de recursos de computación (procesamiento, almacenamiento, conexión…). El consumidor puede desplegar y utilizar cualquier tipo de aplicación software (sin restricciones) y a pesar de desconocer los detalles de infraestructura para la provisión de los recursos, puede decidir sobre aspectos como cuántos procesadores utilizar, cuánto almacenamiento reservar, etc.
Sin embargo, si nos fijamos en cómo desplegamos nuestros servicios de Cloud Computing, podemos hablar de dos grandes modelos de despliegue [1] [2]:
- Private Cloud. Dedicada a una sola organización. No debe confundirse con un centro de datos privado, ya que puede ser provista por un tercero. Debe cumplir las cinco características anteriormente mencionadas.
- Public Cloud. Dirigida al consumo público. Cualquier interesado puede hacer uso de los servicios ofrecidos. Gestionada por un proveedor ajeno a los consumidores.
Y ahora que sabemos qué es el Cloud Computing, cuáles son sus manifestaciones y qué diferencias presenta respecto al modelo clásico de software on-premise, vamos a tratar de intuir cuáles son los retos que podemos encontrarnos al intentar auditar una organización que lo ha adoptado.
Leyendo una serie de artículos y documentación [3] [4] [5] he podido llegar a la siguiente conclusión: el mayor reto que presenta el Cloud Computing para el auditor es delimitar qué queda dentro y fuera de la organización [3]. Pero no solo eso, este paradigma introduce también nuevos agentes (principalmente proveedores) y nuevas formas de trabajar que traen muchos dolores de cabeza a un auditor TI. Al fin y al cabo, el auditor debe considerar antes de realizar su trabajo cúal es el uso esperado de los servicios, quiénes son los agentes encargados de gestionarlos y qué relaciones guardan entre sí [4]. Con este nuevo paradigma, esto último se ha complicado severamente. Además, si hablamos de Cloud Computing, ¡hablamos de almacenamiento y procesamiento distribuido y remoto de datos! Esto es, retos en privacidad, integridad, disponibilidad y seguridad [5]. Otra pesadilla más para el auditor.
Dicho esto, y como decía al comienzo, en los siguientes posts me centraré en los riesgos concretos que presenta este paradigma para la empresa, los controles que se deben considerar, y aquellas buenas prácticas y herramientas que nos pueden ayudar a implementarlo de manera segura. También intentaré demostrar la relevancia de este tema trayendo algunos ejemplos de empresas que han logrado dominarlo con éxito o que han fracasado en el proceso.
¡Hasta aquí el primer post! Un saludo y gracias por leerme.
[1] «The NIST Definition of Cloud Computing», NIST publications, acceso el 6 de octubre de 2019, https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-145.pdf.
[2] «Chou’s Theories of Cloud Computing: The 5-3-2 Principle», Microsoft Technet, acceso el 6 de octubre de 2019, https://blogs.technet.microsoft.com/yungchou/2011/03/03/chous-theories-of-cloud-computing-the-5-3-2-principle/.
[3] «IT auditing – They are watching you», CIO, acceso el 6 de octubre de 2019, https://www.cio.com.au/article/432758/it_auditing_they_re_watching/.
[4] Adam Kohnke, «Auditing Amazon Web Services». ISACA Journal, All roads lead to risk, volumen 3 (2019): 51-55.
[5] Sanjay K. Madria, «Security and Risk assessment in the Cloud». IEEE Computer, Emerging Computing Paradigms, volumen 49, n. 9 (2016): 110-113.
Cloud Computing, el nuevo paradigma del mundo de las TIC
En este y en los sucesivos posts, trataré de dar una visión holística de unos de los paradigmas que más fuerza ha cogido en los últimos años, el Cloud Computing. El Cloud Computing o computación en la nube, se encuentra en un momento de madurez después de haber pasado una fase inicial en la cual se ha comprobado el gran potencial y el alto valor añadido que representa para las empresas y los usuarios finales.
En este sentido, las empresas han decidido emprender grandes proyectos para implantar este nuevo paradigma, es destacable el siguiente dato de como los ingresos generados el año pasado por los proveedores de servicios se estimaron en más de 235.000 millones de dólares.[1]
Business Intelligence, mucho más que un «Buzz»
El término de Buzz es un neologismo acuñado en la era de la web 2.0 y es una palabra onomatopéyica que trae a la mente el zumbido de un grupo de abejas y tiene el significado de indicar el ruido, la “charla” que las redes sociales y más generalmente, la red, puede generar sobre un tema, a través del boca a boca.
Buzz es por lo tanto “compartir, el intercambio de opiniones e información”.
Cuando un término técnico entra en “buzz” ocurre que las definiciones cambian y el significado real se puede perder. Este es probablemente el caso del término “Business Intelligence”, o BI. Desde que se acuñó, las nuevas tecnologías han ampliado enormemente nuestra comprensión de BI y cómo las empresas pueden obtener ventajas de sus datos y su representación.
Presente y Futuro de los Sistemas de Información Gerencial
Todos somos conscientes de la importancia de la información y la correcta gestión de ésta, sobre todo cuando se trata de desarrollar la actividad económica a nivel global; y existen diversos sistemas de información que permiten manejarla de la manera adecuada en favor de la propia empresa.
Pero al cobrar una importancia considerable, el sistema de información se trata de una tecnología presente en la gran mayoría de las empresas, principalmente aquellas con una actividad económica importante, por lo que debemos ir un paso más allá para mantener una ventaja competitiva y mantener la tecnología a la última, en la medida de lo posible. No debemos olvidar que la actualización tecnológica, es costosa, y a menudo laboriosa, y en ocasiones contraproducente, ya que al haberse habituado el personal a operar con cierto sistema, el cambio repentino de este puede suponer más inconveniente que ventaja. Pero al margen de esto, los sistemas deben adquirir diversas capacidades que los hagan mejores que la competencia, y que facilite la consecución de las estrategias de la empresa.
El principal reto en este ámbito, es la automatización en la homogeneización y análisis de todas las fuentes de información de la empresa. A menudo el sistema no da soporte a todos los requisitos de información, o se hace uso de diversas herramientas para obtener toda la información, con lo cual no se puede gestionar toda ella con relativa facilidad.
Por esto es que últimamente las empresas han tendido optimizar e integrar en sus sistemas todas estas fuentes, dirigiéndose a una tendencia de interconexión con otras empresas como podría ser el caso del ya antiguo IED o EDI en inglés, para intercambio electrónico de datos,
llegando a desarrollarse protocolos (OFTP), frameworks, plataformas (Orckestra, pimcore, …) y estándares (ASC X12, EDIFACT, …) que cumplan dicha función, llevando a hacer uso de las nuevas tecnologías y servicios de internet (WS-BPEL), para la integración, con conceptos en auge como pueden ser el cloud computing y el big data, y estrategias de orquestación comercial.
Numerosos gestores de negocios reconocen la gran influencia del “big data” en actividades pertenecientes a acciones de inteligencia competitiva, y es una necesidad imperiosa el tener un análisis automatizado antes de 2020.
Unido a todo lo anterior, cuya finalidad es facilitar la tarea de recopilar y almacenar toda la información que pudiera ser relevante para el negocio así como el intercambio de información entre las diferentes entidades involucradas, nos interesa sacar todo el partido posible, y no quedarnos en un mero análisis de ese gran volumen de información que se encuentra a nuestra disposición.
He ahí donde entra en juego el otro aspecto a tener en cuenta hoy en dia, y en los años venideros para una empresa exitosa. Manejamos conceptos como pueden ser data mining, y artificial intelligence para usando complejas funciones matemáticas realizar la difícil labor de correlación de datos, y con la ayuda de los sistemas de inteligencia artificial, contrastar los datos y poder sacar patrones difícilmente identificables por las personas, teniendo en cuenta los datos de los que se disponen (aprendizaje supervisado), así como anticiparse a lo que está por venir.
Podemos ver la gran diversidad de aplicaciones que se le puede dar a la inteligencia artificial en el área de la empresa y los sistemas de información con ejemplos como:
- Descubrimiento de conocimiento en las bases de datos
- Estandarización, gestión y mejora de la calidad de producto
- Incremento del margen de beneficio
- Diseño y fabricación asistido por ordenador
- Anticipación del precio y la demanda
- Automatización de sistemas de control
- etc…
En definitiva, la tecnología está optimizando y facilitando la vida de los empresarios, así como en todos los ámbitos de nuestra sociedad, permitiendo delegar tareas triviales a las máquinas, en favor de una especialización por parte de las personas.
ISO 27018: Cloud Computing
La certificación ISO 27018 publicada el 29 de Julio de 2014 , es un código de buenas prácticas en controles de protección de datos para servicios de computación en la nube. Esta norma se une a la anterior ISO / IEC 27001 e ISO / IEC 27002 en el ámbito de gestión de la seguridad de la información y que se dirige específicamente a los proveedores de servicios de nube.
El objetivo abiertamente perseguido por la norma es crear un conjunto de normas, procedimientos y controles a través de los cuales los proveedores de servicios en la nube que, en conformidad con la normativa europea en materia de privacidad, actúan como «procesadores de datos», puedan garantizar el cumplimiento de las obligaciones legales en materia de tratamiento de los datos personales. Al mismo tiempo proporciona a los consumidores potenciales de servicios cloud una herramienta comparativa útil para ejercer su derecho de verificar y auditar a los niveles de cumplimiento de las regulaciones establecidas por el proveedor.
Entre las medidas innovadoras recogidas por la norma ISO 27018 señalaría las siguientes:
- El proveedor, como responsable del tratamiento, tendrá que proporcionar las herramientas adecuadas para permitir y facilitar el ejercicio por el interesado, de los derechos de acceso, rectificación y cancelación en relación con el tratamiento de los datos.
