Hace algunos días, los resultados de una encuesta de Gartner ponían de manifiesto que, para la mayoría de los CIOs, la nube pública era una opción para sus proyectos. Sin embargo, sólo unos pocos ponían esta consideración en primer lugar. Dave Russell, vicepresidente y analista distinguido de Gartner observaba que los encargados de Infraestructura y Operaciones podrían haberse vuelto un obstáculo a la hora de considerar soluciones basadas en la nube, tal vez porque protegían demasiado su infraestructura existente.
Al respecto, James Staten, quien hasta hace unos meses era vicepresidente y analista principal de Forrester Research (en la actualidad es estratega en jefe de la división empresarial y de nube de Microsoft), reformulaba el concepto de hibridez, necesario para entender lo que está pasando en la industria. “Lo lamento, CIOs, pero la nube híbrida no significa su entorno tradicional on premises más la nube empresarial de su elección. Significa, desde el principio, y muchos CIOs se están dando cuenta un poco tarde, un servicio público de nube conectado al entorno tradicional de TI”. El experto agrega: “Todos ustedes son híbridos; y lo han sido desde que el equipo de ventas conectó Salesforce.com a vuestro centro de datos”.
En las organizaciones más pequeñas también se observa cierta resistencia a aprovechar las ventajas de la nube, pero en este caso las razones podrían pasar por otros carriles. Una de las barreras está en la sensación de inseguridad que la nube proyecta, dado el nivel de exposición de una nube pública en relación a la infraestructura propia. Sin embargo, la realidad es que los ciberataques caen también sobre la infraestructura de las pequeñas empresas, y en muchos casos esas organizaciones están inermes (no tienen las herramientas necesarias para evitar ni para remediar el daño acaecido). La cuestión no es temer los eventuales ciberataques, sino tomar algunas precauciones a la hora de considerar estas soluciones, contratar los servicios y luego auditarlo (un proceso que muchas organizaciones chicas pasan por alto muy frecuentemente).
ALMACENAMIENTO EN LA NUBE: LAS PREGUNTAS FUNDAMENTALES
A pesar de lo dicho, no son pocas las empresas pequeñas y medianas que eligen pasarse a la nube, principalmente por razones de agilidad de negocios y economía de recursos. Así se evitan comprar, operar y mantener equipos, y todo el personal relacionado. Poco a poco, esta tendencia a tercerizar (obtener infraestructura como servicio, o IaaS) está creciendo. Según “Parallels SMB Cloud Insights for Global 2014”, en América Latina el mercado de laaS pasará de US$ 1500 millones en 2013 a US$ 4200 millones en 2016. Otro informe de los mismos analistas destaca que las pequeñas empresas prevén gastar US$ 95.000 millones en servicios en la nube para 2015.
Acaso la primera opción que a muchas empresas les surge es la de almacenar información en la nube, como una manera de disponibilizarla a bajo costo. Sin embargo hay que considerar qué cuestiones se deben sopesar antes de firmar con un proveedor de servicios de almacenamiento de datos en la nube.
En un post de SearchDataCenter, Joseph Malec planteó algunas de las cuestiones a tener en cuenta antes de contratar un servicio de almacenamiento de datos en la nube, habida cuenta de que “no todos los servicios son los mismos. Cada empresa debe sopesar cuidadosamente sus opciones para asegurarse de que encuentre el mejor servicio y el proveedor de servicios para sus necesidades específicas de negocios”.
- ¿Estoy obligado por alguna autoridad regulatoria que dicta mis requisitos de seguridad? Si su negocio es parte de la industria de la salud, leyes como HIPAA pueden jugar un papel.
- Si necesita un acceso rápido a la información de registros antiguos o a los datos de precios históricos, es necesario pensar acerca de si usted necesita una recuperación fácil de datos archivados o si algo de latencia en el acceso a los datos es tolerable.
- ¿Mi modelo de negocio restringe qué opciones están disponibles financieramente para el archivado de datos? El costo es por lo general un factor en las decisiones empresariales.
Malec sostiene que estas preguntas pueden dictar criterios específicos para la evaluación de los proveedores. Otro de los puntos a considerar es la ubicación. O, dicho de otra forma: “¿A mi negocio le importa dónde residen sus datos?”. En ciertas industrias se requiere que las empresas tengan una supervisión adecuada de sus proveedores de servicios externos.
La experiencia también es importante. Para Malec, a veces “elegir la opción de menor costo no es el mejor camino a seguir”. El experto sugiere tomarse el tiempo para examinar de cerca las operaciones de los proveedores de servicios de nube. “Averigüe si el almacenamiento de datos en la nube es su principal (o uno de sus principales) ofertas de servicios. Si la línea principal de negocios de la empresa está en otra parte, podría no estar debidamente equipada para manejar los costos, la gestión y la responsabilidad general del almacenamiento de datos. En otras palabras, considere esto una bandera roja. Averigüe también cuánto tiempo ha estado el proveedor en el negocio de almacenamiento de datos”.
La seguridad lógica y física también debe entrar en la ecuación. “Es fundamental hacer preguntas como: ¿Están los datos encriptados mientras están en movimiento y en reposo? Si es así, ¿qué tipo de cifrado se utiliza? Una vez que los datos dejan el entorno de la empresa, es importante asegurarse de que existen los controles adecuados para mantener su integridad. ¿Qué controles tiene el proveedor en su entorno físico? ¿Tiene un centro de datos de nivel 4 totalmente redundante o es menos robusto? El enfoque que el proveedor de almacenamiento de datos en la nube haya tomado para hacer frente a estas áreas facilitará decidir en gran medida si mantenerlos en la pelea por su negocio o no”.
Malec plantea la necesidad de esbozar tantas necesidades de su negocio como sea posible de antemano, dado que esta tarea hará la evaluación de las diferentes ofertas de nube mucho más fácil. “Además, muchas de estas preguntas pueden ser respondidas por consulta con el personal de seguridad del proveedor, así como a través del análisis de la certificación de sus controles. ¿Pasa por auditorías de seguridad externa o privacidad de manera regular? ¿Tienen actualmente una auditoría SSAE 16 o ISO 27001 o la certificación PCI? Estos documentos pueden ser invaluables para su análisis”, dice, y resume: “Una vez hechas estas consideraciones, será mucho más fácil para las pequeñas empresas encontrar el proveedor y el servicio que les ayudará a asegurar el almacenamiento de datos en la nube en sus negocios”.
