El BDigital Global Congress centra sus debates en esta "nueva era" de la evolución de la informática
JOAN CARLES AMBROJO - Barcelona - 19/05/2010
Estamos entrando en la nueva era tecnológica conocida como computación en la nube (cloud computing, en inglés), término más poético que técnico que indica que las aplicaciones y los servicios se proporcionan directamente en la red, sin importar el terminal ni dónde se encuentre esos datos. Sin embargo, su desarrollo peligra ante la falta de transparencia de los proveedores, que no parecen garantizar que los datos de los usuarios no caigan en manos criminales o poco amistosas. La seguridad siempre ha sido uno de los puntos claves en las tecnologías de la información e Internet, y lo será aún mucho más en la computación en la nube, ha afirmado Jim Reavis, fundador y director ejecutivo de la Cloud Security Alliance, durante la jornada de hoy del BDigital Global Congress , que se celebra hasta mañana jueves en Barcelona.
La computación en la nube es una transición muy significativa de la informática, añade Reavis, se convertirá en algo parecido a comprar a los suministradores de telecomunicaciones o del agua. "Será la tercera gran era en la evolución de la informática y seremos testigos en pocos años de la aparición de algunas empresas que serán clave". ¿Que si las grandes corporaciones de las TIC liderarán el cambio? "IBM lo hizo en la era de los grandes ordenadores; Microsoft con los servidores PC". Así como Internet hizo posible la aparición de un gigante como Google, habrá otros actores en la computación en la nube, nuevas empresas e ideas que gestionarán y dirigirán este cambio, afirma este experto. Los profesionales de las TIC y del ámbito jurídico, entre otros, también deberán ponerse las pilas y adaptarse a una escala de trabajo diferente. A los primeros, porque deben manejar la transición a esta nueva modalidad informática, mucho más compleja de lo que hemos conocido hasta ahora; los abogados y juristas, deberán enfrentarse al reto de cómo adaptarse al nuevo modelo de negocio en el que buena parte de la información y aplicaciones que manejan los proveedores de servicios se encuentran en la nube, en cualquier parte del mundo, fuera de la frontera física y legal del país de origen. De hecho, A Reavis le sorprende cómo los gobiernos están adoptando la informática en la nube hasta el punto de que parte de la información que se está almacenando ni siquiera se encuentra en su país, y eso es algo que va a tener implicaciones absolutamente radicales, asegura.
La Cloud Security Alliance ha realizado algunas investigaciones para valorar estos problemas y uno de los que han observado como críticos es la transparencia de los proveedores de servicios, que persiguen la innovación y se centran en los clientes, pero no tanto en la transparencia total de funcionamiento de sus sistemas.
Marcos jurídicos adecuados
Así como el Imperio Romano conquistaba territorios y luego garantizaba la seguridad de las vías de comunicaciones que construía, diversos inventos como el SSL han permitido el desarrollo del comercio electrónico en Internet, añade Reavis. Pero no es suficiente. También harán falta marcos jurídicos centrados en cómo funcionan los sistemas que operan en los servicios de computación en la nube, en la responsabilidad jurídica que hay en cada país. Pero también habrá que garantizar que los proveedores de servicios en esta nueva plataforma obtengan la certificación adecuada de instituciones para que no sea posible "acceder a centros de datos, por ejemplo en Google o Amazon, y mirar". Y, además, herramientas de gestión, control y medición para hacer un seguimiento del recorrido que hacen los datos en la nube.
En este sentido, mucho tiene que ver la agencia europea de seguridad de las redes y la información (ENISA). "Hay que apoyar a los estados miembros y a los negocios a establecer una implementación segura de la computación en la nube", afirmó Daniele Catteddu, experto en gestión del riesgo de ENISA. Quizá ése sea un paso previo para garantizar un mejor desarrollo de esta nueva modalidad informática en Europa, donde sólo funcionan relativamente proyectos en el Reino Unido y Dinamarca. "Algunos de los estados miembros ni siquiera saben qué es la informática en la nube". En cambio, el gobierno japonés utiliza la computación en la nube como generador de actividad empresarial y ese modelo, recomienda Catteddu, se puede reutilizar o adaptar al ámbito europeo. También la utilizan los gobiernos de Australia, Estados Unidos, Singapur o Corea.
Evitar la tormenta perfecta
Ramsés Gallego, director general de Entel en Cataluña, está de acuerdo en la necesidad de plantearse las preguntas adecuadas ante cualquier proyecto de transición a la computación en la nube para evitar que una combinación de circunstancias produzca "una tormenta perfecta". Desde el consabido quién, cómo, cuándo y dónde se accede a la información, a la trazabilidad de los datos, quién tiene derecho a auditar los incidentes en la nube y con qué herramientas, o temas legales como la imposibilidad de tener datos confidenciales fuera de las fronteras físicas (es decir, en la nube) como es el caso de España. Nadeem Bukhari, director técnico Kinamik, profundizó en el tema de las auditorías en este tipo de servicios y en la necesidad de disponer de aplicaciones automatizadas. "Los itinerarios de auditoría son un objeto de amenazas potenciales y los hackers los cambian", a veces sin que los técnicos ni se den cuenta, para no dejar rastro de sus actividades delictivas, añade.
Los proveedores de servicios en la nube están recolectando gran parte de datos sensibles de clientes y usuarios que son un objetivo de alto valor paragente con intenciones no éticas, dice Bukhari. "Incluso muchas organizaciones que gastan mucho dinero en estos temas tienen problemas y, de hecho, necesitan implementar estos controles de seguridad; empresas como Amazon han subcontratado estos servicios, pero puede ser un eslabón débil si hay vulnerabilidad en uno de los proveedores de la nube porque afectará al resto". Ya hace tiempo que muchas organizaciones empezaron a subcontratar estos servicios de seguridad de los datos "y eso supone una ruptura en el ámbito de la seguridad, hay que replantearse la política de seguridad de las empresas, que subcontratarán estos servicios en la nube en la próxima década y todo se complicará más, será un tema cada vez más candente", dice Bukhari.
A río revuelto, ganancia de pescadores. Carles Fragoso, de Cesicat, ha vaticinado que en poco tiempo se crearán numerosas empresas que ofrecerán servicios forenses para analizar el robo de información crítica para actos delictivos. En la sesión de hoy también han participado empresas de servicios como HP Entreprise Services, Fujitsu y Telefónica España, que han hablado de las oportunidades del cloud computing y amenazas como los botnets.
FUENTE :http://www.elpais.com/articulo/tecnologia/expertos/reclaman/medidas/proteger/servicios/computacion/nube/elpeputec/20100519elpeputec_8/Tes