Por Fernando Rodriguez M.
Virtualization Business Development Mgr
@FdoRodriguezM
En nuestros artículos anteriores veíamos como la computación en la nube presenta ventajas económicas y ofrece caminos de innovación a las organizaciones que lo utilizan, de una forma que recién estamos comenzando a entender. Este mejor entendimiento es un proceso que nos lleva a cambiar paradigmas muy arraigados.
Un ejemplo claro, suele ser el de la seguridad de la información -inhibidor número 1 de computación en la nube según múltiples encuestas y estudios de analistas como IDC[1]-.Todavía tenemos cierta herencia de Santo Tomás, en que sentimos algo mucho más seguro cuando lo podemos ver y tocar. No nos sentimos del todo cómodos con la promesa de que en la computación en la nube lo importante es tener el servicio disponible, sin importar como se haga. Tener una pieza de hardware directamente relacionada con nuestra información nos brinda una sensación de mayor seguridad.
Sin embargo, lo que es cada vez más evidente, es que esa percepción de seguridad no es necesariamente adecuada en un mundo interconectado y con redes ubicuas. Hoy en día, se requieren inversiones importantes en tecnología, procesos, educación y entrenamiento continuo para realmente mantener seguros los datos.
Si los objetivos de la seguridad son la confidencialidad, la integridad y la alta disponibilidad de la información, probablemente las instalaciones físicas de muchas de nuestras organizaciones no son las más adecuadas para asegurar realmente la información. Igualmente los recursos, herramientas, procesos y personas que dedicamos a garantizar el uso seguro de la información, pueden cambiar fuertemente según el tipo de organización, tamaño y el sector al cual pertenece.
Por estas razones, creo que más allá de hablar de seguridad, el factor realmente determinante para que una organización se decida a dar el paso hacia la computación en la nube es la confianza. Esto claramente involucra temas de seguridad, pero va más allá. Tiene que ver también con el control, los acuerdos de niveles de servicio, la territorialidad y la legislación vigente que afecta la información. Además, involucra el cumplimiento de normas, regulaciones y buenas prácticas para el uso, procesamiento y almacenamiento de la información. Muchas de estas buenas prácticas se encuentran en lineamientos generales como los enunciados en la norma ISO 27001 o los trece dominios identificados por la CSA (Cloud Security Alliance).
Lo cierto al final del día, es que este grado de confianza tendrá umbrales distintos para cada organización e incluso consideraciones diferentes según el tipo de aplicación dentro de la misma organización.
Para empresas pequeñas y medianas en las que el impacto costo-beneficio se sopese de manera adecuada, muy probablemente, las ventajas ofrecidas por la nube serán suficientes para animarse a dar el paso, siempre y cuando los servicios los ofrezca un proveedor que genere la confianza adecuada. Es por esto que sostengo que la nube actúa como un gran ecualizador social, donde empresas pequeñas comienzan a tener acceso a herramientas que bajo el modelo tradicional de TI solo tenían acceso las grandes.
Por su parte las grandes empresas, que suelen poseer infraestructuras de TI establecidas bajo el modelo tradicional, quizás tendrán una aproximación similar pero con resultado diferente. La recomendación para este tipo de empresas es no querer dar un gran salto al vacío, sino hacer el cambio gradualmente, paso a paso o aplicación por aplicación, donde esto sea posible.
En este sentido, creo que un gran ejemplo de cómo abordar este proceso, es la política de Cloud First o “primero la nube”, que promulgó Vivek Kundra, en su paso como CIO del Gobierno Federal de Estados Unidos. Si bien es una política que ha generado controversias y opiniones encontradas en su ejecución, desde mi punto de vista, un gran mérito en su plan de implementación tiene que ver con proponer una migración gradual que permita a las organizaciones entender mejor el potencial de la nube y acomodar su estructura a esta nueva realidad, paso a paso. Dice el documento, publicado en Diciembre de 2010:
“Cambiar a la política de la nube primero. En un periodo de 3 meses, cada agencia del gobierno identificará tres servicios que se deberán mover a la nube. Uno de esos servicios se deberá mover en un periodo máximo de 12 meses y los dos restantes en un tiempo que no exceda los 18 meses.”
Con este tipo de aproximaciones, es mucho más fácil digerir el elefante. En diversos estudios de múltiples analistas suele preguntarse a las organizaciones qué aplicaciones tienen o están considerando migrar a la nube. Normalmente se mencionan aplicaciones de colaboración empresarial, correo electrónico, backup y recuperación de desastres, mesa de ayuda y CRM (Customer relationship management), entre otras.
Cada una de estas aplicaciones tiene un umbral de confianza distinto y por eso se considera su migración en un proceso en fases. Es acá justamente donde entra en juego la gran escala de grises de computación en la nube que mencioné en mi artículo anterior. El tema afortunadamente no es de blanco o negro.
¿Su empresa en qué nivel se encuentra?
Puede aprender más sobre la perspectiva de Cisco para la nube en esta página.
Fernando Rodriguez M.
Virtualization Business Development Mgr
@FdoRodriguezM
[1] Por ejemplo consultar este estudio reciente de IDC en entidades de gobierno en Europa Central y del Este: http://www.idc.com/getdoc.jsp?containerId=prCZ23465612