Riskout International

Nuestra visión de las II Jornadas de Cloud Computing – CXO Latam Community – 4 de Octubre de 2011

Las jornadas se llevaron a cabo en la sede del UCEMA en Reconquista y Córdoba, un lugar muy bueno, aunque esta vez, falló el aire acondicionado, por lo que podemos decir que fue una jornada “caliente”.

La Visión de la Nube 2015, una charla a cargo de Diego Waingortin de Intel, nos dejó sabor a poco contenido, y mucha marca y propaganda de producto.

Lo que pudimos rescatar, aunque no es novedoso, son los desafíos de TI (Tecnología de la Información) para el ingreso a la nube, y estos son:

• Eficiencia

• Agilidad

• Transparencia

• Seguridad

Para ayudar y resolver estos desafíos, presentó una serie de productos de la firma, con lo cual, nos damos por enterados de su existencia.

La charla sobre la Hoja de Ruta, por Sergio Calviello de Global Crossing fue más que contundente!

El primer concepto interesante fue la visión de la nube como un “modelo de comercialización y provisión de servicios de TI” y no una nueva tecnología, que es lo que muchos creen al escuchar hablar de esto.

Lo que se ofrece dentro del concepto de la nube es una suma de servicios:

• Aplicaciones (SaaS

• Plataforma (PaaS)

• Infraestructura (IaaS)

En cuanto al ciclo de absorción, es inverso al de los servicios tradicionales, ya que primero lo adoptan las personas, luego las empresas medianas y el gobierno, con posterioridad las organizaciones científicas y por último las grandes empresas.

Al hablar sobre lo que las empresas esperan de la nube, la lista se conformó de la siguiente manera:

• Un SLA acorde a las necesidades

• La migración (para entrar y salir de la nube, o cambiarse de proveedor)

• Seguridad (quizás el punto más flojo y más preocupante)

• Monitoreo exhaustivo

• Herramientas de gestión (ya que se paga por uso)

• Soporte permanente (no olvidar que los equipos no están bajo el dominio de las empresas)

Muy interesante el punto de las claves para ser exitosos en un proyecto de subirse a la nube (en especial porque son las tareas que usualmente desarrolla Riskout en sus clientes):

• Adoptar y definir estándares

• Incorporar los nuevos roles que surgen de este proyecto

• Adquirir las competencias necesarias para las nuevas prácticas

• Definir fehacientemente los nuevos procesos

Para los vendors también hay consideraciones de importancia, que tienen que ver con la preparación para ser auditados, necesaria para los clientes a la hora de confiar sus activos (información) a un proveedor, y la aplicación de normas y mejores prácticas internacionales como ISO e ITIL.

En nuestra opinión, se debe trabajar mucho en este aspecto, no solo basándose en la seguridad, sino en los procesos de trabajo de un proveedor de servicios de nube, que deben adherir a normas específicas, que creemos aún no están del todo definidas.

Los datos sobre qué no aplica para subir a la nube también fueron expresados muy claramente y deben ser tenidos en cuenta, al menos por ahora:

• Aplicaciones con interacción particular con sistemas operativos

• Procesos con carga estable y predecible

• Procesos o bases de datos con manejo de información sensible

• Procesos integrados con otros Legacy o no subidos a la nube

• Aplicaciones con necesidad de gran escala de procesamiento

La nube presenta algunos desafíos para todos los actores, como la seguridad en el control de los datos, la privacidad, las regulaciones locales, la necesidad de estándares para la portabilidad, la confiabilidad de todos los elementos y el miedo al cambio, este último, una barrera bastante difícil de saltar.

Para todos aquellos que estén pensando en subirse a la nube, la hoja de ruta, según Sergio (y estamos de acuerdo), debiera ser esta:

• Evaluar bien los beneficios y riesgos

• Planificar la forma de adopción

• Testear el modelo (puede hacerse incluso con una nube propia local)

• Definir reglas de interoperabilidad

• Asegurar el control y portabilidad de los datos

• Trabajar en un plan de mejora continua

Dante Otero de Google, fue el encargado de la charlas sobre Una nube desafiante pero confiable.

No podemos analizar mucho esto porque en realidad se habló solo sobre Google y sus bondades, las que nos encantan, pero no deja de ser una presentación de empresa y producto.

Más allá de esto, Google Apps para Pymes parece ser un tema interesante, cosa que vamos a estudiar porque puede ser de valor.

El camino a mi nube, el tema de Alejandro Lascano de VMWare en estas jornadas, también fue muy referido a la empresa y sus productos.

Sin embargo, algunos conceptos pueden ser rescatados y creemos que valen la pena, como que, para él, la virtualización es el camino lógico para subir a la nube y que este camino no es de tecnología sino de procesos y personas, cosa sobre la cual no podríamos estar más de acuerdo.

Cuando Hernán Racciatti de SICLabs, comenzó con su charla del Rol del Chief Information Security Officer (CISO) en la nube, no pudimos dejar de prestarle atención.

Su forma de presentar y expresarse (muy coloquial por cierto) hicieron de este track, algo vivo y con buenos tips, en especial sobre los pasos que debe seguir el CISO para subirse a la nube:

• Identificación de activos (Inventario de la información)

• Clasificación de esos activos en cuanto a necesidad, criticidad y sensibilidad

• Administración de riesgos para todos los activos

• Revisión del cumplimiento de leyes y normas, locales e internacionales

• Consulta con abogados

Algunas herramientas que propone usar son:

• Documento de la CSA (Cloud Security Alliance)

• Cloud control matrix tool (check list con las cosas que se deben contemplar)

• Consensus Assesment Initiative Questionaire (Preguntas guía para un buen análisis)

Macarena Pereyra Rozas, de Carranza Torres y asociados, nos hablo sobre Nubes legales o un cielo permisivo y nos dejó francamente preocupados, en especial con los temas referidos al habeas data.

Exposición muy clara y con algunos ejemplos reales, nos marcó notoriamente la necesidad de extremar las precauciones y analizar los contratos y las formas para ir a la nube con abogados de confianza y con expertise en el tema. De más está decir que Macarena trabaja en uno de los mejores estudios de abogados con especialización en derecho informático del país y alrededores!

El caso de éxito presentado por Martín Legnoverde de Autocosmos.com, nos dejó más dudas que certezas.

Su sitio pasó de una cantidad de visitas estable y manejable, a picos y valles sumamente importantes, al cerrar un acuerdo de links cruzados con Yahoo.

Entendemos que la subida a la nube fue una solución, pero se generaron discusiones varias y creemos que había mejores soluciones, y de hecho, pensamos que se llegó a un punto al cual no se debiera haber llegado efectuando un buen análisis previo y teniendo activa una gestión de riesgos.

Cristian Boghello de Segu-Info.com.ar nos disparó una pregunta a quemarropa como para hacernos pensar, en su charla ¿Es cloud computing el modelo para mi empresa?.

Muy dinámico, y con buen manejo de la audiencia, planteó las cuestiones básicas que una empresa debe hacerse para saber si la nube es el camino correcto, y que pistas nos marcan que no debiéramos tomarlo.

Algunas malas decisiones al respecto:

• Se decide migrar sistemas estratégicos que están integrados con elementos de tecnologías informáticas existentes en la empresa

• No hay criterios de medición ni métricas definidas

• Se migran aplicaciones sin cambiar los procesos

• Se tiene un desconocimiento del funcionamiento de la nube

• No se presta atención a la necesidad de crear nuevos procesos de gestión

• No se tienen ni se definen los nuevos roles relacionados

• No se buscan alternativas ni se hace gestión de riesgos

Por último, el panel de expertos fue francamente excepcional.

Se tocaron varios temas, se analizaron en conjunto con la audiencia con mucha participación, y se levantaron nuevos puntos para próximas reuniones.

Un broche de oro para una jornada como las que CXO nos tiene acostumbrados

Daniel.

¿Qué sucede cuando los datos de procesamiento de información, de acuerdo a normas, deben de ( por ejemplo ) quedar resguardados en distintos tipos de medios y/o en su defecto garantizar la inviolabilidad de los mismos? ¿Para el caso de las distintas certificaciones y/o normas, es factible el traspaso de la responsabilidad? Es decir, la certificación de inviolabilidad de datos ( o el contrato en referencia ) que pueda otorgar una empresa que brinda servicios de Cloud Computing puede transferirse a otra empresa. ¿Es válido usar un contrato con otra empresa para hacer valer una certificación?

Cordiales saludos.

Te paso la respuesta de un experto que consultamos y te agradezco la participación!

La responsabilidad del cuidado, resguardo y proteccion de la info en todos sus formatos es del generador primero de la misma.
Vale primeramente como etiquetaron la info y como dijeron q la van a proteger segun la categ (por ej secreta, confidencial, publica, etc.)
Como se garantiza la inviolabilidad de la misma, cuando se extiende este medio a un tercero, por ejemplo, resguardo de backup? Hay una seccion n la iso 27001 17799 que lo indica.
Encripcion, clave, semilla, backup fraccionados, doble llave en ignifugos, sobre dual control, etc son opciones.
Se puede documentar la transferencia de la responsabilidad con penalidades en funcion del que se resguarde, como y el periodo respectivo. Pero igualmente el control efectivo sera del ente primario. Por mas q ejecute el contrato penalidad, lo resguardado de informacion puede q ponga en quiebra la empresa, imagen y operaciones de la misma?
Si mi info esta en cloud, el conj de info se rige sobre la empresa es extensivo a la empresa contratante. Considerar q la contratante debe aplicar l proceso de sustente el controly calidad de la proteccion x alguna norma 9000, 27001, etc
Al respecto hay un doc en cxo q habla de cloud y privacidad, creo q es de CSA Cloud Security Alliance, si lo buscas x el buscador de google en el portal lo encontras.