El espionaje de la NSA y la seguridad de la nube

La seguridad de la nube es objeto de debate constante. Cada uno de los múltiples foros que se organizan para analizar la viabilidad de un proyecto de cloud computing aborda con insistencia esta cuestión. En muchas ocasiones, se aprovecha la seguridad o su falta de ella para no analizar de un modo racional los beneficios y perjuicios de esta tecnología. En este blog siempre hemos huido de aquellos posicionamientos tremendista dirigidos a provocar la huida de quienes desconfían de esta tecnología.

Sin embargo, la realidad parece querer quitarnos la razón. Las labores de espionaje de la NSA en Europa y otros lugares del mundo, conocidas recientemente, vuelven a traer a primera línea del debate esta cuestión. Este proceder por parte del gobierno americano ha provocado la indignación, no sólo de los representantes de los estados afectados, sino la de muchos ciudadanos que asisten, sin poder hacer nada para evitarlo, a una progresiva invasión de su privacidad y esquilme de sus libertades fundamentales. La industria no ha reaccionado, en muchos casos, de modo distinto.

Jimmy Wales, fundador de la Wikipedia ha afirmado que estas prácticas van “a tener un gran impacto en la industria del cloud computing, en tanto que la gente tiene miedo de poner sus datos en los Estados Unidos, pero, a su vez es devastador para el trabajo que realizo”. Ha añadido que estas actividades, en su opinión, van a dificultar que, por parte de organizaciones como Wikipedia, se pueda convencer a regímenes opresores de que respeten las libertades básicas y la privacidad, ante los reiterados intentos de limitar la censura de su contenido.

Una de las consecuencias directas lo constituye el aumento de la desconfianza hacia este tipo de servicios. Así se recoge en un informe de Price WaterhouseCoopers en Alemania que concluye que el cincuenta y cuatro por ciento de las empresas alemanas consideran peligroso utilizar la nube después de conocer la actividad de espionaje de la agencia americana. Esta cifra contrasta con un estudio anterior que establecía que el ochenta y cuatro por ciento de los consejero delegados alemanes opinaban que la nube era segura.

La actividad de la NSA puede tener un impacto negativo directo en la cuenta de resultados de las empresas que prestan servicios cloud. Sin perjuicio de que se trata de un sector en alza Así lo ha afirmado la firma de capital riesgo Venture Partners que ha estimado que las compañías que gestionan nubes públicas en Estados Unidos, tienen un valor de cien mil millones de dólares.  Sin emabargo tal y como se ha pronunciado Nick Boom de la consultora IDC quién estima que pueden producirse pérdidas de hasta treinta y cinco mil millones de dólares si las empresas extranjeras perciben que alojar sus datos en los Estados Unidos es peligroso.

Ante este panorama, la operadora Swisscom quiere aprovechar la estricta normativa suiza sobre secreto y privacidad para crear una nube que atraiga a empresas temerosas de que su información sea objeto de espionaje por terceros. La consultora Gartner ha revisado sus previsiones, tras los últimos acontecimientos, al alza para las empresas que se dedican a proveer seguridad en la nube. Una de las razones de dicho incremento será la necesidad de reforzar la encriptación de las nubes, teniendo un papel fundamental los cloud brokers por la facilidad que presenta para estos intermediarios la implantación de estos recursos.

En todo caso, la actuación de la NSA debe servirnos para que diseñemos políticas de seguridad razonables a la hora de implantar servicios desde la nube, sin menoscabo de revisar los instrumentos a nuestra disposición para protegernos frente actuaciones indiscriminadas que dificulten el normal desarrollo de nuestras empresas y nuestra sociedad.

¿Ha cambiado tu percepción de la seguridad de la nube tras conocer las actuaciones de espionaje de la NSA?

Cuestiones sobre Seguridad a Preguntar a Nuestro Proveedor de Servicios Cloud

Mientras estaba preparando el artículo sobre los Acuerdos de Nivel de Servicio que estoy ultimando y espero publicar en breve, me he topado con este artículo de Richard Thompson fundador de Central Technology publicado en el día de hoy en la versión británica del Huffington Post y que os traigo a la palestra.

A lo largo del artículo desglosa algunas de las cuestiones de seguridad que debemos de tener en cuenta a la hora de contratar servicios cloud. En primer lugar, aborda la conveniencia de verificar si nuestro proveedor cuenta con las certificaciones de seguridad correspondiente. Por otro lado, reflexionas sobre una cuestión, que los abogados no solemos valorar, si el proveedor es el propietario de la infraestructura de servidores o es un mero reseller. Por otro lado, hace hincapié en la necesidad de analizar los procesos de recuperación de datos en caso de desastre y por ultimo, si nuestro proveedoington Por procede o no a encriptar la información que se sube a la nube.

Junto con estas cuestiones más cercanas a la seguridad lógica, creo que es interesante apuntar la necesidad de contar con un plan detallado de riesgos que debe incluir, además de esas cuestiones, otras relacionadas con aspectos estrictamente legales para dotar de la necesaria seguridad jurídica al servicio y otras, más vinculadas a los procesos gestión que van a permitir que el servicio funcione adecuadamente y cumpla las expectativas perseguidas por ambas partes.

¿Que otras cuestiones creéis que hay que tener en cuenta a nivel de seguridad?

Jornada Comercio Electrónico: Oviedo 30/10/2013

Nos salimos por un momento del entorno cloud más estricto para hablaros de la interesante jornada sobre comercio electrónico celebrada, hoy miércoles, 30 de octubre de 2013, en el AC Forum de Oviedo. Volveremos a la nube en los próximos días donde abordaremos dos temas muy interesantes. Por un lado, estudiaremos los Acuerdos de Nivel de Servicio en el mundo cloud y por otro, analizaremos las consecuencias jurídicas derivadas de la declaración de concursos de nuestro proveedor de servicios cloud. No queremos adelantar acontecimientos pues todavía estamos cocinándolos pero tienen los dos muy buena pinta.

No sé si es un indicativo de cierta recuperación pero, al menos, el calendario de eventos TIC se está animando últimamente por Asturias. El encuentro, organizado por FADE, ha estado enfocado a analizar los aspectos a tener en cuenta a la hora de iniciar un proyecto en Internet. Durante la presentación de rigor, Julian González Zapico, Director General de Comercio y Turismo del Principado de Asturias, ha afirmado que en estos tiempos de incertidumbre económica, las TIC incrementan la productividad y aumentan la posibilidades de supervivencia de las empresas. Ha apuntado un dato, las posibilidades aumentan en un 39% para aquellas empresas que apuestan por las TIC en el desarrollo de su actividad.

Miguel Angel Acero, Responsable de Proyectos de Fundación CTIC ha analizado las plataformas tecnológicas de comercio electrónico. Ha señalado algunos de los aspectos a tener en cuenta a la hora de incorporar nuestro negocio a una plataforma de venta online. En primer lugar, tenemos que ser conscientes que una plataforma tecnológica es una herramienta a nuestra disposición. No por elegir una u otra vamos automaticamente a vender más o menos. El éxito o no de las ventas de nuestros productos en Internet dependen, fundamentalmente, del análisis previo que hayamos hecho de nuestro negocio y de su posterior ejecución. Dicho estudio nos va permitir elaborar una estrategia que nos va a permitir dar respuesta a las necesidades de nuestros potenciales clientes.

Así mismo, ha señalado otras variables que no deben de olvidarse, como los recursos a nuestra disposición, el diseño, la accesibilidad, los procesos operativos que incluyamos o la escalabilidad de la plataforma.

Otra de las ponencias destacadas ha sido la impartida por Orlando López, Director Ejecutivo de Talento Creativo quien ha analizado, desde la perspectiva del negocio, las técnicas a nuestra disposición para atraer publico a nuestros comercios online y convertir esas visitas en ingresos. Los objetivos que debe cumplir toda página de comercio electrónico son: atraer público, orientar a los usuarios de la página para llegar al producto que deseamos vender y dar facilidades, en lo que respecta a los procesos, a la hora de culminar la compra. Dado que en Internet es posible medirlo todo, es necesario que comprobemos el comportamiento de los visitantes a nuestras páginas de cara a analizar las posibles mejoras para poder lograr un mayor retorno de la inversión.

La jornada ha concluido con una mesa redonda en la que se ha analizado la realidad del comercio electrónico en el Principado de Asturias.

Jornada Cloud Computing Cámara de Comercio de Oviedo (24/10/2013)

Ayer, 24 de octubre de 2013, tuvo lugar en la Cámara de Comercio de Oviedo un encuentro sobre cloud computing organizado por Dispal que celebró su veinticinco aniversario y la propia Cámara. El acto central de la jornada consistió en una mesa redonda interactiva, moderada por Paco Prieto, que contó con la participación de los siguientes ponentes: Alfredo Santos de Hudson Recruiment Solutions, Daniel Suárez, de la consultora estratégica Coontigo, Miguel Ángel Lubián de Instituto CIES, y Mariano González, responsable del Centro SAT de Llanera.

Mi impresión inicial, cuando tuve noticias de la sesión, fue que nos iban a emboscar con los tópicos de siempre, la falta de seguridad, la deslocalización de los servidores o los problemas con el cambio de proveedor. El abuso de estos temas, aun siendo importantes, en mi opinión, eclipsa, en muchas ocasiones, la compleja realidad de la nube. Sin embargo, contra todo pronóstico la sesión rehuyó de los tópicos y puso sobre la mesa cuestiones que, con frecuencia, se obvian en este tipo de foros. Además, nadie hizo los clásicos chistes sobre la nube que todos conocemos y hacen tiempo que dejaron de hacer gracia🙂

Algunos de los temas que se abordaron fueron las inversiones a realizar a la hora de acometer un proyecto de estas características, la flexibilidad, el cambio de la cultura en las organizaciones y del rol de los departamentos de sistemas. En definitiva, de la importancia del factor humano para que la implantación de estos servicios sea efectiva. Por otro lado, se insistió en que el cloud no presenta más riesgos, sino riesgos diferentes y en la importancia de realizar análisis de riesgos apropiados a la hora de optar por un proveedor u otro.

Por último, uno de los aspectos más destacados de la jornada, fue la realización de encuestas entre los asistentes mediante la utilización de un dispositivo electrónico diseñado para llevar a cabo las votaciones.  Si bien no tienen un carácter científico, si son en todo caso reveladoras. Aquí alguno de los resultados de la misma:

  1. El 32% de los asistentes están preocupados por donde empezar en el cloud.

  1. El 40% de los asistentes asocia el cloud al almacenamiento de datos.

  1. El 24% de asistentes se animaría a contratar servicios de cloud si dispusieran de un Plan Específico.

  1. El servicio cloud más interesante a corto plazo para los asistentes son el almacenamiento y externalización de servidores

  1. En opinión del 25% de los asistentes la principal barrera para implantar herramientas cloud es la seguridad.

  1. El 43% de asistentes opina que la característica que más valoran del cloud es la escalabilidad y la flexibilidad.

 

 

Algunos aspectos de la formalización de un contrato de prestación de servicios cloud

La recepción de servicios cloud presenta, por su propia idiosincrasia, una serie de características que exige prestar atención a unas cuestiones para garantizar, en la medida de lo posible, que las relaciones contractuales se desarrollen con total normalidad.

Analizamos a continuación algunas de ellas:

Aunque pueda sonar a perogrullo, es importante, involucrar a los abogados desde el primer  momento y tener acceso, con la máxima antelación posible, a los textos legales a suscribir. Es habitual que accedamos a esos documentos en un momento del proceso de negociación donde, por lo avanzado del mismo, resulte difícil maniobrar.

Por otro lado, no debemos olvidar que los servicios cloud conforman nuestra infraestructura tecnológica sobre la que nos vamos a apoyar para tratar datos, explotar contenidos o gestionar información de la empresa. Debemos, por ello, tener presentes, los acuerdos adicionales que hayamos alcanzado con terceros para no entrar en contradicción e infringir sus términos y condiciones. A modo de ejemplo, en el caso de que hayamos suscrito un contrato para el tratamiento de los datos de un tercero, limitado a un territorio determinado, deberemos asegurarnos que, bajo ninguna circunstancia, el servicio permita su transferencia a otros distintos.

Ligado con lo anterior, debemos ser conscientes de los aspectos regulatorios que van a  afectar al contrato y, en concreto, conocer las consecuencias que las diferentes normativas en concurso plantean de cara a una correcta recepción del servicio.

En otro orden de cosas, es importante que, en todo momento, podamos tener conocimiento de los recursos que vamos a contratar. Puede ocurrir que algunos de los servicios o funcionalidades que contratemos, dependan de la aceptación de los usuarios del sistema vayan prestando y dar lugar, por un uso arbitrario de los recursos, a que estos se vean incrementados y nos encontremos con sorpresas económicas desagradables.

En este mismo sentido, resulta conveniente conocer, en todo momento, los procedimientos acordados para fijar los términos económicos y sus posibles regulaciones derivadas de los incumplimientos a la hora de prestarse el servicio. Para ello, deberemos contar con un sistema de precios claro y un SLA . Muchas veces, la negociación de estos acuerdos de nivel de servicio se convierte en el patito feo de todo el proceso. Obviamos su carácter crítico y se autoriza, a la ligera, el contenido de los mismos, sin haber analizado en profundidad, las consecuencias de su aplicación.  Y ese olvido puede acabar costandonos dinero.

Junto con un SLA, es conveniente regular los derechos de auditoria que nos permitan poder controlar en todo momento, si lo dispuesto en el acuerdo, se está cumpliendo efectivamente. Seguimiento que no debe limitarse, por otro lado, a la mera supervisión, sino que se debe ampliarse al acceso, en todo momento, a nuestros activos depositados en la nube. Esta facultad adquiere especial relevancia, si se produce una controversia entre las partes, de cara a poder contar con elementos probatorios suficientes para hacer valer nuestras pretensiones en las instancias correspondientes.

Y por ultimo, es muy importante contar desde el inicio con un plan de salida que nos permita resolver el acuerdo sin sobresaltos y cambiar de proveedor. En su momento, ya analizamos esta problemática por lo que nos remitimos al post.

El mundo de los contratos de servicios cloud es un mundo interesante por su complejidad. En futuros posts iremos analizando otras cuestiones que debemos tener en cuenta.

¿Qué otros aspectos hay que valorar antes de contratar servicios cloud?

Siete días de Cloud: 13/V/2013 – 20/V/2013

Un vistazo a la actualidad de la nube de los últimos siete días:

Fuente: RRHHpress.com

Fuente: Sillicon Week

Fuente: CloudAve

Fuente: CloudTech

Fuente: NextGov

Fuente: Cloud Computing Journal

Conoce los próximos encuentros del sector en Eventos Cloud

Aclaraciones del ITA sobre prestación de servicios cloud y los Acuerdos de Puerto Seguro.

El Departamento de Comercio Exterior de Estados Unidos (ITA) ha publicado una guía en el que aclara algunos aspectos en relación con los Acuerdos de Puerto Seguro y el cloud computing. Dicho documento surge como respuesta al documento del Grupo del Artículo 29 sobre Cloud Computing de 12 de julio de 2012 y algunas decisiones adoptadas por algunos Estados Miembros.

Aplicación de los Acuerdo del Puerto Seguro al Cloud Computing. 

El documento no considera que el cloud computing constituya, en sí mismo, una nueva tecnología, sino un concepto para definir el modelo de utility de computación descentralizada. Entiende que supone el uso de recursos informáticos a través de redes descentralizadas, especialmente Internet. Entre otros aspectos el documento aclara que dichos acuerdos son de aplicación a aquellas organizaciones, establecidas en la UE, que presten servicios de cloud computing que transfieran datos desde este territorio a los Estados Unidos.

Posibles nuevos estándares de cumplimiento para aquellas entidades que se adhieran a los Acuerdos de Puerto Seguro.

El documento establece que no se han producido nuevos niveles de cumplimiento, a raíz del informe publicado por el Grupo del Artículo 29, dado su carácter consultivo, no vinculante. Sin perjuicio de ello, el documento presta atención a algunos aspectos que han suscitado cierta controversia.

Por un lado, respecto de la comunicación de datos a terceros países que no presentan un nivel de protección adecuado, establece la necesidad de suscribir un contrato con el proveedor de destino por el que garantice que cumple los niveles adecuados de protección recogidos en los Acuerdos de Puerto Seguro.  Por otra parte, en cuanto a la necesidad de realizar indagaciones dirigidas a determinar, si efectivamente, un prestador cumple con lo dispuesto en los Acuerdos de Puerto Seguro, el documento dispone que no es necesario, constituyendo una garantía la aparición en la lista publicada por el Departamento de Comercio.

Los Acuerdos de Puerto Seguro y el Nuevo Reglamento de Protección de Datos.

El documento establece que tras la aprobación del nuevo Reglamento de Protección de datos, estos permanecerán vigentes, no sólo por las declaraciones conjuntas realizadas al respecto por representantes de instituciones americanas y europeas, sino al haberse procedido a incluir una enmienda en la que se establece un periodo de dos años desde la aprobación de cara a preservar los existentes niveles de protección y determinar unos nuevos.

Siete días de cloud: 6/V/2013 -12/V/2013

La actualidad del mundo cloud de los últimos siete días:

Fuente: Dell

Fuente: Cloud Tweaks

Fuente: Amazon

Fuente: Microsoft

Fuente: Adobe

 

¿Quieres conocer los próximos encuentros del sector? Accede a nuestra sección: Eventos Cloud

 

El cambio de proveedor cloud: El temido vendor lock-in

Uno de las situaciones más críticas en todo proyecto cloud es el momento en que, por una razón u otra, decidimos prescindir de nuestro actual proveedor para trasladar nuestra información y/o aplicaciones, en el caso de IaaS o PaaS, para su gestión en la nube por un tercero. Dicho movimiento, en apariencia sencillo, presenta problemas técnicos y legales que no deben ser obviados, si queremos que la prestación del servicio se haga con todas las garantías.

Dicha situación, conocida, como, Vendor Lock-in, puede definirse, atendiendo a las palabras de Margaret Rouse, como aquella, en la que un cliente que utiliza un producto o servicio no puede migrar a otros de la competencia. Dichas dificultades provienen, además de las medidas que adoptan los propios proveedores para retener a su clientela,  de la inexistencia de estándares comunes a toda la industria. Muchos expertos lo achacan  a la propia inmadurez tecnológica del sector.  A este respecto es interesante la opinión de Thomas Erl, CEO de Arcitura Education Inc.

La migración a otro operador o  las dificultades para acceder a nuestros activos constituyen uno de los aspectos que más preocupación suscitan, a la hora de subirnos a la nube, especialmente por los propios obstáculos erigidos, de un modo consciente o inconsciente, por el propio prestador del servicio. Se trata de un aspecto crítico. La pérdida de  dicha información y/o aplicaciones puede tener una incidencia decisiva en el normal funcionamiento de la empresa. No debemos paralizarnos por el miedo, un sentimiento que a veces aflora al hablar de cloud, sino ser conscientes de los riesgos y plantear una estrategia acorde.

Debemos empezar a pensar en la migración a otro proveedor al inicio de la prestación del servicio, en concreto, en el hito cero, en el momento de proceder a su elección. Dado que más tarde o más temprano, nuestra relación contractual finalizará, es preciso tener en cuenta, las posibilidades que nuestro proveedor nos ofrece para hacer la mudanza. Tener en cuenta todas estas circunstancias, en el momento de la elección del proveedor, es especialmente relevante.

Debemos aprovechar que la relación transcurre sin sobresaltos y la predisposición por parte de todas las partes intervinientes es la más adecuada. Todo ello está, sin duda, condicionado a que exista la posibilidad de negociar con el prestador de servicios cloud las condiciones. No es lo habitual. Nos vamos a encontrar, en muchas ocasiones, con contratos de adhesión en las que las posibilidades de intervención se encuentran muy limitadas, salvo que por nuestras especiales características, bien por obedecer a un interés estratégico, bien por ostentar una posición de dominio, el prestador del servicio considere conveniente iniciar un proceso de negociación.

La Agencia de Protección de Datos, consciente de la problemática derivada de esta situación,  en su reciente “Guía para clientes que contraten servicios de Cloud Computing”dedica un apartado a la portabilidad y, en concreto, a aquellos elementos que deben ser tenidos en cuenta. En ella, orienta a los usuarios de servicios cloud respecto de la recuperación de la información de su titularidad en poder del prestador de servicios cloud.  La Agencia aboga por qué esta se realice, en el plazo más breve posible, con total garantía de la integridad de la información. En concreto, resalta que debemos conocer los instrumentos que se encuentran a nuestra disposición para que la migración se realice de manera sencilla y efectiva.

Cuando hablamos de portabilidad, no debemos ceñirnos, exclusivamente, a la finalización de nuestra relación contractual. A lo largo de la prestación del servicio pueden darse situaciones, como desastres naturales, cambios legislativos contrarios a nuestros intereses, que aconsejen la retirada inmediata de las aplicaciones y de la información gestionadas en la nube. Por ello, es conveniente que dispongamos de los instrumentos para que, en todo momento, podamos acceder y recuperar estos activos, de los que, en muchas ocasiones, depende la pervivencia de nuestra empresa.

En este sentido, deberemos tener en cuenta los plazos de los que disponemos para recuperar la información y/o aplicaciones de nuestra titularidad y los procedimientos a disposición del proveedor para su eliminación. En función de la normativa aplicable puede ser necesario tener que respetar determinados plazos antes de proceder a ello.

En conclusión, de cara a que los servicios cloud contratados se presten de un modo adecuado, es de vital importancia que en el propio acuerdo dejemos plasmado, de manera detallada, el procedimiento de transición para que ésta se lleve a cabo de la manera más satisfactoria posible.

Siete Días de Cloud: Semana Santa y Pascua

La actualidad cloud durante los últimos siete días:

 

Fuente:  ITWorld

Fuente: Infoworld

Fuente: CloudTech

Fuente: Portafolio.co

Fuente: Business & Finance

Fuente: Cloud Computing Journal

 

Fuente: The Christian Science Monitor