La muerte de un mito

El presente artículo tiene como propósito el llamar la atención acerca de algunos mitos que se asumen como ciertos a la hora de considerar y/o tomar una decisión en cuanto al uso de los proveedores en la nube.

No tiene como propósito encubierto el intimidar o frenar la adopción de esta herramienta, sino el ayudar a la toma de decisiones concientes que tiendan a apoyar el logro de los objetivos a alcanzar y no partir de concepciones equivocadas que ni siquiera los proveedores sostienen.

Mito #1 La nube es más segura o mi proveedor se encarga de la seguridad

El siguiente documento oficial de Microsoft sirve de alerta a aquellos que han seguido el mito de la seguridad en la nube, pensando que es responsabilidad del proveedor.

En este documento este proveedor establece cuales son sus responsabilidades desde el punto de vista de seguridad, y cuales seguirán siempre siendo la seguridad del usuario, lo cual es cierto no solo para el caso del proveedor sino para cualquier servicio independiente del modelo.

Estas observaciones aplicarían sin ningún problema para cualquier proveedor que se esté pensando en utilizar, al final del día, la organización contratante es la última responsable de su data.

En algunos de los casos el proveedor solo se responsabiliza por los edificios, la energía las comunicación y el hypervisor, quedando en la responsabilidad del contratante la responsabilidad de proteger sistema operativo, aplicaciones y la data, tal como lo haría en su propia infraestructura.

Este es un documento que toda persona relacionada con la toma de decision y la implementación de cualquier servicio contratado a un tercero debe tener presente.

¿Alguna vez has pensado en antivirus, pruebas de penetración y backups para los servicios en la nube?, especialmente para aquellos servicios en que se está adquiriendo la implementación de máquinas virtuales y servidores en la nube.

Algunos dirán, es que el proceso de aplicar parchos es muy tedioso y parece que nunca va a acabar, pues tengo para decirte que igual seguirás teniendo que aplicar parchos.

Elementos de protección como firewalls, IPS, backup fuera de línea y todas las buenas prácticas que se han desarrollado en la tierra deben de seguirse aplicando en la nube.

https://www.microsoft.com/es-xl/TrustCenter/Security/default.aspx

Mito # 2 La nube no falla

Este argumento adolece de una debilidad elemental, al igual como todo lo creado por el hombre, los servicios en la nube están expuestos a las mismas amenazas que sufren nuestros entornos en nuestras infraestructuras corporativas, y la principal de todas, el error humano.

Sí, es cierto que los niveles de disponibilidad son sumamente altos, por lo general más altos que los que nosotros podríamos lograr gestionando nuestra infraestructura, pero no es cierto que son a prueba de fallo.

La historia reciente de averías en los proveedores en la nube nos confirman la máxima de que el 70% de los errores en la disponibilidad, integridad o confidencialidad vineen como resultado de un cambio.

Cuando estos fallos suceden entonces se aplican ciertas claúsulas del contrato de que repondrán tal cantidad de dinero, que se aplicarán penalidades, o alguna otra forma de compensación muy claramente definida por la gran cantidad de abogados con los que cuentan estas firmas, pero al final del día, el negocio del que contrata un servicio con un proveedor en la nube no es que le retornen, descuenten o apliquen un crédito a la cuenta, es que los servicios estén disponibles.

Es cierto que estos apagones de ciertos servicios no son tan comunes, pero con la tendencia a moverlo todo a la nube resulta que ahora hemos desarrollado un modelo con un punto único de fallo.

Y lo que es peor, ya no hay nada que podamos hacer para recuperarnos por medios alternos porque ni siquiera se puede acceder la información al último momento antes de que suceda el evento.

Dependiendo del segmento al cual esté dirigido el negocio las consecuencias no son tan tan sencillas como publicar un mensaje en las redes sociales de que “nuestro proveedor está teniendo dificultades técnicas,y que el servicio se restaurará tan pronto como nuestro proveedor lo resuelva”

A continuación un artículo que nos muestra los incidentes más relevantes del año pasado.

http://www.crn.com/slide-shows/cloud/300083247/the-10-biggest-cloud-outages-of-2016.htm

Mito # 3 Es muy difícil quedar desconectado de la nube por todas las conexiones al Internet que tiene nuestro país.

Esta expresión, la cual hemos escuchado tantas veces, comunica lo que sería nuestro mejor deseo que una descripción de la realidad.

Resulta que con el crecimiento exponencial que están alcanzando los ataques cibernéticos a nivel del ciberespacio, ya nada podemos pensarlo como demasiado remoto o como una visión fatalista de una condición de distopía en un futuro donde reina el caos.

Por un lado tenemos a los delincuentes que buscan afectar intereses económicos mediante la interrupción de los servicios al realizar ataques masivos de negación de servicio, y por otro lado tenemos los que siguen alguna ideología política, religiosa, o que usan la afectación de los servicios como forma de expresión social.

Esto adquiere nuevas dimensiones con el incremento de las tensiones entres las potencias mundiales, los estados independientes y promotores de la anarquía que han hecho del ciberespacio el nuevo terreno de pelea para impactar negativamente a las naciones que les adversan, o como en el caso de muchos de nuestros países, que no están alineados con cualesquiera de estas tendencias.

El caso más reciente lo fue el Liberia, cuya infraestructura de Internet se vino abajo como consecuencia de un ataque masivo.

https://www.theguardian.com/technology/2016/nov/03/cyberattack-internet-liberia-ddos-hack-botnet

Como pueden ver estos son algunos de los paradigmas más comunes a la hora de considerar una migración a servicios en la nube, los cuales la evidencia nos indican lo contrario.

En otro momento seguiremos compartiendo parte de los mitos que sirven de argumentación para una toma de decisiones que al final no fur basada en la información sino en la concepción de como uno desearía que fueran las cosas.

Daniel Elias Robles es consultor e instructor certificado en Ciberseguridad.

Para más información ver www.cyborg.com.do