La computación en nube y el “vamos a ver”

Aquí tenemos a un ejecutivo de TI. Él (o ella) es competente y profesional. Ha construido una carrera exitosa basada en la toma de decisiones correctas después un cuidadoso análisis de riesgo y recompensa. Este ejecutivo no es el primero en adoptar tecnologías no comprobadas. Él prefiere esperar y ver. Es mejor ser el segundo en entrar al mercado en lugar de ser el primero y fallar.

Este ejecutivo está muy entusiasmado con la nube y sus posibilidades. Quiere aprender más acerca de esto. Pero no está dispuesto a arriesgar su reputación y la de su compañía adoptando la nube demasiado pronto. ¿Qué pasa si mueve datos y aplicaciones importantes a la nube y hay una brecha? Cada día escuchamos más historias acerca de la piratería informática en la nube. Así que nuestro CTO competente y exitoso espera, dice “vamos a ver” y mantiene toda la información en sus instalaciones (on premise). ¿Qué tiene de malo este enfoque?

Absolutamente todo.

El argumento acerca de los problemas de seguridad y privacidad en la nube es válido. Sin embargo, nuestro ejecutivo necesita ser educado en torno a los problemas reales y los riesgos reales. La nube es más segura que los sistemas tradicionales, y cada día más segura, a medida que avanza la tecnología. Tal vez nuestro ejecutivo que espera está confundiendo control con seguridad.

Ya en 2012 (hace siglos en años informáticos), un informe de Alert Logic llamado “Estado de la seguridad en nube” encontró que las variaciones en la actividad de las amenazas de brecha no son tan importantes como dónde se encuentra la infraestructura. Cualquier cosa a la que se puede acceder desde el exterior - ya sea on premise o en la nube - tiene las mismas posibilidades de ser atacada, ya que los ataques son de naturaleza oportunista.

El informe encontró, además, que los ataques basados en aplicaciones de la web afectan tanto a los entornos de nube manejados por terceros (53%) tanto como a las organizaciones que tienen todo on premise (44%). Sin embargo, los entornos en las instalaciones de los usuarios en realidad sufren más incidentes que los entornos de proveedores de servicios en nube. Los entornos on premise experimentan un promedio de 61,4 ataques, mientras que las nubes manejadas por terceros solamente 27.8 ataques. Los entornos on premise también sufren ataques de fuerza bruta significativamente más que los entornos de nube.

Esto es aún más cierto cuando saltamos a hoy en día, 2016. La verdad es que la nube pública es más segura que el centro de datos típico, y la seguridad de nuestro ejecutivo mejoraría si se pudiera sobrepone a su prejuicio contra la nube.

Por supuesto, como nuestro ejecutivo maneja sus propios recursos de datos, cree que está haciendo un trabajo mejor de lo que harían otros - especialmente los servicios de nube de terceros.

Pero esto simplemente no es verdad. Los proveedores de la nube tienen mejores mecanismos de seguridad y están más atentos a los riesgos de seguridad a largo plazo.

Las nubes públicas tienen mejores servicios de prevención de desastres y continuidad del negocio. Los proveedores de nube son mucho mejores en servicios de seguridad de sistema, ya que tienen tecnología de análisis de patrones e incluso sistemas de inteligencia artificial. Esto significa que tienen sistemas muy seguros.

No debería ser ninguna sorpresa que los piratas informáticos se mueven a una presa más fácil: los entornos de centros de datos on premise.

Los sistemas en la empresa de nuestro ejecutivo de TI son típicamente una mezcla de tecnologías de diferentes épocas. La infraestructura tiende a ser más vieja y precaria - y menos asegurable - que la tecnología moderna utilizada por los proveedores de nube, simplemente porque la tecnología on premise fue diseñada para una era anterior de amenazas menos sofisticadas. La mezcla de diferentes tecnologías en el centro de datos típico en su empresa también abre más espacios para que exploten los hackers. Debido al envejecimiento de los sistemas on premise, su seguridad intrínseca puede ser fácilmente derrotada por los piratas informáticos. Por otra parte, el número de ataques aumenta semanalmente, y las defensas necesitan ser proactivas - más proactivas que lo que tienen la mayoría de las organizaciones empresariales.

Así que la estrategia del “vamos a ver” debe ser desechada y nuestro ejecutivo de TI debe actuar ahora y pasar a la nube. Porque a veces el tener miedo del riesgo es la opción más arriesgada de todas.