En los últimos años gran cantidad de empresas se ven atraídas por las ventajas técnicas y los bajos costos de mantenimiento que ofrece el esquema de cómputo en la nube. Flexibilidad, accesibilidad, autoservicio bajo demanda, escalabilidad, gestión de grandes volúmenes de datos, son algunos de los beneficios que ofrece este esquema de cómputo. Sin embargo, estas ventajas, muchas veces no contemplan cuestiones críticas como la seguridad de la información y la privacidad de los datos almacenados o la intelectualidad de los datos y sistemas.

Actualmente, la información es el activo más importante de las organizaciones. Es por ello que asegurar la privacidad de la información durante su ciclo de vida es crucial a la hora de utilizar este tipo de servicios.

El desconocimiento o la no aplicación de la normativa vigente pueden transformase tanto en pérdida de confianza o daño en la imagen de una empresa o perjuicio económico y hasta en responsabilidades jurídicas. Las preocupaciones por estos inconvenientes por lo general son lo suficientemente importantes para algunas empresas y organizaciones, tanto que les llevan a evitar implementar sus sistemas en arquitecturas de cómputo en la nube.

Como se señala en un informe realizado por el Foro Económico Mundial en 2010 en el que se consultaba al sector industrial, gobiernos y académicos, los principales obstáculos para la adopción de servicios Cloud o en la nube se concentran en tres cuestiones de localización de los datos:

• Privacidad.
• Confidencialidad.
• Las relacionadas con la propiedad y los derechos de los datos en la nube.

Por lo tanto, al momento de iniciar un proyecto de Cloud Computing, es determinante adecuarse a la normativa local y a su vez, analizar las cláusulas relativas a la seguridad de la información, especialmente a la protección de los datos personales. Existe legislación aplicable que determina la extensión de responsabilidad de usuario y proveedor. La acción de realizar un análisis previo en este sentido, permite al primero conocer la extensión de la reparación ante un evento que le provoque un daño. De este modo, él mismo podrá valorar qué delega en este modelo y qué cuestiones prefiere reservarse, pudiendo tomar una decisión responsable, basada en criterios técnicos y legales.

Uno de los grandes interrogantes que se presentan en torno a los soluciones de cómputo en la nube es como nos aseguramos que se están aplicando los procedimientos y disponiendo los medios necesarios para la protección de la información que se aloja y se procesa en esos ambientes. Este trabajo también pretende presentar alternativas para confirmar la aplicación de los procedimientos de seguridad utilizados. En virtud de lo expuesto, la instancia metodológica comprende en primer lugar una descripción del modelo de servicios de cloud computing. Se explicarán sus características, tipos y modelos de despliegue.

En otro artículo se abordarán los principales riesgos asociados al modelo de cómputo en la nube, principalmente relacionados con la falta de control, disponibilidad y la confidencialidad de los datos alojados en ambientes cloud.

El modelo de cloud computing

Hablar de cloud computing es presentar un concepto de servicios de cómputo por demanda. Se trata de un nuevo esquema en el uso de los recursos de tecnológicos y de los modelos de consumo y distribución de esos recursos. El Instituto Nacional de Estándares y Tecnología (NIST) de los Estados Unidos y su laboratorio de tecnología de información, definió este nuevo concepto de la siguiente manera:

Cloud Computing es un modelo para habilitar acceso conveniente por demanda a un conjunto compartido de recursos computacionales configurables, por ejemplo, redes, servidores, almacenamiento, aplicaciones y servicios, que pueden ser rápidamente provisionados y liberados con un esfuerzo mínimo de administración o de interacción con el proveedor de servicios. Este modelo de nube promueve la disponibilidad y está compuesto por cinco características esenciales, tres modelos de servicio y cuatro modelos de despliegue o entrega.

Presenta un cambio importante en el paradigma computacional actual, la transformación de la infraestructura y las aplicaciones de un mundo claramente dominado y administrado por las organizaciones, a otro donde un tercero, en principio confiable y conocido, brinda capacidad de infraestructura para almacenamiento y uso de servicios o aplicaciones. Como se verá luego de leer este artículo, hay diferencias en Cloud Computing y SaaS (Software as a Service)

La Cloud Security Alliance (CSA) es la Guía para la seguridad en áreas críticas de atención en Cloud Computing y describe cinco características esenciales en las que se evidencian similitudes y diferencias con las estrategias de computación tradicionales:

1. Autoservicio por demanda. Un consumidor puede abastecerse unilateralmente de tiempo de servidor y almacenamiento en red, según sus necesidades, de forma automática sin requerir la interacción humana con cada proveedor de servicios.
2. Amplio acceso a la red. Las capacidades están disponibles en la red y se accede a ellas a través de dispositivos estándar (p.ej., PC, teléfonos móviles y tablets).
3. Reservas de recursos en común. Los recursos como por ejemplo el almacenamiento, el procesamiento o la memoria del proveedor son compartidos y pueden ser utilizados por múltiples clientes. Estos recursos son asignados dinámicamente y reasignados en función de la demanda de los consumidores. El cliente por lo general no tiene control o conocimiento exacto sobre la ubicación los recursos. Usualmente el proveedor no revela el lugar, aunque se puede especificar una ubicación genérica, como región o país.
4. Rapidez y elasticidad. Las capacidades pueden suministrarse de manera rápida y elástica, en algunos casos de manera automática, para poder realizar el redimensionado correspondiente rápidamente. Para el consumidor, las capacidades disponibles para abastecerse a menudo aparecen como ilimitadas y pueden adquirirse en cualquier cantidad y en cualquier momento.
5. Servicio supervisado. Los sistemas de nube controlan y optimizan el uso de los recursos de manera automática, utilizando una capacidad de evaluación en algún nivel de abstracción adecuado para el tipo de servicio (p.ej. almacenamiento, procesamiento, ancho de banda, y cuentas de usuario activas).

Existen tres modelos distintos de prestación de los servicios en la nube y se definen del siguiente modo:

1. Infrastructure as a Service (IaaS): En este modelo de infraestructura como servicio, el Cloud Service Provider (CSP) brinda al usuario una infraestructura de recursos IT como procesamiento, energía, almacenamiento, redes y otros recursos básicos para que el consumidor pueda implementar y ejecutar cualquier tipo de aplicación. También suele llamárselo Hardware as a Service. Aquí, el usuario tiene control sobre los sistemas operativos, almacenamiento, aplicaciones desplegadas. Este esquema puede escalarse automáticamente, según las necesidades del cliente. Un ejemplo de proveedor del modelo IaaS es Amazon y con su Elastic Compute Cloud (Amazon EC2). En este servicio el usuario tiene la capacidad de desplegar entorno informático virtual, que le permite utilizar interfaces de servicio web e iniciar instancias con distintos sistemas operativos, cargarlas con su entorno de aplicaciones personalizadas, gestionar sus permisos de acceso a la red y ejecutar su imagen utilizando los sistemas que desee. Cabe señalar que Amazon no comenzó con la visión de crear un negocio de cloud computing. Esta compañía construyó una infraestructura masiva en apoyo de su propio negocio de venta y descubrió que sus recursos fueron infrautilizados. Por ello, en lugar de permitir que este activo quedara fuera de uso, Amazon decidió aprovechar esa capacidad y ofrecerla al mercado como IaaS.
2. Platform as a Service (PaaS): En la plataforma como servicio, en cambio, la capacidad proporcionada al consumidor es el despliegue de todo lo necesario para la construcción y puesta en marcha de aplicaciones y servicios web completamente accesibles en Internet. El consumidor no controla la capa de infraestructura de la nube pero gestiona las aplicaciones allí alojadas junto con la posibilidad de controlar su entorno y configuración. Un claro ejemplo de PaaS es Google App Engine (GAE). Se trata de una plataforma gratuita que ofrece Google desde el año 2008 que permite a los usuarios desarrollar, ejecutar y alojar sus aplicaciones web en la infraestructura de Google. El modelo de desarrollo de aplicaciones que ofrece dentro de GAE permite el crear aplicaciones en leguaje Pyton y Java, administrarlas vía una interfaz web y publicar la aplicación en los servidores de Google.
3. Software as a Service (SaaS): En Software como servicio, la capacidad que se le promociona al consumidor consiste en utilizar las aplicaciones del proveedor que se ejecutan en una infraestructura de nube, las cuales pueden accederse desde distintos dispositivos e interfaces del cliente (p.ej., correo, web, VPN). En este nivel, el consumidor no gestiona ni controla la infraestructura de nube subyacente que incluye la red, servidores, tampoco sistemas operativos, almacenamiento con la posible excepción de unos parámetros de configuración de la aplicación específicos del usuario. Exponente del modelo SaaS es Google Drive. Se trata de un producto de Google que reemplaza a Google Docs que permite almacenar, crear, modificar, compartir y acceder a documentos, archivos y carpetas de todo tipo en un único lugar. Una de las ventajas de esta aplicación es que no están ligada a una PC específica; no es necesario descargar ni instalar ninguna aplicación en una computadora en particular, y cualquier dispositivo con acceso a internet puede acceder también a las aplicaciones que brinda Google Drive. Debido a que cada usuario guarda la información en la nube, puede acceder a dicha información desde cualquier punto. También permite la concurrencia de usuarios para editar los mismos archivos al mismo tiempo, lo que permite encarar procesos de colaboración online. En este servicio, el usuario accede a aplicaciones que se ejecutan directamente sobre la infraestructura y la plataforma del proveedor.

Independientemente del modelo de servicio utilizado (SaaS, PaaS, IaaS) existen cuatro formas de despliegue de los servicios de cloud computing:

1. Nube Privada: La característica principal de este modelo de despliegue es que el usuario no comparte infraestructura física con ningún otro cliente, agrupando los servicios y la infraestructura en una red privada, lo que ofrece un mayor nivel de seguridad y control. Se basa en la reserva de recursos hardware y software en exclusiva para un usuario.
2. Nube Pública: En este despliegue los clientes contratan los recursos que necesiten para sus proyectos, siendo el proveedor del servicio el responsable del mantenimiento y de la gestión de la infraestructura, lo que reduce significativamente los costos iniciales de desarrollo de estructura y acceso inmediato a sus servicios en contratación.
3. Nube Híbrida: El cliente gestiona exclusivamente su infraestructura, pero dispone de acceso a los recursos de la nube pública que controla el CSP (Cloud Service Provider) en sus instalaciones, pudiendo ampliar sus recursos en cualquier momento, obteniéndolos de la nube pública.
4. Nube comunitaria: Aquí, la infraestructura es compartida por diversas organizaciones y soporta una comunidad específica que tiene intereses similares (p.ej., misión, requisitos de seguridad, políticas y consideraciones sobre cumplimiento normativo).

Por lo tanto, basándonos en dichos conceptos, observamos que el proveedor de los servicios tiene una alta responsabilidad para mantener la continuidad, seguridad y control de la infraestructura tecnológica, de tal forma que el cliente, confíe, ejecute y utilice los servicios contratados con el tercero:

• En el modelo SaaS, en caso de ocurrir alguna falla en el uso de esta aplicación, el cliente no tendrá control para avanzar en el análisis de la misma, la cual estará supeditada a la reacción del proveedor del servicio.
• Por otro lado en el modelo PaaS, ante la existencia de errores o fallas del de sistema operativo, redes o almacenamiento, el cliente no tendrá margen de maniobra, pues estará limitado por la oportunidad del proveedor para soportar dicha falla.
• Finalmente en el modelo IaaS, el proveedor se encargará de lo referido a los temas de continuidad, acceso a los servidores y demás componentes tecnológicos.

En este escenario, los referentes de seguridad y control propios de tecnologías de información, adquieren una relevancia marcada, dado que se está entregando en un tercero la información de la empresa.