Una simple búsqueda en Internet de “casos de estudio de computación en la nube” nos devolverá innumerables casos de éxito que muestran que la adopción de esta tecnología parece beneficiar a todo tipo de organizaciones, desde proveedores de contenidos en línea hasta organismos gubernamentales. Sin embargo, los supervisores parecen preferir las infraestructuras basadas en computadoras centrales (mainframe en inglés) en los sectores críticos de actividad. ¿Está justificada esta preferencia?
La terminología informática
La computación en la nube o simplemente la nube es un nuevo paradigma tecnológico que proporciona recursos para desarrollar y ejecutar software abstrayéndose del hardware subyacente. Esto permite a los usuarios centrarse en el software sin tener que preocuparse por aspectos relacionados con la infraestructura informática.
En función del tipo de acceso a la infraestructura, la nube puede dividirse en tres grandes categorías: privada, pública o híbrida.
El primer término hace referencia a una implementación de nube que solo puede ser utilizada por una única organización, la segunda a una infraestructura disponible para el público en general y la tercera a una solución que combina infraestructuras públicas y privadas.
Además, la nube puede clasificarse según las funcionalidades proporcionadas a sus usuarios: Infraestructura como servicio (IaaS), Plataforma como servicio (PaaS) o Software como servicio (SaaS), entre otros.
La IaaS es una virtualización del hardware informático ofrecida por los proveedores de servicios de nube (CSPs por sus siglas en inglés) que permite el despliegue de centros de datos remotos o virtuales, mientras que la PaaS añade una capa adicional a la IaaS para facilitar la implementación y el funcionamiento del software. Por su parte, el SaaS hace referencia a soluciones de software alojadas por un proveedor de servicios en la nube que son accesibles y se pueden emplear de forma remota.
Por otra parte, la tecnología mainframe, es decir, los ordenadores más grandes y potentes utilizados tradicionalmente por las grandes organizaciones para aplicaciones críticas, procesamiento masivo de datos y transacciones, etc. ha sido la tecnología estándar durante décadas gracias a su fiabilidad, disponibilidad y mantenimiento.
Aunque estos sistemas suelen instalarse en un número limitado de centros de datos, se pueden implementar de muchas maneras diferentes. Por ejemplo, es posible que la propiedad y la operación de estos sistemas sean exclusivas del usuario final, sean compartidos por diferentes organizaciones o, simplemente, las organizaciones las “consuman” de forma remota mientras son operados por proveedores de tecnología.
Las ventajas de la nube pública
En el resto de este artículo cuando comparemos la tecnología mainframe con la nube nos referiremos al tipo de nube que más se diferencia de una computadora central adquirida y operada por una sola empresa: la nube pública.
De hecho, en una nube privada la propiedad y el funcionamiento puede estar exclusivamente en manos del usuario final de la infraestructura, como ocurre con las implementaciones mainframe más tradicionales.
Teniendo esto en cuenta, las principales ventajas de la nube pública pueden agruparse en 3 categorías: costos, flexibilidad y escalabilidad.
En lo referente a costos, gracias a las economías de escala, los proveedores de nube pública pueden ofrecer precios más bajos y un modelo de negocio de “pago por uso” que incluye la operación, el mantenimiento y la seguridad. A diferencia de lo que ocurre con soluciones más tradicionales como la tecnología mainframe, al hacer uso de una nube pública no es necesario invertir en la adquisición y despliegue de tecnología, ni sobredimensionar la infraestructura para satisfacer las posibles necesidades futuras.
El único inconveniente potencial de la nube es la falta de estándares de interoperabilidad, que puede dificultar la portabilidad de datos y aplicaciones a otros proveedores de nube. Sin embargo, el carácter intersectorial e internacional de estos servicios aumenta los incentivos para desarrollar estándares de interoperabilidad respecto a tecnologías anteriores, en las que la excesiva dependencia de un proveedor también es un problema. Además, algunas regiones ya están trabajando para facilitar esta portabilidad de datos, como la iniciativa para la libre circulación de datos (free flow of data) promovida por la Unión Europea.
Por último, la carencia de competencias técnicas es una de las principales preocupaciones actuales. El manejo de sistemas informáticos requiere un conocimiento tecnológico profundo y actualizado, por lo que el costo de atraer a empleados cualificados es elevado, especialmente para empresas no tecnológicas como los bancos que no están tan bien posicionadas como otras empresas tecnológicas para atraer, formar y retener personal experto. Por tanto, los usuarios de la nube pueden aprovechar las habilidades técnicas de los proveedores de nube, disminuyendo la demanda de recursos escasos y liberando fondos para invertir en otras actividades.
Seguridad y privacidad en la era de la computación en la nube
La seguridad es una de las áreas a las que se podrían destinar los fondos mencionados anteriormente. En concreto, hay dos cuestiones principales a la hora de hablar de seguridad:
- Privacidad: se trata de la protección y tratamiento de datos personales.
- Seguridad de la información: garantizar la confidencialidad, integridad y disponibilidad
Aunque, en general, se asume que la privacidad de los datos está mejor protegida en entornos de computación central como consecuencia del favorable historial de seguridad de la tecnología mainframe, la ejecución aparentemente controlada de los procesos y que se conoce la localización de los datos, esto no es del todo cierto.
En primer lugar, los principales proveedores de nube también tienen un impresionante historial de seguridad sin incidentes importantes conocidos.
En segundo lugar, servicios como la banca se ofrecen actualmente desde ubicaciones diversas y son accesibles a través de canales remotos. Esto crea posibles puntos de ataque a los sistemas de mainframe, que en algunos casos no fueron diseñados para estar abiertos a terceros.
En tercer lugar, aunque la ubicación de los datos en una nube pública no siempre es evidente, los principales proveedores de nube proporcionan herramientas que permiten a los usuarios establecer el área geográfica donde se almacenarán y procesarán los datos, si así lo desean.
En cuanto a la seguridad de la información, la computación en la nube parece estar tan bien posicionada como (o incluso mejor que) la tecnología mainframe a la hora de salvaguardar la integridad y la disponibilidad. Los servicios en la nube incorporan redundancia, alta disponibilidad y flexibilidad gracias a su naturaleza distribuida. En la mayoría de los casos, los proveedores de nube tienen más seguridad que la que muchas de las empresas individuales pueden mantener y gestionar in situ.
A pesar de la supuesta pérdida de control de los datos y procesos ejecutados en una nube pública, los usuarios pueden elegir el grado de protección/control necesario para cada tipo de datos. De hecho, los proveedores ofrecen la mayoría de las opciones de seguridad disponibles en tecnologías tradicionales adaptadas a la nube (encriptación, virtualización, etc.), así como otras características de seguridad específicas de la nube e incluso Seguridad como servicio (SaaS).
Además, los proveedores de nube son responsables de mantener los sistemas actualizados e incluso algunos de ellos diseñan su propio hardware. Esto hace que sus sistemas sean más difíciles de piratear, reduce la necesidad de parchear el software y permite un mayor nivel de automatización. La computación en la nube también ofrece una mejor respuesta a incidentes, ya que la amplia gama de clientes que operan simultáneamente puede identificar vulnerabilidades y compartir información de seguridad más rápidamente.
Como resultado, los usuarios pueden decidir sobre el enfoque de seguridad y hacer que resulte más armonizado, flexible y adaptativo que en un entorno mainframe.
Cuestiones relacionadas con la externalización
Las ventajas de la nube sobre la tecnología mainframe son significativas y la mayoría de las preocupaciones sobre la nube se deben a concepciones erróneas o pueden mitigarse significativamente.
En concreto, la nube permite a las empresas establecer el grado de seguridad deseado y aprovechar la tecnología de seguridad más avanzada que ofrece redundancia, alta disponibilidad y flexibilidad. Sin embargo, la mayor parte de las autoridades financieras consideran que la informática en la nube es una forma de externalización e imponen requisitos adicionales como la solicitud de una autorización previa o la obtención de garantías legales adicionales.
En sectores altamente supervisados como el bancario, esto ralentiza la adopción de la nube por parte de las entidades financieras y perjudica su posición competitiva frente a nuevos operadores, ya que la computación en la nube es ya una de las opciones informáticas preferidas de las empresas no financieras. En cualquier caso, la implementación de una infraestructura de mainframe o de nube debe decidirse tras una cuidadosa evaluación de los beneficios y riesgos de cada implementación específica.
Fuente: BBVA Research, Situación Economía Digital, Primer trimestre 2018
Adaptado por la División consultoría de EvaluandoCloud.com