Caso PRISM: La nube no morirá

Se ha especulado mucho sobre el impacto del programa de vigilancia electrónica de  la Agencia de Seguridad Nacional estadounidense, PRISM, en el sector de la seguridad de la información y el cloud computing. Son varios los artículos que citan predicciones totalmente diferentes, pero, es cierto que no se puede negar que se están comenzando a agitar las aguas en el sector TI.

Hace poco el ITIF (Information Technology and Innovation Forum) dio a conocer que debido a los temores sobre la privacidad y seguridad de la información que ha dejado en evidencia PRISM, el mercado del cloud computing podría sufrir un revés del orden de 36.000 millones de dólares en 2016. Por su parte, Forrester Research ha señalado que esta estimación es demasiado baja y el impacto podría ser mucho mayor, en torno a los 180.000 millones de dólares. Esta es una cifra sorprendente para un sector maduro en el que las empresas han invertido mucho. Ahora esa inversión está comenzando a resquebrajarse. A modo de ejemplo, en los últimos días, he sabido que se han paralizado o cancelado por completo más de 50 contratos de servicios cloud. Actualmente esta situación afecta a Estados Unidos y son los servicios en la nube de inversión extranjera ubicados allí los que están sufriendo las consecuencias debido a la autorización del gobierno norteamericano a acceder a información contenida en los servidores ubicados en el país. Sin embargo, dadas las graves repercusiones del programa de la NSA y los presuntos actos cómplices de otros gobiernos facilitando información es muy posible que el impacto se extienda a otros países. Sin embargo, eso no supone el fin de la nube en ningún caso. Hay que ignorar a quienes afirman que “la nube va a morir” igual que se hizo con aquellos que hablaban de la muerte del software on-premise.

Lo que es necesario, a la hora de desarrollar una estrategia basada en la nube, es llevar a cabo opciones y acciones claras que garanticen la escalabilidad sin comprometer la seguridad.

1. Crea tu propio encriptación – Empresas como Lavabit y Silent Circle cesaron su actividad por no ser capaces de garantizar la privacidad en caso de que el gobierno norteamericano les pida información. Para proteger tus datos es fundamental que explores tus alternativas para llevar a cabo un encriptado internamente y no confíes en un tercero fuera del firewall.
2. Estudia el contrato de cloud – A menudo no se le presta la suficiente importancia y se deja en manos del departamento legal y los equipos de compras quienes no entienden bien las implicaciones. Por ejemplo, ¿quién es responsable de tu información en caso de que algo falle? Acude a un abogado especializado en negociaciones de cloud para asegurarte de que no infringes la letra pequeña.
3. Conoce dónde están tus servidores – En estos momentos los servidores ubicados en Estados Unidos son una de las preocupaciones más importantes de una empresa, pero ya se ha demostrado que gobiernos de otros países están involucrados en compartir información y proporcionar acceso a ésta. En cualquier caso, lo importante es saber cuáles son los países con las leyes más estrictas en protección de la información con sanciones económicas por mala praxis. Reino Unido y Alemania, por ejemplo, cuentan con dos de las legislaciones más duras a este respecto.
4. ¿Privada, pública, en las instalaciones o híbrida? –  Trasladar todo a la nube pública no es una opción recomendable,  lo más indicado es implantar un modelo híbrido. Una estrategia híbrida se beneficiará de todas las ventajas que aportan las soluciones cloud (actualizaciones frecuentes y fáciles de llevar a cabo, beneficios de OPEX vs CAPEX) y a la vez permite optar por ejecutar estas soluciones en nubes privadas o en las instalaciones de la organización. Aporta las ventajas combinadas de cada uno de los tres modelos:
   1. Nube pública: máxima flexibilidad y eficiencia
   2. Nube privada: máximo control
   3. En las instalaciones: conformidad y privacidad
5. La integración de la nube es el eje – Las plataformas de integración que ofrecen, por ejemplo, Software AG, Informática y Mulesoft para conectar aplicaciones SaaS a la empresa son el eje que permite llevar a cabo una estrategia para la nube híbrida. No hay que dejar la integración en un segundo plano.
6. No ignores a los desarrolladores – Los desarrolladores de la nube son una raza aparte y suelen estar más estrechamente alineados con el negocio que la mayoría. Pueden hacer uso de la nube para lograr una mayor productividad y alineación con las necesidades de la empresa y forman parte integral de una solución de nube híbrida. Podrían emplear plataformas de la nube como LongJump para desarrollar aplicaciones internas con facilidad para una rápida implantación.

En conclusión, es innegable que las filtraciones de Snowden han tenido un gran impacto en la industria de TI en general y que ahora los servicios cloud son vigilados por la empresa, pero con decisiones estratégicas y tácticas tomadas de forma inteligente y no en función de los chismorreos y conjeturas, se pueden coger fácilmente estas olas.