19Mai
“El núvol” ha adquirit cert to de mite en el món de les tecnologies de la informació. No només és un tema que surt a la llum en pràcticament qualsevol conversa tecnològica, sinó que el terme també s’utilitza de manera abusiva per alguns i incorrecta per altres, el que repercuteix en la seguretat de dades i pot derivar en problemes de governabilitat en el futur . La qüestió és que hi ha massa dels anomenats proveïdors cloud que no són més que oportunistes. Els equips de TI amb poca o cap experiència en el tràmit del procés de licitació del cloud computing necessiten ser especialment curosos en navegar per aquest camp de mines, sobretot la primera vegada.

En el meu nou càrrec com a president del nou Fòrum de la Indústria Cloud, un grup amb especial interès per la seguretat, he escoltat molts comentaris de líders del sector TI sobre proveïdors que diuen que poden manejar i gestionar el “viatge” al núvol, però en una segona aproximació s’ha descobert que una part d’aquestes promeses equivalen a poc més que exageracions de màrqueting i “enganys”. Es tracta d’un problema que es dóna més entre els fabricants de cloud més petits, encara que la grandària de l’organització no està necessàriament relacionat amb la qualitat del servei.

A l’hora de triar una empresa, és important tenir en compte que sigui una firma financerament estable que ofereixi un paquet cloud segur que permeti que les dades puguin ser fàcilment alliberats quan el contracte finalitzi. Això, òbviament, és més fàcil dir que de fer, i més endavant s’abordarà amb més detall l’apartat sobre “millors pràctiques” per aconseguir-ho.

REPTES I POTENCIALS PERILLS ASSOCIATS A L’ELECCIÓ DEL PROVEÏDOR ADEQUAT

El compliment normatiu és una de les tasques més laborioses per a l’equip de TI i portar les dades al núvol no va a fer que aquesta desaparegui de cop i volta. Per això, cal anar amb compte i saber exactament com d’assegurança és el centre de dades del proveïdor depenent d’en quin sector l’empresa desenvolupi la seva activitat-i fins i tot on s’allotjaran les dades geogràficament.

L’àmbit legal cada vegada està sent més onerós, de fet. Les reformes de la Llei de Protecció de Dades, que s’espera que entrin en vigor el 2014 com a part de la nova regulació europea, prepararan el terreny per fer sancions de fins a un milió d’euros o fins al 2% de la facturació anual global de una companyia en cas que es produeixi una violació greu. L’impacte d’una bretxa en les dades confidencials de clients o relacionats amb la propietat intel · lectual, també pot, per descomptat, fer efecte en la marca d’una empresa i possiblement provocar una sortida de clients, el que serà molt més perjudicial encara.

Igual d’important és trobar un proveïdor cloud estable i de confiança des del punt de vista financer. La possibilitat de signar un contracte amb una empresa només per sortir del negoci o ser adquirit per un competidor és inquietant per als administradors de TI i podria suposar que informació crítica, de sobte, no estigués disponible. Els contractes s’han de redactar per garantir que, en cas que això passi, hi hagi una alternativa de migració transparent i senzilla, permetent que les dades corporatives puguin tornar a recuperar-se i es pugui disposar d’ells in situ o canviar a un altre proveïdor.

La diligència ha de prevaler abans de res i estar present en els responsables de TI. És alarmantment comú comprovar que l’equip dedicat a TU és obligat a ocupar-se de la gestió de les dades en el núvol perquè el proveïdor cloud no està fent la seva feina adequadament. Òbviament, això és una falsa economia. Realitzar aquest viatge al núvol hauria de generar una sèrie de beneficis de negoci al voltant d’una major agilitat, reducció de costos i un ús més eficient dels recursos-sent els recursos humans un d’aquests recursos clau-. L’alternativa del núvol hauria alliberar de certes funcions de TI per a ser reutilitzats aquests recursos de l’organització en altres llocs – i no augmentar la càrrega.

TRIAR EL PROVEÏDOR ADEQUAT: CONSELLS

El viatge al núvol pot ser de vegades com caminar per un camp de mines a causa de proveïdors de serveis sense escrúpols i integradors de serveis amb ofertes de servei amb les que pretenen donar resposta a totes les seves necessitats, però que després resulta que són poc més que exageracions de màrqueting i falses promeses. Pot semblar una tasca descoratjadora per a alguns, especialment per a les organitzacions més petites, amb menys recursos i menys experiència en l’elecció de proveïdors cloud. Però això no és impossible i, per això, és important tenir en compte alguns consells pràctics que poden servir d’ajuda per alleujar la càrrega i assegurar-se que es pren la decisió correcta.

A l’hora de buscar un proveïdor cloud, el més important que hem de recordar és que emprendre aquest viatge al núvol no vol dir oblidar-nos de tots els nostres dades només perquè algú més està emmagatzemant i gestionant. És crític recordar que no importa el que el proveïdor cloud pugui dir, la responsabilitat de la seguretat i integració de la nostra informació fonamentalment sempre correspon al client.

Amb això en ment, és moment d’actuar amb diligència. Tot és qüestió de trobar un proveïdor capaç de satisfer les demandes del client. Ara bé, aquestes dependran de per a què s’estigui utilitzant el núvol. Si una empresa la fa servir per executar una gran base de dades transaccional, per exemple, la latència serà un tema important i és possible que necessiti buscar un proveïdor que compti amb centres de dades ubicats a llocs propers. El mateix passa si els requisits normatius estipulen que les dades no poden abandonar el país o si hi ha algunes normes estrictes de seguretat que s’han de complir, llavors aquestes han de ser contemplades en els acords de nivell de servei (SLA).

D’altra banda, també es necessitaran una sèrie de requisits diferents si l’organització està utilitzant una plataforma cloud per a un entorn de producció o de desenvolupament, o si es tracta d’un prova. En aquest últim cas, per exemple, les IPs sensibles han de ser extretes del núvol de forma segura en petites fases i després traslladades a les pròpies instal · lacions de la companyia, cosa que alguns proveïdors poden no ser capaços de fer de forma satisfactòria.

Les dues majors àrees de preocupació són, probablement, la seguretat de les dades i el rendiment, però la facturació i el suport també són importants per garantir un servei sense problemes. La facturació, en particular, necessita ser automatitzada i transparent per evitar qualsevol impacte en la línia, mentre que les opcions de suport han de complir els mateixos estàndards de l’equip de TI.

També necessitareu veure de prop l’administració del sistema-assegurant que el proveïdor aplica amb rigor l’accés basat controlat en rols i que els serveis de directori es poden traslladar sense problema des del seu entorn local al núvol. En aquest sentit, és fonamental que els sistemes puguin interactuar sense problemes amb els del proveïdor cloud. Els administradors de sistemes buscaran la possibilitat de gestionar-los a través d’un únic panell de control-el que també beneficiarà al client maximitzant els seus recursos TI.

Un dels principals problemes amb els projectes cloud és que no hi ha un marc universal d’estàndards amb els quals ajudar a seleccionar el proveïdor correcte. De fet, el cloud computing sovint no es limita una única definició, fent doblement important per establir amb temps de sobres l’elaboració d’aquesta llista de requeriments de TI i de negoci. Tot seguit, cal confirmar que aquests requisits ha de ser rigorosament aplicats i imposar dures sancions que han d’estar incloses en el contracte en el cas que els SLA no es compleixin.

No obstant això, també hi ha ajuda a l’abast de la mà. Hi ha diversos organismes cloud independents, com el Fòrum de la Indústria Cloud, que proporcionen gran quantitat d’informació i consells útils. Una altra bona idea és visitar tants esdeveniments de la indústria com sigui possible i fer activitats de networking amb els seus col · legues de professió-esbrinar quines són les seves necessitats, quins proveïdors estan utilitzant i obtenir aquestes referències. Almenys, hi ha entre 4 o 5 conferències al mes sobre cloud i seguretat cloud, així que el meu consell és assistir i recopilar tanta informació com sigui possible abans de prendre una decisió.
Michael Darlington, Director Tècnic de Trend Micro i President del Fòrum de la Indústria Cloud