Aumentan los riesgos de protección de datos por el uso de la nube

  • Noticias y Actualidad

cloud

Las empresas están adoptando los servicios de diferentes proveedores de la nube, pero en muchas ocasiones no pueden aplicar la duplicidad de proveedores en los procesos críticos, destinando cada uno a diferentes usos. Esto les permite tener una disponibilidad adaptada a sus necesidades, pero al depender de un solo proveedor su resiliencia se ve disminuida, un problema que pone en riesgo la protección de los datos alojados en la nube.

En los últimos años las empresas se han dado cuenta de que necesitan establecer una estrategia de múltiples nubes para ampliar protegerse frente a posibles interrupciones en sus negocios, pero la realidad no es tan simple. Como explica en un reciente artículo Rhonda Ascierto, vicepresidenta de investigación del Uptime Institute, la industria de la nube pública está dominada por un número muy reducido de proveedores, que proporcionan entornos de TI flexibles, estables y distribuidos, pero todavía existen grandes preocupaciones sobre las capacidades de recuperación que ofrecen a los clientes empresariales.

Recientemente se han producido fallas en servicios de alto nivel de algunos de los principales proveedores de la nube, que han generado mucha preocupación entre las empresas, y también para los reguladores, que están imponiendo normas más estrictas para la protección de datos. Los problemas provienen de la poca transparencia sobre su tecnología y el uso que hacen de los datos de sus clientes. Y también por la falta de control que sufren muchos de ellos, especialmente los relacionados con industrias e infraestructuras críticas.

Como explica Ascierto, los proveedores de la nube ofrecen garantías de alta disponibilidad en sus servicios, pero sus capacidades son muy diferentes y en muchos casos no son interoperables, haciendo que las aplicaciones y datos críticos de muchas organizaciones clientes de la nube se encuentren en manos de un único proveedor. En opinión de los expertos, esta concentración genera un riesgo cada vez mayor para la protección de datos. Sobre todo en sectores críticos y altamente regulados, como son los servicios financieros, donde a menudo no es posible establecer una estrategia multinube ni cambiar fácilmente de proveedor.

Esta dependencia de un único proveedor está causando problemas, con graves casos que se han visto en los últimos años. Los expertos del Uptime Institute dicen que la diversificación dentro de una sola nube puede mitigar el riesgo, por ejemplo con la implementación de cargas de trabajo utilizando soluciones de Plataforma como Servicio (PaaS), y configuraciones de Infraestructura como Servicio (IaaS) para la recuperación ante desastres. Y los proveedores afirman que la naturaleza distribuida de la computación en la nube, junto con una buena monitorización y recuperación automatizada, convierte sus servicios en altamente confiables.

Pero Ascierto aclara que no se debe confundir la confiabilidad con la resiliencia. Una alta confiabilidad hace que el riesgo de sufrir interrupciones sea mínimo, limitando los tiempos de inactividad, pero la resiliencia significa que los sistemas tienen menos probabilidades de fallar, y que son más capaces de recuperarse cuando se produce una falla. Explica que en los centros de datos empresariales y de colocación, y en la TI corporativa, los diseños pueden ser analizados en profundidad para eliminar los posibles puntos de falla, así como realizar pruebas exhaustivas de los sistemas. Pero en los servicios en la nube esto corre a cargo de los proveedores, y los procesos se llevan a cabo de una forma poco transparente con los clientes, pensando en todos en general, sin realizar pruebas específicas para cada uno, según sus necesidades.

Aunque actualmente los proveedores de la nube cuentan con una alta confiabilidad, no son inmunes a las fallas. En el caso de los gigantes de la nube pública la resiliencia está basada en complejos regímenes de copia de seguridad y en arquitecturas basadas en zonas de disponibilidad, compatibles con la gestión de carga y el tráfico. Esto, en teoría, mejora la resiliencia y la capacidad de respuesta, pero también presenta varios riesgos. Como consecuencia, cuando ocurre algún problema, muchos clientes sufren los efectos al momento y la recuperación puede ser un proceso muy complejo.

Según el Uptime Institute, en 2020 se produjeron 21 interrupciones entre los grandes proveedores de la nube y gigantes de Internet que tuvieron graves consecuencias financieras y de otros tipos. Ante estos problemas, las grandes empresas financieras están cambiando su percepción sobre los servicios en la nube, aunque por el momento JPMorgan es la única gran empresa que ha adoptado un enfoque multinube para mitigar los riesgos.

Por su parte, los reguladores también están cada vez más preocupados por estos problemas, y ya están lanzando iniciativas en regiones como la Unión Europea, que ha propuesto la implantación de una nueva Ley de resiliencia operativa digital (DORA), que por primera vez pondría a los proveedores de la nube bajo el control de los reguladores. Y entidades como el Banco de Inglaterra y la Autoridad Bancaria Europea están exigiendo que se permitan las inspecciones de los centros de datos de la nube.

Los expertos esperan que en 2022 la percepción del riesgo será mayor para muchas empresas y algunos proveedores de servicios en la nube se enfocarán más en habilitar configuraciones de múltiples nubes para aportar a sus clientes una mayor resiliencia, aunque esta se base en que estos cuenten con los servicios de la competencia. Por otra parte, los investigadores señalan que el riesgo de concentración va más allá de la computación o el almacenamiento en la nube, y puede tener consecuencias en otros entornos, como en la propia disponibilidad de Internet, como ya demostró la interrupción de la red de distribución de contenido (CDN) de Fastly, o la que sufrió Akamai.

Esto hará que cada vez más grandes clientes exijan una mayor visibilidad de la infraestructura de sus proveedores de la nube y una mejor comprensión de las posibles vulnerabilidades. Según el Uptime Institute, a partir de este año más administradores de centros de datos y TI considerarán trasladar más cargas de trabajo de misión crítica a nubes públicas si cuentan con una mayor visibilidad de la resiliencia operativa en el sitio.

Más información

¿Cuál es el futuro del mercado de almacenamiento? ¿Qué tecnologías son las más adecuadas? Si quieres obtener más información sobre un segmento en crecimiento puedes visitar la página de nuestro colaborador Western Digital