Seguridad y nube juntos, ¿por qué no?

Por: Miguel Ángel García- Baquia, Director General de Riverbed para España y Portugal, 27 Jun 2012

Es claro que para muchas empresas la seguridad de los servicios en la nube se convierte en un auténtico obstáculo para su adopción. De hecho, un reciente estudio realizado entre más de 300 directores de informática reveló que el 78% consideraba que la seguridad era la principal reticencia a la hora de adoptar tecnologías de nube y, en particular, de nube pública. El uso de la nube aumenta, principalmente por sus ventajas en elasticidad, escalabilidad y flexibilidad. Pero, ¿hay suficiente seguridad en la nube?

En este punto es fundamental recordar que muchas decisiones sobre seguridad implican realizar algún tipo de concesión. Estar seguro en la nube supone renunciar a una forma de control por otra. Los controles de seguridad tradicionales se basan en la ubicación: si se sabe dónde está algo y se puede reclamar su propiedad, entonces probablemente esté seguro. Si no se sabe dónde está y parece que un tercero es su propietario, entonces probablemente no esté seguro.

En la nube la seguridad basada en la ubicación como concepto desaparece, ya que no se puede identificar la ubicación exacta de los datos (edificio, sala, bastidor, unidad, dispositivo). Lo cual es positivo: hay alguien que administra los datos, alguien que probablemente cuenta con un presupuesto mayor y más recursos dedicados a protegerlos de ataques externos, de otros clientes, o incluso del propio proveedor.

¿Significa esto que para lograr los beneficios prometidos por el cloud computing la concesión ha de ser renunciar a toda seguridad? La respuesta es clara: no.

La concesión en este caso supone cambiar lo que entendemos por control. Abandonar el antiguo modelo de control basado en la ubicación y adoptar uno nuevo en su lugar. Un modelo creado a partir de acuerdos de nivel de servicio, estándares de seguridad auditables y tecnologías de protección de la privacidad e integridad (cifrado y firmas digitales). Se puede conservar el control (y la propiedad) de los datos aunque no se tenga el control (ni la propiedad) de la infraestructura.

De algún modo este modelo no es tan novedoso: ya lo usamos para la conectividad. Ahí donde las conexiones compartidas (Internet) han reemplazado a las conexiones dedicadas (líneas privadas), estamos confiando en este mismo modelo para mantener seguros nuestros datos que circulan. Y el modelo también se extiende al proceso y almacenamiento de los datos.

Existe además otro factor, al que denominaría desinterés ajeno: los proveedores de servicios de nube no conocen el contexto de los datos ni el valor que les damos, lo que puede reducir mucho las amenazas internas. Pero, ¿se preocupan además por su seguridad? Los proveedores de servicios en la nube saben que redunda en su propio interés establecer controles que impongan suficiente separación entre sus tareas administrativas y los datos de sus clientes. Controles que también hacen de la nube una plataforma de difícil acceso para quienes buscan robar datos o lanzar ataques.

Los proveedores también tratan de conseguir economías de escala construyendo de la manera más automatizada posible: menor intervención humana significa menos oportunidades de cometer errores, lo que implica menos riesgos.

La pregunta correcta no es entonces "¿Cuánta seguridad?", sino "¿Cuánto riesgo?". Las decisiones en materia de seguridad que se toman a partir de una óptima evaluación del riesgo permiten obtener el equilibrio adecuado, realizando las concesiones justas. Es interesante verificar con el proveedor sus estrategias de gestión de riesgos. Los mejores estarán encantados de compartirlas, porque saben que es la forma de ganar la confianza de los clientes. Es probable que hayan previsto y eliminado riesgos en los que los demás ni siquiera habíamos pensado.

El cloud computing resuelve muchos problemas de manera eficaz. Y está madurando: en comparación con hace solo un par de años, hay más ofertas y más flexibles, ofertas de compañías conocidas y de confianza. Si la seguridad en la nube es lo suficientemente buena como para que crezca la adopción de sus servicios por parte de algunos, entonces es posible que también sea lo suficientemente buena para el resto.

http://www.baquia.com/blogs/cloud/posts/2012-06-27-seguridad-y-nube-juntos-por-que-no

¿Es compatible la libertad en Internet con la propiedad intelectual?

Redacción de Baquía- 05 Jul 2012

Internet Society ha celebrado hoy en Madrid su primera conferencia en España. Con más de 130 miembros organizativos y más de 55.000 miembros individuales repartidos en más de 90 Capítulos de 72 países, Internet Society representa una red internacional de empresas, organizaciones sin ánimo de lucro, emprendedores y personas interesadas en trabajar para identificar y enfrentarse a los retos y oportunidades que presenta Internet.

El evento, al que estaban invitados empresas, prensa y bloggers de Internet, y que ha podido seguirse en streaming, comenzó con las intervenciones de Frederic Donck, director del European Regional Bureau de Internet Society; Andreu Veà, presidente del Capítulo Español de Internet Society; y Victor Castelo, director de Comunicaciones y Seguridad de la Secretaría General Adjunta de Informática de CSIC.

Los tres coincidieron en que Internet debe ser para todo el mundo y debemos luchar para que así sea. Internet Society trabaja para propagar el uso de Internet y promover el respeto por parte de todos hacia esta fantástica herramienta. “Al 90% de las personas con las que trabajo, no les he visto la cara. Esto es posible gracias a Internet, y va a ser cada vez más normal en toda la población”, dijo Veà.

A continuación se dio paso a una mesa redonda moderada por el blogger y periodista Miguel Ángel Uriondo, en la que participaron Victor Domingo, presidente de la Asociación de Internautas; Alejandro Perales, presidente de la Asociación de Usuarios de la Comunicación (AUC); y Stephane Grueso, director del documental “Copiad malditos”.

¿Es compatible la libertad de Internet con la propiedad intelectual? ¿Qué es más importante?Estas dos preguntas centraron el debate, en el que los tres expertos dejaron claro su descontento en cuanto a la manera en que los gobiernos llevan a cabo la gestión de la propiedad intelectual.

Victor Domingo respondió formulando otra pregunta: ¿Internet es realmente un acceso universal y asequible? Actualmente, esta cuestión no se cumple por completo en todas partes, cuando la primera libertad es, sin duda, poder tener este acceso. “El acceso a Internet en nuestro país es caro y lento. Pagamos más que en toda Europa para acceder a Internet.” Según Alejandro Perales, “Casi todos deberíamos estar de acuerdo. Prima la libertad de expresión. Lo que genera conflicto es dónde están los límites de este derecho”. Stephane Grueso también dejó claro que “Internet va lo primero”.

Pero entonces, ¿podríamos comparar la descarga de archivos con un robo? Victor Domingo afirmó que en Internet no se roba: “Si robas un chorizo, su propietario se queda sin chorizo. Si robas un contenido digital sólo te llevas una copia y todos seguimos teniendo el archivo”. Además, es cierto que deberíamos pagar al autor por la descarga de este contenido, pero no a un tercero o a un cuarto.

Durante el debate se llegó a la conclusión de que los modelos de negocio tradicionales ya no funcionan. “El modelo de negocio actual basado en la venta de copias no tiene sentido. Los soportes físicos para las industrias culturales son absurdos”, dijo Stephane Grueso.

Por otro lado, este problema en España deriva de la falta de oferta. “Yo recurro a comprar un DVD en Amazon, donde es más barato que en un comercio español. España apenas tiene oferta de consumo digital”, confesó Stephane. Victor Domingo añadió que “La industria no se encarga de tener una buena oferta. En el P2P puedes encontrar más de 1.700 series con todas sus temporadas traducidas en varios idiomas. En cambio, las productoras ofrecen unas 300-400 series.” Entonces, “.”¿Por qué la industria no hace lo que hace Megaupload? Si Megaupload funcionó, que lo haga la industria".

Cómo no, también hubo cabida para la polémica Ley Sinde, PIPA, SOPA y compañía. “Hasta los que defendemos la propiedad intelectual estamos en contra de leyes como la Ley Sinde.” dijo Alejandro Perales. Stephane Grueso añadió que “Estas leyes pretenden controlar la información. No hay que olvidar que nuestros derechos digitales son igual de importantes que nuestros derechos civiles.”

Si algo quedó claro es que hay que renovar el anticuado concepto de propiedad intelectual en función de Internet. Además, las industrias deberían generar servicios que aportaran algo mejor al consumidor (mayor comodidad, calidad, etc.) para destacar sobre los servicios gratuitos. Como bien ha dicho Alejandro Perales: “Se vende agua embotellada, pero la gente sigue pudiendo beber en las fuentes.”

http://www.baquia.com/posts/2012-07-05-es-compatible-la-libertad-en-internet-con-la-propiedad-intelectual