30 mayo 2011

El cloud computing y el futuro de los profesionales de la seguridad

Hace ya unos días (prácticamente un par de años) que Gartner "asustaba" a todo el sector con su predicción sobre el fin de los departamentos TIC debido al auge de la computación en la nube (ya sabéis, el cloud computing). Pues bien, hace unos días, y con motivo de la publicación del informe 'Cloud Compliance Report' (pdf) del capítulo español de la Cloud Security Alliance (CSA-ES) en el que he tenido la oportunidad de colaborar como editor y co-autor, estuve debatiendo con algunos conocidos sobre el impacto que puede tener la implantación del modelo de computación en la nube en los profesionales de seguridad.

La pregunta era: ¿Vamos a tener más trabajo en el futuro los que nos dedicamos a esto de la seguridad de la información? Básicamente, veo dos fuerzas. Una positiva, derivada del hecho de la creciente importancia de la información y de los negocios en Internet y otra, negativa (o al menos esa es mi opinión) derivada de la adopción de modelos de computación en la nube.

Como no tuve muchos adeptos, voy a tratar de justificar esta última. No es porque lo diga Gartner, pero coincido con ellos. Es decir, para una gran cantidad de empresas que utilizan infraestructuras, plataformas o incluso aplicaciones relativamente estándar, la computación en la nube les aporta indudables ventajas y esto hará que mucha de la capacidad de procesamiento se mueva de pequeños CPDs de estas empresas/organizaciones a los grandes CPDs de los proveedores de servicios en la nube y esto, en mi opinión, ocasionará también una concentración del trabajo de los profesionales de seguridad e, implicitamente, van a existir redundancias, solapes y economías de escala que harán que tengamos menos trabajo (aunque posiblemente, más interesante y de mayor volumen).

No sé, es mi opinión, ¿cómo lo veis vosotr@s?

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

3 comentarios:

Miguel Ángel Hernández Ruiz dijo...

Hola Antonio,

Gracias por tu blog, muy instructivo. Te mando un cordial saludo desde Murcia. A continuación te ofrezco mi opinión.

La computación en la nube es outsourcing, una modalidad "nueva" de outsourcing, pero al fin y al cabo, outsourcing. Como tal, la organización deberá sopesar si las condiciones que ofrece el servicio son viables económica, operativa y legalmente.

La legislación puede ser un freno al desarrollo de estas tecnologías, o como mínimo una restricción geográfica, por las transferencias internacionales de datos en los casos de datos personales.

Asimismo, la relación contractual con la empresa que nos ofrezca el outsourcing deberá contemplar los requisitos operativos impuestos por la legislación en vigor (vease la Ley 11/2007) con un TIER adecuado a dicha legislación en caso de administraciones públicas.

Si trasladamos la discusión a las empresas privadas, tenemos algunos de éstos y otros problemas. La seguridad el primero. Cuando datos críticos para la organización van a salir de las fronteras de la misma y van a estar en posesión de un tercero "de confianza", habrá que ver qué condiciones nos garantiza el proveedor de computación en la nube en relación a las propiedades CID de la información de la organización y cómo todo eso queda reflejado en una relación contractual, previo estudio de qué información saco de mi organización y cual no.

Mi opinión es que esto puede dar con un mapa de información en la que parte se encuentre fuera de la organización (la no crítica) y parte dentro, llegando a una solución mixta que permita los beneficios de la computación en la nube provocando un adelgazamiento de las estructuras de los CPDs corporativos a la vez que se conserva el control sobre activos de información críticos.

Un saludo.

Miguel Ángel Hernández

Antonio Ramos [sorani] dijo...

Un saludo, Miguel Ángel y muchas gracias por tu comentario y por tu valoración... :-)

Coincido contigo... este fenómeno del cloud computing no es más que un salto cualitativo en la forma en la que los "tradicionales" proveedores de servicios de outsourcing proveen sus servicios, ¿no? Digamos que han automatizado el provisioning, ¿verdad?

Slds,

Joseba Enjuto dijo...

Creo que no voy a añadir nada nuevo... Para mí, más que tener más o menos trabajo, supone un cambio de trabajo, de una variante más tecnológica hacia otra más contractual. Y por ende más complicada, al menos si tenemos en cuenta el perfil clásico del responsable de seguridad (aunque no sé si tiene la antigüedad suficiente como para hablar de perfiles clásicos).