6 Las 6 preguntas clave sobre Cloud Computing Un e-book editado por ISOTools Excellence Índice Pregunta 1: ¿Qué es Cloud Computing? 3 Pregunta 2: ¿Qué tipos de Cloud existen? 6 Pregunta 3: ¿Qué ventajas e inconvenientes tiene operar en Cloud? 12 Pregunta 4: ¿Qué tipo de servicios podemos encontrar en la nube? 15 Pregunta 5: ¿Para quién es el Cloud? 17 Pregunta 6: ¿Cómo seleccionar un proveedor de Cloud Computing? 19 Enlaces de interés 22 1 ¿Qué es Cloud Computing? “Un modelo que permite acceso de red desde cualquier parte, según convenga y bajo demanda, a un conjunto compartido de recursos informáticos configurables, que pueden ser rápidamente aprovisionados y liberados con mínimo esfuerzo o interacción del proveedor de servicios.” U.S. National Institute of Standards and Technology (NIST) Cloud Computing o computación en la nube El Cloud Computing es una tendencia a nivel mundial y solo es cuestión de tiempo que todas las empresas cuenten con esta tecnología dentro de sus actividades de gestión, ya sea directamente o en soporte a otras tecnologías o herramientas ya utilizadas de manera interna. Surge en contraposición al modelo tradicional de desarrollo y venta de software en el que se trabajaba en un producto o servicio determinado y se convencía del valor agregado al cliente. Con la venta, se producía la entrega del software/hardware a un precio determinado. Las reglas del juego cambian cuando hablamos de Cloud. El modelo Cloud viene a dar respuesta a la necesidad de las organizaciones, en su mayoría empresas, que precisan que las herramientas que utilizan en su día a día no dependan de disponer de un determinado tipo de servidor o de contar con un sistema operativo X. Del mismo modo, y ante un sistema muy cambiante en la tecnología, las empresas deben disponer de herramientas fáciles de consumir, que trasladen gran parte del riesgo de los proyectos TICs al proveedor. Además, frente al modelo tradicional, en el que se llegaba a un conflicto de intereses entre el valor económico que aporta la adquisición de un activo (producto o servicio TIC) al cliente y al proveedor, en el modelo Cloud Computing, los intereses de ambas partes no se encuentran enfrentados y se opta por una solución win-win que permite a ambas partes obtener una relación beneficiosa con un progresivo aumento del valor económico generado. Multidispotivo CARACTERÍSTICAS DE CLOUD Eficiente Escalable Ágil Seguro Rentable Las 6 preguntas clave sobre Cloud Computing Accesible 4 En 2016 se prevé que más del 50% de la información generada por las empresas, se almacenará en nubes públicas a nivel mundial. El Cloud Computing o computación en la nube es, según el U.S. National Institute of Standards and Technology (NIST), “un modelo que permite acceso de red desde cualquier parte, según convenga y bajo demanda, a un conjunto compartido de recursos informáticos configurables, que pueden ser rápidamente aprovisionados y liberados con mínimo esfuerzo o interacción del proveedor de servicios”. También podemos referirnos a Cloud Computing simplemente como “Cloud” o “en la Nube”. ¿Qué entendemos con esta definición? A grandes rasgos, la computación en la nube es una fórmula que permite acceder de forma rápida y remota a una serie de recursos (aplicaciones, datos y/o información) a través de internet, sin que el servicio al que se accede tenga una estructura física soportada por el cliente, con una mínima interacción o esfuerzo del proveedor, y que va en función de las necesidades del cliente, de forma escalable. Por lo tanto, las características del Cloud Computing que definió NIST son: ËË Acceso a través de internet y en cualquier lugar bajo mecanismos estándar heterogéneos. Esto permite el multidispositivo. ËË Estructura física (recursos) soportada por el proveedor, normalmente ubicada en diferentes localizaciones y que son asignados en función de la demanda, pudiendo servir a múltiples consumidores. ËË Servicio que se autogestiona en función de la demanda del cliente. ËË Elasticidad para aprovisionar de forma rápida conforme son solicitados los servicios, llegando a generar en el cliente, la sensación de contar con recursos ilimitados en función de sus necesidades. ËË Medición de servicios, aportando transparencia en cuanto al uso de recursos que se hace, ya que puede ser reportado al cliente y controlado por él. El principal requisito para acceder y trabajar con Cloud es tener conexión a internet. Esto significa que si se quiere buscar un documento específico alojado en Cloud, lo primero que hay que hacer es establecer una conexión a internet, ya sea con o sin cables o con una conexión de banda ancha móvil. Como beneficio de este sistema se destaca que se puede acceder al documento desde cualquier lugar a través de cualquier tipo de dispositivo (computadora, portátil, tablet o celular). Esto da gran libertad a las organizaciones para trabajar de forma más ajustada a sus necesidades específicas. Las 6 preguntas clave sobre Cloud Computing 5 2 ¿Qué tipos de Cloud existen? Existen dos características que determinan el tipo de Cloud al que un cliente puede acceder: El modelo de implementación y el modelo de servicio. Modelos de implementación Por una parte, se pueden clasificar en función del modelo de implementación que se haya empleado para el despliegue de los servicios Cloud, es decir, según la configuración de la infraestructura y gestión de estos servicios. Existen cuatro tipos: NUBE PÚBLICA NUBE PRIVADA NUBE COMUNITARIA NUBE HÍBRIDA La nube pública es aquella en la que la infraestructura y todos los recursos lógicos que forman parte del entorno, están accesibles de forma rápida para el público general o para un grupo amplio de usuarios. La infraestructura y los servicios ofrecidos son propiedad de un proveedor que los gestiona. Son el modelo estándar de Cloud Computing. En este tipo de nube, los usuarios no precisan adquirir un hardware, software o soportar la infraestructura. Además, desconocen qué trabajos de otros clientes están desarrollándose en paralelo a los que están ejecutando ellos. Estas nubes suelen contar con una elevada capacidad de procesamiento y de almacenamiento, todo ello sin tener que instalar localmente máquinas que supondrían una elevada inversión inicial y el consiguiente mantenimiento. Es una solución de bajo riesgo para el cliente y con un retorno de la inversión rápido. NUBE PÚBLICA Las 6 preguntas clave sobre Cloud Computing 7 En la nube privada, la infraestructura es operada de forma aislada por una sola organización, ya sea gestionada de forma interna o por un tercero. La infraestructura puede ser alojada de forma interna o externa. Las nubes privadas se benefician de la eficiencia asociada al concepto Cloud, mientras que aportan un mayor control sobre los recursos. Suelen ser empleadas por aquellas organizaciones que requieren una alta protección de los datos gestionados. Hay un mayor control sobre a quién se le da acceso y sobre el uso que se hace de las aplicaciones. Son más fáciles de integrar con otros servicios propios de los que disponga la organización, pero requieren de mayores inversiones iniciales, reduciendo la escalabilidad y suponiendo un mantenimiento constante para la organización que verá un retorno de su inversión más lento. NUBE PRIVADA La nube comunitaria es aquella que tiene un origen privado pero combinado con la integración estratégica y uso de servicios Cloud públicos. La infraestructura es compartida entre varias organizaciones y se orienta a cubrir las necesidades específicas de un conjunto de organizaciones con preocupaciones similares. La gestión la puede llevar el conjunto de organizaciones o un tercero. Las 6 preguntas clave sobre Cloud Computing 8 NUBE COMUNITARIA La nube híbrida es aquella que surge de la combinación de dos o más tipos de nubes (cualquiera de los tres anteriores). Estas nubes son entidades separadas, pero se mantienen unidas a través de tecnologías estandarizadas que las interconectan permitiendo que se trasmitan entre ellas datos y aplicaciones. La inversión inicial en este caso es moderada, se mantiene el control de las aplicaciones principales de la organización y la nube pública se emplea solo cuando resulta necesaria, por ejemplo, para escalar la plataforma. NUBE HÍBRIDA Las 6 preguntas clave sobre Cloud Computing 9 Modelos de servicio Según el modelo de servicio, se pueden distinguir 3 tipos de nubes: CLOUD SaaS CLOUD PaaS CLOUD IaaS Software as a Service Platform as a Service Infrastructure as a Service En el caso del SaaS, el proveedor da acceso a sus suscriptores a los recursos y aplicaciones, sin que para ello sea necesario tener una copia del software instalado en los diferentes dispositivos. Con esta fórmula, todo el mundo utiliza el mismo software en la nube sea cual sea el dispositivo empleado para acceder. Es el tipo de nube en la que el usuario/cliente tiene menor control. Normalmente el acceso se realiza a través de un navegador web. El servicio se contrata, se puede usar de forma rápida, sin necesidad de instalaciones, y se permite la escalabilidad de forma dinámica en función de las necesidades de uso. Si el computador con el que se accede se rompe, no hay pérdida de datos, todo está en la nube. No se requiere la compra, instalación, actualización o mantenimiento del software empleado. CLOUD SaaS Ejemplos: Google Docs, Zoho, Office365 o ISOTools Excellence. Las 6 preguntas clave sobre Cloud Computing 10 El tipo Paas facilita acceso a los clientes/usuarios a la ejecución de aplicaciones desarrolladas por el proveedor o por terceros, empleando interfaces o lenguajes facilitados por el proveedor. CLOUD PaaS Ejemplos: Google App Engine. Este sistema sirve para el desarrollo de aplicaciones que permita dar respuesta a las necesidades del mercado de forma rápida. Las aplicaciones son desplegadas en la nube en unos minutos y su migración es menos compleja. En este caso, el usuario tampoco tiene control sobre el sistema ni los recursos de la infraestructura de la nube. La tipología IaaS, como indica su nombre, se centra en proveer la infraestructura computacional. El cliente subcontrata totalmente el almacenamiento y recursos necesarios (software y hardware) que precisa. De este modo, el usuario no tiene que realizar inversiones en hardware, siendo la infraestructura escalable en función de la demanda y pudiendo dar respuesta a cargas de trabajo dinámicas. Con ello, el cliente cuenta con una gran flexibilidad y puede disponer de servicios innovadores bajo demanda. CLOUD IaaS Ejemplos: EC2 de Amazon y Azure de Microsoft Comparativamente, en el modelo Iaas, el cliente adquiere mayor control sobre lo que se puede hacer en le nube a costa de que el proveedor lo pierda. La elección de un tipo u otro de servicio de Cloud Computing dependerá de las necesidades o condicionantes específicos que tenga el usuario. Las 6 preguntas clave sobre Cloud Computing 11 3 ¿Qué ventajas e inconvenientes tiene operar en Cloud? Tradicionalmente se han asociado diferentes mitos respecto a lo que supone trabajar en Cloud como que a la larga es más costoso, que tiene problemas de seguridad y privacidad, que no es de utilidad para la mayor parte de las organizaciones, que se pierde el acceso a la información si no hay internet, que se pierde el control de los datos, etc. Si se hace un recorrido por los inconvenientes, desventajas, inquietudes o riesgos reales que supone la adopción de tecnologías Cloud en las organizaciones, solo se puede hablar de los que exponemos a continuación. Inconvenientes ËË Existe temor por la seguridad de los datos alojados por un tercero. Este miedo ya existe cuando se cuenta con un centro propio de datos corporativos, si se dejan en manos de una tercera persona, el temor se acrecienta por la pérdida de control sobre la seguridad y confidencialidad de los datos. ËË Debido a que los datos viajan a través de internet, se alojan en localizaciones remotas y que normalmente hay varios clientes que acceden de forma simultánea a la nube, se puede incrementar el riesgo de exposición a amenazas externas o a la corrupción de los datos, sean de origen accidental o deliberado. ËË El modelo tradicional de licenciamiento corporativo de software no encaja en algunos casos con el modelo Cloud, por lo que se debería cambiar este concepto para adecuarlo a un trabajo en la nube. ËË Los estándares empleados en un servicio Cloud puede ser incompatibles con el de otros servicios por lo que existen problemas de interoperatividad e integración de aplicaciones y herramientas. ËË Como resulta muy barato mantener la información en la nube, se puede hacer un uso indebido de los datos, con fines diferentes a por los cuales se obtuvieron. Las organizaciones no tienen ningún incentivo en eliminar la información que estaba en la nube y ven más fácil poder hacer uso de ella aunque no hubiera consentimiento. Se corre el riesgo de incumplimientos normativos. ËË De forma general, se desconfía de la disponibilidad y rendimiento de los servicios en la red y de que la prestación del servicio Cloud cumpla con los estándares esperados. Ventajas y beneficios Frente a estos problemas, el modelo Cloud da respuestas y aporta una serie de ventajas y beneficios a considerar seriamente. Se destacan: ËË Se reduce el coste y la complejidad de poseer, mantener y actualizar una infraestructura (computadoras y redes, fundamentalmente) y contar con el personal que trabaja solo para que esté en funcionamiento, con un retorno de la inversión muy rápido. Hay datos que hablan de una reducción del 10 al 20% en el 80% de las organizaciones que lo utilicen. ËË Se externalizan una serie de riesgos a través del proveedor Cloud a la vez que la organización no compromete sus recursos en caso de error. ËË Se puede implementar en cualquier tipo de empresa con una implementación más rápida que en otras tecnologías y está disponible al momento de contratarla. Es más, está muy indicado para pequeñas y medianas empresas que no dispon- Las 6 preguntas clave sobre Cloud Computing 13 gan de elevadas capacidades de inversión o de grandes entornos TI. Las grandes empresas emplean este modelo para algunas aplicaciones específicas o de soporte a la implementación de proyectos específicos y con una duración limitada. ËË Son servicios que facilitan la personalización y el uso flexible en función de las necesidades del usuario. En Cloud se aplica la política de “pago por uso”, en la que los proveedores ponen a disposición de sus clientes un gran número de recursos informáticos asignados dinámicamente. ËË Son soluciones que permiten trabajar con las últimas innovaciones, antes que con servicios instalados. ËË Si se opta por proveedores especializados en un servicio en concreto, se puede acceder a opciones avanzadas de ese servicio que una compañía no podría adquirir o desarrollar por su cuenta. ËË Los servicios Cloud son totalmente escalables, no hay límite en capacidad de procesamiento y almacenamiento. Además, se permite el acceso a múltiples usuarios a la vez a una misma información con una contratación de recursos reducida, gracias a contar con una infraestructura de alto nivel por parte del proveedor de servicios cloud. ËË Son servicios de confianza que permiten el acceso a aplicaciones y documentos en cualquier lugar del mundo vía internet. Se emplean conexiones seguras y encriptadas y los archivos “viajan” encriptados. ËË Son eficientes ya que permiten a las organizaciones liberar a sus recursos para que se focalicen en la innovación y desarrollo de sus productos. ËË La información puede estar más protegida en el modelo Cloud. Son tecnologías concebidas desde el principio bajo la premisa de la seguridad de la información, entorno a ella, desarrollan sus mecanismos de protección de datos. ËË El uso generalizado de Cloud Computing ha favorecido el desarrollo en estándares abiertos, que establecen las características de referencia de seguridad de datos a través de diferentes servicios y proveedores. ËË La información en la nube no tiene tantos riesgos de pérdida en comparación con los registros en papel o discos duros, por ejemplo. Normalmente se cuenta con sistemas de backups periódicos y planes de contingencia que aseguran que la información no se perderá. Las 6 preguntas clave sobre Cloud Computing 14 4 ¿Qué tipo de servicios podemos encontrar en la nube? Los servicios que se pueden encontrar en la nube son muy dispares. Si una empresa quisiera, podría tener todos sus recursos y trabajar en la nube directamente. A continuación, mostramos algunas de las posibilidades que podemos encontrar en el mercado de las soluciones Cloud. Algunas soluciones Cloud ËË Almacenamiento, creación y edición de archivos por varios usuarios. ËË Compartición de archivos en diferentes formatos, incluyendo archivos de gran tamaño. ËË Creación y hosting de webs. ËË Gestión de proyectos. ËË Gestión de las relaciones con los clientes (CRMs). ËË Atención al cliente (soporte y mesas de ayuda). ËË Comunicaciones (mensajería, audio y vídeo). ËË Edición y compartición de vídeos, presentaciones, fotografías e imágenes. ËË E-mail corporativo. ËË E-mail marketing y gestión de redes sociales. ËË Contabilidad. ËË Soporte a BPM (Business Process Management). ËË Implementación y mantenimiento de sistemas de gestión basados en la mejora continua. ËË Medición de indicadores y mejora de la eficiencia. ËË Gestión Integral o ERP (Enterprise Resource Planning). Estos son solo algunos de los ejemplos de lo que se puede hacer ahora mismo en Cloud. Esta lista no es exhaustiva de lo que nos ofrece ahora mismo el mercado, y además, cada vez se suman más servicios que pueden ser disfrutados a través del modelo de Cloud Computing. Las 6 preguntas clave sobre Cloud Computing 16 5 ¿Para quién es el Cloud? Los servicios de Cloud Computing son aptos tanto para su uso de forma personal como para pequeñas, medianas y grandes empresas o cualquier tipo de organización que quiera beneficiarse de las ventajas que ofrece trabajar en la nube. Cloud es para todos En el caso del uso personal, son muchos los servicios que se ofrecen de forma gratuita y que se ajustan a necesidades básicas. ¿Quién no dispone de una cuenta de e-mail gratuita para uso personal? Como ya se ha mencionado anteriormente, las pequeñas y medianas empresas, con menor poder de inversión, pueden acceder a servicios que, si los asumieran internamente, reducirían considerablemente la rentabilidad del negocio y que les generarían una serie de riesgos que difícilmente podrían afrontar y evitar de forma segura. Además, la oferta de servicios Cloud suele basarse en diferentes rangos de necesidad, por lo que pueden buscar la opción que más se ajusta a su situación y, en caso de variar sus necesidades, modificar los servicios contratados y disfrutarlos al momento. De este modo, con los servicios contratados en la nube, obtienen todas las ventajas de contratar con proveedores especializados que aprovechan la economía de escala generada por trabajar con una gran cantidad de usuarios. Por otro lado, en el caso de las empresas u organizaciones de mayor tamaño, pueden hacer uso de Cloud para contratar servicios muy específicos que supondrían una gran inversión para su desarrollo de forma interna. De este modo externalizan estos servicios y obtienen beneficios como una mayor rentabilidad de la inversión realizada asegurando que sus necesidades son atendidas por especialistas en esos requerimientos. Además, con este tipo de servicios pueden cubrir con demandas puntuales asociadas a proyectos o iniciativas específicas de duración limitada sin tener que cargar a posteriori con una infraestructura propia. Las 6 preguntas clave sobre Cloud Computing 18 6 ¿Cómo seleccionar un proveedor de Cloud Computing? Son muchos los criterios que se pueden emplear en la selección de un proveedor de servicios Cloud. Como en la elección de cualquier otro proveedor, se tendrán en consideración todo aquello relacionado con la inversión a realizar (inversión inicial, cuota de mantenimiento, retorno de la inversión, etc.) y con las necesidades reales que tiene la organización (qué tipo de servicio es el que se precisa y si con la oferta existente se cubre esa necesidad). Aspectos a considerar para acertar Pero en el caso de los servicios Cloud hay que pensar en otros aspectos a considerar en la búsqueda y selección de proveedores. Por ejemplo, existen determinados casos en los que la tipología de datos y la regulación existente en el país considerado, limitan mucho el modelo a contratar. En algunos países, por ejemplo, la ley de protección de datos limita que éstos, si son de carácter personal y están sujetos a una elevada protección, estén alojados en servidores que se ubiquen en el propio país. Esta es una limitación importante a considerar, ya que condiciona mucho el universo de proveedores con los que se puede contratar. Entre los elementos a considerar en la selección, se encuentran también: ËË Medidas de seguridad implementadas: en este caso se evaluarían los métodos de encriptación, las medidas de seguridad implementadas en la ubicación del servidor, la existencia de backups periódicos, el registro del acceso a los datos, la implementación de firewalls, etc. ËË Protección de los datos durante la relación y la entrega y borrado seguro de los datos a la finalización del contrato. Aquí cobra vital importancia que el proveedor garantice la confidencialidad de los datos y que su personal tenga las instrucciones necesarias para que esa confidencialidad se mantenga. ËË Condiciones del servicio y tipos de cobertura que se ofrecen en los casos en los que el servicio no se preste o se preste con incidencias: en este caso, hay que valorar los tipos de soporte que ofrece el proveedor, la respuesta a incidencias en el servicio y la disponibilidad del mismo. En este sentido, la mayor parte de la información que hay que considerar se encuentra en los acuerdos de nivel de servicio o SLA (Service Level Agreement) que incluyen una serie de términos y condiciones estándar en la prestación del servicio a contratar. Todas las preocupaciones sobre la seguridad y la protección de datos se pueden solventar con la acreditación de que el proveedor dispone de una certificación de seguridad adecuada como puede ser el estándar internacional ISO 27001 para los Sistemas de Gestión de la Seguridad de la Información. En lo referente a la calidad del servicio, se puede recurrir a verificar la certificación bajo otro estándar internacional como es la norma ISO 20000-1 para Sistemas de Gestión de Servicios de Tecnologías de la Información (SGSTI), que puede complementarse con la aplicación de las buenas prácticas que contempla ITIL (Information Technology Infrastructure Library o Biblioteca de Infraestructura de Tecnologías de Información en español) que el proveedor puede aplicar para ayudar a alcanzar una mayor calidad y eficiencia en las operaciones de TI que realice. Por lo tanto, que un proveedor de servicios Cloud cuente con estas dos normas Las 6 preguntas clave sobre Cloud Computing 20 certificadas supone un mayor grado de confianza sobre el mismo, ya que una tercera parte ha actuado como auditor y ha verificado que se han implementado una serie de medidas y acciones que son de especial interés para el servicio que se quiere contratar. Aunque recurramos a este tipo de proveedores, nunca hay que perder de vista que la implementación de servicios Cloud en una organización no es solo el resultado de una buena elección de proveedor. Algunas recomendaciones que no hay que perder de vista sea cual sea el proveedor contratado son: ËË Considerar la implementación de servicios Cloud como un proyecto de la empresa y no únicamente de IT o Tecnología, involucrando a las diferentes áreas. ËË Tener en cuenta que la responsabilidad sobre el cuidado de la información, sigue recayendo en nuestra organización, sea cual sea el proveedor contratado. ËË Mantener controles de seguridad propios y concienciar a nuestro personal de la necesidad de un uso adecuado y seguro de estos servicios Cloud. ¿Qué tipo de Cloud es ISOTools Excellence? ISOTools es un software de gestión que se ofrece en modalidad SaaS (Software as a Service) a través de una nube privada. Está compuesta por diferentes módulos, siendo un software escalable, flexible y adaptable a las necesidades de organizaciones, sea cual sea su tamaño o rubro en el que operen. Nuestro software cuenta con 3 ámbitos de actuación: ËË dar cumplimiento a las normas internacionales ISO de sistemas de gestión, ËË planificar y gestionar la estrategia, ËË facilitar la gestión de procesos y proyectos. ËË Nuestros servicios están avalados por las certificaciones ISO 27001 e ISO 200001, por lo que garantizamos la seguridad y calidad de nuestro servicio TI. Las 6 preguntas clave sobre Cloud Computing 21 Enlaces de interés ËË https://www.priv.gc.ca/resource/fs-fi/02_05_d_51_cc_e.pdf ËË http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf ËË http://www.tectimes.net/articulo-cloud-computing-conceptos-y-principios-dela-computacion-en-la-nube/ ËË https://www.incibe.es/extfrontinteco/img/File/intecocert/EstudiosInformes/ cert_inf_riesgos_y_amenazas_en_cloud_computing.pdf ËË http://www.internetsano.gob.ar/archivos/cloudcomputing_empresas.pdf ËË https://www.us-cert.gov/sites/default/files/publications/ CloudComputingHuthCebula.pdf ËË http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/ common/Guias/GUIA_Cloud.pdf ËË http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/ common/Guias/ORIENTACIONES_Cloud.pdf Las 6 preguntas clave sobre Cloud Computing 22 Software ISO, BSC y BPM ISOTools Excellence es fácil, flexible y 100% parametrizable www.isotools.org (+34) 957 102 000