Lo bueno, lo malo y lo feo del Cloud Computing
El cómputo de nube se está volviendo una tendencia generalizada para los usuarios de Internet. Estos servicios, que empezaron a popularizarse a través de los correos Web, hoy son usados por usuarios y empresas para guardar y compartir información alrededor del planeta.
De acuerdo con IDC, los servicios del Cloud Computing a nivel corporativo representan 10% del gasto de IT, aunque hay sectores donde puede llegar hasta el 40%. En América Latina, por ejemplo, más del 41% de las empresas y organizaciones cuentan con iniciativas de Cómputo en la Nube en 2012, y se espera que la cifra llegue a 80% para el 2015.
¿Por qué el crecimiento brutal sobre este modelo? La respuesta es simple el Cloud Computing entrega y genera muchas ventajas. Nos da disponibilidad de acceder a la información en todo momento y desde múltiples dispositivos, y de trabajar y colaborar entre diferentes miembros de una o varias empresas sin tener o pagar por una infraestructura física, que fue uno de los objetivos por los cuales nació precisamente este servicio.
Pero como todo en la vida, el cómputo en la nube no viene exento de posibles inconvenientes o problemas. Por ejemplo desde el punto de vista de las investigaciones digitales, y del cual se habla a nivel internacional (por ejemplo, en el Consejo de Europa), surge la pregunta de a quién le pertenece la nube desde el punto de vista jurídico.
Es decir, la información que uno sube a la nube, se la está entregando a Google, Amazon o a cualquier otro proveedor que va a entregar recursos o servicios para poder trabajar, pero en el mundo físico esa información muchas veces ya no se encuentra dentro de los límites del país donde se tiene que aplicar la ley en el caso de que se tenga que realizar alguna investigación, o en el caso de que se produzca un fraude. Entonces, tenemos un gran problema.
Si yo subo información a la nube: ¿Cómo estoy seguro de que no está en el mismo servidor que mi competencia? No existe una forma de ir a validarlo. A lo mejor yo tengo un servidor en N empresa donde cargo datos y resulta ser que, por azares del destino, mi información y la de mi competencia se almacenan en el mismo espacio. Llega una orden judicial contra mi competencia, mi competencia logra que se ejecute en el servidor, y en ese momento mi información y la del servidor está siendo entregada a un proceso judicial. Ese es uno de los casos.
Otro problema tiene que ver con territorialidad. ¿Qué pasa si en este momento, uno de los servidores de Google donde tengo mi correo, hace una replicación a China, y resulta ser que en China se obtiene una orden de cateo para todos los servidores de Gmail? Por más que la sede de Google esté en Estados Unidos, y yo crea que mi información está allí o en México, realmente se podría llegar a sacar una copia de toda la información desde China. Entonces tenemos un problema de jurisdicción respecto a si las redes de Cloud Computing son una extensión de mi infraestructura o no, legalmente hablando, pues a final de cuentas los servidores pueden estar cualquier parte del mundo. China, Tombuctú, Bora Bora, etcétera.
Es probable que usted mismo como lector, cuando está sentado frente a una computadora subiendo información, enviando correos electrónicos, compartiendo contenidos o utilizando servicios de Cloud, nunca se haya preguntado o preocupado por dónde están todos esos datos y archivos que estos cargando al espacio infinito del Web.
Pero, desde el punto de vista del examinador forense, lo primero que tenemos que averiguar es justo eso, dónde está la información. Si me dices que está en Cloud Computing, yo –como examinador forense– no puedo llegar a decir “está en ese servidor en particular”, porque no sé si los datos se han duplicado en uno o miles de servidores.
Adicionalmente, existen otros riesgos. Cuando uno se adhiere a un contrato de uso de Cloud Computing, no pone las reglas del contrato. ¿Qué pasa si la información se fuga? ¿Hay una responsabilidad o no? Para asustarlos un poco más, para todos aquellos que no hayan tenido el tiempo y curiosidad de leer el contrato de uso y servicios de Gmail, ¿sabían que el proveedor no se hace responsable de los mails que se lleguen a perder?
Si uno como usuario no se hace responsable sobre el manejo y estado de sus datos no podemos esperar a que otro milagrosamente lo hagan por nosotros. Se han preguntado ¿qué puede llegar a suceder ante posibles eventualidades? ¿Qué pasa si comparten con otro usuario mis datos por error, o si alguien tiene acceso no autorizado a mis servicios o información? ¿Quién es responsable? ¿Yo? ¿El proveedor? ¿Ambos? Y como estos, hay muchos retos que a veces a nivel local es mucho más fácil poder llegar a resolver.
El Cloud Computing tiene muchas ventajas, pero hay que ser coherentes y llegar a balancear los temas pendientes como la legislación y aquellos alrededor de la integridad, disponibilidad y confidencialidad de los datos, antes de correr y brincar de alegría hacia las posibilidades de infraestructura de bajo costo, multiplataforma y de amplia colaboración que el fenómeno nos promete. Hay que estar conscientes de los retos, y tratar de saber cómo enfrentarlos en el caso que sea necesario.
Andrés Velázquez (@cibercrimen)es un mexicano especialista en delitos informáticos y forensia digital, es presidente y fundador de MaTTica; y cuenta con las certificaciones CISSP, GCFA, ACE, IAM, IEM y BS7799.
Fuente: bSecure
De acuerdo con IDC, los servicios del Cloud Computing a nivel corporativo representan 10% del gasto de IT, aunque hay sectores donde puede llegar hasta el 40%. En América Latina, por ejemplo, más del 41% de las empresas y organizaciones cuentan con iniciativas de Cómputo en la Nube en 2012, y se espera que la cifra llegue a 80% para el 2015.
¿Por qué el crecimiento brutal sobre este modelo? La respuesta es simple el Cloud Computing entrega y genera muchas ventajas. Nos da disponibilidad de acceder a la información en todo momento y desde múltiples dispositivos, y de trabajar y colaborar entre diferentes miembros de una o varias empresas sin tener o pagar por una infraestructura física, que fue uno de los objetivos por los cuales nació precisamente este servicio.
Pero como todo en la vida, el cómputo en la nube no viene exento de posibles inconvenientes o problemas. Por ejemplo desde el punto de vista de las investigaciones digitales, y del cual se habla a nivel internacional (por ejemplo, en el Consejo de Europa), surge la pregunta de a quién le pertenece la nube desde el punto de vista jurídico.
Es decir, la información que uno sube a la nube, se la está entregando a Google, Amazon o a cualquier otro proveedor que va a entregar recursos o servicios para poder trabajar, pero en el mundo físico esa información muchas veces ya no se encuentra dentro de los límites del país donde se tiene que aplicar la ley en el caso de que se tenga que realizar alguna investigación, o en el caso de que se produzca un fraude. Entonces, tenemos un gran problema.
Si yo subo información a la nube: ¿Cómo estoy seguro de que no está en el mismo servidor que mi competencia? No existe una forma de ir a validarlo. A lo mejor yo tengo un servidor en N empresa donde cargo datos y resulta ser que, por azares del destino, mi información y la de mi competencia se almacenan en el mismo espacio. Llega una orden judicial contra mi competencia, mi competencia logra que se ejecute en el servidor, y en ese momento mi información y la del servidor está siendo entregada a un proceso judicial. Ese es uno de los casos.
Otro problema tiene que ver con territorialidad. ¿Qué pasa si en este momento, uno de los servidores de Google donde tengo mi correo, hace una replicación a China, y resulta ser que en China se obtiene una orden de cateo para todos los servidores de Gmail? Por más que la sede de Google esté en Estados Unidos, y yo crea que mi información está allí o en México, realmente se podría llegar a sacar una copia de toda la información desde China. Entonces tenemos un problema de jurisdicción respecto a si las redes de Cloud Computing son una extensión de mi infraestructura o no, legalmente hablando, pues a final de cuentas los servidores pueden estar cualquier parte del mundo. China, Tombuctú, Bora Bora, etcétera.
Es probable que usted mismo como lector, cuando está sentado frente a una computadora subiendo información, enviando correos electrónicos, compartiendo contenidos o utilizando servicios de Cloud, nunca se haya preguntado o preocupado por dónde están todos esos datos y archivos que estos cargando al espacio infinito del Web.
Pero, desde el punto de vista del examinador forense, lo primero que tenemos que averiguar es justo eso, dónde está la información. Si me dices que está en Cloud Computing, yo –como examinador forense– no puedo llegar a decir “está en ese servidor en particular”, porque no sé si los datos se han duplicado en uno o miles de servidores.
Adicionalmente, existen otros riesgos. Cuando uno se adhiere a un contrato de uso de Cloud Computing, no pone las reglas del contrato. ¿Qué pasa si la información se fuga? ¿Hay una responsabilidad o no? Para asustarlos un poco más, para todos aquellos que no hayan tenido el tiempo y curiosidad de leer el contrato de uso y servicios de Gmail, ¿sabían que el proveedor no se hace responsable de los mails que se lleguen a perder?
Si uno como usuario no se hace responsable sobre el manejo y estado de sus datos no podemos esperar a que otro milagrosamente lo hagan por nosotros. Se han preguntado ¿qué puede llegar a suceder ante posibles eventualidades? ¿Qué pasa si comparten con otro usuario mis datos por error, o si alguien tiene acceso no autorizado a mis servicios o información? ¿Quién es responsable? ¿Yo? ¿El proveedor? ¿Ambos? Y como estos, hay muchos retos que a veces a nivel local es mucho más fácil poder llegar a resolver.
El Cloud Computing tiene muchas ventajas, pero hay que ser coherentes y llegar a balancear los temas pendientes como la legislación y aquellos alrededor de la integridad, disponibilidad y confidencialidad de los datos, antes de correr y brincar de alegría hacia las posibilidades de infraestructura de bajo costo, multiplataforma y de amplia colaboración que el fenómeno nos promete. Hay que estar conscientes de los retos, y tratar de saber cómo enfrentarlos en el caso que sea necesario.
Andrés Velázquez (@cibercrimen)es un mexicano especialista en delitos informáticos y forensia digital, es presidente y fundador de MaTTica; y cuenta con las certificaciones CISSP, GCFA, ACE, IAM, IEM y BS7799.
Fuente: bSecure
En asuntos de computación en la nube fundamental informarse adecuadamente sobre ventajas y desventajas teniendo en cuenta que los más importante de una organización es su información. Portal Web Colombiano buen articulo felicitaciones. Carlos Andrés.
ResponderBorrarBueno yo considero no es buena idea poner toda tu información en la nube. Hay que equilibrar esto. Hay información que si se puede colocar en la nube sin pensarlo por hay otra que hay que considerar si vale el riesgo ponerlo en la nube ó si el proveedor cumple con las garantías que necesitamos.
ResponderBorrarSaludos muy buen blog.