Cloud Computing

From FdIwiki ELP
Jump to: navigation, search

El cómputo en la nube (“cloud computing”, en inglés) ya no es un concepto nuevo y se ha convertido en una necesidad para las personas, empresas y Administraciones Públicas que quieren hacer un uso eficiente de las Tecnologías de la Información y las Comunicaciones.

Cloud computing hace referencia a una serie de recursos en red. La clasificación principal de esos recursos suelen ser:
- IaaS (Infraestructure as a Service): El proveedor proporciona capacidades de almacenamiento y proceso en bruto, sobre las que el usuario ha de construir las aplicaciones que necesita su empresa prácticamente desde cero. Tal vez se pueda decir que éste es el modelo más primitivo de nube, que se inició con los sitios de Internet que proporcionaban capacidad de almacenamiento masivo a través de la red y los servidores de alojamiento web.
- PaaS (Platform as a Service): Se proporcionan utilidades para construir aplicaciones, como bases de datos o entornos de programación sobre las que el usuario puede desarrollar sus propias soluciones
- SaaS (Software as a Service): Cuando el usuario encuentra en la nube las herramientas finales con las que puede implementar directamente los procesos de su empresa: una aplicación de contabilidad, de correo electrónico, un worlkflow, un programa para la gestión documental de su empresa, etc.

También existen otras clasificaciones aunque menos reconocidas como pueden ser: DBaaS (Data base as a Service), DaaS (Desktop as a Service).

La otra clasificación principal es cloud público, privado o híbrido:
- Cloud público: La infraestructura es propiedad de una tercera empresa (proveedor de servicios) que es compartida por varios clientes con los que se ha suscrito un contrato. Los servidores son mantenidos y gestionados por la entidad proveedora del servicio. El acceso se realiza en forma remota generalmente a través de internet.
- Cloud privado: Tú eres el dueño de los recursos, tienes que gestionarlos, lo cual es más caro y más seguro.
- Cloud híbrido: Es un tipo de configuración mixta, en la que tienes infraestructura propia y a la vez utilizas servidores de terceros. Este sistema es útil cuando una empresa necesita una serie de recursos de forma fija, pudiendo utilizar para dicho fin una infraestructura propia sabiendo que la va a rentabilizar con total seguridad. Y para los picos de recursos que pueda tener dicha empresa, en fechas señaladas u horarios clave, usar el cloud público aprovechando su flexibilidad.


La Nube

La nube es, una oportunidad y un reto. Como todo avance tecnológico, se plantean cuestiones que requieren tomar en consideración diversos aspectos, por ejemplo en protección de datos personales, privacidad y seguridad, ya que tales aspectos suelen ser temas de interés y ello con independencia de que nos encontremos en un país o territorio.

Las nubes privadas entregan un conjunto de servicios específicos que están diseñados para la organización. La ruta hacia una nube privada a menudo es impulsada por la necesidad de controlar el entorno de entrega entre las empresas. Las oportunidades que ofrece la computación en una nube requieren una evaluación rigurosa de los beneficios y los riesgos.

Puesto que los datos se encuentran en la nube, se considera relevante verificar las garantías adoptadas y, en particular, las medidas de seguridad implantadas por cada uno de los agentes con objeto de garantizar la seguridad e integridad de los datos evitando su alteración, pérdida, tratamiento o acceso no autorizado.

La contratación de servicios de cloud computing se realizará a través de un contrato de prestación de servicios. Resulta imprescindible que ese contrato incorpore entre sus cláusulas las garantías a las que obliga la Ley Orgánica de Protección de Datos.

Sin embargo, hay situaciones en las que el proveedor de cloud fija las condiciones con un contrato tipo igual para todos sus clientes, sin que el usuario tenga ninguna opción para negociar sus términos. Este último caso es el más común, sobre todo cuando se encuentra el cliente en una situación de desequilibrio (p.ej.: una pyme frente a un gran proveedor), aunque hay que tener en cuenta que esto no eximirá, a ninguno de los dos, de las responsabilidades que determina la LOPD.

Ventajas y desventajas

Ventajas

  • Reducción de Costos: Reducción real de los costos operativos como administrativos, es posible que el costo total de operación y mantenimiento de dicha infraestructura sea repartido entre miles de usuarios a los que presta el servicio. Incluso, se puede llegar a decir que se tiene un costo nulo en la inversión inicial de infraestructura, lo que permite crear proyectos de gran escala en donde tradicionalmente se debía tener inversiones millonarias


  • Infraestructura Just-In-Time: Uno de los problemas que afrontaba cualquier proyecto era el dimensionamiento de la infraestructura que debía montarse, Cuando se tenía un éxito no era posible tener un escalamiento rápido, se era una víctima del éxito propio al no tener recursos para atender las peticiones de todos los usuario y llegando a perder muchos de ellos. Por el contrario, si se invertía mucho en infraestructura y no llegaba a utilizarla, se era víctima del fracaso propio, agilizando la muerte de la empresa. Estos problemas son resueltos con el modelo de la nube, donde cada aplicación puede obtener los recursos que requiere para dar respuesta a todos los usuarios, sean pocos o muchos, reduciendo los riesgos y costos operacionales, pagando exactamente lo que se está consumiendo.


  • Eficiencia en la utilización de recursos: Es posible crear sistemas que se encarguen de monitorear el uso de los recursos y administrarlos de manera eficiente para reducir los costos de manera automática y eficiente, a través de llamados de petición o liberación de recursos al proveedor del servicio.


  • Costo basado en uso: Cada usuario sólo paga por lo que realmente está usando y no por infraestructura. De esta manera, se obtienen ventajas que anteriormente no se tenían con el desarrollo y uso de software más eficiente. Es decir, que si actualiza el actual software de una compañía por uno que ofrece una mejora en menor uso de cache, se tiene una reducción del costo en la siguiente factura. Calidad del servicio y Fiabilidad: La mayoría de las actuales infraestructuras donde están operando los servicios de Cloud Computing poseen acuerdos de niveles de servicio (SLA) con tiempos de disponibilidad mayores al 99.99% 24/7. Desde la perspectiva del usuario implica que se pueden obtener diferentes niveles de servicios de acuerdo a las necesidades del negocio y de muy alta disponibilidad, a partir de los contratos firmados con los proveedores. Estos acuerdos suelen ser mucho más económicos y con mejores niveles que los cualquier organización normalmente podría obtener con una infraestructura interna.


Desventajas

  • Seguridad y privacidad: Con la computación en la nube todos tus ficheros e información pasan de estar en tu PC a almacenarse en esa nube. Eso implica dejar de tener control sobre ellos. Nunca se puede estar seguro de quién accede a esa información o si está o no protegida como debe ser. Es un riesgo para usuarios particulares pero aún más para las empresas. Ellas deben confiar informaciones internas y confidenciales a un tercero, que puede o no ser fiable. Además, existe un riesgo remanente que no puede ser eliminado ni olvidado. El riego existe en que al estar la información viajando y permaneciendo en una infraestructura que no se puede controlar, se incrementa el riesgo que dicha información pueda ser interceptada o modificada por un tercero.


  • Sin Internet no hay nube: En la computación en la nube todo depende de que la conexión a Internet funcione. Si no es así, el cliente no podrá acceder a los programas ni los datos.


  • Problemas de cobertura legal: Los servidores de la nube pueden estar en cualquier parte del mundo. Si hay problemas, no está claro qué ley debe aplicarse o si ésta podrá proteger al cliente.


  • Conflictos de propiedad intelectual u otros: La información de los clientes ya no está en sus manos, con lo que pueden surgir problemas sobre a quién pertenece. Eso puede llevar a situaciones delicadas, por ejemplo si el cliente pretende cambiar su proveedor de computación en la nube o si éste quiebra o comete alguna ilegalidad.


  • Dependencia del Cloud contratado: Actualmente no existe ninguna intención de estandarizar los servicios cloud para permitir las migraciones entre unos proveedores y otros, por lo que una vez utilizado un proveedor es imposible cambiar a otro sin perder toda tu sistema. Esto hace que si comienzas a utilizar un determinado servicio cloud, no puedas dejarlo nunca sin perder tu sistema.

La contratación de servicios

A continuación, se exponen los conocimientos básicos que se han de tener para poder contratar Cloud Y SABER lo que se está contratando.

¿Qué debo analizar y tener en cuenta antes de contratar servicios de ‘cloud computing’?

  • Debe evaluar la tipología de datos que trata atendiendo a su mayor o menor sensibilidad (por ejemplo los datos meramente identificativos no son datos sensibles y los relacionados con la salud tienen la máxima sensibilidad).
  • Debe informarse sobre los tipos de nube (privada, pública, híbrida) y las distintas modalidades de servicios (vea la introducción de esta guía).
  • Con esta información debe decidir para qué datos personales contratará servicios de cloud computing y cuáles prefiere mantener en sus propios sistemas de información.

Desde la perspectiva de la normativa de protección de datos, ¿cuál es mi papel como cliente de un servicio de ‘cloud’?

  • El cliente que contrata servicios de cloud computing sigue siendo responsable del tratamiento de los datos personales. Aunque los contrate con una gran compañía multinacional la responsabilidad no se desplaza al prestador del servicio, ni siquiera incorporando una cláusula en el contrato con esta finalidad.

¿Cuál es la legislación aplicable?

  • El cliente que contrata servicios de cloud computing sigue siendo responsable del tratamiento de los datos por lo que la normativa aplicable al cliente y al prestador del servicio es la legislación española sobre protección de datos.

¿Dónde pueden estar ubicados los datos personales? ¿Es relevante su ubicación?

  • La localización de los datos tiene importancia porque las garantías exigibles para su protección son distintas según los países en que se encuentren.
  • Los países del Espacio Económico Europeo ofrecen garantías suficientes y no se considera legalmente que exista una transferencia internacional de datos. El Espacio Económico Europeo está constituido por los países de la Unión Europea e Islandia, Liechtenstein y Noruega.
  • Si los datos están localizados en países que no pertenecen al Espacio Económico Europeo habría una transferencia internacional de datos, en cuyo caso, y dependiendo del país en que se encuentren, deberán proporcionarse garantías jurídicas adecuadas.

¿Cómo puedo asegurarme de que el proveedor de ‘cloud’ no conserva los datos personales si se extingue el contrato?

  • Deben preverse mecanismos que garanticen el borrado seguro de los datos cuando lo solicite el cliente y, en todo caso, al finalizar el contrato. (Un mecanismo apropiado es requerir una certificación de la destrucción emitido por el proveedor de cloud computing o por un tercero).

Relacionado

GRID computing [1]

Han contribuido

  • Sergio Moreno de Pradas
  • David Díaz Morgado
  • Luís Fernando Martín Ruiz
  • David Gómez Blanco