"Escoger el proveedor de nube más adecuado es una gran decisión", Víctor Escudero, S21sec

También te puede interesar... Formación y concienciación para mejorar la seguridad Especial Ciberseguridad Industrial Especial Cloud

Como casi todo, la adopción del cloud en España se produce a dos velocidades. Los clientes grandes, las multinacionales, ya tienen bastantes servicios en la nube y aunque su número sea pequeño, la facturación que generan no es nada desdeñable. Pero la mayor parte de las empresas en este país son pymes, y justamente están haciendo ahora su andadura hacia la nube, algunas de una manera un poco anárquica y la mayoría a través de Office 365. Esto es lo que nos cuenta Víctor Escudero, Responsable de Innovación y Tecnologías Cloud de S21sec, añadiendo que en este momento esas pymes “están empezando a darse cuenta de toda la dificultad que se están encontrando”.

Dice además este directivo que entre las pymes que están planificando adoptar la nube y las que han empezado recientemente, ya son un 80% las que están contratando “ese servicio inicial de easy boarding”. ¿Cuándo creéis que será esa transición hacia la nube quedarán completada? Dice que hablar de cinco años permite no pillarse los dedos, pero que “dos o tres años es una cifra bastante razonable para que bastantes empresas hayan dado ese primer paso”.

El siguiente punto es hablar de seguridad. Porque si inicialmente fue la principal barrera de adopción del cloud, ahora es uno de sus principales habilitadores, pero ¿ha habido ese cambio de mentalidad? Dice Víctor Escudero que los grandes ya lo han visto, se han dado cuenta de que mantener todos los sistemas actualizados y parcheados es “casi imposible” y al final es mejor delegar a un proveedor de nube “toda esa actualización, que es la parte más costosa y la que menos te aporta para el negocio, pero que la tienes que hacer para poder mantenerlo vivo. Te quitas gran parte del problema”.

Sobre si el sistema de responsabilidad compartida, hanta dónde llega el cliente y hasta dónde llega el proveedor, está claro y es transparente, asegura el responsable de Innovación y Tecnologías Cloud de S21sec que son “son casi extremamente transparentes, lo que ocurre es que no es fácil encontrar información”. Menciona el ejemplo de la normativa PCI DSS, y asegura que si una compañía tiene que cumplir con dicha normativa lo más lógico es que seleccione a un proveedor que tenga el sello de que cumple con PCI, “pero no nos olvidemos de que él cumple con la parte de la responsabilidad que tiene, no con todo. Es decir, podrás cumplir con PCI DSS si utilizas todas las funciones que el proveedor de cloud pone a tu disposición, pero las tienes que utilizar”. 

Otro ejemplo: En la modalidad IaaS, el proveedor provee de toda la infraestructura y por lo tanto, las vulnerabilidades típicas de un hipervisor, XEN, VMware, etc., es su responsabilidad, “y te aseguro que lo hacen bastante bien”, pero en el momento que el cliente tiene una máquina para sus instancias, el sistema operativo, su configuración y parcheo, es por cuenta del cliente. 

Cuando te vas a un modelo PaaS directamente no contratas una máquina, contratas una instancia en una base de datos y un número de transacciones por segundo, cuya configuración correrá a cargo de del proveedor, pero el cliente sigue siendo responsable de los datos que está poniendo en la nube.

Escogiendo el proveedor más adecuado

Reconoce Víctor Escudero que escoger el proveedor de nube más adecuado es una gran decisión, en ocasiones. Si es solamente para servicios básicos, como infraestructura como servicio (IaaS), la realidad es que hoy puedes estar en uno y mañana irte al otro, y la migración entre uno y otro es muy rápida. Antes hacer esto era complicado, pero ya no lo es y hay incluso servicios de APIs intermedias que se dedican a hacerlo entre las cinco nubes principales (Amazon, Azure, Google, IBM y Oracle), incluso con Alibaba.

“Las complicaciones comienzan cuando empiezo a contratar servicios más avanzados”, dice Víctor Escudero. Explica el directivo que el siguiente nivel después del IaaS, “y sigue siendo bastante básico”, es la plataforma como servicio: he contratado una base de datos relacional, y cada proveedor trabaja con la suya, pero además esa base de datos tiene elementos especiales, como la alta disponibilidad, garantizar la integridad de los datos, etc. “Ahí cada uno de los proveedores tiene servicios ligeramente distintos y si no hay una equivalencia rápida, salirse de eso no es tan fácil. Y ya cuando entras el modelo SaaS olvídate”, asegura el directivo, añadiendo que, aunque hay equivalencias entre nube, también hay incompatibilidades, migrar de una a otra no es tan fácil, “y por tanto la decisión de con qué proveedor me voy es muy importante”.

A la hora de escoger un proveedor de cloud hay que hacerse varias preguntas importantes porque, como hemos visto, dependiendo del tipo de servicios, puede condicionarte. Un aspecto destacable es optar por un proveedor que tenga una larga experiencia en temas de seguridad. Dice Víctor Escudero que cuando un cliente busca un proveedor de cloud la mayoría de las veces no se para a pensar en la seguridad, y que S21sec tiene más de ocho años de experiencia en la parte de ciberseguridad; como ejemplo, el SOC de S21sec es de los primeros que se montó en Europa y además de su larga experiencia cuenta con equipos dedicados, especialistas que además trabajan con las autoridades y son capaces “de detectar campañas de ataque contra nuestros clientes. Esa parte proactiva pocas empresas lo hacen, son más reactivas, y hay que tener en cuenta que en nube la reacción está muy bien, pero mucho más importante ir por adelantado”.

¿Necesitaríamos tener un proveedor Cloud europeo?

“Nos vendría bien por tener una opción al menos. Pero dudo mucho que la vayamos a tener porque este mercado es muy competitivo y tendríamos que habernos adelantado varios años. Sinceramente, creo que llegamos tarde. En los próximos cuatro o cinco años va un gran proceso de consolidación y quedarán tres, a lo sumo cuatro grandes proveedores de cloud, y el resto ¿qué va a hacer? prácticamente desaparecer”. Así de firme se muestra Víctor Escudero refiriéndose a las grandes nube públicas.

Dice el directivo de S21sec que, sobre las dos primeras, Amazon y Azure, no hay duda ninguna. Sobre el tercero de la lista, con muchísima diferencia, “ha entrado más tarde en este mercado y no está consiguiendo entrar a pesar de todo”. Se refiere a Google Cloud, sobre el que asegura que tiene servicios interesantes pero un roadmap que no está cumpliendo con las expectativas.  

Sobre la china Alibaba dice Víctor Escudero que la propia compañía ha definido en su estrategia que no quiere crecer con clientes extranjeros; “Lo que están haciendo es ser un proveedor mayoritario en Asia con muchísima diferencia, casi monopolio. Y lo que está haciendo es ofrecer sus servicios a las grandes multinacionales asiáticas en cualquier parte que estén. Pero no están haciendo campaña activa por cazar clientes norteamericanos, europeos, etcétera”. Sigue explicando sobre Alibaba que tienen servicios muy avanzados, que incluso Amazon, que es el más avanzado con bastante diferencia, le está costando alcanzar a Alibaba en algunos servicios que tienen.

Ransomware y Backup

El ransomware se ha convertido en una de las principales amenazas de seguridad para las empresas. La cantidad de ataques ha decrecido a cambio de hacerse más dirigidos e incrementar el precio del rescate. Tener un buen backup y un sistema de recuperación operativo “es una buena medida para evitar el impacto, pero va a afectar exactamente igual en cuanto a que te va a cifrar los datos”, dice Víctor Escudero. 

¿Qué es lo que está fallando entonces? “En sistemas tradicionales, no en nube, es casi imposible que todo lo que estés haciendo esté replicado al minuto” empieza diciendo Víctor Escudero para después añadir que hacer copias de seguridad es vital y que aunque habrá compañías que se puedan permitir el lujo de perder incluso los datos de un día, o incluso de una semana, no es lo habitual, y que el backup y restauración basados en cloud es mucho más fácil; “son servicios plug and play, y además bastante económicos”.

Rosalía Arroyo