Blog

Multi-cloud y el reto de la regulación en cloud computing

14 de Febrero de 2019
Idioma: Español
Tabla de contenido0

Multi-cloud es una tendencia que ha venido para quedarse. Un estudio realizado por Rightscale estima que el 81 % de las empresas de más de 1.000 empleados tienen una estrategia multi-cloud.

Asimismo, estima que la media de proveedores cloud diferentes utilizados son cinco, tanto para aplicaciones ya desplegadas como para experimentación y pruebas. Marketsandmarkets calcula que el mercado multi-cloud (en ocasiones denominado también nube híbrida) crecerá de 44,6 billones de dólares en 2018 a 97,64 billones de dólares en 2023. Pero ¿cuáles son las ventajas de adoptar una estrategia multi-cloud?

La computación en la nube (cloud computing) significa tener una aplicación desplegada ‘en algún sitio’, habitualmente fuera de nuestras instalaciones. Sin embargo, el uso de un único proveedor cloud se ha visto que, empresarialmente, no es suficiente. Las principales razones para migrar a un enfoque multi-cloud son:

  • Funcionalidad: encontrar un único proveedor cloud que cumpla todos los requisitos puede ser complicado, pero, sin embargo, la combinación de varios puede que sí los cubran.
  • Costes: contar con múltiples proveedores de servicios puede permitir seleccionar siempre la combinación de servicios más barata para nuestra aplicación.
  • Disponibilidad: si bien la disponibilidad es uno de los puntos fuertes de los proveedores cloud, tener la opción de re-desplegar en múltiples proveedores puede ayudar a aumentar el nivel de disponibilidad para nuestra aplicación.
  • Evitar el vendor lock-in y favorecer la portabilidad.
  • Asegura el cumplimiento de la legalidad y regulaciones europeas: con la entrada en vigor del GDPR y la regulación del flujo libre de datos no personales (Free Flow of Non-personal Data) y el Cybersecurity Act, los usuarios de los servicios cloud cada vez demandan más requisitos de seguridad a los proveedores de servicios.

Legalidad y nueva regulación

De todas las razones citadas, nos vamos a centrar en el cumplimiento de la legalidad, y sobre todo, en la nueva regulación del flujo libre de datos no personales (FFD). Esta regulación prohíbe a los estados miembros de la UE, en su artículo cuatro, establecer requisitos de localización de los datos. Esto significa que no pueden introducir ninguna restricción que requiera que los datos estén localizados en su territorio excepto en casos justificados de seguridad pública.

Otro aspecto importante es el artículo seis que establece la necesidad de una auto-regulación en forma de códigos de conducta que establezcan los proveedores cloud y que aseguren que la portabilidad y cambio de proveedor cloud sea mucho más fácil que en la actualidad. En la práctica, en gran parte, esto está solucionado con el uso de contenedores, pero en lo que concierne a los términos legales y condiciones esto no es así. En este momento, un grupo de trabajo auto-regulado (SWIPO por SWItching and POrtability) está diseñando estos códigos de conducta a nivel de infraestructura (IaaS) y software (SaaS).

La desconfianza, es decir, el desconocimiento de qué ocurre con los datos y las aplicaciones que las empresas despliegan en los proveedores cloud, así como el desconocimiento del marco legal es una de las barreras de cloud. Una posible solución es que asegure a los consumidores de servicios cloud que todos los aspectos de seguridad se están teniendo en cuenta podría ser la certificación de los proveedores cloud en seguridad.

Sin embargo, si analizamos la tasa de proveedores certificados vemos que es muy bajo. Un estudio de la Comisión Europea, publicado en noviembre de 2018, ha identificado las barreras con las que se encuentran los proveedores cloud a la hora de intentar certificar sus servicios. Estas incluyen, entre otras, las siguientes:

1) fragmentación en los esquemas de certificación con múltiples iniciativas públicas, públicas-privadas, de organismos de estandarización etc.

2) diferentes niveles de detalle en los controles

3) diferentes maneras de asegurar la conformidad

4) las iniciativas surgidas a nivel de estado miembro no han captado suficiente interés

5) en algunos países, el esfuerzo empleado para definir un esquema de certificación ha estado duplicado

6) el marco regulatorio

El Cybersecurity Act recomienda, en sus artículos 45, 46 y 47, que los productos y servicios ICT, entre los que se encuentran los servicios cloud, estén certificados y para ello se propone la creación de un esquema de certificación a nivel de la Unión Europea. Algunos de los requisitos de seguridad que este esquema europeo de certificación debería incluir se mencionan ya en el estudio arriba citado.

Tales requisitos, así como la comparativa (gap analysis) de estándares que se presentan en el estudio anterior se están extendiendo en el grupo CSPCERT (cloud service provider certification), un grupo auto-regulado esponsorizado por la Comisión Europeo, cuyo objetivo es proveer a ENISA con recomendaciones sobre cuáles son los requisitos mínimos de seguridad que usuarios y proveedores de servicios cloud esperan de un esquema de certificación a nivel europeo, lo que significarían los niveles de seguridad en cloud computing (el cybersecurity act define tres niveles, básico, intermedio y alto) y el modelo de conformidad.

Este trabajo se espera terminar con una consulta pública tanto a usuarios como proveedores durante el primer trimestre de 2019. Se espera que este esquema, voluntario, entre en vigor, en los próximos años.

Leire Orue-Echevarria

SOBRE EL AUTOR

Leire Orue-Echevarria

Ingeniero en informática por la universidad de Deusto, Executive MBA por la Universidad de Barcelona y cuenta con un Máster en Ciencias Sociales y Doctor en Economía, ambos por la universidad Abat Oliba CEU. Obtuvo premio extraordinario de Doctorado.

Leer más +

Autor:Leire Orue-Echevarria
Suscríbete a nuestras comunicaciones
CUÉNTANOS TU OPINIÓN
0 comentarios
CUÉNTANOS TU OPINIÓN
*campos obligatorios

Related category

Digitalización