iot-3337536_1920

48 consideraciones sobre el almacenamiento en nube

CLOUDConsultoríasGESTIÓN DE RIESGOSGESTIÓN DE SEGURIDAD DE LA INFORMACIÓNJAGINEGOCIOS-ESTRATEGIASSLATCOTIC

La denominación de “almacenamiento en la nube” es utilizada de forma común, pero representa cosas diferentes para diferentes personas. Comentábamos algo al respecto en artículos anteriores.

Mis datos, cuando los necesito

Actualmente existe un cúmulo de herramientas en nube que me permiten acceder a mis datos, no sólo cuando los necesito, sino, además, desde donde los necesito, y empleando una variedad de dispositivos.

Sin importar la capacidad que necesite

Además, la capacidad no resulta un problema, inclusive utilizando las herramientas en su versión sin costo. No es que tenga poco que almacenar, es cómo busco optimizar, ordenar y organizar lo que respaldo y cuándo lo respaldo.

¿Necesitamos otros motivos?

Sobran motivos para emplear estas herramientas y, muchas veces, estos motivos están relacionados con el nombre con que nos referimos a estas herramientas, almacenamiento en nube, repositorio de datos, entre otros.

Por ejemplo, para realizar mis respaldos utilizo diversas herramientas de almacenamiento en nube. Para las clases que dicto en diferentes universidades e institutos empleo los repositorios provistos con las herramientas de aula virtual de estas instituciones académicas.

En ambos casos garantizo la ubicuidad de los datos que necesito, además de no dañar [nuevamente] mis dispositivos USB –que ya son varios.

Otros motivos pueden estar relacionados con la sensibilidad de los datos, orientación, frecuencia de uso, tráfico permitido, permisos de acceso por terceros, garantías de seguridad, garantía de permanencia del proveedor, contratos de servicio, liberación de espacio, acceso a mayor espacio, espacio privado, necesidad de compartir, entre otros.

¿Cuál es nuestra necesidad?

Aunque estas herramientas proveen medios para emplearlas, como APIs, entornos web, clientes, plug-in, e incluso operan en modalidad ‘instala y olvídate’ o ‘dime qué hago y déjame trabajar’, ninguno de los varios medios de las varias herramientas disponibles se ajusta a mis necesidades –o exquisiteces, si prefieren.

Por ello he construido mi propio programa batch con el que automatizo, cifro, monitoreo y controlo el respaldo de mis datos utilizando estas herramientas.

Las necesidades de una empresa

Una [toda – cualquier] empresa tiene otras necesidades. Y aquí es donde la situación se complica.

Probablemente sea necesario transformar toda la infraestructura y los sistemas del centro de datos.

Se deben considerar aspectos clave como, entre otros, pero no limitados a, los siguientes:

  1. Seguridad durante la transmisión de los datos
  2. Seguridad en el almacenamiento de datos en nube [o en reposo]
  3. Seguridad de la nube para el empleo de datos sensibles
  4. Que las claves de cifrado se almacenen en una ubicación separada de los datos
  5. Localización geográfica de datos
  6. Contratos de servicio, tiempos de respuesta, tiempos de solución
  7. Políticas del proveedor con respecto al almacenamiento de datos [especialmente en cuanto a sus derechos de acceso o supervisión, incluso por sobre nuestros derechos y necesidades]
  8. Si estas políticas y otras con relación al servicio en nube que provee son convenientes para la empresa
  9. Políticas del proveedor en cuanto a retenciones mínimas y máximas de datos, replicación de datos
  10. Políticas de protección de los datos contra fallas de hardware y software
  11. Políticas del proveedor en casos de conmutación por error (acciones, tiempos, otros)
  12. Configuración para la recuperación de desastres en caso de fallo
  13. Pruebas de recuperación de desastres que deben hacerse para determinar qué es lo que realmente se necesita para recuperar sus datos desde la nube, sujeta a varios escenarios, y conocer cuánto tiempo pasará antes de que se restablezca el servicio
  14. Que el almacenamiento de datos se realiza de acuerdo con las reglas del proveedor, no con las de la empresa cuya información está siendo almacenada
  15. Asegurar que el proveedor realmente mantiene su red y servidores monitoreados, controlados y protegidos, consistente y constantemente
  16. Asegurar que cuando se borren datos (archivos, bases de datos, cuentas), realmente se borren o se cumpla el procedimiento establecido por la empresa
  17. El tipo de controles de datos que el proveedor tiene y mantienen instalados y en operación
  18. Asegurar la ejecución de los respaldos de datos programados
  19. Asegurar que ambas partes entienden la diferencia entre archivado y respaldo de datos y los emplean apropiadamente
  20. Soporte para migrar datos de un proveedor en nube a otro
  21. Niveles de servicio sujetos a las necesidades de la empresa o que al menos se cumplen los que el proveedor establece (rendimiento, disponibilidad y fiabilidad, entre otros)
  22. Prestar atención a señales de violación de los niveles de servicio
  23. Capacidad de crear informes, de forma programada o por demanda
  24. Procedimientos de auditoría internos del proveedor, estándares empleados, auditorías por terceros
  25. Regulaciones a los que está sujeto el proveedor
  26. Generar registros de auditoría, para fines de cumplimiento normativo local
  27. Apertura del proveedor a ser auditado por cumplimiento legal
  28. Capacidad del proveedor para integrar sus servicios en nube con los servicios internos de la empresa, como Active Directory
  29. Aspectos del ciclo de vida y disposición de la información que reside en la nube
  30. Latencia en las comunicaciones –sobre todo para aplicaciones de tratamiento de datos vitales para el negocio
  31. Rendimiento del procesamiento de datos
  32. Rendimiento del propio acceso al almacenamiento de datos
  33. El rendimiento potencialmente menor que el alcanzado con la infraestructura local
  34. Identificación de los datos primarios o de misión crítica de la empresa para determinar su mejor ubicación, sobre la base de los niveles de servicio comprometidos –por ejemplo, establecer jerarquías o niveles dinámicos como que los datos más activos se almacenan en la empresa, y los datos menos activos se llevan a la nube (implica considerar las tecnologías de almacenamiento más apropiadas)
  35. Ubicación cercana de aplicaciones con relación a los datos que deben manejar –co ubicación de datos (ambos en la nube o ambos en el centro de datos de la empresa)
  36. Mejorar el acceso a los datos con el empleo de soluciones como VM-aware storage (VAS) (Almacenamiento compatible con máquinas virtuales)
  37. Centralización de la gestión de la nube
  38. Capacidad de integrar el servicio con los sistemas internos de la empresa
  39. Apertura del proveedor a la integración con los sistemas y aplicaciones de la empresa
  40. Capacidad del proveedor para integrar dispositivos móviles, IoT, entre otros
  41. Capacidad del proveedor para rastrear y registrar toda la actividad de los usuarios, entre otros
  42. Preparación del proveedor para brindar soporte a modelos como el edge computing o el fog computing, y el empleo de dispositivos IoT, sobre todo cuando se utilizan ya como punto de acceso para aumentar la velocidad del procesamiento de los datos
  43. Capacidad de auditar el uso, buscar archivos, o establecer políticas de intercambio y colaboración
  44. Capacidad de crear informes personalizados sobre el acceso y el uso de las cuentas de usuarios y administradores
  45. Que el cifrado y la compresión de datos, sin olvidar la deduplicación, pasarán a ser “commodities”
  46. Las aplicaciones de localidad de referencia serán cada vez más importantes para la analítica de datos, especialmente para aplicaciones en tiempo real como la detección de fraude”
  47. Documentar todos los procedimientos y asegurar que todos los involucrados estén familiarizados con todos ellos
  48. Tener cuidado con quién se comparte el almacenamiento de datos
  49. Prestar especial atención a la combinación de almacenamiento local (en centros de datos de la empresa) y almacenamiento en la nube, ya que el desafío consiste en mover constantemente los datos de ida y vuelta

Recordemos

Aplicar controles de gobierno de la información, con las relaciones adecuadas en servicios legales y tecnologías y servicios de la información.

Verificar la capacidad de recuperación de sus respaldos en nube antes de que haya un desastre.

El almacenamiento de datos en la nube requerirá personal capacitado.

No olvide la automatización en la implementación de la alternativa de solución que elija.

Tampoco debemos dejar de lado la frecuencia con la que accede a sus datos archivados, los objetivos del archivado, volumen del archivado y las políticas de retención existentes o posibles.

Considere expertos en el tema.

Comments are closed.