Por Toni García, sales expert AWS en T-Systems Iberia
Las tecnologías cloud están convirtiéndose en un estándar en todo el mundo, principalmente porque son un habilitador y acelerador de la digitalización. En España, IDC asegura que el mercado de las tecnologías de la nube creció un 28% en 2022 y que las empresas invirtieron 2.900 millones de euros en su adopción. Además, la misma consultora estima que el mercado cloud crecerá un 25% al año hasta 2025, cuando alcanzará los 8.400 millones de euros solo en España.
Por otra parte, los análisis de PAC confirman que una mayoría de empresas europeas quieren transferir cargas de trabajo considerables al cloud público en los próximos años. Los objetivos principales son contar con modernos entornos de aplicaciones para el desarrollo de su negocio, poder reaccionar a las condiciones del mercado con mayor agilidad, aprovechar el potencial de innovación, ampliar las actividades empresariales y reducir costes.
Con todos estos beneficios, España y Europa viven un momento de esplendor en la adopción del cloud, con numerosos proyectos tanto en el sector privado como en la administración y el respaldo de la propia Comisión Europea con la puesta en marcha, por ejemplo, de GAIA-X. No obstante, este camino, si bien es imparable, tiene aún algunos retos que afrontar.
Uno de los principales desafíos es el de la seguridad de los datos y, sobre todo, el cumplimiento normativo. Un reto que en sectores críticos como el financiero o el público pueden suponer un freno a su adopción y, por tanto, también a su digitalización.
Hay que decir que actualmente la discusión sobre la seguridad del cloud es más bien un debate sobre el cumplimiento de la normativa con el uso del cloud en el que surgen preguntas como: ¿Puede utilizarse una nube estadounidense para cargas de trabajo en sectores regulados? ¿Qué papel desempeña la normativa GDPR de la Unión Europea? ¿Cómo pueden las empresas europeas garantizar a largo plazo que utilizan la nube sin infringir las directrices europeas?
Respondiendo a ellas, con la adopción del cloud las empresas deben tomar las medidas de precaución adecuadas para evitar daños en un mundo en el que los ciberataques van en aumento; y todo ello, mientras que se aseguran de que solo personas autorizadas tienen acceso a los datos. Al mismo tiempo, la evolución política, jurisdiccional y normativa de los últimos años ha generado cierta incertidumbre a la hora de utilizar las plataformas de cloud público estadounidense como AWS.
A la hora de establecer una estrategia de cloud público sobre AWS hemos de contemplar una serie de principios de diseño que nos asegurarán que nuestro ecosistema cloud cumple con la normativa al tiempo que eficientamos nuestros recursos en AWS. Entre ellos están la gestión de identidades sofisticada, para aplicar autorizaciones adecuadas a cada perfil para las interacciones individuales con los recursos de AWS; la trazabilidad del dato, debemos poder monitorizar de forma automatizada y en tiempo real los entornos de AWS para ser ágiles en la respuesta ante las anomalías. También debemos contemplar seguridad a todos los niveles, combinando diversos controles de seguridad que cubran desde el almacenamiento del dato a la transferencia, clasificando los datos en niveles de confidencialidad y uso, y aplicando medidas de cifrado, tokenización y control de acceso.
Es igualmente importante establecer una separación entre personas y datos para evitar el acceso directo o tratamiento manual de los datos; así como establecer directrices y procesos para la gestión de incidentes de seguridad que puedan producirse y contar con herramientas de alto rendimiento para responder de forma rápida a estas situaciones.
Por todo ello, el despliegue de infraestructuras cloud en una empresa requiere de forma "sine qua non" de conocimientos específicos en la tecnología concreta de nube que queramos desplegar, como AWS, y llevar a cabo cada proyecto de forma específica y adecuada a cada empresa. Contar con un partner tecnológico experto en esta tecnología permitirá a la empresa desplegar el cloud público con las mayores garantías de que se cumple con la normativa, independientemente de que se trate de un servicio "clásico" o en la nube.
T-Systems ha creado un porfolio de soluciones que interactúan y se interconectan para asegurar la gestión del ecosistema cloud y garantizar el cumplimiento de las normativas relativas a la seguridad de los datos. Entre ellas contamos con la solución Managed Cloud Operating System (MCOS) que proporciona un despliegue y gestión automatizados de diferentes sistemas operativos de servidor. Por otra parte, está la plataforma de conectividad multicloud (MCCP) que proporciona conectividad IP de capa 3 entre los centros de distribución de T-Systems, el Cloud Público y la WAN del cliente a través de una plataforma fácil de usar, rápida y segura.
Junto a estas soluciones destaca el porfolio de Data Protection As a Service para AWS, que nace del fuerte compromiso con la protección del dato y la privacidad que comparten T-Systems y AWS. Esta solución establece medidas de seguridad desde la infraestructura física hasta las aplicaciones de software que residen en ella, con un sistema gestionado por el equipo de expertos de T-Systems que garantiza el cumplimiento de la normativa de aplicación local. Las AWS Landing Zones que incluye este servicio están validadas por una evaluación adicional y rigurosa de privacidad y seguridad exigida por Deutsche Telekom. Se definen y aplican controles del alojamiento de los datos, y la gestión de identidades y el cifrado se implementan a través de AWS Landing Zone. Además, el servicio de soporte lo ofrecen profesionales especializados y altamente cualificados ubicados en Europa.
Como extensión de este servicio, T-Systems cuenta con el servicio External Key Management para incrementar la confidencialidad de los datos. Este sistema almacena y utiliza las claves criptográficas fuera de la plataforma de AWS, en módulos de seguridad de hardware (HSM) ubicados en los centros de datos de T-Systems de manera que AWS no tiene acceso a las claves maestras de clientes.
