La nube. 5

De igual modo que, como se dijo, el Cloud Computing no es una novedad, las dudas que plantea, en mi opinión, tampoco lo son. En realidad, desde que dejamos de utilizar el papel y comenzamos a utilizar ordenadores, comenzamos también a perder el control. En el mejor de los casos, lo perdimos cuando dejamos de trabajar en equipos locales y se generalizó el uso de redes de área local, primero; de arquitecturas cliente-servidor, segundo; y, más recientemente, de arquitecturas multicapa o tecnologías como la de la virtualización. Veamos si los interrogantes de Spinola pueden plantearse de igual modo en un escenario que todavía no ha pasado por la nube, digamos las aplicaciones y los datos de un archivo que pertenece a una organización compleja (para ser sincero, el escenario en el que trabajo).
¿Dónde están mis datos? Bien, mis datos están, según me han dicho, en un Oracle 11 al que no puedo acceder directamente, alojado en un servidor del que sólo sé que se llama Minerva y que se comparte con otras unidades vinculadas al archivo. Ignoro dónde se encuentra ese servidor, aunque el equipo del Servicio de Informática es amigo y “confío” en ellos. Mis ficheros están en un servidor del que sé que se llama Artillero y que veo todos los días, pero sobre el que no puedo ejecutar ninguna operación. Una vez más, “confío” en los amigos.
¿Con qué seguridad entran y salen mis datos de la nube? Bueno, no están en la nube, están en un entorno cerrado, aunque a veces hay que abrirlo, o acceder mediante mecanismos como los de una red privada virtual, porque preciso realizar operaciones desde lugares remotos, digamos un hotel en México D.F. “Confío” en la seguridad de una red privada virtual.
¿Quién tiene acceso a mis datos? Realmente, no lo sé; presumiblemente hemos establecido permisos y restricciones de acceso muy estrictos, pero al menos el Servicio de Informática y una compañía privada que ha firmado una cláusula de confidencialidad tienen los mismos permisos que yo. De nuevo, es una cuestión de “confianza”.
¿Cómo se protegen mis datos mientras están en tránsito? Tampoco lo sé, o, en sentido estricto, lo sé: el equipo de criptografía de mi organización trabaja muy bien y documenta sus procedimientos de encriptación. Además, me facilita esta documentación. La parte mala es que, puesto que no soy especialista en criptografía, no entiendo prácticamente nada de esta documentación. Utilizaré una vez más la expresión “confío” en el equipo de criptografía.
¿Quién se hace responsable si algo va mal? Eso está claro: todos los que estamos implicados en el funcionamiento del sistema y, en último extremo, nuestros superiores pertenecientes a la alta gestión; lo cual, por supuesto, no evita que se pierdan datos si algo va mal. “Confío” en que nada vaya nunca mal.
¿Cuál es el plan de recuperación de desastres, incluidas las respuestas a una pandemia? Las medidas para prevenir desastres y pandemias, y para recuperarse de ambos, son exhaustivas, en ocasiones paranoicas, lo cual es bueno; no sé si funcionan, o “confío” en que funcionan, porque hasta el momento no hemos padecido un desastre ni una pandemia.
¿Cómo se satisfacen legislaciones como las de exportación y privacidad? Se satisfacen hasta el aburrimiento, pero somos tantos los implicados en conseguir que se satisfagan, e intervienen tantos sistemas en conexión y tantos datos transitan de manera tan continuada que, de nuevo, deviene una cuestión de “confianza”.
¿Desaparecerán mis datos si mi almacenamiento en línea se corta? No desaparecerán, pero no podré trabajar, o podré hacerlo de manera limitada, hasta que se recupere la línea. Tengo que “confiar” en que la línea no se corte, aunque a veces sucede, de modo que, para ser exacto, tengo que “confiar” en que suceda muy raras veces.
¿Qué pasa si desaparece mi proveedor en la nube? Puesto que no estamos hablando de un escenario en la nube, tengo que plantear la pregunta en otros términos: ¿qué pasa si el equipo de informática se va de vacaciones? ¿Qué pasa si se quema un servidor? Bien, “confío” en que esto no suceda, o al menos que no suceda de manera simultánea, simplemente porque habría que restaurar la última copia de seguridad, y yo no estoy cualificado para hacerlo. Incluso aunque el equipo de informática no esté de vacaciones, a veces me llaman para decir algo del estilo de “tengo que reiniciar el servicio”. No sé ni cómo ni por qué, pero “confío” en ellos.
¿Cómo se supervisa el entorno en previsión de fallos de las aplicaciones, del sistema operativo, de las bases de datos? A decir verdad, no creo que se supervise: actuamos más bien “confiando” en la posibilidad de que no se produzcan fallos. Como los fallos, a pesar de todo, se producen, actuamos a posteriori, con la “confianza” en la posibilidad de que podremos solventarlos. Hasta ahora, nos ha ido bien.
¿Cómo se notifican estos fallos? Se notifican por teléfono. El procedimiento es un poco rústico, aunque imagino que habitual: el primero que advierte el fallo llama a aquel en quien “confía” como más cualificado para solventarlo y, si el fallo es de relevancia, esta persona de “confianza” va llamando a su vez a otras personas de su “confianza”, hasta que todo se soluciona. En realidad somos un buen equipo: “confiamos” todos en todos.
¿Cómo se protegen y aseguran los datos contra robo o daño? No lo sé, por todo lo que dije antes. Nos movemos en un entorno cerrado, pero en ese entorno cerrado no todos tienen las mismas habilidades y no se descarta la posibilidad de que alguien se equivoque, incluido yo. “Confío” en que esto no suceda.
¿Se encriptan? Sí se encriptan y se documentan los mecanismos de encriptación. Como se dijo más arriba, la parte mala es que, al no entender esta documentación, tengo que “confiar” en que seremos capaces de desencriptarlos.
¿Cómo rotan y se gestionan las claves de encriptación? No lo sé. De nuevo, es una cuestión de “confianza”.
¿Es fácil la integración con las tecnologías de la información ya existentes a nivel local? En absoluto: los frecuentes cambios de tecnología, o la integración de tecnologías existentes, son complicadísimos y llevan meses de trabajo de uno o varios equipos compuestos por muchas personas. El cambio tecnológico no es fácil, pero “confiamos” en que entre todos, combinando las mejores destrezas de cada uno, podremos llevarlo a cabo.
¿Tiene el sistema la suficiente capacidad de personalización como para adecuarse a mis necesidades? No: mis necesidades, o las necesidades del archivo y unidades asociadas, son tan diversas, variables e insospechadas que no creo que ningún sistema las acomode con facilidad. Una vez más, “confío” en que el equipo multidisciplinar que gestiona las tecnologías tenga capacidad para elaborar tales personalizaciones.
¿Es difícil volver a migrar a un sistema local? Sería una pesadilla, “confío” en que no tenga que retroceder a un sistema anterior.
¿Es posible? Sí, al menos “confío” en ello, aunque no será ni fácil ni barato.
¿Existen requisitos normativos en mi actividad que me impidan utilizar la nube? Por supuesto, existen, particularmente los referidos a seguridad, protección de datos, privacidad, etc.; pero existen, después de todo, nubes privadas, firmas de convenios o redes seguras en desarrollo. Tendría que “confiar” en este marco y la infraestructura que implica. Probablemente, a corto plazo se promulgarán requisitos normativos que me permitan usar la nube: también tendré que “confiar” en ellos.
La cuestión es que en nuestros entornos cotidianos de trabajo ya no tenemos de hecho el control y, sin embargo, confiamos en el sistema, aunque el sistema a veces falla. Seamos realistas: trabajamos con las tecnologías no sólo porque en términos objetivos nos facilitan las cosas; también porque somos capaces –social, organizativa y culturalmente- de establecer mecanismos subjetivos de confianza en las mismas y en el entorno que las gestiona. La nube no es diferente; simplemente es más grande y más difusa. En mi opinión, esto no es motivo suficiente para abandonar sus ventajas, entre otras cosas porque a medio plazo no existirá otra alternativa. No obstante, puesto que mi opinión es humilde y no necesariamente bien fundada, en lo que sigue exploraremos otras opiniones más autorizadas, tanto de la academia, como de la industria, como de la prensa especializada.