e-Valúame

Tag Archives: google

¿Te fías de Google?

Un virus, de PC, me ha dejado K.O durante una semana. El portatil aún anda renqueante y a mi todo esto me tiene contentisimo. En fin, ni la todopoderosa nube me hubiera librado de esta.  :)

¿Tienes datos en la nube de Google? ¿Confías en que tus datos estén allí seguros? ¿Es lo suficientemente robusto para ofrecerte un grado de disponibilidad acorde a tus expectativas? Quizás no te lo preguntes o directamente confías porque es Google y eres feliz, ¿para qué sufrir?

Hace tiempo escribí un post sobre como confiar en el cloud computing, en el deciamos que una certificación como SAS 70 Tipo II nos ayudaría a confiar en el cloud computing, pero creo que no hay nada como la marca y el boca a boca para asentar esa confianza. A Google, como a Amazon, le avalan más los miles de usuarios que lo están utilizando, la imagen, la marca, y su historial de efectividad y funcionamiento que un certificado.

Pero quizás te pique la curiosidad y quieras saber que hace Google para asegurar tus datos y para hacer que la aplicación esté disponible siempre que vayas a utilizarla. Hace unos días leí este post de Google que explica de una forma llana y clara las acciones que llevan a cabo para conseguir que no sufras por el estado de tus datos y aplicaciones. Resumiendo  y traduciendo el post, así es como lo hacen.

¿Cómo consiguen que la aplicación este disponible un 99’9% del tiempo?

A través de la replicación síncrona, los datos y las acciones del usuario en Google Apps se copian en casi en tiempo real a través de múltiples centros de datos. Si un centro de datos no está disponible por cualquier razón, el sistema está diseñado para cambiar inmediatamente a nuevo centro de datos secundario sin interrupción en el servicio que el usuario detecte…… Gmail, Google Calendar, Google Talk, Google Groups, Google Docs y Google Sites tienen una garantía de operatividad del 99,9%, y nuestra fiabilidad real ha sido sensiblemente superior a este compromiso.

¿Qué acciones de seguridad llevan a cabo?

En primer lugar, Google es capaz de contratar a muchos de los expertos mundiales en seguridad para proteger nuestros sistemas y llevar a cabo una investigación puntera de seguridad. Nuestros centros de datos se endurecen con muchas de las últimas medidas de seguridad, incluyendo controles de acceso biométricos y perímetros de seguridad de varios niveles. Por otra parte, Google ha puesto en marcha un proceso de protocolo de seguridad de múltiples capas diseñado para ayudar a mantener seguros los datos del cliente. Nuestros procesos han sido verificados de forma independiente en un éxito de otros fabricantes de auditoría SAS 70 Tipo II para verificar nuestra confidencialidad, integridad y disponibilidad de datos de los clientes. Por último, Google es capaz de gestionar de manera eficiente las actualizaciones de seguridad a través de nuestra infraestructura global, de esta forma los clientes no están expuestos a vulnerabilidades conocidas hasta que instalen los parches de seguridad.

Terminan el post haciendo casi apología al cloud computing; ya ves son todo ventajas, no hay inconvenientes o mejor no se dicen aunque los hay como en todo, pero no por ello dejan de ser ciertas.

Las aplicaciones web también ayudan a mantener los datos sensibles más seguros. A diferencia del software tradicional, cuando un usuario está usando una aplicación basada en web, son mínimos los datos que quedan en el equipo . Además, cuando los empleados acceden a sus datos desde cualquier navegador de forma segura, hay menos probabilidad de que almacene datos en puntos locales no securizados. En un mundo donde uno de cada diez ordenadores portátiles se extravían en el primer año y el 66% de trabajadores dice haber perdido uno, acceder a los datos de forma segura desde el navegador minimizando la cantidad de datos confidenciales almacenados en los dispositivos es una estrategia de seguridad eficaz.

Google se adhiere a la Cloud Security Alliance

Lo primero de todo ¿Que es la cloud security alliance? Es un organización sin animo de lucro que pone el foco en establecer, divulgar y evangelizar las mejores practicas sobre seguridad en cloud computing.

google-csa

Desde su web ser puede descargar en versión inglesa y en español un documento donde se explica qué es cloud computing, los diferentes modos de despliegue (privado, publico, híbrido y comunitario), los diferentes servicios que ofrece (saas, paas e iaas) y decenas de recomendaciones para conseguir una excelencia en la operativa y en todo lo referente a la securidad en el cloud computing.

Temas como la confidencialidad, integridad, disponibilidad, autenticidad y autorización de la información, la ley de protección de datos, backup y planes de recuperación, son tratados en el documento con recomendaciones  para dar la mejor solución a problemas principalmente encontrados en entornos cloud. Es un  documento para clientes y proveedores que más de un párrafo consigue llamar tu atención aunque lleves años en esto.

Google ha querido adherirse con el firme propósito de ayudar en esta divulgación y educación sobre el cloud computing y en concreto en los temas relativos a la  seguridad. Esta claro que Google al adherirse está a favor del documento y de sus recomendaciones, que aunque lejos estamos en algunas de ellas, estoy seguro que  llegaremos en un futuro. Además de Google ya son miembros de este grupo: Microsoft, Dell, Cisco, McAffe  y una larga lista de empresas.

Una de la actividades que hará Google para esta organización será participar en el SecureCloud 2010 organizado por el CSA y que se celebrará el proximo 16 y 17 de Marzo en Barcelona.

Recomiendo echar un ojo al documento porque se extraen datos muy interesantes.

Semanario – Semana 6/2009

 Tenía pendiente la noticias que más me llamaron la atención durante la semana pasada y ahí las dejo:

 Google tambien se cae. – Curioso outage que pilló Markus cuando estaba utilizando Google Docs. No he visto ninguna noticia más aparte de esta, ni siquiera en Google

Encuesta a las pymes sobre las aplicaciones alojadas en la nube.- 1.500 Pymes de USA y Reino Unido fueron encuestadas y de ellas 2/3 no saben lo que es cloud computing.  Me gustó este gráfico que RackSpace que ví en el post de Fred  que explica la nube desde el punto de vista del proveedor de servicios cloud.

El índice Saas sube un 7% esta semana.- A partir de ahora, todas las semanas informaré de como se desarrolla este índice compuesto mayormente por empresas saas puras o que una parte de sus ingresos provienen del mundo cloud computing (Amazon, Dell, google, etc).

Index Value, Feb. 6, 2009: 548.08
One-week Change: +7.34%%
Year-to-date Change: -0.02%%

Otra encuesta sobre cuales son las aplicaciones saas que más se utilizan.- Se preguntaron a 678 empresas y el CRM sigue siendo la aplicación que más se utiliza en el modelo saas. De las encuesta se sacan varias conclusiones: hay aún bastante desconocimiento acerca de los beneficios del saas y que los herramientas saas para RR.HH sigan teniendo un pobre aceptación.

Como confiar en el cloud computing

nubetiritaEn mi último post  y a raiz de los comentarios que relacionaban el crash de Magnolia con los servicios cloud, reclamaba información por parte de los proveedores de cloud computing de los procedimientos y recursos técnicos y humanos para generar confianza en los clientes de los servicios cloud.  Coincidiendo con el tema el pasado 6 de Febrero, Zoho lanzó un comunicado donde explican más o menos lo que reclamaba en el post,es decir, las políticas de seguridad e infraestructura con las que cuentan, diviendolas en 4 grupos : Seguridad Física, de Red, de Personas e Infraestructura.

Con esto me podía quedar contento, ¿no? ¿no quería información? Pues ea. Pero ¿como sabemos que están aplicando los procedimientos y disponiendo los medios necesarios para dar coberturas a dichos procedimientos?. En cualquier sitio de internet se pueden obtener unas «best practices» acerca de la seguridad en cualquiera de los niveles que  Zoho cubre y solo tienen que plantarla ahí y fuera, ¿no? Que conste  que no estoy diciendo que no lo hagan y estoy seguro que llevan a cabo todas esas prácticas  y más porque está en juego su negocio, solo digo que, y desdiciéndome de aquello que reclamaba en el anterior post,  no es suficiente con tener información de como llevan a cabo su seguridad de nuestros datos.

Resulta que leyendo el documento completo, tímidamente hablan de que algunas de las areas se auditan.  Claro, una auditoria . Lo peor de todo es que soy auditado cada año y no he sido capaz de exigir lo mismo para un servicio cloud, como si por el hecho de ser un servicio nuevo no es equivalente a  un servicio externalizado de los muchos que hay. Por darle una explicación supongo que será porque en mi epoca en consultoria no tenía buen concepto sobre las auditorias para el cumplimiento de la ISO 9001 y las que me realizan ahora no son estupendas pero es cierto que te pasan revista a practicamente todo y certifican si cumples con la norma o estandares.

Lo cierto es que Zoho dice que determinadas areas son auditadas pero no dice como , quien y sobre qué estandares son auditadas. Con las mismas me he dado un vuelta por otros grandes proveedores de cloud computing Google, Amazón y Salesforce  y  aunque es verdaderamente jodido encontrar este tipo de  información (La de Salesforce la tenía controlada y la han escondido algo más) finalmente he conseguido encontrarla.  Prácticamente todos dicen lo mismo pero Salesforce y Google  además son auditadas y están certificadas bajo el estandar SAS 70 Tipo II y Salesforce está certificado para el standard SysTrust y desde Mayo del 2008 de la ISO 27001. Amazón parece ser que está en ello pero no dispone de momento de la certificación SAS 70 al menos eso es lo que he encontrado.  Entonces repasando:

SAS 70 es un estandard internacional que provee una guía para que un auditor independiente emita una opinión de la descripción de controles de la organización a través del Reporte de Servicio del Auditor; este reporte puede ser de dos tipos: 

  • El reporte de tipo I detalla la descripción de controles de la organización en un punto específico de tiempo (por ej. 30 de junio de 2003).
  • El reporte de tipo II no sólo incluye de descripción de controles de la organización, sino que también incluye un testing detallado de los controles de la organización durante un período mínimo de seis meses (por ej. 1 de enero de 2003 a 30 de junio de 2003).

Una auditoria bajo los principios de SysTrust permite obtener un informe sobre la fiabilidad del sistema en base a la Disponibilidad, Seguridad, Integridad y Confidencialidad de la información. A diferencia de SAS 70 no da información sobre los controles y procedimientos internos del proveedor de servicios y no es un standard internacional.

Quizás por el hecho de que Systrust no es más que una serie de coherentes principios pero no es un standard internacional , empresas como Salesforce además se certifican en el standard ISO 27001 para la seguridad de la información y que está ligado a la ISO 27002 que recoge una guía de buenas practicas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información.

Menudo ladrillo eh?? Bueno pues no quiero aburrir más pero a mi me hacía falta aclararme con este tema y completar mi post anterior porque me sigue gustando la idea de que se informe sobre como y qué hacen para llevar a cabo la seguridad y disponibilidad de la información.

Las aplicaciones Zoho podrán ejecutarse en Google App Engine

Pues eso, que cada muy poquito tiempo hacen algo especialmente reseñable y hoy nos sorprenden con un movimiento que puede tener varias interpretaciones. Desde ahora las aplicaciones creadas en Zoho desde creator.zoho.com (el directorio que mantemos Javier y yo, utilizamos creator.zoho.com para el almacenamiento de los soluciones)   podrán desplegarse en la paas (plataforma as a service) de Google, Google App Engine.

google-zoho

Como sabemos en la plataforma de Google,  podemos desplegar las aplicaciones que desarrollemos en Python siempre y cuando utilizemos su SDK que las integra en la plataforma.  Con esta nueva característica Zoho se convierte en un entorno de programación de aplicaciones Python pero con la facilidad de que no tienes que tener ni idea de programar en Python porque te genera el code Python necesario para su ejecución en Google App Engine. Es destacable también que no solo las aplicaciones son exportable a Python, los datos también se exportan a la paas de Google.

Este video explica como se puede hacer este despliegue:

¿A que atiende esta integración Zoho-Google? La verdad es que parece no tener mucho sentido. ¿Crear aplicaciones en Zoho para despues ejecutarlas en Zoho llegando en algún caso a pagar por desplegar en un entorno y en  el otro? Pero si leemos el último párrafo del anuncio:
With our CloudSQL release last month, we let the data free, giving you the control of your data. With this release, we are letting your applications free, offering you alternative deployment options. Welcome to the new ‘open’ model.
Con nuestra utilidad CloudSQL, te dejamos que tengas el control de tus datos. Con esta nueva utilidad, dejamos tus aplicaciones libres y ofreciendote otras  alternativas de despliegue.
«Bienvenido al nuevo modelo abierto«. En mi opinión lo que están haciendo es generar confianza en el desarrollador y el usuario final consumidor de las aplicaciones,  para no quedarse colgados  en un lenguaje de programación y plataforma que nadie conoce y/o que puede adolecer de las capacidades y funcionalidades para cubrir todas las necesidades del clientes o del desarrollador.  Por ejemplo: Pónganse  en el lugar de un cliente que quiere una aplicación en Zoho porque la plataforma tiene un precio realmente interesante pero que  si la plataforma fuera al carajo no sabrá que hacer con un código de lenguaje de programación propietario de Zoho y que  ninguna otra plataforma como servicio puede o sabe ejecutar.  De esta forma Zoho les está diciendo a sus clientes que no tengan miedo en desarrollar aplicaciones en Zoho porque en el caso peor podrán exportarlas a Google App Engine sobre un lenguaje de programación más que conocido y con la posibilidad de ni siquiera tener que utilizar la paas de Google (el código generado puede ser descargado desde la plataforma App Engine).
Hay otras opiniones acerca de este movimiento. Por ejemplo Zoli opina que el motivo es porque Google genera más confianza a la hora de tener tus aplicaciones y datos en manos de un proveedor. Pienso que si asi  fuera,  Zoho se estaría echando piedras sobre su propio tejado.  En CloudAve opinan que Zoho no ofrece servicio de compra de dominio y Google si, y además defiende de alguna forma la explicación que expongo más arriba.
A mi modo de ver, la idea es sencillamente brillante y además lleva implicita que tienen un gran confianza en su plataforma para la generación de aplicaciones , a un precio muy competitivo.

Semanario – Semana 45/2008


Basta que la semana pasada decidiera retomar la idea de realizar un semario,  para que esta semana no haya casi movimiento. Bueno pues a parte del evento Dreamforce de esta semana, estas son las noticas que más me han llamado la atención: 

Google y Salesforce cada vez más unidos

ha ampliado su alianza con Google para que los desarrolladores aprovechen el poder de la computacion en la nube para  el desarrollo y despligue de aplicaciones de negocio .

El nuevo toolkit Force.com que conecta con la API de los Google Data, proporciona un conjunto de herramientas y servicios para habilitar a los desarrolladores a aprovechar la API Google Data (un conjunto común de APIs estándar para interactuar con los datos en los servicios de Google)

El nuevo conjunto de instrumentos, que se basa en el modelo plataform-as-a-Service (paas) , tiene como objetivo ayudar a los desarrolladores a reunir datos y contenidos de Google Apps con la base de datos, la lógica y las capacidades de flujo de trabajo de Force.com.

«Reunir a las plataformas Google y salesforce.com permitirá la creación de nuevas aplicaciones integradas completamente en la nube,» dijo Marc Benioff, presidente y CEO de salesforce.com.

«Los desarrolladores ahora pueden aprovechar de la casi ilimitada infraestructura de múltiples arquitecturas informáticas de la nube de Google y de salesforce.com para construir la próxima generación de aplicaciones de negocio.»

El nuevo Force.com de herramientas de Google para los datos API esta disponible de forma gratuita en http://developer.force.com/ y http://code.google.com/p/apex-google-data

Fuente:http://blog.sforce.com/sforce/