Cuando la CIA comenzó a contemplar el paso a la nube, el equipo técnico buscó un socio comercial que podría ayudar a modernizar su infraestructura de TI, y a la vez, poder introducir un nivel de agilidad que colocaría a la agencia de seguridad estadounidense, más en línea con las empresas del sector privado.
La agencia de espionaje se embarcó en lo que su CIO Douglas Wolfe describe como “un proceso de adquisición rigurosa”, invitando sólo ofertantes ya establecidos y con soluciones en la nube que fueran comercialmente viables y de gran flexibilidad para competir.
La CIA se estableció finalmente en la plataforma Web Services en la nube de Amazon, un jugador líder en el mercado que ha estado atrayendo un creciente interés de los directores de TI en el sector público; además de presentar unos presupuestos atractivos para sus ofertantes y posibles clientes.
“La misión que tenemos es importante, y el ritmo y la complejidad de esa misión no ha cambiado. De hecho, puede estar aumentando”, dijo Wolfe, en declaraciones en una conferencia de Amazon AWS .
La adjudicación del contrato, por un valor de US$ 600 millones de dólares, fue en sí mismo el objeto de cierta controversia, en la que IBM captó la atención púbica al elevar protestas y demandar por la forma en que la CIA evaluó las propuestas.
Amazon apeló ante la Corte de Reclamos Federales, finalmente se impuso y ganó la licitación. La CIA y Amazon comenzaron a trabajar juntos para el desarrollo de su nube, que Wolfe dice debe estar a punto de finalizar a finales de agosto.
Wolfe describe la implementación como una generación personalizada. Aporta la flexibilidad y agilidad de la nube pública en ubicación, detrás de los gruesos y difíciles cortafuegos que impone la CIA en Langley.
“Estamos en el proceso de armar esta nube pública en sitios u organismos privados”, dijo. “La idea es que seamos capaces de tomar lo mejor del sector público, levantarlo y colocarlo detrás de nuestra cerca, si se quiere, pero además, ser capaces de operar estos por nuestros agentes de inteligencia en nuestras oficinas y locales”.
El despliegue implica la evaluación de la nube comercial a lo que Wolfe asegura que poseen unos “estándares bastante altos de seguridad” en la agencia; un proceso que él reconoce conlleva algo de un choque de culturas o estilos, y que el equipo de AWS de Amazon trabaja junto a los técnicos de la agencia secreta.
Amazon, por su parte, sitúa la seguridad como un punto clave del proyecto, ya que quiere ganar otros contratos con el gobierno. Aunque esta cuestión sigue generando desconfianzas en el sector público.
“Muchas personas están confundidas acerca de la seguridad en la nube”, dice Steve Schmidt, vicepresidente de AWS, de la ingeniería y CISO. “Eso es a veces un poco incómodo. Muchos CIOs se ponen un poco nervioso”.
Las diferencias están entre otros, en el método para proporcionar la potencia de cálculo, almacenamiento y otros servicios que pueden estar en la nube, aunque las políticas y procedimientos para proteger los datos de seguridad son fundamentalmente lo mismo “, argumenta Schmidt.
En un entorno de TI como la famosa aversión al riesgo y con el gobierno federal cambiando los sistemas críticos y las aplicaciones a la nube, puede ser preocupante, ya que, por necesidad, el modelo de nube implica un proveedor externo que debe asumir parte de la responsabilidad por la seguridad. Pero los creadores de la nube a menudo argumentan que, aplicada correctamente, la nube puede ofrecer un entorno más seguro que el tradicional centro en las instalaciones de datos.
La seguridad es algo que se comparte”, dice Schmidt. “La seguridad es algo que tienes que hacer y estudiar de la mano con tus proveedores de servicios.”
AWS de Amazon, por ejemplo, implementa, con lo que la compañía llama el “principio de privilegio mínimo”, que limita estrictamente permisos en función de puesto de trabajo, y requiere de los accesos a ser autorizados nuevamente cada tres meses.
Limitar los permisos en función de las necesidades, ofrece una mejora de seguridad exacta según el enfoque más tradicional, donde un puñado de empleados podría tener privilegios de administrador universal que les dan los dueños de una de las empresa, (o la agencia de) los sistemas, según opina Schmidt.
“Se trata de cortar al máximo dicho perímetro, reduciendo al mínimo el número de seres humanos que pueden tener acceso a los datos”.
Amazon también ofrece una API que es un enfoque holístico, y actualiza rápidamente un inventario de los activos de datos. La compañía señala como un punto de orgullo que no hay disminución de los estándares para las implementaciones de gama baja, por lo que un inicio de juego en AWS recibe el mismo nivel básico de seguridad que la Marina de los EE.UU.
Wolfe ve la seguridad como un desafío, pero no es algo insuperable. Con el tiempo, la CIA espera una gran recompensa en forma de ahorro de costos y eficiencias operativas a través de su despliegue en la nube.
En particular, Wolfe está muy interesado en la fijación de precios y de un uso flexible, donde el suministro de potencia de cálculo se maneja hacia arriba y hacia abajo, según las necesidades de la agencia.
“A medida que consumimos productos y servicios de esta nube privada, estaremos contratando a Amazon, tal como lo hace cualquiera en el espacio público”, dice.
“Eso es una fuerte desviación de la forma convencional de la forma en que el gobierno adquiere la información, que, calculado alrededor de $ 80 mil millones al año, supone un considerable desperdicio. Ellos siempre piden por la necesidad más extrema”, dice Wolfe.
La CIA también busca aprovechar AWS como plataforma, pidiendo a los proveedores comerciales para desarrollar aplicaciones que se pueden ejecutar en la infraestructura de Amazon y que además, otras agencias podría adquirir a través de la nube de la empresa del mercado .
“Estoy determinado que no sólo vamos a tener la innovación, sino que también haremos girar los servidores, girar la TI al ritmo de la misión, pero vamos a empezar a llevar la innovación del sector comercial en términos de aplicaciones en el espacio”, dice Wolfe.
“Tenemos toda una serie de proveedores, algunos ya tradicionales, y algunos nuevas, pero nosotros les estamos pidiendo que busquen la forma de que puedan participar en un entorno de mercado similares”.