En un informe realizado a una gran parte de los responsables de TI de las empresas españolas, se refleja que la valoración que estos hacen sobre los riesgos en temas como la disponibilidad, seguridad o aspectos económicos, aportación de la migración de las aplicaciones a entornos de Cloud Computing, los riesgos evidentes que también se introducen cuando nos decidimos a utilizar este tipo de tecnología debe obligarnos a actuar con mucha inteligencia.
En su informe “Threat horizon Report”, Information Security Forum (ISF) recomienda a aquellas empresas decididas a adoptar Cloud Computing seguir estos pasos: preparar una estrategia clara de migración de las plataformas TI, identificar el impacto sobre las operaciones de negocio, valorar los riesgos a que se expondrán los datos y garantizar que la seguridad de la información forma parte del proceso de toma de decisiones. De lo anterior, se deriva que la característica multi-cliente bajo el control de un proveedor de servicio externo sobre el que se fundamentan los modelos de Cloud, exige un replanteamiento integral de la seguridad en aspectos tales como gestión, protección, accesibilidad y privacidad de la información.
Por tanto, el proveedor elegido deberá ser capaz de dar respuesta a los diferentes requisitos de seguridad que planteen las empresas, teniendo en cuenta factores como las políticas de acceso a los datos, sensibilidad de los mismos, y deberá disponer de las herramientas de software y hardware necesarias para garantizar su protección. También el cumplimiento de la normativa de la LOPD obliga a requisitos de conocimiento de la localización geográfica de los datos.
Por otro lado, otro de los mecanismos con los que los clientes deben contar de cara a la garantía de la calidad del servicio son los acuerdos de nivel de servicio. Se debe confiar plenamente en aquel proveedor que explique de forma abierta y clara estos acuerdos con los que pueda garantizar un respaldo a todos los niveles, desde velocidad de acceso, a la flexibilidad para poder atender a picos de demanda de procesamiento inesperado o, incluso, a un plan de contingencia en caso de emergencia. Así mismo, la claridad en la medición de estos acuerdos debe ser muy valorada en la toma de la decisión. No es lo mismo medir un SLA de forma mensual que hacerlo anualmente. Por ejemplo, un SLA del 99,9% de disponibilidad medido mensualmente, supone una caída máxima de 43 minutos por mes y sin embargo, un SLA del 99,95% anual, que aunque a nivel de cifra puede aparentar mayor disponibilidad, equivale a la posibilidad de caídas acumuladas de 4 horas por año, lo cual supone una diferencia muy importante.
Hacia la Maduración y la Estandarización
En lo referente a la tecnología, el sector está actualmente trabajando en la búsqueda de modelos comunes y estándares de seguridad para entornos Cloud que contribuirán a la normalización de las relaciones entre proveedores y clientes. Durante los próximos años, la labor de entidades como Eurocloud, CSA y otras organizaciones sectoriales, contribuirá con sus trabajos de promoción y difusión a la estandarización y maduración de los servicios de Cloud Computing.
Mientras tanto, y hasta que se disponga de estándares específicos respaldados por la industria y como mecanismo de garantía, los clientes deberían exigir a los proveedores el cumplimiento de aquellos aspectos que puedan garantizar un adecuado nivel de calidad y seguridad de los servicios, tales como el seguimiento de prácticas ITIL y la certificación ISO 27.001, así como otras certificaciones como SAS-70, Safe Harbor o VISA CISP, necesarias para el cumplimiento de leyes y normativas como Sarbanes-Oxley o PCI.
José Luis Sáez. Sales Account Manager de Terremark Spain
