Asignaturas pendientes del modelo de Cloud Computing

El modelo de prestación de servicios informáticos en régimen de Cloud Computing va a suponer sin duda toda una revolución.   Personalmente estoy convencido de que parte del futuro de la economía española pasa por ser líder en la prestación de servicios de calidad en la “nube”.  Además, la flexibilidad y la estructura de costes del modelo favorecen  la creación de empresas, al reducirse drásticamente los costes de implantación y mantenimiento de infraestructuras técnicas; es decir, el modelo propicia la tarea de emprender, que en un país como el nuestro resulta siempre tan difícil…

Sin embargo,  el modelo “en la nube” no está aún del todo maduro y es cuando pasamos del plano de las posibilidades al de la realidad empresarial  cuando surgen retos en los que es necesario profundizar.

Por ejemplo, aquellas empresas más reguladas y más preocupadas por las cuestiones del cumplimiento, son todavía  reacias a abrazar este modelo  debido a las dificultades que conlleva el extrapolar a “la nube”  los procesos de control necesarios.  Se trata, por ejemplo,  de cuestiones relacionadas con la protección de datos de carácter personal; los de tarjetas de crédito o en general con la trazabilidad y auditoría de actividades en los sistemas en el contexto de los controles anti-fraude.

Se observa con frecuencia que las ofertas de los proveedores no están preparadas para proveer de las garantías necesarias en estos casos  y, en  aquellos otros en los que el proveedor tiene el “músculo” y el conocimiento necesarios,  resulta que el poder satisfacer estos requisitos pone a la luz toda una serie de costes “ocultos” que hacen que se genere cierta frustración y se rebajen las expectativas iniciales…

En paises como EEUU y UK hay ofertas de proveedores muy conscientes de las necesidades de sus potenciales clientes. Estas empresan han sido capaces de crear “paquetes” a medida de sus necesidades, sobre todo en materia de garantías de seguridad, auditoría y protección de datos.   En mi opinión, si los proveedores nacionales de servicios en la nube aspiran a dar servicios a grandes empresas a nivel global, deben ampliar su concepto de servicio, y mostrar a sus clientes potenciales que entienden cuáles son sus necesidades y requisitos en materia de cumplimiento  y  que poseen  soluciones adaptadas a estas necesidades.  Sólo alcanzando este nivel de madurez, el modelo basado en la  nube podrá despegar definitivamente.

No sería descabellado además que esto que se plantea aquí como una recomendación, fuera en un futuro un requisito mormativo para los proveedores de servicios.  Creo esto porque si uno asume que el modelo de Cloud Computing es imparable, a futuro,  la única forma razonable para el cumplimiento de regulaciones como la europea de protección de datos de carácter personal será el ir hacia un modelo de corresponsabilidad, en donde los encargados del tratamiento (o sea los proveedores de servicios) asuman una mayor responsabidad y pasen a ser por tanto una industria regulada.

Quiero finalizar este post aquí, no sin antes hacer una breve enumeración de algunas de las cuestiones básicas de seguridad que suelen preocupar a empresas reguladas y cuya satisfacción debería poder ser proporcionada por los proveedores de servicio. Los clientes siempre deberían ser capaces de entender como estas cuestiones van a ser resueltas en su caso concreto:

  • Quienes con nombre y apellidos son las personas encargadas y responsables de la seguridad de la información de los clientes y procedimientos para contactar con estos responsables.
  • Clausulas de responsabilidad y confidencialidad
  • Definición de procedimientos y plazos para la notificación temprana por parte del proveedor de cualquier incidente relacionado con la seguridad de la información
  • Restricciones en cuanto a la ubicación de las bases de datos de los clientes y en la administración de estas bases de datos
  • Mecanismos disponibles para el cifrado de datos y gestión de claves
  • Procedimientos de seguridad de la base de datos
  • Cuestiones de seguridad relacionadas con las aplicaciones: control de acceso, cifrado de datos, granularidad de los permisos de acceso, auditoría de acciones
  • Documento de cumplimiento de la ley de protección de datos con las medidas concretas a aplicar en los datos objeto del servicio contratado.
  • Derecho de auditoría por parte del cliente y/o requisitos de obligatoriedad por parte del proveedor de realizar auditorías periódicas de la seguridad. Estas pruebas debería ser los más extensas posibles. Especialmente deben hacerse exhaustivas pruebas de la plataforma de virtualización.
  • Procedimiento de control de la plataforma de virtualización usada.
  • Mecanismos acordados de gestión de incidentes y plazos de resolución
  • Planes de contingencia y de continuidad del servicio y SLA para garantizar la disponibilidad requerida del servicio
  • Opciones de portabilidad de datos para garantizar que en el futuro se pueda traspasar el servicio de un proveedor a otro.
  • Medidas de seguridad física que protegen la infraestructura tecnológica
  • Identificar los procedimientos se van a aplicar en la infraestructura usada por el proveedor para gestionar las vulnerabilidades (asegurar que estas son detectadas a tiempo y corregidas, disminuyendo así la ventana de exposición de problemas)
  • Identificar los procedimientos internos que se aplicarán a nivel de la infraestructura técnica para prevenir ataques originados desde el interior (tanto por parte de empleados del proveedor, como de otros clientes que eventualmente
  •  Cómo se protege la infraestructura técnica para detectar y prevenir ataques desde el exterior
  • Procedimientos de gestión de cambios ( a nivel de aplicación y software de sistemas)
  • Posibilidad de usar infraestructura dedicada para el cliente si este lo requiere y hacer segmentación física y lógica de los segmentos de red dedicados al cliente
  • Capacidades de monitorización de seguridad definidos a la medida del usuario y procedimientos de gestión de incidentes acordados contractualmente.
Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s