Llegamos a ustedes gracias a:



Columnas de opinión

¿Confía en su proveedor de nube?

Por: Jamie Tischart, CTO Cloud/SaaS, Intel Security

[16/09/2016] Encontrar un proveedor de nube confiable se ha convertido en una gran responsabilidad. Los proveedores de nube vienen en muchas formas y tamaños -desde organizaciones globales que proporcionan una serie de servicios, hasta pequeñas organizaciones especializadas en un número limitado de capacidades. Para normalizar las diferencias, necesita hacer preguntas respecto a ciertos temas clave.

La seguridad debería estar cerca o en la cima de su lista, con las respuestas encontrará la transparencia que ayudará a que se construya la confianza. Un primer paso esencial es evitar hacer supuestos respecto a lo que es y no es la seguridad en relación a un proveedor. Cada proveedor es distinto, con reglas distintas, acuerdos de nivel de servicio (SLA, por sus siglas en inglés) diferentes, y términos y condiciones propias. Asegúrese de entender a detalle lo que el proveedor le ofrece a usted, el cliente.

Observe con detenimiento los términos y las condiciones. No evada sus obligaciones en esta área -no se limite a simplemente a hacer clic en "aceptar para continuar. Profundice en las diferentes secciones dentro de los términos y las condiciones, y afine los aspectos de los datos en esos detalles.

Finalmente, no asuma que cada servicio de nube tiene los mismos lineamientos y objetivos de prestación de servicio dentro del mismo proveedor. Revise los términos y condiciones de cada servicio.

Preguntas de seguridad

La buena noticia es que las preocupaciones respecto a la seguridad de la nube han disminuido bastante en los últimos años debido a que los proveedores de nube han desarrollado un historial de procedimientos de seguridad exitosos. Aun así, los ejecutivos y sus juntas directivas se preocupan por saber si es que sus datos organizacionales realmente se encuentran seguros en la nube. Estas preocupaciones deberían llevarle a realizar preguntas similares a las que encontrará a continuación.

¿Quién tiene acceso virtual y físico a mis datos? El acceso físico es distinto al acceso virtual. Es importante preguntar sobre ambos tipos de acceso:

  • ¿Qué postura de seguridad tiene instaurada la organización cuando se accede a su centro de datos?
  • ¿Su personal tiene autorización de seguridad, y se encuentran protegiendo el acceso físico a los datos de los desconocidos?
  • ¿Cuáles son las políticas de la institución del centro de datos y cómo están protegidas?
  • ¿Quién tiene acceso virtual a los datos? ¿Desde dónde se accede a ellos y por qué?
  • ¿Cómo están accediendo a ellos? ¿Usan VPN, y se encuentran cifrados los datos? Si están cifrados, ¿cómo están aseguradas las claves de cifrado?

¿El proveedor usa outsourcing para el almacenamiento de datos? Muchas compañías hacen uso de outsourcing para proporcionar servicios, pero la suya podría estar haciendo uso del outsourcing en otra locación o hasta mediante otro proveedor. Si es así, necesita decidir si está conforme con ese procedimiento.

¿Cómo maneja el proveedor las solicitudes legales para la revisión de los datos? Así sean solicitudes provenientes de sus clientes o de cuerpos gubernamentales derivados de temas legales o regulatorios, manejar estas solicitudes requiere delicadeza, experiencia y sensibilidad respecto a las políticas corporativas de gobierno, así como a los mandatos de cumplimiento. Ya sabe que la calidad de sus datos puede ser impactada por las solicitudes legales, y necesita entender la capacidad de los datos para ser rastreados y cómo se manejan las solicitudes.

¿Cuándo y cómo se borra los datos? Debido a que cada proveedor es diferente, es importante entender que existen complicaciones en el almacenamiento debido a la cantidad de datos que circulan por el mundo hoy en día. Querrá entender cuántos datos están almacenados en su proveedor de nube y, particularmente, cuántos de sus datos específicos están almacenados. Adicionalmente, pregunte cuánto tiempo van a estar almacenados sus datos, cuándo son borrados y cómo se realizan las decisiones para borrar los datos.

¿Cuál es la arquitectura de datos? Específicamente, pregunte cómo sus datos están aislados de los datos de los otros clientes en un ambiente multitenant. Solicite a su proveedor que explique cómo están segmentados sus datos respecto a los de otros clientes y cómo podría cambiar esto en el futuro.

¿Qué certificaciones o auditorías externas se realizan? Las certificaciones le otorgarán un mejor entendimiento de qué tan maduro es el proveedor, qué cosa les preocupa y si es que están comprometidos a mejorar continuamente. Desde la perspectiva de una auditoría externa, querrá saber con qué frecuencia su proveedor está contemplando cambios y procurando cumplir con las expectativas de sus clientes y proveedores.

Preguntas sobre privacidad

La seguridad y la privacidad están fuertemente entrelazadas, pero existen unas cuantas preguntas que son únicas para la privacidad y que debería hacerle a su proveedor de nube. Y las preguntas de privacidad, aunque obviamente están basadas en el cumplimiento de normas, no solo se limitan a temas de regulación.

¿Qué datos son recolectados de nuestra organización y cómo se mantienen privada? La privacidad es un poco distinta en cada organización, así que es especialmente importante definir lo que significa la privacidad de acuerdo a los accionistas principales dentro de su organización.

¿Para qué se utilizan los datos? Con frecuencia, resulta sorprendente aprender sobre los diferentes usos para sus datos -algunos de los cuales le asombrarán o hasta le preocuparán. Asegúrese de que su proveedor de nube entienda sus políticas de gobierno aplicadas al uso aceptable de los datos.

¿Por cuánto tiempo retiene los datos el proveedor de nube? Los términos y condiciones podrían estipular que los datos son recolectados por 30 días, quizás 90 días o hasta por un año. Pero eso no determina necesariamente por cuánto tiempo la organización podría conservar sus datos. Esto será bastante diferente según cada proveedor, para cada servicio, y para cada pedazo de datos que se haya recolectado. Podría tener datos que están en modo anónimo, que están almacenados, y que son utilizados para realizar pruebas por muchos, muchos años, así que cerciórese de preguntar sobre la retención de datos.

¿El proveedor cifra sus datos y, si lo hace, de qué manera? Es importante saber esto para asegurarse de que cualquier cosa que considere confidencial, privada, o que de alguna manera le preocupe, no será aprovechada para otros usos por parte del proveedor de nube.

¿Dónde se almacena los datos? ¿Cuenta con reglas de almacenamiento geográfico de datos o regulaciones que el proveedor tiene que seguir? Los proveedores de servicios de nube están almacenando datos en múltiples locaciones diferentes con muchos propósitos distintos y necesita entender eso y cómo se alinea con sus procedimientos de negocio.

¿Los datos son capturados y transmitidos hacia otras entidades internas o externas? Todos sabemos que esto es algo generalizado en Internet, y que hay muchos programas opt-in/opt-out. Es realmente importante entender si el proveedor de nube comparte los datos con cualquiera, cómo los comparten, cuándo los comparten, por qué los comparten y dónde se transmiten.

Preguntas operacionales

Más allá de la seguridad y la privacidad, las actividades de su proveedor de nube se intersectarán con muchas de las operaciones cotidianas de su organización. Entender esto le ayudará a determinar si las maneras en las que su proveedor maneja sus datos y los ofrece a sus allegados respaldan o impactan en sus operaciones.

¿Cuál es el modelo de redundancia de la base de datos y el de la arquitectura de almacenamiento? La redundancia, en particular, es importante porque se centra en cómo se debe lidiar con la falla de infraestructura sin impactar la continuidad del negocio.

¿Cuál es la frecuencia del backup? Hemos escuchado este mantra desde que las computadoras fueron introducidas: back up, back up, back up. Y es extremadamente importante entender la frecuencia con la cual los proveedores de nube realizan los backups. Obviamente, mientras más frecuente es el backup, mejor será su redundancia. En caso de alguna falla, hará que restaurar el servicio hacia un punto y tiempo específico le sea más fácil a su proveedor.

¿Cuánto tiempo demora la recuperación cuando hay una falla? Es inevitable que su proveedor va a tener algún problema en algún momento determinado. Es importante que entienda cuánto tiempo le tomará a su proveedor recuperar sus datos. ¿Serán minutos, horas, días o semanas? Las fallas ocurren, pero tiene que saber qué tan rápido se recuperará de esa falla cuando esté utilizando un proveedor de servicio.

¿Cómo podemos acceder o descargar datos del servicio? Hacer esta pregunta le ayudará a entender las diferentes filosofías de los proveedores de servicio y a obtener un mejor conocimiento sobre cómo esos pasos se alinean o generan conflictos con su sistema operacional.

¿Qué herramientas de analítica están disponibles para ver nuestros datos? El proveedor de servicio podría tener grandes cantidades de datos en su servicio, y podría preferir no tener que retirar todos esos datos y aplicar herramientas de analítica externas para comprimirlos y darles sentido. Es mucho más beneficioso si el proveedor de servicios le proporciona ese servicio para que pueda realizar agregación y modelamiento de datos.

Si existe corrupción de datos, ¿cuál es el máximo esperado de pérdida de datos? Esto debería atarse a las preguntas de redundancia y recuperación mencionadas anteriormente, y deberían estar alineadas con mucha cercanía. Cuánto tiempo tomará recuperarse de una falla de datos, y cómo ese proceso de recuperación llegará a afectar la calidad de los datos.

Su tarea

Mientras se encuentre en el proceso de evaluar proveedores de nube potenciales, estas preguntas de seguridad, privacidad y operaciones pueden hacer que tome la decisión final con mayor confianza. Por supuesto, estas preguntas deberían ser ajustadas y acomodadas de manera que reflejen el modelo de negocio, prioridades operacionales y cultura corporativa de su organización.

Estas preguntas también pueden actuar como una verificación en la evaluación continua del desempeño de su proveedor de nube, y sirven como un nivel periódico instalado para los nuevos servicios que podría necesitar cuando su negocio vaya evolucionando.

CIO, EE.UU.

Tischar es el CTO de Nube/SaaS en Intel Security y es responsable de liderar la creación de soluciones nube de generación futura de Intel Security y de crear ventajas competitivas sostenibles.