Para ayudar a aliviar las preocupaciones de seguridad en la nube, que según Gartner siguen siendo el principal inhibidor de la adopción de la nube pública por parte de las empresas, los compradores están buscando contratos y acuerdos de nivel de servicio para mitigar sus riesgos.
Sin embargo, el analista de seguridad en la nube de Gartner, Jay Heiser, señala que los SLA siguen siendo "débiles" y "poco satisfactorios" en términos de abordar la seguridad, continuidad del negocio y evaluación de los controles de seguridad.
"Muchas de estas cosas están teniendo mucha atención, pero estamos viendo poca consistencia en los contratos", agrega, sobre todo en el mercado de infraestructura como servicio (IaaS). Los controles del software como servicio (SaaS) son "primitivos, pero está mejorando".
A continuación presentamos algunas de las disposiciones de seguridad comunes y recomendadas en los contratos de nube y qué tan frecuentes y eficaces son.
Auditorías de cliente sobre la demanda
Estas cláusulas permiten que los clientes puedan auditar a los vendedores.
Estas cláusulas permiten que los clientes puedan auditar a los vendedores.
Eficacia: Parcial, dependiendo de cuánto se le permite revisar al cliente por parte del proveedor.
¿Qué tan frecuente es?: Se presenta a veces.
Certificado de eliminación de datos
La prueba de que los datos se borran cuando el servicio expira.
La prueba de que los datos se borran cuando el servicio expira.
Efectividad: Alta, legalmente defendible.
¿Qué tan frecuente se presenta? Nunca.
Recuperación de Desastres
Muchos proveedores afirman que los servicios en la nube, por su propia naturaleza, equivalen a la recuperación de desastres, pero no siempre puede ser el caso. Si, por ejemplo, los datos solo se almacenan en una única ubicación de un proveedor de nube sin una copia de seguridad fuera de línea, se crea un punto único de falla.
Muchos proveedores afirman que los servicios en la nube, por su propia naturaleza, equivalen a la recuperación de desastres, pero no siempre puede ser el caso. Si, por ejemplo, los datos solo se almacenan en una única ubicación de un proveedor de nube sin una copia de seguridad fuera de línea, se crea un punto único de falla.
Efectividad: Alta, pero difícil de verificar. Mientras que los vendedores pueden afirmar que tienen sistemas sólidos, a menudo son reticentes a aportar pruebas, alegando motivos de seguridad.
¿Con qué frecuencia se presenta? Por lo general no está en las cláusulas del contrato.
Créditos de tiempo de inactividad
Proporciona a los usuarios créditos o algún tipo de rembolso en caso de inactividad.
Proporciona a los usuarios créditos o algún tipo de rembolso en caso de inactividad.
Eficacia: Parcial. Mientras que un crédito puede ser útil, es un remedio post-efecto y no impide que ocurra una interrupción.
¿Con qué frecuencia se presenta? Se encuentra a menudo en los contratos.
Cifrado
Eficacia: Varía. Existen múltiples métodos de cifrado. Si el cifrado se realiza por el vendedor cuando los datos llegan a la nube del proveedor, es menos caro y menos seguro en comparación a si el usuario cifra los datos antes de enviarlos a la nube. Un factor importante es quién almacena y tiene acceso a las claves de cifrado. Cuantas más copias de llaves haya, será menos seguro. Tenga cuidado con las vulnerabilidades relacionadas a la pérdida de llaves.
Eficacia: Varía. Existen múltiples métodos de cifrado. Si el cifrado se realiza por el vendedor cuando los datos llegan a la nube del proveedor, es menos caro y menos seguro en comparación a si el usuario cifra los datos antes de enviarlos a la nube. Un factor importante es quién almacena y tiene acceso a las claves de cifrado. Cuantas más copias de llaves haya, será menos seguro. Tenga cuidado con las vulnerabilidades relacionadas a la pérdida de llaves.
¿Con qué frecuencia se presenta? Varía según el proveedor. Las herramientas de terceros también se pueden utilizar para proporcionar cifrado como servicio.
Evaluaciones
Muchos compradores utilizan los servicios de terceros para verificar los controles de seguridad de los proveedores de seguridad, como ISO 27001 o auditorías SOC1 y SOC2. Sin embargo, un proveedor simplemente puede informar que cumple con estas auditorías y no ofrecerles la información necesaria a los usuarios para que puedan evaluar el sistema del proveedor de acuerdo con sus necesidades específicas de seguridad.
Muchos compradores utilizan los servicios de terceros para verificar los controles de seguridad de los proveedores de seguridad, como ISO 27001 o auditorías SOC1 y SOC2. Sin embargo, un proveedor simplemente puede informar que cumple con estas auditorías y no ofrecerles la información necesaria a los usuarios para que puedan evaluar el sistema del proveedor de acuerdo con sus necesidades específicas de seguridad.
Eficacia: Se cree que es insuficiente
¿Con qué frecuencia se presenta?: Común
Indemnización completa por el impacto de un fallo de seguridad
En esta situación, un contrato esbozaría que si hay una falla de seguridad, el proveedor podría ser responsable de las pérdidas del cliente.
En esta situación, un contrato esbozaría que si hay una falla de seguridad, el proveedor podría ser responsable de las pérdidas del cliente.
Eficacia: En teoría alta.
¿Con qué frecuencia se presenta? Nunca.
Seguro de Hacking
Seguro de un tercero, o de parte del proveedor que podría ayudar a desplazar los costos derivados de un problema de pérdida de seguridad o datos.
Seguro de un tercero, o de parte del proveedor que podría ayudar a desplazar los costos derivados de un problema de pérdida de seguridad o datos.
Eficacia: Potencialmente útil, pero al igual que los créditos de tiempo de inactividad, no necesariamente crea incentivos para el proveedor con el fin de evitar un incumplimiento
¿Con qué frecuencia se presenta?: Raras veces, pero cada vez más.
Negociar las cláusulas de seguridad
Estas permiten que los clientes puedan negociar mayores niveles de seguridad para ciertos programas o datos.
Estas permiten que los clientes puedan negociar mayores niveles de seguridad para ciertos programas o datos.
Eficacia: Potencialmente alta.
¿Con qué frecuencia se presenta?: Sobre todo para los grandes clientes.