Blog ITILCOM

Guía de seguridad para contratar servicios cloud
cloud computing seguridad informática

Guía de seguridad para contratar servicios cloud

La Agencia Europea de Seguridad (ENISA), en su análisis sobre la seguridad para contratar servicios cloud, tiene publicada una guía mediante la cuál se pueden tomar como referencia una serie cuestiones. Estas serán preguntas que tendremos que responder con ayuda de nuestro proveedor de servicios para saber perfectamente cuáles son los riesgos y amenazadas que corremos al utilizar la tecnología. También cuáles serían nuestras responsabilidades y cuáles no según el servicio contratado.

Un buen proveedor de servicios de computación en la nube ofrece toda la información al respecto, pero siempre será más fácil de comprender y de llegar a un acuerdo si previamente se tienen una serie de conocimientos básicos. Esta pequeña guía de seguridad para contratar servicios cloud tiene como objetivo ofrecer esa ayuda necesaria para sentar las bases que permitan a cualquier usuario realizar las preguntas adecuadas y entender bien las respuestas.

Preguntas sobre seguridad para contratar servicios cloud

Para tener todas las garantías de seguridad para contratar servicios cloud es importante realizar una serie de preguntas que nos harán tener presentes una serie de aspectos muy importantes. De esta forma es posible tener una previsión fiable sobre los aspectos de seguridad necesarios y sobre quien y cómo se produce la responsabilidad sobre la información. También, sobre la serie de herramientas que se utilizarán para garantizar dicha seguridad. Analizamos cuáles son estas preguntas y las posibles soluciones que se deben ofrecer.

¿Qué tareas de seguridad son responsabilidad del proveedor?

La primera pregunta cuya respuesta debemos conocer es que tipo de incidentes de seguridad estarán respaldados por la empresa que nos ofrece los servicios cloud. Todo lo que no sea responsabilidad de la contraparte tendrá que ser gestionado por nosotros mismos. En la actualidad hay muchos tipos de servicios cloud y todos son diferentes. No obstante, existe un acuerdo de servicio previo que en la mayoría de casos es bastante personalizable, siempre según las propias características del servicio concreto, y que permite que se puedan tener en cuenta todas las recomendaciones de seguridad dentro del contrato.

Todas estas condiciones de responsabilidad sobre seguridad deberán figurar en el contrato. Deberá también estar establecida una clasificación de cuáles son los incidentes cubiertos y en qué plazos consisten las tareas de reparación, recuperación o sustitución en caso de ser necesarias. También, si la configuración, actualización y parches del software de seguridad corre a cargo de nuestro proveedor o si por el contrario lo tendremos que realizar por nosotros mismo o mediante la contratación de un experto externo al servicio principal en la nube.

¿Cómo se gestionan los posibles riesgos de seguridad por parte del proveedor de servicios cloud?

Para conocer la eficacia en cuanto a la gestión de seguridad de la información, será imprescindible tener en cuenta una serie de puntos:

  • Las políticas de seguridad. ¿cuáles son las políticas en materia de seguridad del proveedor de servicios? Será importante no solo leer esta normativa propia de la empresa en cuestión, sino ver también si este servicio se ofrece directamente por parte del personal de la propia empresa o si por el contrario se hace uso de un servicio externo especializado.
  • Informes y auditorias. Será también de una alta relevancia conocer como se realizan los informes tanto del estado y las estadísticas de la información, así como de las auditorias IT incluyendo las certificaciones de calidad pertinentes.
  • Métodos de contacto. Otro aspecto muy importante será ver que sistemas de comunicación tiene habilitados el proveedor para establecer el contacto directo con sus clientes en caso de que sea necesaria la solución de un determinado problema. Este problema puede darse con características de urgencia, por lo que es necesario poder contactar y resolver las incidencias con brevedad.

¿Dónde se almacenan las copias de seguridad y que archivos protegen?

Las fugas y robos de información no son el único peligro al que están expuestos nuestros datos. También es posible que por algún tipo de desastre natural, o simplemente por un aumento descontrolado de la corriente eléctrica un equipo quede inutilizable. Antes esta posible situación, es importante conocer que responsabilidad tiene el proveedor. Se tendrán que establecer obligaciones en el contrato en relación con las posibles compensaciones en caso de pérdidas o daños. Por tanto también se deberá conocer si el servicio incluye este tipo de condiciones.

Otro aspecto importante en relación con este apartado sería el de conocer como se desarrollarían los planes de recuperación de desastres en caso de que se produzcan. Qué mecanismos de copias de seguridad tienen, donde se guarda esta información y cuanto tiempo se tardaría en tener la solución completa al problema.

Seguridad para servicios cloud en caso de ocurrir problemas administrativos

Las sanciones administrativas por incumplimiento de los requisitos legales pueden ser razón de quiebra o grandes problemas. También, en caso de que esta situación de cierre o disminución por algún motivo de la calidad del servicio afecte al negocio, es necesario conocer que ocurrirá con nuestra plataforma y nuestros datos. La garantía sobre la continuidad del servicio debe estar también incluida en el contrato previo. Por tanto, es importante preguntar sobre ella y leer las cláusulas al respecto.

Cómo se gestiona y actualiza el software utilizado

Otro tema importante de tratar sería qué sistemas utiliza el proveedor para garantizar que las aplicaciones utilizadas están libres de problemas y vulnerabilidades. Por lo general, se hace uso de un proceso de escaneo para conseguir este fin. Este a su vez se complementará con la presentación de informes que relatarán el buen estado de la parte lógica del servicio.

Los programas que estén incluidos en la oficina en la nube de cualquier empresa deben ser configurados y actualizados siguiendo los procedimientos habituales y más seguros. A su vez, se deben complementar con auditorías periódicas que siempre será más efectivo realizar de forma externa.

En ITILCOM ponemos a tu disposición un completo equipo de expertos centrados en ayudar al mayor número de empresas posible con su transformación digital. Nuestro objetivo es acompañar al cliente en todo el proceso ofreciendo las mejores condiciones de seguridad que existen actualmente en el mercado. Ponte en contacto con nosotros a través de nuestro formulario.