Cuidado con los contratos de servicios cloud »


Los compradores de servicios cloud, en especial de soluciones de software como servicio (SaaS, de sus siglas en inglés) se enfrentan en muchas más ocasiones de las que quisieran a falta de seguridad y transparencia en los contratos que firman. Así lo indica la consultora tecnológica Gartner en un reciente informe (Cloud Contracts Need Security Service Levels to Better Manage Risk) en el que afirma que los contratos de SaaS incluyen con frecuencia términos ambiguos en lo que respecta al mantenimiento de la confidencialidad de los datos, la integridad de éstos e incluso su recuperación en el caso hipotético de un incidente con la información.

El problema no es baladí, teniendo en cuenta que cada vez hay más usuarios de las soluciones en la nube y en especial del software bajo este modelo de entrega. Además, este hecho no solo afecta a los usuarios de este tipo de servicios, obviamente más insatisfechos, sino también a los propios proveedores, para los que cada vez es más compleja la gestión del riesgo y la defensa de ésta frente a auditores y reguladores.

Es más, la consultora se aventura a decir que para el año 2015 el 80% de los profesionales de aprovisionamiento de tecnologías de la información seguirá estando insatisfecho con el lenguaje que albergan los contratos SaaS y los requisitos de éstos en materia de seguridad.
Consejos a tener en cuenta al firmar un contrato de SaaS

Gartner asevera que, como mínimo, los usuarios de servicios en la nube tienen que asegurarse de que los contratos de SaaS que firman pasen por una auditoría de seguridad anual y que estén certificados por terceras partes. Además, el usuario debe tener la opción de finalizar de inmediato el acuerdo en el caso de que se produzca una brecha de seguridad que el proveedor no pueda solucionar. La consultora encuentra también razonable y recomendable que los usuarios demanden a sus proveedores que dispongan herramientas para poder evaluar el servicio. De hecho considera que a medida que el modelo cloud avance y madure esto será cada vez más habitual, bien a través de respuestas a un cuestionario o mediante documentos de auditoría de terceras partes, etc.

No obstante el aspecto más importante según la consultora es que los usuarios de este tipo de servicios no den por hecho que sus proveedores van a responder correctamente ante cualquier tipo de incidencia de seguridad: debe estar especificado con detalle en el contrato cómo responderán los suministradores ante estos posibles problemas y a la recuperación de datos. Es conveniente que aparezca específicamente cómo actuará el proveedor en caso de un acceso no autorizado a los datos del cliente por terceras partes y que se incluya por contrato una certificación anual en un estándar de seguridad del mercado así como la realización de pruebas de vulnerabilidad de forma regular.

Por supuesto en el contrato debe también estar especificada qué cantidad económica reportará el proveedor al cliente en caso de incidencias de seguridad y pérdidas de información debido al uso de sus soluciones de software como servicio. No hay que olvidar, matiza la consultora, que el fallo de un proveedor de SaaS puede afectar a miles de clientes simultáneamente, motivo por el cual precisamente la mayor parte de los proveedores en la nube evita que aparezca en sus contratos la obligatoriedad de recompensar económicamente a los usuarios afectados por diversas incidencias.

Comentarios

Entradas populares de este blog

Ejercita tu cerebro con estas siete actividades

Sample Focus, una sencilla web para descargar muestras de sonidos

Los mejores limpiadores de malware para Windows