Inicio / Protege tu empresa / Blog / Sube a la nube, pero no estés en «las nubes» sin continuidad de negocio

Sube a la nube, pero no estés en «las nubes» sin continuidad de negocio

Publicado el 13/07/2015, por INCIBE
Sube a la nube, pero no estés en «las nubes» sin continuidad de negocio

Subir la actividad a la nube puede ser económico y práctico, pero ¿estás en «las nubes» sin continuidad de negocio? Todo empresario alguna vez se plantea cómo seguir adelante en caso de un desastre, aunque la vorágine cotidiana no deje mucho tiempo para pensar. Si estás en cloud, la continuidad sigue siendo un aspecto esencial para el negocio.

Desde la perspectiva de muchas pequeñas y medianas empresas el modelo de cloud computing es atractivo para externalizar sus necesidades tecnológicas. Cloud es una forma de prestación de servicios que permite el acceso bajo demanda y a través de la red a un conjunto de recursos compartidos y configurables (redes, servidores, almacenamiento, aplicaciones y servicios) que pueden ser rápidamente asignados y liberados con una mínima gestión por parte del proveedor. En resumen, permite acceder a los servicios y recursos contratados proporcionando flexibilidad de dimensionamiento y acceso. Todo ello sin realizar inversiones en equipos y software, y sin los gastos derivados de su mantenimiento.

Desde el correo electrónico hasta el alquiler de servidores y redes pasando por el almacenamiento de información, aplicaciones empresariales, de gestión y contabilidad, CRM, ERP y otras para compartir información los socios comerciales, sin olvidar el alojamiento web y la tienda online, toda la actividad del negocio puede subirse a la nube.

Con todas estas ventajas económicas y técnicas es difícil no dejarse seducir, sobre todo si no contamos con personal técnico que pueda cuidar de nuestras instalaciones.

Cuando se contratan estos servicios surgen muchas dudas relativas a la seguridad de la información, a su confidencialidad, integridad y disponibilidad. Si se cumple la LOPD, dónde estarán alojados los servicios, qué medidas de seguridad tienen, etc. Estas dudas se resuelven al negociar los acuerdos de nivel de servicio ANS o, en inglés, SLA (Service Level Agreements). En la página de Contratación de servicios puedes ver todo lo que deben incluir estos acuerdos.

Los servicios en cloud se ofrecen bajo estos tipos de ANS:

  • unilateral, predefinido (no negociable)
  • parcialmente definido (negociable en parte)
  • negociable

El primero de ellos es el más común si utilizamos servicios de cloud pública, aquellos en los que el proveedor de servicios, ofrece sus recursos (aplicaciones, almacenamiento,…) al público en general a través de Internet. En estos casos el proveedor dispone de un acuerdo tipo y no podemos hacer nada por cambiarlo. Vienen acompañados por la conocida frase: «Acepto los términos y condiciones de uso», o similar.

En el otro extremo, los ANS completamente negociables son los más parecidos a los contratos de externalización de servicios. Son los necesarios si se maneja información muy sensible con altos niveles de confidencialidad o integridad, se requiere alta disponibilidad o se ha de cumplir con normativa sectorial específica (entidades bancarias, Administración Pública, entornos de investigación y desarrollo, clínicas, consultorías y asesorías legales, tecnológicas o de negocio, etc.).

Los SLA parcialmente negociables están entre ambos, son los que permiten modificar o añadir algunas cláusulas al modelo no negociable. Aún son poco comunes.

Estos dos últimos modelos se asocian a modelos de cloud privada, es decir entornos cloud en exclusiva para su empresa y cloud híbrida (entre pública y privada).

Estos son algunos de los aspectos que se pueden negociar en un ANS:

  • seguridad, privacidad, disponibilidad
  • auditoría
  • flexibilidad
  • escalabilidad
  • calidad de servicio

Aunque depende mucho del servicio que se contrate, en general debería revisar:

  • que el prestador del servicio cloud tenga e implemente las medidas técnicas y organizativas adecuadas para que la información que es almacenada en la nube no se pierda, dañe o corrompa
  • que los datos y procesos que se almacenan en las instalaciones del prestador del servicio no sean accedidos o utilizados por terceras personas
  • que los datos que almacena el prestador del servicio no sean accedidos o utilizados por éste para fines distintos a los que establece el contrato
  • que los datos viajen de forma segura cuando están siendo comunicados entre el prestador del servicio y su empresa
  • que la calidad del servicio sea la necesaria para la actividad de la empresa

Pero ¿qué pasa si un desastre afecta a las infraestructuras de tu proveedor de servicios en la nube? En ese caso debemos plantearnos si el Plan de Continuidad del proveedor cumple nuestros requisitos de continuidad de negocio. Estas recomendaciones le ayudarán en esta tarea.

Recomendaciones para garantizar la continuidad del negocio

  1. El proveedor debe permitirle:
    • verificar de forma automática la integridad de sus datos en cualquier momento
    • configurar los puntos objetivo de recuperación en sus copias de seguridad, es decir, los intervalos de las copias completas o el alcance de las copias incrementales para proteger los procesos más críticos
    • el acceso a un portal personalizado para la recuperación de ficheros, discos, sistemas o el sitio completo
  2. Negocie los ANS por adelantado verificando:
    • la documentación y el alcance de las certificaciones que el proveedor pueda tener sobre continuidad de negocio (BS 25999 o ISO 22301)
    • los compromisos que adquieren los proveedores para asegurar la continuidad del servicio externalizado, en particular si se tratan datos de carácter personal que puedan acarrear tratamientos específicos según la LOPD (Medidas de seguridad AEPD)
    • que los proveedores cuentan con herramientas para restaurar los sistemas y acuerdos con otros proveedores de plataformas, en el caso de que contrate Infraestructura en cloud o IaaS (Infrastructure as a Service)
  3. Solicite información puntual o periódica para comprobar:
    • que el proveedor tiene implantados los controles necesarios para mantener la continuidad de negocio pactada, incluso presencialmente
    • los resultados de las pruebas de continuidad y recuperación pactadas (por ejemplo restauración de backups) cuando se realicen
    • los niveles de cumplimiento de los ANS

Si el ANS no es negociable recuerde contar con un Plan de recuperación de desastres que facilite la migración en caso de que falle algún proveedor. Y aunque estas precauciones son básicas, no olvide:

  • respaldar siempre la información contenida en la nube
  • evitar la dependencia en exclusiva de un único proveedor de servicios cloud también llamada vendor lock-in revisando antes de firmar si ofrece herramientas o servicios para migrar grandes cantidades de datos

Si quieres saber más puedes consultar estas guías:

Si en local necesitas un Plan de continuidad de negocio , llévalo contigo cuando subas a la nube.

Etiquetas: 
Buenas prácticas
Cloud Computing
Continuidad de negocio
Contratación
Empresa
Artículos relacionados
Ciberdelincuentes robando datos de un ordenador
INCIBE | 28/03/2023
¿Acercarte tú mismo al ciberdelincuente? Esto es la ingeniería social inversa
Hombre con capucha y un móvil en la mano. Letras Malvertising
INCIBE | 21/03/2023
Cómo proteger tu empresa contra el malvertising
Mano azul saliendo de la pantalla
INCIBE | 14/03/2023
Historia real: la mala planificación en actualizaciones puede llevar a estas situaciones