Un punto importante al momento de seleccionar un proveedor es buscar información que permita visualizar el nivel de responsabilidad al prestar los servicios/soluciones. El tratamiento de los incidentes de seguridad (si es que se conocieron) y la opinión de los clientes en foros o redes sociales. Teniendo en cuenta que el cuidado de la información es nuestra responsabilidad, debemos analizar si las características de seguridad ofrecidas por la solución son compatibles con lo requerido por nuestra información.
Al igual que en otras situaciones, como puede ser al comprar un dispositivo móvil, las características que debemos buscar en el producto o servicio, deberían surgir del tipo y valor de la información que está involucrada.
Características de la oferta del mercado
Conociendo las distintas características y los términos y condiciones se identificaron algunos puntos en común. Sobre estos puntos es quizás donde me interesaría compartir alguna opinión personal
- Generalmente lo que se está ofreciendo es un disco rígido virtual en internet .
- Generalmente se ofrece disponibilidad.
- La responsabilidad de la seguridad de la información es del usuario.
- La responsabilidad de no violar derechos de autor es del usuario.
- Ante un incidente de seguridad, el proveedor del servicio no es responsable (o al menos eso anticipan).
- Generalmente las mejores características de seguridad corresponden a la opción Enterprise (el usuario parece que no requiere seguridad).
- Generalmente los términos y condiciones del servicio pueden cambiar sin previo aviso.
- Muchos de los sitios donde se alojan estos servidores que dan servicios de almacenamiento se encuentran en países que tienen jurisprudencia y/o normas que les permite a los gobiernos y/o fuerzas de seguridad a través de los canales pertinentes, acceder a la información alojada.
Algo que muchas veces sucede, es que tanto los usuarios como las Organizaciones creen que el hecho de almacenar algo en internet, en cierta manera quita responsabilidad en relación al cuidado y protección de la información. Esto no es así, podría sufrir modificaciones de acuerdo al servicio, pero no debemos olvidar que como propietarios de la información (sin importar donde esté), la responsabilidad por el cuidado es nuestra y no se delega.
Los términos y condiciones generalmente son arbitrarios y no admiten muchas modificaciones, o casi ninguna. Desde el plano legal podría discutirse si algunas pautas son legalmente válidas, como por ejemplo lo que indica Amazon en el apartado 5.3 de sus términos y condiciones: “We do not guarantee that Your Files will not be subject to misappropriation, loss or damage and we will not be liable if they are. You’re responsible for maintaining appropriate security, protection and backup of Your Files.”
Por eso es que en general debemos considerar que lo que estamos utilizando es un disco rígido virtual en internet, donde quizás el único beneficio es la facilidad de acceso (para nosotros y todos los demás).
Criterios para seleccionar un proveedor de cloud storage
Un punto importante al momento de seleccionar un proveedor es buscar información que permita visualizar el nivel de responsabilidad al prestar los servicios/soluciones. El tratamiento de los incidentes de seguridad (si es que se conocieron) y la opinión de los clientes en foros o redes sociales. Teniendo en cuenta que el cuidado de la información es nuestra responsabilidad, debemos analizar si las características de seguridad ofrecidas por la solución son compatibles con lo requerido por nuestra información.
Acuerdo de servicio
Se deberían leer y analizar los términos y condiciones, ofreciendo propuestas sobre aquellos puntos que no haya acuerdo. Si los términos y condiciones no cubren nuestras expectativas, no se deberían aceptar, aunque ello signifique no utilizar el servicio. Asimismo ver qué tribunales se establecen en caso de presentarse incidentes o problemas con la información alojada.
Desvinculación
Otro punto importante está relacionado con la “salida del servicio” en el cual se debería tener en cuenta el tratamiento que se le dará a la información que hayamos almacenado. Una vez más, los requisitos deberían surgir desde nuestra propia información. Una buena herramienta para ayudar a los usuarios a seleccionar un proveedor de Cloud es el Consensus Assessments Initiative (CAI) de la Cloud Security Alliance (CSA). Consiste en un cuestionario que, a través de las distintas respuestas, permite identificar la gestión de la seguridad por parte del proveedor de Servicios de Cloud.
En definitiva lo que resulta determinante para la decisión es el valor que se le asigne a la información, siendo un factor importante para identificarlo, el impacto que podría generar un incidente de seguridad que la involucre. Esto último, junto con entender que sin importar donde se encuentre, el propietario de la información seguirá siendo el responsable por su seguridad, quizás recién en ese momento se pueda elegir un producto o servicio sin exponer (sin conocimiento) la información involucrada.
Fuente: Mariano M. del Río. Board Member del Capítulo Argentino de la Cloud Security Alliance
Adaptado por la División consultoría de EvaluandoCloud.com