e-Valúame

Como confiar en el cloud computing

nubetiritaEn mi último post  y a raiz de los comentarios que relacionaban el crash de Magnolia con los servicios cloud, reclamaba información por parte de los proveedores de cloud computing de los procedimientos y recursos técnicos y humanos para generar confianza en los clientes de los servicios cloud.  Coincidiendo con el tema el pasado 6 de Febrero, Zoho lanzó un comunicado donde explican más o menos lo que reclamaba en el post,es decir, las políticas de seguridad e infraestructura con las que cuentan, diviendolas en 4 grupos : Seguridad Física, de Red, de Personas e Infraestructura.

Con esto me podía quedar contento, ¿no? ¿no quería información? Pues ea. Pero ¿como sabemos que están aplicando los procedimientos y disponiendo los medios necesarios para dar coberturas a dichos procedimientos?. En cualquier sitio de internet se pueden obtener unas “best practices” acerca de la seguridad en cualquiera de los niveles que  Zoho cubre y solo tienen que plantarla ahí y fuera, ¿no? Que conste  que no estoy diciendo que no lo hagan y estoy seguro que llevan a cabo todas esas prácticas  y más porque está en juego su negocio, solo digo que, y desdiciéndome de aquello que reclamaba en el anterior post,  no es suficiente con tener información de como llevan a cabo su seguridad de nuestros datos.

Resulta que leyendo el documento completo, tímidamente hablan de que algunas de las areas se auditan.  Claro, una auditoria . Lo peor de todo es que soy auditado cada año y no he sido capaz de exigir lo mismo para un servicio cloud, como si por el hecho de ser un servicio nuevo no es equivalente a  un servicio externalizado de los muchos que hay. Por darle una explicación supongo que será porque en mi epoca en consultoria no tenía buen concepto sobre las auditorias para el cumplimiento de la ISO 9001 y las que me realizan ahora no son estupendas pero es cierto que te pasan revista a practicamente todo y certifican si cumples con la norma o estandares.

Lo cierto es que Zoho dice que determinadas areas son auditadas pero no dice como , quien y sobre qué estandares son auditadas. Con las mismas me he dado un vuelta por otros grandes proveedores de cloud computing Google, Amazón y Salesforce  y  aunque es verdaderamente jodido encontrar este tipo de  información (La de Salesforce la tenía controlada y la han escondido algo más) finalmente he conseguido encontrarla.  Prácticamente todos dicen lo mismo pero Salesforce y Google  además son auditadas y están certificadas bajo el estandar SAS 70 Tipo II y Salesforce está certificado para el standard SysTrust y desde Mayo del 2008 de la ISO 27001. Amazón parece ser que está en ello pero no dispone de momento de la certificación SAS 70 al menos eso es lo que he encontrado.  Entonces repasando:

SAS 70 es un estandard internacional que provee una guía para que un auditor independiente emita una opinión de la descripción de controles de la organización a través del Reporte de Servicio del Auditor; este reporte puede ser de dos tipos: 

  • El reporte de tipo I detalla la descripción de controles de la organización en un punto específico de tiempo (por ej. 30 de junio de 2003).
  • El reporte de tipo II no sólo incluye de descripción de controles de la organización, sino que también incluye un testing detallado de los controles de la organización durante un período mínimo de seis meses (por ej. 1 de enero de 2003 a 30 de junio de 2003).

Una auditoria bajo los principios de SysTrust permite obtener un informe sobre la fiabilidad del sistema en base a la Disponibilidad, Seguridad, Integridad y Confidencialidad de la información. A diferencia de SAS 70 no da información sobre los controles y procedimientos internos del proveedor de servicios y no es un standard internacional.

Quizás por el hecho de que Systrust no es más que una serie de coherentes principios pero no es un standard internacional , empresas como Salesforce además se certifican en el standard ISO 27001 para la seguridad de la información y que está ligado a la ISO 27002 que recoge una guía de buenas practicas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información.

Menudo ladrillo eh?? Bueno pues no quiero aburrir más pero a mi me hacía falta aclararme con este tema y completar mi post anterior porque me sigue gustando la idea de que se informe sobre como y qué hacen para llevar a cabo la seguridad y disponibilidad de la información.

Entradas relacionadas:

11 Responses to Como confiar en el cloud computing

  1. Información Bitacoras.com…

    Si lo deseas, puedes hacer click para valorar este post en Bitacoras.com. Gracias….

  2. saasmania dice:

    […] El equipo de Obama ya ha encontrado proveedor de Cloud. Al principio de año, el equipo de obama tenía en su agenda utilizar cloud computing como parte de la infraestructura hardware. Terramark Entreprise Cloud han sido los elegidos que entre otras características están certificados en SaS70 Tipo II. […]

  3. […] para escalar y facilidades  para añadir nuevos usuarios?. Tiene auditoria externa como  Sas70 tipo II para asegurar que todo lo  anterior puede dartelo con su infraestructura y […]

  4. […] Los precios de la herramienta son bastante altos, 850$ por usuario/mes mas 5.000$ al empezar a utilizarla pero Oracle dice que en comparación con el CRM (100$/usr/mes) son pocas personas en la empresa las que utilizaran la herramienta y de ahí de estos precios.  ¿??¿?.   Dentro de este precio encontramos los servicios que un aplicación saas suele ofrecer, esto es, acceso a la aplicación a través de internet, sin instalaciones en la infraestructura del cliente, sin mantenimiento de versiones, etc.  y estan certificados en Sas70 Tipo II. […]

  5. […] Quizás Google la esté cagando y por tanto tendría que revisar sus procedimientos o mejor que las empresas que la auditan ajusten sus procedimientos para que las caídas no se vuelvan a producir, pero esto no va a pasar […]

  6. […] (AWS). La certificación SaS70 hace tiempo que la tienen los grandes del cloud computing como Salesforce y Google, y aunque es cierto que en AWS no les ha hecho mucho falta  (ha habida cuenta de los […]

  7. […] el post, creo que aun queda bastante para llegar a la foto que se plantea. En mi opinión  debe aumentar el nivel de confianza en el software on-demand en lo que se refiere a la disponibilidad de la aplicación y datos, […]

  8. […] tiempo escribí un post sobre como confiar en el cloud computing, en el aludía que una certificación como SAS 70 Tipo II nos ayudaría a confiar en el cloud […]

  9. […] Google la esté cagando y por tanto tendría que revisar sus procedimientos o mejor que las empresas que la auditanajusten sus procedimientos para que las caídas no se vuelvan a producir, pero esto no va a pasar […]

  10. […] están certificando en los estándares más conocidos como Systrust,  SAS 70 o como ISO 27001 para generar confianza pero no hay nadie que se lo exija. E incluso ellas mismas establecen SLAs (service level agreement) […]

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *