Hace unos días, un cliente me pidió mi opinión profesional sobre un servicio de cloud computing que tenían intención de contratar. Más o menos, la pregunta era: «¿Qué hago? ¿Lo compro?«.

Con el único detalle del nombre del posible proveedor y de que el servicio iba a ser destinado a la realización de una (ulterior) copia de seguridad, me puse a la obra para elaborar una respuesta acorde a las necesidades de la empresa cliente.

Para ello, ha sido de gran ayuda un informe de ENISA denominado «Cloud Security Guide for SMEs«. El texto, en inglés, se puede consultar/descargar aquí: Cloud Security Guide for SMEs. Para los que no quieran seguir leyendo, pueden ir directamente al final de este post y descargar también el excel de marras.

De qué va la guía

El texto está pensado para la pequeña y mediana empresa pero, personalmente, creo que una gran empresa o una entidad pública (léase, Ayuntamiento) puede perfectamente beneficiarse de estas útiles indicaciones.

La guía parte de una serie de consideraciones sobre la oportunidad de utilizar el servicio de cloud computing. Se describen 11 oportunidades que una empresa debe valorar para decidir sobre la contratación. Cada oportunidad puede ser valorada como «grande«, «media» o «baja«, en función de las necesidades a cubrir.

Un ejemplo: O08 (Oportunidad 08) «Copias de Seguridad«. Evidentemente, para mi cliente, la oportunidad, en este caso, es «grande«, porque permite conseguir el objetivo de tener una copia de respaldo fuera de los locales donde se realizan los tratamientos de datos (también datos personales).

La guía sigue enumerando (también del 1 al 11) una serie de amenazas asociadas al uso del cloud computing. También en este caso, la empresa puede valorar los riesgos (otro ejercicio de Risk Analysis), clasificando:

  • la probabilidad de que el riesgo se verifique («Baja«, «Media» o «Alta«);
  • el impacto que puede tener sobre la empresa la verificación del riesgo («Bajo«, «Medio» o «Alto«;
  • el riesgo propiamente dicho, clasificando este último de «Menor«, «Significativo» o «Mayor«.

La guía también presenta una matriz, de uso bastante intuitivo, para clasificar dónde pueden caer las 11 amenazas. Si una o varia de éstas recaen en las celdas consideradas de riesgo «Significativo» o «Mayor«, pues, será necesario adoptar medidas correctoras hasta alcanzar una tolerancia de riesgo menor.

Finalmente, la guía presenta un cuestionario con 12 preguntas claves a las que la empresa debe contestar, para después decidir sobre el tipo de servicio de cloud computing a contratar.

Ejemplos de preguntas: SQ04 «Disputas legales y/o administrativas«. Es necesario tener respuestas claras sobre qué pasaría si, por ejemplo, no pagamos una factura al proveedor del servicio. ¿Seguiremos teniendo acceso a los datos en la nube?

Resumen

¿Os parece demasiado farragoso? Pues, en realidad, no lo es tanto. De hecho, he traducido libremente todas estas indicaciones en una hoja de cálculo, con notas explicativas en castellano para quien quiera utilizar esta metodología presentada por ENISA.

La hoja de cálculo está en Numbers (pues, sí, uso Mac, ¿qué pasa?) y se puede consultar/descargar aquí: Matriz_Cloud