¿Qué es el outsourcing en la nube?

El Outsourcing en la nube o Cloud Computing se perfila para muchos como un modelo disruptivo que cambiará la forma de entender la informática en las organizaciones. La llamada “nube” es un resultado de la evolución de muchas tecnologías que permite ofrecer la informática (aplicaciones, infraestructura, almacenamiento, etc.) como un servicio más.

El Cloud Computing podría permitir la realización de la tan esperada eficiencia de costes en el entorno de la informática empresarial ¿por qué? porque bajo este modelo, las organizaciones tienen la posibilidad de acceder a un gran número de recursos informáticos y de disponer de una enorme capacidad de procesamiento y almacenamiento sin necesidad de instalar máquinas localmente, ni de invertir previamente en licencias de software. Esto implica que los costes van a estar siempre orientados a los recursos efectivamente utilizados.

¿Triunfará la nube?

Todo indica que “la nube” será una imparable tendencia que llevará a las organizaciones a redefinir su modelo de gestión de las tecnologías de la información, sin embargo, todavía se observa mucha timidez a la hora de dar el salto ¿las razones? Básicamente se traducen en preocupaciones relacionadas con la Seguridad de la Información, la Privacidad y el Compliance.

Y es que estas preocupaciones no son un tema baladí, máxime teniendo en cuenta que la implantación de un modelo Cloud Computing dentro de la organización, podría implicar que un tercero llegue a controlar, almacenar o procesar en sus servidores, activos de información estratégicos para el negocio y datos de carácter personal de diversa índole, cuyo tratamiento está cada vez más regulado en el mundo entero.

Gestión de riesgos: 10 aspectos clave de la contratación en el Cloud Computing

Si algo está claro, es que solo podrá establecerse la relación coste-beneficio de “entrar en la nube” en la medida en que los procesos de toma de decisión de la organización y de la negociación del marco contractual se basen en los pilares de la gestión del riesgo.

En este sentido, a continuación se reflejan diez de los aspectos más importantes en cuanto a Seguridad, Privacidad y Compliance que deben ser tenidos en cuenta por las organizaciones tanto en la fase precontractual como en la fase contractual del outsourcing en la nube, como parte de la gestión del riesgo:

1. Due Diligence

En el marco del proceso de due diligence se debe determinar si el proveedor tendría la capacidad suficiente para cumplir con los requerimientos de seguridad de la organización. Para ello, se deberían revisar aspectos como su sistema de gestión de seguridad de la información, la aplicación de estándares y mejores prácticas, el plan de continuidad de negocio, etc.

2. Compliance

Es importante determinar “la extensión geográfica del Cloud” para así evitar que los activos de información se alojen en países con panoramas políticos o regulatorios inestables. Se debe tener en cuenta que, la localización de los activos de información en determinadas jurisdicciones podría suponer un incremento de la carga regulatoria para la organización. Por otro lado, la organización debe tener garantías de que va a poder responder en tiempo y forma a los requerimientos de las autoridades administrativas y/o jurisdiccionales, que afecten a sus activos de información.

3. Privacidad y Protección de Protección de datos

Se deberán definir las condiciones del acceso a los datos de carácter personal por parte del proveedor. Resulta fundamental establecer las reglas aplicables a las transferencias internacionales de datos y a las subcontrataciones. Es imprescindible determinar en nivel de medidas de seguridad que se deberá aplicar a los datos, claro está, con arreglo a la normativa de protección de datos de carácter personal.

4. Propiedad de intelectual

El proveedor deberá garantizar la legalidad e idoneidad de las licencias de software que se utilicen en el marco de la prestación de los servicios. Asimismo, debería garantizar la indemnidad de la organización frente a eventuales infracciones a la Propiedad Intelectual.

5. Confidencialidad

Se deberán establecer acuerdos de confidencialidad robustos, que sean aplicables tanto al personal propio como al personal externo de la organización. Asimismo, es posible establecer responsabilidades por fugas de información.

6. Mecanismos de resolución de conflictos

Dadas las características del outsourcing en la nube y teniendo en cuenta que es muy probable que las partes contratantes y los elementos del servicio estén en jurisdicciones diferentes, el arbitraje tecnológico es una buena opción a considerar como mecanismo alternativo para la resolución de conflictos.

7. Auditabilidad

La organización debería tener capacidad de auditar al proveedor, bien por sí mismo o bien a través de terceros independientes. Esta capacidad de auditoría puede estar vinculada al cumplimiento de obligaciones legales (p.e auditoría de protección de datos, auditoría de cuentas, etc.) o a normas internas establecidas por la organización.

8. Caso fortuito, fuerza mayor y responsabilidad contractual

Se deberían definir los escenarios de caso fortuito y de fuerza mayor. Por otro lado en cuanto a la responsabilidad contractual, existe una tendencia a pactar responsabilidades por todos aquellos daños que se puedan prever o evitar según el estado de los conocimientos de la ciencia y la técnica existentes (en el ámbito de la seguridad) en el momento de la producción del daño, más allá de la mera responsabilidad por negligencia o culpa grave.

9. Finalización de la relación

Se deberían regular aspectos relacionados con una eventual finalización de la relación (p.e por cambio de proveedor) asegurando que en la transición no va a resultar afectada la seguridad de los activos de información.

10. Seguridad

El marco jurídico que regula la relación, debería contemplar al menos, los siguientes aspectos que afectan directamente a la seguridad:

a) Definición de un Acuerdo de Nivel de Servicios (ANS) robusto.

b) Establecimiento de las métricas que serán la base para determinar el cumplimiento o no, del ANS.

c) Posibilidad de monitorización.

d) Pruebas del plan continuidad de negocio.

e) Notificación de las posibles brechas de seguridad.

Conclusiones

El Cloud Computing representa una gran oportunidad para la informática corporativa, sin embargo, solo aportará valor a la organización en la medida en que los riesgos sean gestionados correctamente.

Una adecuada Gestión del Riesgo podría encuadrarse bajo el paraguas del Gobierno de las Tecnologías de la Información y sin duda, tendría que alinearse con el nivel de Compliance requerido por la organización. Para ello, se deberán llevar a cabo al menos, las siguientes acciones:

a) Delimitación del alcance del outsourcing.

b) Identificación del la legislación y normativa aplicable tanto general como sectorial.

c) Realización de un análisis de riesgos con arreglo a una metodología formal. El apoyo en aplicaciones especializadas, permitirá gestionar y reportar con la mayor eficiencia y gestionar los riesgos resultantes de forma sostenible y alineada con el negocio.

d) Elaboración de un marco precontractual y contractual.

e) Establecimiento de mecanismos de seguimiento y control de la relación contractual.

f) Establecimiento de cuadros de mando integrales que sirvan como base para la toma de decisiones.