En el último año se ha podido apreciar un incremento en cuanto a la apuesta de las compañías españolas por dar el salto a la nube. Algunos de estos casos han podido ser planificados y programados, pero muchas empresas, más bien la mayoría, han tenido que aventurarse a realizar el viaje de transformación, pasando del blanco al negro, impulsadas por la COVID-19.

La trayectoria programada de este retador viaje persigue alcanzar una mayor eficiencia y rendimiento en la organización, rompiendo las barreras del uso de esquemas poco ágiles y flexibles para avanzar hacia un modelo que permite virtualizar las aplicaciones críticas de negocio en un entorno flexible y dinámico, que garantice los niveles de servicio, así como la disponibilidad, recuperación y seguridad de la información.

Sin duda, una de las palancas que fuerzan a las compañías a aventurarse en el viaje a la nube es el exponencial crecimiento del volumen de los datos, que, según IDC, llegará a los 175 ZB en 2025: el equivalente a 175 veces la información generada en 2011.

Las compañías deben trabajar de forma adecuada el modelo de sourcing de confianza con los proveedores cloud

Otra gran palanca, en este caso no esperada, ha sido la situación generada por la COVID-19. En este escenario, las compañías han tenido que impulsar su transformación digital apostando por la nube de manera imprevista, y con cierta urgencia, para poder velar por la continuidad del negocio. Pero, a pesar de las prisas, han encontrado beneficios añadidos en ámbitos como la remotización del puesto de trabajo, lo que ha conseguido reforzar su cultura digital. De hecho, así se constata en el Informe Cloud Computing en España 2020 que hemos desarrollado en Quint.

Las complicaciones del viaje

Al final, la realidad ha demostrado que, ya sea de una forma programada o inducida por las circunstancias, para las empresas españolas se trata de un viaje retador, que les saca del área de confort y que lleva implícitas complicaciones que es necesario gestionar por el camino. Una de las grandes barreras es la seguridad de la información y la privacidad de los datos, así como todo lo relacionado con el cumplimiento ético y normativo.

Una de las grandes barreras es la seguridad de la información y la privacidad de los datos

En cuanto a la seguridad, existen algunos datos preocupantes y que llaman mucho la atención. Según un estudio de Proofpoint, en la primera mitad de 2019 se produjeron más de quince millones de ciberataques en la nube y, de ellos, más de 400 000 fueron completados con éxito.

Pero este escenario se ha vuelto, si cabe, más alarmante: según un estudio que firma McAfee, con la irrupción de la pandemia se ha producido un incremento exponencial de estos ciberataques, que se han disparado en un 630% en los cuatro primeros meses del año. En este informe se establece una correlación entre el incremento de los ciberataques y el crecimiento que se ha vivido en cuanto al uso de servicios en la nube y herramientas de colaboración como Cisco WebEx, Zoom, Microsoft Teams y Slack.

Sourcing de confianza

Aun teniendo en cuenta este escenario, que podría generar inseguridad y desconfianza, es muy importante no dejar de dar este paso y aprovechar las numerosas las ventajas que ofrece un plan de transformación cuya componente principal sea alojar servicios en la nube. En este camino es muy importante que las compañías trabajen de forma adecuada el modelo de sourcing de confianza con los proveedores cloud, diseñando un marco de controles que garantice la seguridad de los datos y de la información, independientemente de dónde estén alojados.

Es muy importante que las compañías trabajen de forma adecuada el modelo de sourcing de confianza con los proveedores cloud

Para ello, es importante afianzar que las medidas de seguridad, la gestión de la disponibilidad de los datos y de los sistemas, así como el conocimiento de los planes de contingencia establecidos, están alineados con la gestión de riesgos de la compañía y que han sido pactados con los proveedores de cloud para garantizar la disponibilidad y continuidad del negocio.

En este sentido, resulta crucial establecer unos acuerdos de prestación de servicios alineados con las necesidades de la compañía. El objetivo es interpretar la importancia y los requisitos de aquello que deseamos llevar a la nube, para poder establecer los mecanismos de control y acuerdos de niveles de servicio que permitan asentar la confianza en el proveedor de cloud y, por tanto, tener el control.

Los objetivos clave que generarán la confianza en un viaje seguro a la nube son:

• Eliminar la percepción de pérdida de privacidad de datos. Para garantizar la confianza es necesario implantar un sistema de administración de acceso eficiente y consistente, definir muy bien qué personas, con qué permisos y con qué nivel de seguridad acceden a los datos.
• Definir, junto con el proveedor, las políticas y procedimientos que permitan garantizar los mecanismos de respaldo de datos de forma automatizada, incluyendo las actuaciones para salvaguardar los datos con la máxima seguridad.
• Es fundamental garantizar que, ante cualquier incidencia de seguridad, los datos serán fácilmente recuperables.
• Pactar las obligaciones contractuales, como, por ejemplo, compensaciones financieras por pérdidas, incumplimientos normativos, etc. Es crítico, seleccionar un proveedor que garantice que los datos estarán almacenados dentro del territorio establecido por la normativa de protección de datos del país, lo que aporta confianza a la hora de evitar sanciones económicas que impacten en la situación financiera de la compañía.
• Identificar el punto de contacto para la notificación de incidentes de seguridad y su clasificación, incluyendo los objetivos en cuanto a tiempos de respuesta o recuperación. Una integración o conexión en este ámbito ofrece una visión de control en cuanto al nivel de madurez en seguridad en cloud y, de este modo, ayuda a trabajar en la dirección definida por la estrategia de ciberseguridad de la compañía.
• Establecer mecanismos de control que permitan conocer cuáles son las tareas de seguridad (parcheado, actualización…) que realizará el proveedor, y cuáles corren a cargo de la empresa cliente. Indicar los límites de operación ayuda a disponer de una visión global de las medidas de seguridad y, de este modo, permite medir y reportar la totalidad del estado y nivel de madurez de la ciberseguridad en la compañía.
• Garantizar que los planes de recuperación ante desastres y continuidad de negocio de los que se dispone estén alineados con las necesidades de la compañía. Es imprescindible establecer, en los acuerdos contractuales, cuáles son los tiempos de recuperación objetivos (RTO) o los puntos de recuperación objetivos (RPO), así como el porcentaje de indisponibilidad del servicio o sistema alojado en la nube. De este modo, se controlará el impacto que estos sistemas pueden tener en la continuidad y recuperación del negocio.