Lo que hay que saber (también) para ir a la nube

Finalmente, tomamos la decisión. Nos vamos a la “nube”. No, no significa que vamos a soñar despiertos o a dejar vagar nuestra mente. Significa que, en tanto organización, vamos a comenzar a utilizar - o a migrar hacia – los servicios y recursos de la tecnología de la información compartidos fundamentalmente a través de Internet.

(Porque en definitiva, eso es el “algo-as-a-service” o el cloud: acceder a un servicio o recurso que nos provee un tercero. Nada muy distinto a los modelos de servicios de computación basados en mainframe o cliente-servidor del pasado. ¿La diferencia? Internet los hizo globales, económicos y escalables).

Por supuesto, como buenos y prudentes hombres de negocios que somos, hemos hecho nuestros deberes. Hemos analizado alternativas, comparado las distintas features que nos ofrecía cada proveedor y los costos asociados, de manera de optar por aquella que encaje en el presupuesto disponible. También examinamos en detalle las características técnicas de cada solución, para elegir la que mejor se adapte a nuestras necesidades.

Ahh, tarea cumplida.

¿Seguro?

Como ese cartel que encontramos en muchos comercios, ¿no nos habremos olvidado de algo? Si, nos olvidamos de algo. Contratar un servicio implica bastante mas que saber que poder de computación voy a tener, cuantos gigas de almacenamiento tendré disponibles y que tan rápido podrá el proveedor atender mis necesidades de expansión.

Entonces, ir a la nube también supone hacerse otras preguntas. Preguntas que tienen que ver con lo mas valioso que le vamos a entregar a nuestro proveedor: nuestra información. Antes de tomar cualquier decisión deberíamos saber también:

• Donde estarán ubicados físicamente nuestros datos.
  
• Cuales son las leyes que se aplican en esa ubicación sobre la transmisión, almacenamiento y el procesamiento de datos.
  
• Cuales son las medidas de seguridad informáticas y físicas que se aplican sobre la información.
  
• Que niveles de privacidad se aplican sobre los datos.
  
• Cual es el tiempo estándar en que podremos recuperar la información (toda o parte de ella).
  
• Cuales son las políticas de resguardo y de disaster recovery del proveedor.
  
• Cual es la política de retención de datos luego de la finalización del contrato (por cualquier causa).
  
• Si vamos a poder recolectar evidencia forense desde el servicio contratado.
  
• Si el proveedor ofrece asistencia técnica durante un incidente de seguridad.
  

Preguntemos. No supongamos. Tener disponible la mayor cantidad de información posible sobre las características del servicio y del futuro proveedor nos evitará – o al menos las hará menos problemáticas y costosas – desagradables consecuencias.