Diez cuestiones que debes preguntar a tu proveedor cloud

Migrar cargas de trabajo existentes o establecer nuevas en una cloud pública pueden aportar beneficios significativos a compañías en términos de mayor flexibilidad así como de reducción de costes. En los últimos meses, llevados por el interés de la industria TI en el modelo cloud computing, el número de proveedores de cloud pública se han multiplicado, y las compañías cuentan con una amplia oferta de proveedores entre los que elegir.

Aunque sobre el papel muchos de estos proveedores ofrecen un servicio similar, existen diferencias significativas en la forma en que proveen dicho servicio. Las empresas interesadas en establecer una carga de trabajo en una cloud pública deben ser conscientes de estas diferencias y evaluar con detenimiento cuál es el proveedor más adecuado para sus intereses.

Estas son diez preguntas fundamentales a hacer a un proveedor de cloud pública para su evaluar su servicio y capacidades:

1. ¿Qué nivel de servicio ofrece? Las empresas deben asegurarse de que los servicios ofrecidos por el proveedor de cloud cumplen o mejoran los requerimientos de nivel de servicio de su carga de trabajo (por ejemplo, garantías de disponibilidad y rendimiento del servicio, tiempos de respuesta ante incidencias, etc.) Deben también analizarse las penalizaciones por incumplimiento de los acuerdos de nivel de servicio puesto que, en algunos casos, los créditos automáticos o el reembolso de los cargos no serán suficiente compensación para una compañía en caso de suspensión del servicio. Finalmente, las empresas también deben investigar cómo se informa del nivel de servicio y con qué frecuencia se realizan o actualizan esos informes.
2. ¿Cuál es el plan de recuperación ante desastres y continuidad de negocio? Las empresas necesitan saber dónde se guardan sus datos y la rapidez con la que el servicio sería restaurado en caso de desastre. Estas cuestiones están relacionadas con factores bien conocidos como RPO (Recovery Point Objective) y RTO (Recovery Time Objective). Por ejemplo, las empresas deberían conocer si tienen que hacerse cargo ellas mismas de los backups y recuperación de datos o si el proveedor lo hará por ellos. En este ultimo caso, las empresas deben conocer cuestiones básicas como si se realizan backups incrementales, la facilidad con la que se puede reconstruir una copia de los datos, el período de retención de los backups o la granularidad de los mismos.
3. ¿Cómo se aíslan mis datos de los del resto de clientes que utilizan la misma cloud pública? Un entorno de nube pública se basa en compartir la misma infraestructura entre múltiples clientes de manera simultánea, a la vez que se les aísla a unos de otros. Una de las preocupaciones más comunes de las empresas es que los competidores o usuarios malintencionados puedan acceder a sus datos. Por eso es importante conocer las medidas puestas en marcha por el proveedor con el fin de garantizar que otros clientes no puedan acceder, editar o borrar los datos de su empresa.
4. ¿Qué protocolos de actuación se han establecido en caso de conductas maliciosas? Los clientes que no configuran adecuadamente la seguridad de sus servidores virtuales pueden poner en peligro al resto de clientes que comparten la misma infraestructura. Por ejemplo, un servidor virtual que se ve comprometido debido a un fallo de seguridad y se utiliza para actividades criminales puede conducir a la confiscación de todo el servidor físico – incluidos datos legítimos de otros clientes – por parte de las autoridades legales. Por ello, las empresas tienen que asegurarse de que el comportamiento malicioso se identifique inmediatamente y se tomen las medidas apropiadas.
5. ¿Cómo se protegen los datos frente a un ataque externo? Normalmente, un entorno de nube pública se conecta a Internet y puede ser objetivo de usuarios malintencionados de todo el mundo. Las empresas necesitan entender cómo se detectan, registran y previenen los ataques externos y el proceso para gestionar las intrusiones y las brechas de seguridad. De manera adicional, la seguridad física de las instalaciones de los centros de proceso de datos tampoco deben ignorarse. Aspectos como la presencia de dispositivos de vigilancia física, guardas de seguridad, sistemas de autenticación biométrica para controlar el acceso a las instalaciones así como otros aspectos relacionados con intrusiones físicas son de interés.
6. ¿Me permiten cumplir con las normativas vigentes (por ejemplo SOX, HIPAA, PCI, LOPD, ENS, etc.) las políticas, procedimientos y tecnologías implantadas por el proveedor de cloud pública? Muchas empresas deben cumplir con regulaciones y normativas determinadas. Dado que la responsabilidad última recae habitualmente sobre dichas empresas y no sobre los proveedores que subcontraten, deben conocer si el proveedor de cloud pública cumple con las regulaciones con la misma rigurosidad y esmero que ellos mismos. Una de las preocupaciones habituales es dónde están los datos físicamente y dónde se moverían en caso de desastre ya que, por ejemplo, transferir determinados datos fuera del país o la zona geográfica puede violar algunas leyes de privacidad.
7. Cuando quiera cambiar de proveedor de cloud pública, ¿qué procedimientos he de seguir? Aunque ya están surgiendo estándares, a día de hoy se puede considerar que la interoperabilidad entre proveedores de cloud pública está todavía poco madura. Por tanto las empresas deben evaluar la facilidad con la que pueden concluir el servicio con el proveedor de cloud pública y migrarlo a otro proveedor cuándo estimen oportuno. También es un punto interesante a investigar el hecho de cómo garantiza el proveedor que los datos almacenados por la empresa en la cloud pública serán eliminados de manera segura una vez que se rescinda el contrato.
8. ¿Qué tipo de monitorización y gestión del servicio tiene el proveedor? Mientras que la mayoría de compañías han implementado sistemas y herramientas de gestión del servicio (por ejemplo monitorización) y han adoptado prácticas alineadas con ITIL, poco se conoce sobre cómo los proveedores de cloud gestionan sus propios entornos de TI. Las empresas pueden querer investigar si el nivel de madurez del proveedor en este sentido ofrece las suficientes garantías.
9. ¿Qué otros clientes tiene el proveedor en la actualidad? Obtener las impresiones de otros clientes que ya tienen cargas de trabajo desplegadas en la nube del proveedor puede dar una buena idea de las fortalezas y debilidades del proveedor, así como de las lecciones aprendidas en el proceso de migración de las cargas.
10. ¿Cuál es la situación financiera del proveedor? Un proveedor que no obtenga beneficios con su servicio de cloud pública se verá tentado a relajar aquellos aspectos que supongan un mayor coste como capacidad extra para permitir una escalabilidad más flexible, sistemas de seguridad y monitorización, capacidades de recuperación de desastres, nuevas funcionalidades, etc.

Luis Aguilar Mateo, Director de Consultoría de Estrategia TI en IBM para España, Portugal, Grecia e Israel