Por si fuera poco todo lo anterior, los servicios en la nube aportan interesantes oportunidades para el trabajo colaborativo y ubicuo, ofreciendo también mejoras en la seguridad si los comparamos con la opciones tradicionales, aunque no estén exentos de riesgos.

Unos riesgos que ha valorado el Instituto Nacional de Ciberseguridad (INCIBE) con dos cuestiones clave para las que es preciso encontrar respuesta antes de contratar: ¿Cómo podemos distinguir entre las distintas opciones del mercado las más seguras? ¿Qué aspectos de seguridad del cloud debemos considerar antes de contratar?

Más en detalle, la Guía de seguridad en cloud para pymes de la Agencia Europea de Seguridad (ENISA) propone estas doce preguntas que debemos plantear al proveedor:

1. Para el servicio que quiero contratar, ¿Cómo gestiona el proveedor los riesgos de seguridad de la información? - Como clientes tendremos que tener una idea de la eficacia de la gestión de la seguridad del proveedor. Una buena respuesta tendría, entre otros aspectos, un punto de contacto para incidentes de seguridad, la política de seguridad del proveedor y sus dependencias con terceros, si a su vez externalizan; los informes de auditoría o sus certificaciones, como la ISO27001, que incluyan el servicio en el alcance; informes de cumplimiento o adherencia a estándares de buenas prácticas.
2. ¿Qué tareas de seguridad hace el proveedor?, ¿qué tipo de incidentes de seguridad son mitigados por él? y ¿cuáles permanecen bajo nuestra responsabilidad? - Cada servicio cloud es diferente, como señala la «Guía para empresas: Seguridad y Privacidad del Cloud Computing» de INCIBE, y también lo será el reparto de responsabilidades y obligaciones en cuanto a la seguridad. Pero en el contrato o en los acuerdos de nivel de servicio (SLA) se deben especificar los activos cuya seguridad vigilará el proveedor y los que vigilaremos nosotros; las tareas de seguridad, parcheado, actualización, etc; que realizará el proveedor y las que realizaremos nosotros; una clasificación de incidentes con sus objetivos de tiempos de respuesta o recuperación; y las obligaciones contractuales, por ejemplo compensaciones económicas por pérdidas, etc.
3. ¿Cómo maneja el proveedor los desastres que afecten a los centros de datos o a las conexiones? ¿De qué datos se hace backup y dónde? - En el caso que un terremoto, tormenta eléctrica o inundación afecten al proveedor tendremos que saber en qué medida el servicio cloud que contratamos permanecerá activo, y cómo y dónde se hacen las copias de seguridad. Para ello tendremos que poder revisar: los planes de recuperación ante desastres y continuidad de negocio del proveedor, los mecanismos de backup, tolerancia a fallos y tiempos de recuperación; y si tienen redundancia sus centros de datos.
4. ¿Cómo se garantiza la seguridad del servicio cloud en lo que concierne a disputas administrativas y aspectos legales? - Si el proveedor tuviera algún problema administrativo o legal, interno o con terceros, como clientes querremos saber qué ocurrirá con nuestros datos y con la continuidad del servicio. Debemos comprobar que, aún en estos casos, el servicio está garantizado. En los SLA o las cláusulas del contrato se incluirán las que nos garanticen el acceso a los datos y a las copias de seguridad en estos casos.
5. ¿Nos garantiza que su personal trabaja con medidas de seguridad? - Si vamos a depositar nuestros datos en sus manos tendremos que comprobar que son responsables. Algunas de las formas que tiene el proveedor de demostrar esto es a través de certificados profesionales; con políticas de incorporación y formación de empleados y mediante ataques simulados a sus empleados con mecanismos de ingeniería social.
6. ¿Cómo se protegen nuestros procesos y datos de los accesos lógicos y físicos no autorizados? - Dado que nuestros datos y procesos estarán en las instalaciones de nuestro proveedor,  debería mostrarnos las medidas de control de acceso físico y lógico (roles, privilegios,…) que tiene implantados; los mecanismos de autenticación en uso;su cumplimiento con criterios de buenas prácticas.
7. ¿Cómo asegura la seguridad del software? y ¿qué software permanece bajo nuestra responsabilidad? - Como clientes tendremos que conocer cómo el proveedor garantiza la seguridad del software, en particular solicitaremos informes de escaneos de vulnerabilidades; procedimientos de parcheado y actualización y auditorías externas del software.
8. ¿Cómo se protege el acceso a los interfaces de usuario y de programación de aplicaciones? y ¿existen medidas adicionales para los perfiles con privilegios y administradores? - Para acceder a los servicios cloud el cliente -y los administradores- utilizan interfaces web. La protección de estos interfaces es clave pues a través de ellos se puede llegar a nuestros datos y procesos. En este caso el proveedor debe proporcionarnos los detalles técnicos de los interfaces y sus protecciones, como métodos de autenticación, restricciones de acceso y privilegios.
9. ¿Cómo podemosmonitorizar el servicio, qué registros de actividad (logs) se toman y cómo podemos obtenerlos cuando necesitemos analizar un incidente? - Desde nuestras instalaciones tendremos que poder acceder a cuadros de mandos en los que monitorizar el rendimiento, las alertas y todo lo relativo a la seguridad del servicio. Igualmente en los SLA se podrá incluir una cláusula para poder recuperar los logs en caso de incidente, de manera que podamos saber qué ocurrió y depurar responsabilidades.
10. ¿Es el servicio cloud portable e interoperable? - Como nada es para siempre y ante la posibilidad de tener que migrar, en el futuro, a otro proveedor o si quisiéramos integrar el servicio con otras aplicaciones, el proveedor del servicio cloud debería proporcionarnos los detalles técnicos del software instalado los interfaces, formatos de datos, máquinas virtuales y formatos de exportación de datos.
11. ¿Cómo se gestionan picos de uso y cuáles son los costes asociados? - La elasticidad del uso de los recursos es la base de los servicios cloud en los que se paga por uso. Como clientes querremos saber cómo se va a gestionar los aumentos de demanda (disponibilidad) y cuánto van a costarnos. Los SLA deben incluir cláusulas que lo definan, escenarios y forma de calcular los costes; y podremos solicitar datos del rendimiento de estos mecanismos.
12. ¿Qué legislación nacional aplica? - Los proveedores cloud trabajan desde centros de datos fuera de nuestras fronteras, lo que pueden ocasionar fricciones entre legislaciones nacionales. Un ejemplo reciente es lo ocurrido con el puerto seguro en materia de protección de datos personales. Como clientes debemos asegurarnos de qué legislación aplica en cada caso y, para ello, solicitaremos esta información al proveedor, en particular si recabamos datos personales de nuestros usuarios, tratamos con productos con propiedad intelectual y si realizamos actividades de comercio electrónico.

A pesar de que los proveedores cloud cada vez ofrecen más información sobre la seguridad de sus servicios, es necesario como clientes entender también cuáles son nuestras oportunidades y riesgos cuando contratamos servicios en la nube.

Por su parte la Comisión Europea intenta eliminar las barreras existentes en el marco de la estrategia europea de cloud computing, con el objetivo de que las pymes adopten el cloud aprovechando las ventajas que ofrece, pero con seguridad. Más información en www.incibe.es