Este es el título del nuevo documento de ISACA relacionado con la computación en la nube publicado el pasado mes de julio. En el se aborda la problemática de calcular el retorno de la inversión (ROI) de manera adecuada para una inversión en este tipo de servicios, de forma que se pueda tomar una decisión adecuada considerando todos los costes y las ganancias derivadas de dicha inversión.

Nos gustaría resaltar algunos aspectos desde nuestra perspectiva como agencia de calificación de seguridad que contribuye a simplificar los procesos de contratación de servicios TIC, en general, y de servicios cloud, en particular.

  • Se debe respetar el umbral de tolerancia al riesgo de la organización. Es decir, como se establece en la metodología propuesta por ISACA, es necesario partir de un análisis de riesgos del servicio actual para luego, en la estimación de costes, incluir aquellas inversiones en medidas de mitigación de riesgos que sean necesarias, de forma que la comparación sea homogénea (es decir, comparemos "manzanas con manzanas").
  • Los riesgos y beneficios que sean intangibles no pueden ser incluidos en el cálculo, a menos que se les pueda asignar un valor sobre la base de datos históricos o estadísticos (otra reflexión sobre este aspecto).
Desde nuestro punto de vista, el documento de ISACA está muy acertada al incluir de manera explícita en la "ecuación" el riesgo de los servicios, puesto que no sería aceptable que sobre la única "excusa" del hipotético ahorro, contratemos un servicio en la nube que traspase los umbrales de tolerancia al riesgo del usuario de dicho servicio. De igual manera, está injustificado, no realizar el traspaso a la nube si la inversión no lo justifica porque estemos reduciendo el umbral de riesgo y estamos más seguros como resultado de pasar a la nube. Es decir, conocer el perfil de riesgo del servicio en la nube a contratar es fundamental para tomar una buena decisión (y precisamente, en esto es donde más puede ayudar una agencia de calificación de seguridad).
 

Puedes seguirnos en twitter.com/leet_security

14 de agosto de 2012