En algunas ocasiones, sobre todo cuando nos enfrentamos a analizar o estudiar cuestiones complejas o muy novedosas, la utilización de analogías pueden sernos de gran utilidad. Decimos esto porque, para explicar la aplicación del modelo de calificación de la seguridad que proponemos nos gusta recurrir a una analogía muy cotidiana: Comparamos un servicio en la nube con una habitación de hotel.

Podríais decirnos que estamos un poco locos y que no tiene nada que ver, pero si lo pensamos bien, en ambos casos:

  • Estamos hablando de una infraestructura compartida
  • Se trata de un servicio con una oferta muy variada y con gran variedad de precios
  • A priori, es muy difícil conocer (hasta que no llegas a la habitación) las verdaderas calidades y el entorno (sobre todo si hablamos de ciudades que no conocemos).
  • Una vez que hemos elegido uno, es muy difícil cambiar (nos referimos que si una vez que llegas al hotel, decides que no te gusta, no siempre es fácil buscar otro hotel en la misma ciudad que sea más de tu agrado - disponibilidad de información, de tiempo o incluso disponibilidad de habitaciones libres)

Por eso, para intentar responder a la pregunta, ¿calificación o certificación?, pensamos en qué ocurre en el sector hotelero y la respuesta es: ambas.

Y, ¿por qué ambas? Muy sencillo, porque:

  • No puede existir un único estándar global (es decir, no es como la electricidad dónde todo puede ir a 220-240V). Los usuarios tienen que tener la opción de elegir y, por tanto, no puede haber un estándar universal, del estilo de HTML.
  • No obstante, deben existir una medidas mínimas que se respeten y que garanticen una calidad de servicio mínimo a los usuarios (en el caso de los hoteles, estaríamos hablando de algo del estilo de una licencia de explotación).
  • Pero, después, dado que es un mercado imperfecto (ya sabéis, no tienes información hasta que no estás en la habitación) y los usuarios deben tener la opción de comparar entre las distintas ofertas con información fidedigna, necesitamos un modelo de calificación que les ayude a tomar esa decisión (en el caso de los hoteles, tendríamos el famoso esquema de estrellas)

Por tanto, y como conclusión, nuestra respuesta a las disyuntiva calificación o certificación es clara: certificación de requisitos mínimos y calificación de las medidas de seguridad a partir de ahí, para aportar transparencia al proceso de decisión de los usuarios.

Puedes seguirnos en twitter.com/leet_security

18 de enero de 2013