Se acaban de publicar los resultados del estudio sobre la madurez del mercado de servicios basados en la nube fruto de la colaboración entre CSA e ISACA (pdf) en el que se ponen de manifiesto los 10 factores principales que erosionan la confianza en la nube.

El estudio recoge las opiniones de 252 organizaciones de todo tipo (usuarios, proveedores de servicio, integradores y consultores) en 48 países (principalmente de Norteamérica y Europa), siendo la principal conclusión que, por un lado, los servicios Iaas y PaaS se encuentran en su infancia y tardarán tres años en llegar a estar en crecimiento mientras que los SaaS están casi en su etapa de crecimiento, a la que llegará en un plazo de dos años.

Pero, como bien se recoge en el estudio, los "usuarios necesitan ser capaces de confiar en que los servicios cubrirán sus necesidades y proporcionarán una sólida base [...] para servir mejor a sus grupos de interés" y los diez factores que más dificultan esa confianza en opinión de los participantes en el estudio son los siguientes (de mayor a menor importancia):

  1. Regulaciones gubernamentales en línea con el mercado
  2. Estrategias de salida
  3. Privacidad internacional de datos
  4. Aspectos legales
  5. Lock-in contractual
  6. Responsabilidades de propietario y custodio de datos
  7. Longevidad de los proveedores
  8. Integración de la nube con sistemas internos
  9. Credibilidad de los proveedores
  10. Pruebas y garantías

Analizando estos factores, encontramos 4 tipos de frenos, según estén relacionados con :

  • Aspectos legales
  • Los contratos
  • El usuario
  • El propio proveedor

En nuestro caso, como agencia de calificación de seguridad, el servicio que ofrecemos ayuda con los factores relativos a contratos y al proveedor, ya que permite aportar una mayor transparencia gracias a una mayor y mejor información sobre las condiciones del propio proveedor. Para ello, es importante destacar algunos elementos que se tienen en cuenta para realizar la calificación:

  • Solvencia financiera
  • Estrategia a medio y largo plazo
  • Presencia en el mercado
  • Ejecución de programas de auditoría
  • Adopción de normas de carácter voluntario
  • Especificación de responsabilidades de las partes
  • Segregación de funciones
  • ... (el detalle se puede consultar en la guía)

Puedes seguirnos en twitter.com/leet_security

9 de octubre de 2012