Después de debatir una y otra vez sobre la calidad de los servicios, relacionados con el Cloud Computing, existentes en el mercado y futuras, después de pensar escuchar una y otra vez que la seguridad es un problema me decido a escribir este artículo que espero aclare algunos conceptos.
Cualquier proveedor que te proporcione un servicio, sea un servicio TI o de otro tipo (maquinas expendedoras de preservativos, transporte de mercancías, desarrollo de Software o venta de Hardware, Cloud Computing...), debe de asegurarte un servicio de calidad, un servicio que satisfaga nuestras necesidades, y la única forma que tiene de probarlo es ofreciendo una garantía del mismo y nuestro deber es exigir el cumplimiento de la misma. Esta garantía de servicio es lo que llamamos SLA o ANS:
"Un ANS es un acuerdo negociado entre dos partes donde una de ellas es el cliente y la otra un proveedor de servicios. Estos acuerdos pueden estar vinculados legalmente, o ser un contrato informal (relaciones inter-departamentales). Los contratos entre los proveedores de servicios y una tercera parte son habitualmente y de forma incorrecta, llamadas también ANS, aunque el nivel de servicio ya ha sido definido por el cliente inicial y por lo tanto el acuerdo entre terceras partes no es más que un contrato.
Los ANS definen un punto de entendimiento común sobre servicios, prioridades, responsabilidades y garantías. Cada área de servicio debe tener un ANS definido, que comprenda los niveles de disponibilidad, servicio, rendimiento u otros atributos del servicio, como la facturación. El nivel del servicio también puede ser especificado como objetivo y mínimo, de forma que los usuarios puedan saber que esperar (mínimo), mientras se ofrece un objetivo que muestra el nivel de rendimiento. En algunos contratos pueden figurar penalizaciones en caso de incumplimiento de los ANS. Es importante remarcar que los acuerdos hacen referencia a los servicios que recibe el usuario, pero no como el proveedor ofrece ese servicio.
Los ANS se han utilizado desde finales de los años 80 por parte de operadores de telecomunicaciones como parte de sus contratos con clientes empresariales. Esta práctica se ha extendido hasta tal punto que actualmente es habitual que un usuario firme un contrato con un proveedor de servicios que incluya una serie de ANS para prácticamente todos los mercados.
Los departamentos de grandes corporaciones han adoptado también el sistema de acuerdos de nivel de servicio respecto a los clientes internos, departamentos de la misma organización ya que mediante este sistema se logra mejorar la calidad del servicio.
Los ANS están, por su naturaleza, basados en los resultados del servicio recibido por el usuario como elemento del acuerdo. Las organizaciones también pueden definir y especificar el sistema por el que el servicio debe ser cumplido mediante una especificación (especificación del nivel de servicio). Este tipo de acuerdo recibe el nombre de input SLA, aunque este tipo de acuerdo ha quedado obsoleto ya que las organizaciones permiten a los proveedores seleccionar el método de cumplimiento de los acuerdos."
No voy a definir el Cloud Computing, ni siquiera voy a defender el tener los datos en un datacenter, esto cae por su propio peso en la siguiente pregunta. ¿Que garantía de servicio te ofreces a ti mismo?, si tienes los datos alojados en tu propia empresa ¿Que garantía tienes de que no ocurra un desastre? y si ocurre ¿Quien cubrirá los desperfectos y responderá por tus datos? en definitiva ¿Quien tiene el problema?
LA RESPUESTA ES SENCILLA, TU.
Cuando contratamos un servicio de alojamiento en un Datacenter, cuando utilizamos un servicio de Cloud Computing estamos traspasando esta responsabilidad a una empresa externa que debe asegurarse de cumplir los niveles de servicio acordados, por nuestra parte debemos asegurarnos que dichas garantías de servicio son las que nosotros necesitamos (para eso están los abogados) y sobre todo que se cumplan.
Esa es la base para obtener un servicio óptimo, no el nombre del modelo de negocio, no si se llama Cloud Computing, Hosting dedicado, Colocation o Housing... para obtener un servicio de calidad, hemos de exigir una penalización (antes de contratar) por la falta de dicha calidad, por la suspensión temporal o indefinida de un servicio, por la perdida de datos...(así hasta toda problemática que pueda ocurrirnos y sea un problema para nuestro negocio).
El Cloud Computing no debe ser distinto en cuanto a calidad de servicio de un datacenter tradicional.
Los servicios de IaaS (Infraestructura como servicio) son ideales para plataformas volatiles donde la cantidad de servidores o recursos a utilizar varía de un día a otro o de una temporada a otra. Nada tiene que ver que tipo de servicio estas adquiriendo con la calidad del mismo. La calidad del mismo la marca la Garantia de servicio o SLA.
En cuanto al almacenamiento de datos en Cloud Computing lógicamente deberemos escoger un proveedor que garantice (por contrato) la integridad de los mismos según nuestras necesidades, así como la forma y velocidad de acceso, la escalabilidad y desescaabilidad. Es tan importante obtener una garantía de servicio a nuestra medida como el precio del servicio o el nombre del modelo de negocio que tenga el mismo.
Entonces...¿Es seguro el Cloud Computing?
Pues la respuesta es muy sencilla, es tan seguro como la ANS o SLA que está ofreciendo, igual que un Datacenter tradicional.
Otro apunte que quiero hacer es que las SLA pueden convertirse en una herramienta de marketing mas que en una garantía de servicio y es que debe tener especial cuidado con las exclusiones y los "salvo que..." expuestos en los contratos.
La ventaja del Cloud Computing frente a los servicios de housing es que las correspondientes garantías de servicio el Hardware, la conectividad, la redundancia eléctrica deja de ser un problema para el cliente, aunque siguen manteniendo una serie de exclusiones que deben ser revisadas concienzudamente.
Existen múltiples organizaciones que ayudan en la confección del SLA y que disponen de modelos de contratos personalizados. Respecto a la implantación de los mismos es conveniente tener como objetivo la mejora de la eficacia y la optimización de los procesos y no cometer errores como detallar demasiada complejidad técnica o niveles de servicio inalcanzables, cosa que no suelen hacer las compañias de hosting ya que se amparan en las exclusiones para poder mantenerlos.
Algunos puntos críticos que deben tenerse en cuenta son:
No confundir la disponibilidad del servicio con la calidad mínima del mismo: Tener un 99,99998% de disponibilidad de servicio no garantiza que dicho servicio tenga la calidad suficiente para el cliente.
El tiempo de respuesta: Este aspecto es fundamental, si no obtenemos un tiempo de respuesta adecuado, teniendo en cuenta la totalidad de las exclusiones, lo lamentaremos.
La penalizaciones deben de ser suficientes (también contando las exclusiones y los "salvo que...") para que la empresa proveedora del servicio garantice la disponibilidad del mismo.
Auditorias de seguridad he integridad de los datos: Cualquier proveedor que se preste a ofrecerle un servicio de Backup debe de disponer de un servicio de distribución geografica (mas de un centro de datos) ya que en caso de desastre debe de mantener la integridad de los datos. Se deben realizar auditorias periódicas, que consigan probar la fiabilidad del servicio.
En definitiva, el contrato de Acuerdo de Nivel de Servicio es el único documento que garantiza que el proveedor es capaz de ofrecer el servicio. Este documento debe de ser revisado por un ingeniero de calidad experto ITIL totalmente independiente del proveedor a fin de asegurar que las exclusiones que se reflejen en el mismo no afectan a nuestro negoció. Si este documento no se corresponde con el Marketing de la empresa o las conclusiones del Ingeniero de calidad nos arriesgamos a contratar una plataforma no segura.
![[Valid RSS]](valid-rss.png "Validate my RSS feed")
0 comentarios:
Publicar un comentario en la entrada