Aunque muchas compañías que ofrecen servicios en la nube se aseguran de que la ciberseguridad tiene alta prioridad para ellas —lo cual es imprescindible si quieren seguir en el mercado—, usted deberá actuar de todas maneras con la diligencia debida para cerciorarse de que su proveedor de servicios haga las cosas bien, y también debe asegurarse de que el servicio cumpla con las normativas sobre protección de datos, como el Reglamento General de Protección de Datos (RGPD) de la UE y otras normas que puedan aplicarse de forma específica a su negocio.

Asimismo, debe cerciorarse de que cualquier integración entre los servicios en la nube y su TI existente sea segura y tenga la licencia apropiada, de lo contrario su negocio podría estar en riesgo.

Encontrará más información sobre los diferentes tipos de servicios en la nube en el mercado, así como algunos de los pros y contras de cada servicio en «Entender la informática en la nube» [enlace]

¡La nube es una oportunidad apasionante! Pero ¿cómo puede estar seguro de adquirir los servicios adecuados para su empresa al mejor precio y, sobre todo, sin arriesgar la seguridad de su negocio?

Conseguir el servicio en la nube adecuado para su empresa

Es fundamental adquirir el servicio en la nube adecuado, ya sea software, aplicaciones o infraestructura. Si bien la ciberseguridad, el coste, la funcionalidad y la facilidad de uso serán criterios importantes en los que basar la decisión, también hay que tener en cuenta otros aspectos, como los niveles de servicio que se recibirán del proveedor y cómo se integrará el servicio en la nube en la TI existente.

Al comprar la infraestructura de los servicios de la plataforma en la nube, es importante asegurarse de que el diseño del servicio en sí resulte rentable y que satisfaga los requisitos cambiantes del negocio a medida que este crezca en las épocas buenas, y que asimismo se contraiga durante periodos de menor actividad. Es posible que también haya que tener en cuenta cuestiones relacionadas con licencias de software y su integración con las tecnologías existentes empleadas en la empresa.

Una diferencia importante entre los servicios informáticos físicos y en la nube es que estos últimos son, en gran medida, de «talla única» en términos de funcionalidad, niveles de servicio, disponibilidad de servicio, etc. Incluso a las grandes empresas les cuesta negociar con los proveedores de servicios en la nube en cualquier materia que no sea el precio; así que, antes de firmar nada, asegúrese de entender exactamente lo que le van a dar.

Los proveedores de servicios en la nube incluyen en sus contratos acuerdos de nivel de servicio (SLA). Los SLA son compromisos tales como la cantidad de tiempo de actividad que prometen, la capacidad de respuesta del sistema, etc. Al plantearse la posibilidad de formalizar un contrato con un proveedor de servicios, piense detenidamente si los SLA son apropiados para su empresa, sobre todo si el servicio es crítico para el negocio.

Un 99,99 % de tiempo de actividad con una hora de tiempo de respuesta y cuatro horas de plazo para reparaciones puede parecer impresionante, pero ¿y si el sistema se cae durante cuatro horas en la época más ajetreada del año? ¿Podría arreglárselas? Si no es así, entonces plantéese contratar un SLA mejor, aunque tenga que pagar un poco más, o un proveedor de servicios alternativo que pueda prestarle los niveles de servicio que precisa.

Los SLA pueden llevar su negocio al éxito o al fracaso: un 99,99 % de tiempo de actividad con una hora de tiempo de respuesta y cuatro horas de plazo para reparaciones puede parecer impresionante, pero ¿qué pasa si el sistema se cae durante cuatro horas en la época más ajetreada del año?

Entender la interacción entre la ciberseguridad y la nube

Una ventaja importante de los servicios en la nube es que el proveedor del servicio es el responsable de mantener y actualizar el sistema para cerciorarse de que sea seguro. No obstante, y como es natural, usted deberá actuar con la diligencia debida para asegurarse de que el proveedor pueda hacer esto de forma consistente durante un tiempo prolongado.

Sin embargo, existen aún tres áreas clave de vulnerabilidad de las que siempre será usted el responsable:

1. La interacción de los servicios en la nube con los equipos informáticos en sus equipos físicos
   Tenga cuidado con los puntos débiles entre sus sistemas informáticos y el proveedor de servicios en la nube que pudieran dejar expuestos sus sistemas y datos. Podría tratarse de cualquier cosa: un viejo navegador de Internet que no se ha actualizado en un ordenador portátil, sistemas operativos de teléfonos móviles obsoletos, software de servidor sin los últimos parches o cortafuegos mal administrados.
2. No infrinja los reglamentos de protección de datos
   Un punto clave respecto de los proveedores de servicios en la nube es que, aunque le guarden los datos en sus sistemas, usted sigue siendo el responsable de cumplir con la protección de datos y demás normativas. Infórmese de qué datos están entrando en la nube y en qué país o jurisdicción legal se almacenarán, y decida por sí mismo si esto es aceptable o no.
3. Las personas son el eslabón más débil
   Ni toda la ciberseguridad del mundo podría proteger su empresa si sus empleados y contratistas no se toman en serio sus responsabilidades en materia de ciberseguridad. Compartir cuentas y contraseñas no solo supone un riesgo para la seguridad, sino que también conllevará un incumplimiento del contrato con el proveedor del servicio. El phishing y la ingeniería social están muy extendidos, de modo que deberá asegurarse de que todos aquellos que usen sus sistemas informáticos conozcan sus obligaciones y estén capacitados para reconocer si son el objetivo de un ataque.

Negociar la mejor oferta

Aunque los servicios en la nube son, por naturaleza, de talla única, vale la pena tratar de negociar la mejor oferta posible al principio de su relación con el proveedor de servicios en la nube. Usted siempre tendrá mayor influencia antes de firmar un contrato, así que ahí es cuando se debe poner duro en la negociación.

Aunque el precio del servicio quedará fijado durante un tiempo, uno o tres años por lo general, una vez finalizado ese periodo, serán inevitables las subidas de precios. Para que dicho encarecimiento resulte más llevadero, negocie con el proveedor de servicios para tratar de que las futuras subidas de precio estén vinculadas a la inflación. Otra táctica, en especial para las organizaciones más grandes, es acordar por adelantado los precios que se aplicarán en el futuro, en caso de que se siga usando el servicio a largo plazo. Según el tamaño relativo de su empresa y el del proveedor de servicios con el que esté negociando, tal vez pueda llegar a un acuerdo.

Los proveedores de servicios en la nube dependen de los grandes volúmenes para propiciar economías de escala, por lo que, si está seguro de que va a aumentar su uso de los servicios, plantéese comprometerse a una compra por adelantado para reducir los costes. Naturalmente, esta puede ser una táctica peligrosa si los volúmenes de consumo en la nube no crecen según lo previsto, por lo que deberá asegurarse de que su estudio de viabilidad sea sólido.

Es muy común que las empresas «prueben un poco» un servicio en la nube y que nunca lleguen a aprovechar el máximo potencial del servicio. Muchas empresas lo cancelan al término del primer plazo de suscripción, lo que supone la peor pesadilla de un proveedor de servicios.

Para contrarrestar este problema, a menudo los proveedores de servicios en la nube proporcionan soporte técnico y formación; asegúrese de entender qué prestaciones de índole no económica está dispuesto a ofrecer su proveedor y aprovéchelas bien.

A menudo, para ayudarle a sacar el máximo partido a su suscripción, los proveedores de servicios en la nube proporcionan soporte técnico y formación, que pueden constituir prestaciones no financieras de gran valor, así que aprovéchelas bien.

Usar la gestión de activos de software (SAM) para controlar los costes de la nube

Para muchas empresas, un atractivo de pasarse a la nube es que los costes se ajustan más estrechamente al ciclo económico. Sin embargo, la firma de un contrato para un servicio de suscripción puede ser un arma de doble filo si se ve atrapado en costosos contratos en los que los gastos no se reducen en consonancia con las desaceleraciones del ciclo económico.

Para reducir al mínimo los riesgos, asegúrese de que su sistema SAM cubra la compra y gestión de servicios en la nube. Cerciórese de que sus políticas y procesos de compra abarquen tanto servicios en la nube como TI instalada en sus equipos físicos. Todas las personas que participen en la adquisición de servicios en la nube deben entender los posibles escollos y cómo evitarlos.

También necesita involucrar a su personal técnico y a los consultores externos que le estén asesorando. Es muy fácil incluir, sin querer, «incorporar costes» al diseñar sus soluciones en la nube, pero este problema se puede evitar asegurándose de que las distintas opciones de diseño están estimadas al alza y se toman en cuenta al estudiar la viabilidad de un servicio en la nube.

Es fundamental una buena gestión de los contratos y de los costes para cerciorarse de que su empresa no se arrepienta de formalizar un contrato de servicios en la nube. Examine regularmente todos los costes de la nube y trabaje codo a codo con los usuarios de los servicios para asegurarse de que las prestaciones que disfrutan valgan lo que usted paga por el servicio. Si el coste del servicio no está justificado, ¡cancélelo! Es la única manera de reducir permanentemente los costes de la nube.

¿Quién gestionará el sistema?

Aunque los servicios en la nube tienen el potencial de reducir el número de personal técnico necesario para administrar la TI de su empresa, pueden seguir haciendo falta recursos técnicos para garantizar la correcta gestión de la aplicación en la nube (plataforma como servicio) y de los sistemas de infraestructura en la nube (infraestructura como servicio), para permitir la evolución y satisfacer las cambiantes necesidades del negocio, así como para garantizar el mantenimiento y seguridad de las integraciones entre sistemas en la nube e instalados en equipos físicos. Los servicios de software en la nube (software como servicio) seguirán requiriendo continuos recursos administrativos para garantizar que los empleados nuevos se sumen al sistema y para poder cancelar o adaptar las suscripciones de los trabajadores que se marchen o cambien de función laboral, evitando así gastos innecesarios.

¿A quién pertenece la propiedad intelectual?

Para muchas empresas, los servicios en la nube ofrecen un camino fácil para el desarrollo de nuevos productos y servicios, o de herramientas únicas que aporten una importante ventaja competitiva frente a la competencia

Si trabaja con un socio de servicios en la nube para desarrollar nuevos servicios en la nube, asegúrese de que quede claro quién posee la propiedad intelectual, de lo contrario, ¡podría encontrarse con competidores que hacen uso de la tecnología desarrollada por usted!

Todas las relaciones acaban tarde o temprano

El final de un contrato de servicios en la nube puede ser un momento doloroso, sobre todo si no ha sido capaz de negociar límites para futuras subidas de precios. Son muchas las compañías que se encuentran con la desagradable sorpresa de que su proveedor de servicios en la nube «infla» los precios al concluir el periodo de un contrato, dejando a la empresa sin más opción que asumir esta subida.

Si no ha podido negociar un nuevo plazo por adelantado ni limitar las subidas de precios, asegúrese de estar bien preparado para la nueva negociación. Empiece a prepararse pronto, identifique quiénes podrían ser los potenciales competidores de su proveedor y tenga un plan realista para transferirles el servicio. ¡No hay nada como un poco de competencia para mantener a raya las subidas de precio!

La otra eventualidad para la que debe estar preparado es lo que suceda si el proveedor de servicios en la nube cierra el negocio. Esto es un riesgo especialmente para aquellas start-ups de software en la nube de pequeño tamaño que desarrollan un producto innovador y esperan triunfar con él. El sueño de cualquier start-up es vender la sociedad a una empresa de software más grande, pero la realidad es que muchas acaban desapareciendo. Asegúrese de tener planes de contingencia por si esto sucediera. ¿Debería tener un contrato de depósito de código fuente en garantía para poder seguir teniendo acceso al software? ¿O podría incluso plantearse la compra de la empresa emergente a los administradores, conservando así el acceso a la propiedad intelectual?

Sin importar cuáles sean sus opciones, si se está liquidando un pequeño negocio en la nube, es perfectamente posible que disponga de muy poco tiempo para sacar sus datos del sistema antes de que los borren. Si el servicio es crítico para su empresa, no olvide tener planes de contingencia para hacer frente a esta posibilidad.

Lista de verificación de un servicio en la nube

Los servicios en la nube brindan una maravillosa oportunidad para que las empresas aprovechen software innovador, reduzcan sus gastos generales en tecnología y adapten el gasto de TI al ciclo económico. Sin embargo, como en todo, hay que tener en cuenta factores adicionales. A continuación, encontrará una lista de verificación para ayudarle a sacar el máximo partido a los servicios en la nube:

• ¿Se puede acordar por adelantado el precio para un segundo periodo?
• Trate de limitar las subidas de precios solo a la inflación.
• ¿Se reducirán los gastos si se reduce el uso? ¿Con qué rapidez?
• ¿Qué prestaciones no financieras (como, por ejemplo, soporte técnico y formación) pone el proveedor de servicios a disposición de los nuevos clientes?
• Entienda bien los acuerdos de nivel de servicio (SLA) y si son apropiados para su negocio; tenga en cuenta la importancia crítica del servicio prestado para la empresa.
• Comprenda bien los costes de funcionamiento a largo plazo del sistema; realice una «prueba de esfuerzo» de varios diseños para cerciorarse de no estar incorporando costes al diseñar su solución en la nube.
• ¿Cómo sacará los datos del sistema cuando termine el servicio?
• Esté atento a grietas en el blindaje de ciberseguridad entre los servicios en la nube y su TI interna.
• Si está desarrollando un nuevo producto de servicio en la nube con un socio, por ejemplo, una aplicación específica para su sector, asegúrese de poseer la propiedad intelectual para que la competencia no pueda hacerse con ella.
• Tenga un plan para repatriar o migrar sus soluciones y datos a otro proveedor cuando finalice la relación, ya sea porque vaya a cambiar de proveedor de servicios, a cerrar el servicio o porque el proveedor haya cesado en su actividad.