En la actualidad, muchas organizaciones se enfrentan al desafío de cumplir con las regulaciones, políticas de seguridad y cumplimiento interno. Sin embargo, para los proveedores de servicios en la nube empresariales que atienden a múltiples sectores industriales, este desafío es aún mayor. Estos proveedores deben cumplir con los estándares de cumplimiento en diferentes industrias y fronteras geográficas.
La buena noticia es que algunos proveedores de servicios en la nube empresariales han invertido en una amplia gama de protecciones que a menudo superan las políticas específicas de protección de datos de las empresas. Pueden aprovechar lo que aprenden en una industria y aplicarlo a otra, algo que una organización individual difícilmente podría lograr.
“Si inviertes en un servicio en la nube, debes poder confiar en que los datos de tus clientes están seguros, que la privacidad de tus datos está protegida y que conservas la propiedad y el control sobre tus datos, y que solo se utilizarán de una manera que sea consistente con tus expectativas”, señala Microsoft en su “Centro de Confianza” en la nube.
Podría pensarse que dominar una gran cantidad de estándares de cumplimiento sería imposible para un proveedor de servicios en la nube empresarial, pero algunos están más cerca de lograr ese objetivo que otros. En general, estos proveedores pueden elevar el nivel de cumplimiento más que cualquier cliente individual que aún esté utilizando un centro de datos propio.
Veamos algunos de los estándares de cumplimiento y consideremos cómo se pueden aprovechar. En el gobierno, existe el estándar de cumplimiento en la nube FedRAMP en Estados Unidos. El equivalente en el Reino Unido se llama G-cloud. Lo que un proveedor de servicios en la nube empresarial puede aprender de G-cloud se puede utilizar con clientes gubernamentales en Estados Unidos. La inteligencia de amenazas cibernéticas recopilada de una industria puede compartirse con un cliente de una industria completamente diferente.
“Tenemos un estándar muy alto para los controles y certificaciones que ofrecemos. Los clientes a menudo no están en ese nivel”, dice Ulrich Homann, un arquitecto distinguido de Microsoft. “Construimos una base sobre la cual podemos cumplir con estos estándares. Luego nos esforzamos por alcanzar el nivel más alto y elevarlo para todos los demás”.
En resumen, la nube ha alcanzado un punto en el que tiende a ser más segura y cumplir con los estándares más que los centros de datos corporativos. Microsoft afirma tener más de 30 certificaciones de cumplimiento para su plataforma en la nube empresarial Azure, más que cualquier otro proveedor de servicios en la nube empresarial. Los sectores gubernamentales, financieros y de atención médica tienen los estándares de cumplimiento más estrictos.
Por ejemplo, ISO/IEC 27018 aborda cómo los gobiernos manejan la privacidad de la información personal. HIPAA regula la privacidad en papel, en persona y electrónica de los pacientes de atención médica. Y SOC define los estándares de informes financieros para los proveedores de servicios de información. A medida que las aplicaciones críticas para la misión, como los sistemas de planificación de recursos empresariales y de comercio financiero, comienzan a migrar a la nube, los estándares de cumplimiento serán aún más rigurosos.
Ante el creciente volumen de datos, la complejidad del sistema y las amenazas cibernéticas, los estándares de cumplimiento deben ser dinámicos. Un sistema financiero hackeado puede significar grandes pérdidas en reputación, tiempo y dinero. “El nivel de exigencia aumenta cada día. Los servicios financieros, por ejemplo, están bajo constante escrutinio”, afirma Homann. “Cumplimos con cientos de controles de manera continua. Nuestro enfoque es tomar los estándares de cumplimiento más altos y utilizarlos solo como base”.
