¿Quién es el responsable de los activos almacenados en el cloud?

Insights June 28, 2023
BlogHeroImage

Cuando el filósofo Eugene Lewis Fordsworthe acuñó la frase “la suposición es la madre de todos los errores”, probablemente no tenía en mente un entorno empresarial, pero la realidad es que una parte importante de los problemas que surgen en una organización se deben precisamente a órdenes o situaciones que alguien dio por hechas pero que no estaban tan claras como debería.

Causas en los costes del incremento de los proyectos cloud

El estudio “El lado no tan positivo de las herramientas de los CSP” que hemos realizado en Veritas muestra, precisamente, cómo ciertas suposiciones en este ámbito están resultando en un importante –y, en la mayoría de las ocasiones, innecesario- incremento de los costes previstos para las empresas. Especialmente en lo que se refiere a los modelos de responsabilidad compartida y al exceso de confianza en los proveedores de servicios cloud sobre la protección más básica de los datos.

Según el informe de Veritas, un 94 % de las empresas confiesa haber tenido gastos no esperados cuando ha utilizado los servicios de un proveedor cloud público. Y la media de ese sobrecoste ha llegado a alcanzar el 40 % del presupuesto inicial, aunque seis de cada diez empresas tuvo un coste hasta un 100 % superior al estimado.

Si hablamos de números concretos, el asombro puede ser mayúsculo, ya que dos de cada cinco empresas participantes en el estudio admite haber invertido entre 1 y 2,5 millones de dólares en proveedores de servicios cloud públicos, lo que significa que un sobrecoste del 40 % puede llegar al millón de dólares…

El despliegue de infraestructuras cloud es cada vez más complicado, y eso hace inevitable que existan sobrecostes. Pero, en este caso, esto no debería ser así. El conflicto aquí lo encontramos en que muchos de esos gastos inesperados se deben a asunciones erróneas sobre los modelos de responsabilidad compartida, especialmente en lo que se refiera a “quién es el responsable” de los aspectos críticos, como las copias de seguridad y la recuperación, el almacenamiento o el acceso a los datos.

Muchas empresas creen que ellas no son las responsables de la resiliencia de los datos más importantes almacenados en el cloud. De hecho, muy pocos participantes en nuestro estudio supieron identificar correctamente quién tenía la responsabilidad en cada caso: ellos mismos o el proveedor. Y Gartner también alerta de esto: en los próximos tres años “el 95 % de los fallos en la seguridad en entornos cloud será culpa del cliente”.

¿En qué consiste un modelo de responsabilidad compartida?

Los modelos de responsabilidad compartida no implican una distribución paritaria de las responsabilidades. Cada proveedor maneja sus modelos de una forma diferente y el cliente debe ser consciente de ello.

En general, sin embargo, los proveedores son responsables de la resiliencia de la infraestructura, pero el cliente es responsable de la resiliencia en la infraestructura. Por eso, no se debe asumir que, una vez que se contrata un servicio cloud, toda la responsabilidad se encuentre en el proveedor y se debe leer detenidamente, por tanto, el acuerdo de licencia (EULA) para conocer todos los detalles correctamente.

En ese acuerdo, podremos ver diferentes especificaciones dependiendo del proveedor. Por ejemplo, en un modelo SaaS, el proveedor tendrá mayor responsabilidad en lo que se refiere a aplicaciones, control de la red o sistemas operativos. En un modelo PaaS, es más usual que estas responsabilidades sean compartidas. En el modelo IaaS, sin embargo, suele ser el cliente el que tiene mayor peso en las responsabilidades. Pero todo se puede complicar si utilizamos diferentes clouds y diferentes servicios.

Los costes se deben a la recuperación y a la copias de seguridad

¿Y dónde se encuentran los sobrecostes? Precisamente cuando no se entiende el modelo de responsabilidad compartida es cuando aparecen los gastos no esperados. En la recuperación y en la copia de seguridad (40 %) y en el acceso a los datos (38 %) sobre todo. Y todo esto sin olvidar que, en caso de un ciberataque, el impacto puede ser incluso mayor.

Según un estudio de Ponemon Institute, el coste medio de una brecha de datos en 2022 fue de 4,35 millones de dólares, una cifra que sube hasta los 4,54 millones de dólares en los casos de ransomware. Y nueve de cada diez empresas participantes en el estudio de Veritas afirma haber sido víctima de un ataque de ransomware, con lo que algunos sufrieron la publicación de información sensible (el 41 %), cese de actividad temporal (39 %), pérdidas financieras para superar la recuperación de los datos (39 %) y pérdidas financieras para pagar rescates (33 %).

Lamentablemente, muchos de esos efectos colaterales se deben a una confianza excesiva en los estándares básicos de los proveedores de servicios. Es decir: la organización cree que sus datos están correctamente salvaguardados por el proveedor por el mero hecho de haber contratado sus servicios cloud, y no toma las medidas necesarias para proteger sus activos.

Por eso, es necesario que las empresas entiendan cuáles son sus responsabilidades dentro de los modelos de responsabilidad compartida y eviten así costes –y sustos- inesperados, sobre todo en lo que se refiere a la seguridad de la información almacenada en la nube. Se eliminará así una falsa sensación de seguridad que enmascara los problemas del futuro.

Pasar de la asunción ciega a un conocimiento pleno es la clave. Y en unos entornos cada vez más complejos, con infraestructuras repartidas en diferentes clouds, es imprescindible trabajar con expertos que tengan el conocimiento, la experiencia y las herramientas que ofrezcan una visibilidad completa de los proyectos en los que la organización se halla inmersa.

Para conseguir más información sobre cómo podemos ayudarte a administrar tus activos en la nube de forma segura y garantizando una alta disponibilidad, ponte en contacto con nosotros aquí.

blogAuthorImage
Ignacio De pedro
Director Regional de Ventas Internacionales