Los contratos SaaS no profundizan en la seguridad
Gartner dice que los usuarios de SaaS no están conformes con los términos de los proveedores y ofrece consejos sobre qué es importante al firmar un contrato.
Los compradores de servicios en la nube, especialmente de software como servicio (SaaS), consideran que las medidas de seguridad que ofrecen los proveedores en los contratos son insuficientes, según la firma de investigación Gartner.
Esta añade que los contratos para la integración de servicios SaaS suelen contener términos ambiguos con respecto al mantenimiento de la confidencialidad de datos, a la integridad o a la recuperación de estos después de un incidente.
De acuerdo con Gartner, esta falta de claridad en los contratos para la integración de servicios cloud conduce a la insatisfacción entre los usuarios de servicios en la nube, mientras que provoca que sea más difícil para los proveedores de servicios gestionar los riesgos y defender ante auditores y reguladores cuál será su papel a la hora de solucionar los problemas de seguridad.
Según el estudio presentado por la consultora, hasta el año 2015, el 80% de los profesionales de las adquisiciones de TI podría seguir declarándose insatisfechos con los términos de los contratos para la adopción de servicios SaaS y con las medidas de protección que los proveedores ofrecen relacionadas con la seguridad.
Dice Alexa Bona, vicepresidente y analista de Gartner que “seguimos viendo la frustración entre los usuarios de servicios en la nube por el grado de transparencia que son capaces de obtener de los proveedores actuales y potenciales de servicios”.
Consejos: en qué debe fijarse un consumidor a la hora de firmar un contrato para la adopción de SaaS
Como mínimo, dice Gartner, los usuarios de servicios en la nube deben asegurarse de que los contratos que firman para la adopción de SaaS comprenden que se lleve a cabo de manera anual un control de seguridad, que esté certificado por un tercero, con la opción de rescindir el contrato en caso de una violación de seguridad si el proveedor pierde parte de los datos que debe almacenar.
Además, es razonable para los compradores de servicios cloud que pidan a sus proveedores que responda a ciertos estándares de evaluación marcados por algún organismo oficial. Por ejemplo, la Cloud Security Alliance (CSA), cuenta con unos criterios de control, que pueden ser un ejemplo a seguir.
Afirma Gatner que, como no existe un consenso acerca de cómo los compromisos con los servicios de seguridad deben ser descritos por contrato, la mayoría de los proveedores de SaaS deciden comprometerse con lo menos posible, por tanto, el consumidor debe fijarse a la hora de firmar un contrato con un proveedor que haya ciertos servicios, firmados por escrito, como la protección contra el acceso no autorizado por parte de terceros, la mencionada certificación anual a un nivel de seguridad o que se realicen regularmente pruebas de vulnerabilidad.