¿Cómo debe ser un proveedor de SaaS seguro?

Tabla de Contenidos

Las soluciones de software como servicio brindan más agilidad, practicidad y eficiencia a las operaciones de campo. Sin embargo, también hay que cerciorarse de que la empresa que las provea brinde máxima prioridad al cuidado de los datos sensibles de sus clientes. 

En un escenario cada vez más dinámico, volátil y desafiante, la adopción de procesos digitales, eficientes y ágiles, proporciona una diferenciación competitiva clave a las empresas que prestan servicios en terreno. 

Esta tendencia se consolida más cada día, pues, de acuerdo con la “Agenda del Líder de Servicio 2020”, preparada por Service Council, optimizar las operaciones comerciales de servicios de campo mediante la compra de nueva tecnología, representa el aumento de inversión más significativo del presente año. 

Y tal como establece el mismo estudio, la mayoría de estas adquisiciones corresponden a la contratación de soluciones SaaS o “Software as a Service” (Software como Servicio).

Esto consiste en un modelo de distribución de software donde el soporte lógico y los datos administrados se alojan en la nube. Más específicamente, en los servidores o centros de datos de un proveedor TI, a los que cuales el cliente puede acceder en forma remota, vía Internet.

De este modo, el proveedor TI se encarga del mantenimiento, la operación diaria y el soporte del software usado por el cliente, mientras este último se enfoca de manera directa y más efectiva en su core business.

Según un reciente reporte elaborado por Finances Online, 63% de las empresas que optan por SaaS buscan flexibilidad para abordar las condiciones cambiantes del mercado; mientras que otro 58% espera conseguir más continuidad de negocio. 

Otras razones para adoptarlo son: 

– Actualizar los servicios o el soporte a clientes

– Reemplazar tecnología y,

– Acceder a datos en tiempo real.

Todas estas características permiten que la mayoría de los expertos coincida en que SaaS es una opción eficiente para brindar más eficiencia a los equipos de campo. Sin embargo, para que esta ventaja se refleje en valor competitivo, se requiere que esté permanentemente ligada a la seguridad de los datos. 

Esta última variable tiene tanto o más relevancia en la opción final del cliente, pues representa el 47% de las decisiones de compra en el ámbito TI, constituyéndose en la segunda preferencia, después del costo. 

La trascendencia del factor seguridad se basa en que la mayor parte de las plataformas SaaS utiliza servicios basados ​​en la nube, lo cual, por sí mismo, conlleva un factor de riesgo asociado a la posibilidad de que un atacante externo acceda a datos críticos o sensibles de las empresas contratantes.

Una consideración no menor, pues de acuerdo con las estimaciones de Finances Online, 18,1% de los archivos cargados en servicios de colaboración y uso compartido de archivos basados ​​en la nube, contienen datos confidenciales. Factor que resulta especialmente crítico para aquellas organizaciones altamente confidenciales que recopilan y almacenan información de tipo ePHI (Electronic Protected Health Information). 

De este modo, al momento de optar por una solución SaaS que optimice el trabajo en terreno, la seguridad que ofrezca su respectivo proveedor debe ser prioritaria, desde todo punto de vista.

ASPECTOS ESENCIALES

Dada la trascendencia que tiene la seguridad, antes de optar por un SaaS es importante elaborar una lista de proveedores confiables, de acuerdo con parámetros objetivos y medibles. Esto permitirá comprobar si la solución escogida y su respectivo oferente, brindan prioridad a la seguridad de los datos.

Según los expertos, esta lista debe estructurarse de acuerdo con seis factores claves:

1. Certificaciones de cumplimiento

¿Tiene el proveedor un programa formal de seguridad y cumplimiento, que garantice la protección de todos los datos recopilados, almacenados o procesados ​​a través de su servicio?

Para responder esta pregunta es necesario conocer las certificaciones de seguridad actuales de cada proveedor. La mayoría no debiera tener inconvenientes para compartir un completo informe de seguridad con sus clientes potenciales, mediante un acuerdo de no divulgación. Es muy importante prestar la debida atención a las fechas y detalles de estos informes, para tener certeza de que las certificaciones estén actualizadas y sean relevantes.

Una vez seleccionado el proveedor, se debe seguir recopilando estos informes de forma continua. Sólo así se podrá estar seguro de que el cumplimiento de los estándares es permanente.

2. Cifrado

En este punto es necesario plantear las siguientes preguntas: 

– ¿El proveedor cifra todos los datos en tránsito mediante un sistema Transport Layer Security 1.2, o equivalente? 

– ¿Protege los datos en reposo con cifrado a nivel de objeto AES de 256 bits?

– ¿Cuál es su responsabilidad para mantener la seguridad de los datos en los dispositivos de sus usuarios finales?

3. Recuperación ante desastres

Aquí se debe tener claro lo siguiente:

– ¿Cuál es el plan de respaldo?

– ¿Cuál es el objetivo de tiempo de recuperación (RTO), y el objetivo de punto de recuperación (RPO) del proveedor?

– ¿El proveedor respaldará de manera responsable todos los aspectos de su implementación, incluida su configuración, y no solo sus datos?

4. Disponibilidad

¿El proveedor revela el estado de su sistema en un portal de autoservicio conectado a la red del cliente? Si no es así, ¿cómo le notificará respecto de las interrupciones del sistema, esperadas e inesperadas, que puedan afectar su negocio?

Si no tiene certeza respecto de este punto, revise el historial de servicio del proveedor, obtenga referencias de otros clientes y pregúnteles sobre sus experiencias con la preocupación por la privacidad, confiabilidad y vulnerabilidades de seguridad.

5. Apoyo

La pos venta es esencial, y hay que tener claridad absoluta respecto de cómo se mantiene el proceso de soporte. Para ello se puede enviar una solicitud de soporte, y evaluar luego la calidad de la atención recibida.

Ahora bien, si se trata de una implementación SaaS de gran tamaño, es conveniente investigar a fondo el modelo de soporte. Sólo así se podrá saber si la mesa de ayuda interna del proveedor será capaz de mantener un soporte de «Nivel 1», sin que los usuarios tengan que llamarlo directamente.

6. Consideraciones legales

Finalmente, es muy importante considerar si el proveedor está dispuesto a firmar un “acuerdo de procesamiento de datos”, o un “acuerdo de socio comercial” y otros elementos similares, si estos son requisito del programa de cumplimiento de su cliente.

También podría interesarte

Sobre el autor

Francisco Gonzalez

Comparte en

Suscribete a nuestro Newsletter