Tanto las empresas que quieren mudarse a la nube como las que tratan de identificar si tienen que corregir los despliegues existentes, basan su evaluación positiva o negativa en los siguientes puntos:
- Su capacidad para dar el servicio necesario.
- La comprensión completa del proceso.
- El respaldo al compromiso de mitigar los riesgos inherentes de un gobierno de la información en soluciones en la nube.
Leer también: ¿Aún no estas convencido de almacenar tu trabajo en la nube?
Idealmente, un proyecto de evaluación se lleva a cabo antes de contratar los servicios en la nube. No obstante, la mayoría de los enfoques de evaluación y estrategia pueden aplicarse también a soluciones de la nube ya existentes, ya sean de Software as a Service (SaaS), de platform as a service (PaaS) o de infrastructure as a service (IaaS).
Los componentes de un proyecto de evaluación incluyen hojas de ruta y planes de implementación. Estos componentes presentan actividades de identificación y mitigación de riesgos que abordan lagunas en aquellas circunstancias en las que una parte de la organización ya ha utilizado soluciones en la nube.
Para las empresas cuyo objetivo es un despliegue en la nube, la meta para evaluar el gobierno de información pasa por un plan de implementación de cloud computing que se pueda ejecutar teniendo en cuenta todo. Desde las recomendaciones para corregir implementaciones existentes, hasta un plan de implementación para futuras migraciones a la nube.
Los mayores riesgos
Una organización debe llevar a cabo una evaluación de la gobernanza de la información que valore firmemente las siguientes amenazas de gobierno de la información:
- Cumplimiento normativo.
- Cumplimiento de retención de registros.
- Seguridad de información.
Cumplimiento normativo
Muchas industrias se enfrentan a estrictas regulaciones y requisitos legales para reportar información financiera, mientras que otras organizaciones se enfrentan a requerimientos para retener información, controlar procesos de generación de datos, administrar registros electrónicos y firmas, entre otros. Estas reglas son bien conocidas dentro de las áreas de negocio impactadas de las organizaciones, pero no siempre son transparentes para los CIO, la infraestructura de TI y los líderes de operaciones.
El resultado es una solución en la nube que no se puede implementar de forma controlada, documentada y coherente, o que puede no incluir todos los controles para administrar la información creada y almacenada en la solución de nube.
Cumplimiento de retención
Todas las industrias deben tener registros transparentes, políticas de gestión de la información y calendarios de retención de registros. Estos documentos dictan si es posible que la información y los datos se conviertan en un registro, cuándo lo hacen, y cuánto tiempo debe ser retenido antes de que deba ser destruido.
Las preocupaciones de retención se centran en garantizar que los usuarios de la solución en la nube entiendan sus obligaciones de retención, es decir, cómo diferenciar los datos e información de los registros y administrar los datos de acuerdo con las políticas de gestión de la información.
Parece simple, pero muchos softwares, plataformas e infraestructuras en la nube no tienen campos de metadatos ni los procesos para utilizar cualquier información de clasificación para la correcta administración de información, datos e incluso registros.
Seguridad de información
La seguridad de la información sigue siendo una amenaza clave para las organizaciones que utilizan soluciones en la nube o están planificando una implementación.
De hecho, el uso por parte del personal de soluciones en la nube no aprobadas representa el mayor riesgo. Los últimos estudios sugieren que aunque las organizaciones aprueban solo unos pocos servicios en la nube, los empleados utilizan un número de servicios en la nube de orden de magnitud mayor, muchos de los cuales permanecen sin ser detectados por la infraestructura y las operaciones de TI.
Además, los detalles sobre cómo los servicios en la nube gestionan la seguridad, no suelen ir al nivel de detalle necesario para garantizar que cumplen con las políticas de seguridad de TI.
¿Quieres saber más de la nube?
