¿Cómo de seguro es un servicio en modo SaaS?, ¿Podemos confiar en que nuestro proveedor protegerá nuestros datos mejor que nosotros?, la seguridad es uno de los factores que pueden llegar a bloquear que una empresa adopte un servicio en modo SaaS (Software como servicio), habrá empresas que por filosofía y casuística nunca publiquen ningún servicio en cloud computing, sin embargo son muchas las empresas que ya se han animado ha realizar proyectos no críticos en cloud computing en cualquiera de sus modalidades.
Desde el punto de vista de cliente/usuario la mejor forma de comprobar la seguridad de nuestro proveedor es la transparencia. Cuanta más información nos aporte el proveedor del servicio sobre las medidas de seguridad, estándares, metodologías, procedimientos, etc más certeza tendremos en que al menos se están poniendo medidas para prevenir fugas de información.
Quiero compartir en esta ocasión una serie de documentos acerca de las medidas de seguridad que se llevan acabo en los servicios de Microsoft Online Services (MOS):
Office 365 – Standard Response to Request for Information – Security and Privacy
Microsoft Online Services Trust Center
Security in Office 365 White Paper
Office 365 – Security Service Description
Office 365 Cloud Security Consideration Paper
Cloud Computing Security Considerations
SLA Microsoft Online Services
Desde 2002 Microsoft se planteó construir sus servicios cumpliendo con rigurosas prácticas de seguridad definidas en el Microsoft Security Development Lifecycle (SDL) y el cumplimiento de la ISO 27001. Office 365 está alojado en los Data Centers de Microsoft por lo que una parte de las medidas de seguridad están implementadas por la infraestructura y otras por medidas adicionales del servicio, estas medidas se aplican a dos niveles:
- A nivel físico en los datacenters: control de acceso físico, monitorización física, sistemas de alimentación alternativos, distribución geográfica.
- A nivel lógico:aislamiento de datos, seguridad en las aplicaciones hosteadas, a nivel de conexiones de red, identidad y acceso. Os aconsejo echarle un vistazo al documento “Office 365 Security and Service Continuity Service Description” donde encontrareis más información detallada sobre la gran cantidad de medidas lógicas que se realizan.
Adicionalmente a todas estas medidas, se aplican otra serie de medidas de monitorización de servicio y actuación ante errores/problemas, los cuales se clasifican en tres niveles:Menor, crítico y catastrófico. Para los tres tipos e tienen definidos distintos procedimientos de actuación de forma que se garantice el servicio al máximo cumpliendo con las responsabilidades descritas en el SLA encaso de ser necesario.
También interesante resulta el nivel de soporte ofrecido en Office 365 (ver Office 365 for Enterprises Support Service Description):
En la versión Enterprise (Plan E) dispondremos de soporte técnico vía web y telefónico en los siguientes elementos:
Support
|
Description
|
Installation and setup
|
Exchange Online:
Mailbox migration to Office 365 for enterprises
Rudimentary coexistence
|
SharePoint Online:
Permissions and user groups
|
Lync Online:
Installation and creating contacts
|
Microsoft Office Professional Plus:
Installation and setup assistance
|
Break/fix
|
Configuration failure issues:
Domain setup and re-delegation
Microsoft Office Professional Plus application Installation
|
Feature or functionality failure of Office 365 for enterprises core services:
Exchange Online, Microsoft Office Professional Plus, SharePoint Online, Lync Online
|
Synchronization of on-premises mailboxes
|
Configuration of services:
Single sign-on (SSO)
Active Directory® Domain Services synchronization
Domain setup and re-delegation
|
Service-interrupting events (SIEs)
|