Niveles de Servicio
A medida que más y más consumidores delegan sus tareas a proveedores en la nube, los contratos con Acuerdos de Nivel de Servicio (SLA) entre consumidores y proveedores emergen como un aspecto clave de la externalización de servicios.
Debido a la naturaleza dinámica de los servicios en la nube, el monitoreo continuo de los atributos de Calidad de Servicio (QoS) es necesario para hacer cumplir los SLA.
También se tienen en cuenta otros muchos factores, como la confianza en el proveedor, especialmente para los clientes empresariales que externalizan sus datos críticos.
Esta naturaleza compleja de la nube requiere de un medio sofisticado de gestión de los SLA que eventualmente se traspasa a un tercer proveedor de servicios.
1. Especifique los roles y las responsabilidades de todas las partes con respecto al SLA y, como mínimo, incluya a los proveedores de la agencia y de la nube. Estas definiciones incluirían, por ejemplo, las personas responsables de la supervision del contrato, la auditoría, la gestión del rendimiento, el mantenimiento y la seguridad. Defina los términos clave, incluida la fecha de activación, el rendimiento e identifique cualquier ambigüedad en las definiciones de los términos de computación en la nube.
2. Definir términos clave, como fechas y rendimiento. Defina las medidas de rendimiento del servicio en la nube, incluido quién es responsable de medir el rendimiento. Estas medidas incluirían, entre otras cosas, la disponibilidad del servicio en la nube; la cantidad de usuarios que pueden acceder a la nube en un momento dado; y el tiempo de respuesta para procesar una transacción del cliente.
3. Definir medidas claras para el desempeño por parte del contratista. Incluya qué parte es responsable de medir el desempeño. Ejemplos de tales medidas incluirían:
• Nivel de servicio (por ejemplo, disponibilidad del servicio: la duración del servicio estará disponible para la agencia).
• Capacidad y capacidad del servicio en la nube (por ejemplo, la cantidad máxima de usuarios que pueden acceder a la nube a la vez y la capacidad del proveedor para expandir los servicios a más usuarios).
• Tiempo de respuesta (por ejemplo, qué tan rápido los sistemas de proveedores de servicios en la nube procesan una transacción ingresada por el cliente, tiempo de respuesta para responder a las interrupciones del servicio).
4. Especifique cómo y cuándo la agencia tiene acceso a sus propios datos y redes. Esto incluye cómo se deben administrar y mantener los datos y las redes a lo largo de la duración del acuerdo de nivel de servicio y la transición a la agencia en caso de salida / termino del servicio.
5.Especifique los siguientes requisitos de gestión de servicios:
• Cómo el proveedor de servicios en la nube monitoreará el desempeño y reportará los resultados a la agencia.
• Cuándo y cómo la agencia, a través de una auditoría, debe confirmar el desempeño del proveedor de servicios en la nube.
6. Proporcionar la recuperación ante desastres y la continuidad de la planificación y las pruebas de las operaciones, incluida la forma y el momento en que el proveedor de servicios en la nube debe informar de tales fallas e interrupciones a la agencia. Además, la forma en que el proveedor remediará tales situaciones y mitigará los riesgos de tales problemas de manera recurrente.
7. Describa cualquier criterio de excepción aplicable cuando las medidas de rendimiento del proveedor de la nube no se apliquen (por ejemplo, durante el mantenimiento o las actualizaciones programadas).
8. Especifique las métricas que el proveedor de la nube debe cumplir para demostrar que cumple con los requisitos de seguridad de la agencia para proteger los datos (por ejemplo, defina claramente quién tiene acceso a los datos y las protecciones implementadas para proteger los datos de la agencia). Especifique los requisitos de rendimiento de seguridad que debe cumplir el proveedor de servicios. Esto incluiría describir las métricas de rendimiento de seguridad para proteger datos, como la confiabilidad de los datos, la conservación de datos y la privacidad de los datos. Claramente, defina los derechos de acceso del proveedor de servicios en la nube y la agencia, así como sus respectivas responsabilidades para asegurar los datos, las aplicaciones y los procesos para cumplir con todos los requisitos federales. Describa qué constituiría una violación de la seguridad y cómo y cuándo el proveedor de servicios debe notificar a la agencia cuando no se cumplen los requisitos.
9. Especifica los requisitos de rendimiento y los atributos que definen cómo y cuándo el proveedor de servicios en la nube debe notificar a la agencia cuando no se cumplen los requisitos de seguridad (por ejemplo, cuando hay una violación de datos).
10. Especifique un rango de consecuencias exigibles, como sanciones, por el incumplimiento de las medidas de desempeño del SLA. Identifique cómo la agencia impondría o ejercitaría dichos mecanismos de cumplimiento. Sin sanciones y recursos, la agencia puede carecer de influencia para hacer cumplir el cumplimiento de los términos del contrato cuando surgen situaciones.