Minoración y control de riesgos en la contratación de soluciones de Cloud Computing

Minoración y control de riesgos en la contratación de soluciones de
Cloud Computing
La Cloud Computing supone una nueva
manera de prestar servicios tecnológicos de forma externalizada, en especial,
en el ámbito del almacenamiento y gestión de datos. Las soluciones de Cloud
Computing están repletas de importantes ventajas pero también de importantes
riesgos tanto tecnológicos como jurídicos que hacen preciso adoptar las
cautelas necesarias en la contratación de este tipo de servicios.
En el año 1.979, el paleontólogo
Stephen Jay Gould y el genetista Richard Lewontin publicaron en la revista Proceedings
of the Royal Society of London el artículo titulado “The spandrels of San
Marco and the panglossian paradigm: a critique of the adaptationist
programme”. Se trata de un artículo que revolucionó el marco teórico de la
biología evolucionista al superar el pensamiento adaptacionista
neodarwinista, imperante hasta entonces. Su postulado principal radica en
reconocer la relevancia del papel que juegan otros factores en la evolución
de los organismos, más allá de la importancia que se ha venido y viene
atribuyendo a la selección natural.
Años más tarde, en 1.982,
continuando el camino abierto con la teoría del “paradigma de Pangloss”, el
propio Gould y la paleontóloga, Elisabeth Vrba, propusieron el término
“exaptación” con el fin de explicar el iter de adaptaciones biológicas
seguido en aquellas estructuras, que siendo útiles para el organismo, en
realidad, no fueron seleccionadas evolutivamente para llevar a cabo su
función actual.
Hoy en día asistimos a un nuevo
escenario en el mundo de la computación: el que se ha dado en llamar “Cloud
Computing” (computación en la nube). Concepto atribuible a George Gilder,
quien en el 2006 publicó en la revista Wired el artículo “The Information
Factories” donde por primera menciona este tipo de arquitectura computacional.
El fenómeno Cloud Computing se
comprende ante la posibilidad de externalizar el almacenamiento de la
información. Con la Computación en la Nube la información pasa de almacenarse
en local a almacenarse en servidores, originando a su vez los centros de
datos (datacenters). Esta deslocalización de los datos permite al usuario
acceder vía Internet a sus archivos desde cualquier parte del mundo, sin la
necesidad de cargar con su ordenador. Esto además posibilita, de manera
virtual y escalada, contratar con un proveedor a través de Internet los
servicios y soluciones de Cloud Computing que mejor se adapten a sus
necesidades: “Infraestructuras como servicios (IaaS)”, Plataformas como
Servicios (PaaS)” y “Software como Servicio (SaaS)”.
Tecnológicamente las primeras
manifestaciones de soluciones modelo Cloud Computing en el ámbito empresarial
hay que encontrarlas en los cajeros automáticos de los bancos (invención de
1.967 y extendida mundialmente a partir de la década de los ochenta), al
permitir al usuario interactuar en red con su entidad bancaria desde
cualquier terminal habilitado.
La rápida y –hasta hace poco-
discreta expansión o “bing bang” del fenómeno Cloud Computing ha supuesto una
auténtica revolución que en pocos años a esta parte ha deparado la entrada en
escena de nuevos modelos de negocio y de aplicabilidad tecnológica. Un
auténtico cambio de paradigma que ha supuesto la proliferación de un cada vez
más amplio abanico de servicios que se ofrecen en la Red. Lo cual, lleva a
cuestionarnos si la Cloud Computing supone una nueva burbuja tecnológica.
En lo que no hay dudas es en
reconocer las importantes ventajas que depara la computación en la
nube al aportar en la gestión de la información (datos) y de sus procesos mayores
cuotas de: flexibilidad, adaptabilidad, escalabilidad, ubicuidad,
deslocalización, movilidad, fiabilidad, agilidad, disponibilidad,
productividad, trabajo en red, reducción de costes organizativos y de
infraestructura. Además, propicia la mejora continua y la sostenibilidad, la
virtualización, la libertad a la hora de fijar la residencia de la empresa, y
facilita nuevos modelos de negocio como es el pago por utilización de
software, al igual que sirve para propiciar la expansión de la tecnología inalámbrica,
así como la firma electrónica, la e-administración, el e-learning, el
teletrabajo, etc.
Pero también se han identificado
riesgos importantes
. Tanto tecnológicos como jurídicos, siendo estos
últimos los que ahora nos ocupan. Riesgos que, principalmente, traen su
origen en su mocedad tecnológica y en el permanente estado evolutivo en el
que se encuentra inmersa la Cloud Computing propiciado por la irrupción de
innumerables y novedosos desarrollos y soluciones IT que día a día se van
sucediendo. A todo ello hay que sumar las ausencias de un marco jurídico
regulatorio ad hoc unívoco y uniforme, así como de criterios específicos
asentados a nivel jurisprudencial -e incluso a nivel de vías de resolución
extrajudicial- en los conflictos en los que traiga causa.
Entre los principales riesgos
jurídicos a los que el contratante de un servicio Cloud Computing se
enfrenta, destacan los relativos a:
-La integridad, autenticidad y
calidad de su información (datos).
-La calidad de prestación del
servicio conforme a lo dispuesto en el acuerdo de nivel de servicio o SLA´s.
-La Propiedad Intelectual de sus
datos o información.
-La Privacidad y Confidencialidad
de su información.
-Conflictos de Jurisdicción y
Competencia por la ubicación física del hardware, como por la procedencia del
software aplicado.
-Pérdida de control de los procesos
ante las posibilidades de subcontratación que puede realizar el prestador de
servicios.
-Los riesgos habituales ligados a
las exigencias de Cumplimiento Normativo.
-Otros posibles riesgos están
vinculados al seguimiento de las garantías establecidas, las cuestiones de
seguridad y cumplimiento de los estándares en la calidad de servicio
contratada, así como del seguimiento de los protocolos de terminación del
servicio, la cobertura de la responsabilidad civil, la idoneidad, calidad y
actualidad del software utilizado, el soporte previsto durante la prestación
del servicio, etc.
Para afrontar estos riesgos será
preciso adoptar las cautelas necesarias en la contratación de servicios de
Cloud Computing
con el fin de que el contratante controle el modo en que sus datos
son creados, almacenados, distribuidos y, llegado su momento, eliminados.
Todas estas cuestiones deberán
estar definidas y planificadas en el acuerdo de nivel de servicio (SLA) entre
contratante y proveedor
, para lo cual es clave contar con
la estrecha colaboración entre los departamentos técnico-informático y legal
del contratante. En este sentido proponemos empezar supervisando y
controlando los siguientes items:
Recabar la mayor información
posible sobre el prestador del servicio
. Tanto a nivel de empresa
(domicilio de la empresa y de sus centros de datos o datacenters, información
mercantil, societaria y financiera…) como a nivel de cumplimiento normativo
e histórico de litigación, auditorías realizadas en materia de calidad en la
prestación del servicio, certificaciones de cumplimiento medioambiental,
compromisos en RSC y políticas de transparencia, historial de incidencias en
la prestación del servicio, ubicación de los servidores subcontratados,
software utilizado, etc…
Cumplimiento Normativo. El
marco normativo que inicialmente debe tenerse en cuenta en España por la
prestación de servicios por medio de Cloud Computing radica principalmente en
la Ley 34/2002, de 11 de Julio, de servicios de la sociedad de la información
y de comercio electrónico, y en la Ley Orgánica 15/1999 de 13 de diciembre,
de protección de datos de carácter personal.
El prestador del servicio de Cloud
Computing deberá cumplir todas las exigencias legales dispuestas en los
ámbitos de la propiedad intelectual, la protección de datos personales y el
régimen de confidencialidad de la información que se le confía. El marco
normativo relativo a la privacidad y la seguridad de la información varía
mucho y no sólo depende del tipo de datos que se trate si no además, está
supeditado al país concreto que albergue el datacenter. Puede que e incluso
dentro de un mismo país, en ocasiones, existan diferentes reglamentaciones,
sea a nivel federal, regional y/o local complicando exponencialmente el
cumplimiento en la prestación del servicio de Cloud Computing.
Delimitar el régimen jurídico
en la propiedad de los datos
. Es preciso definir de forma clara los
derechos sobre los datos y desambiguar cualquier posible cuestión sobre el
uso de los mismos por parte del proveedor del servicio Cloud Computuing, o
por sus posibles subcontratistas.
Aislamiento de los datos.
La información del contratante puede que termine compartiendo espacio en el
servidor del datacenter con datos de otros clientes del proveedor. En este
sentido es preciso garantizar el aislamiento de los datos de los respectivos
clientes.
Ciframiento de los datos.
Se debe exigir al prestador del servicio que garantice que los datos en reposo
estarán correctamente aislados y que los procedimientos de cifrado de la
información se realizarán correctamente y por personal especialista.
Fijar los indicadores o KPI´s
de prestación de servicio
, sus plazos e hitos de calidad respecto a los
niveles contratados de servicio. Con especial énfasis en todo lo relativo a
la disponibilidad y la seguridad del servidor y de las comunicaciones.
Documentar las políticas de
backup y retención de datos, y establecer una política de recuperación de
datos en caso de incidencias graves
. El caso de hace unos meses del la
caída del datacenter de Amazon en Dublín ha puesto de manifiesto la necesidad
de establecer unos protocolos de actuación a seguir en estos casos. En dichos
protocolos debe contemplarse la viabilidad de una recuperación completa y los
plazos a tardar.
Replicar los datos. Es
conveniente que los datos sean replicados en múltiples datacenters para
evitar que sean vulnerables ante un fallo general.
Centralizar los registros de
actividad (logs) y los datos sobre incidentes
. Ello puede además resultar
útil para contar con un soporte investigativo en caso de tener que exigir
responsabilidades ante los tribunales. La investigación de actividades
ilegales y la exigencia de responsabilidades a los proveedores en entornos
cloud se presenta como una actividad harto dificultosa dado que los datos y
logs de múltiples clientes pueden coexistir e incluso encontrarse
desperdigados por una gran cantidad de equipos y centros de datos. También es
conveniente articularse un procedimiento transparente en la notificación y
registro de incidencias.
Garantizar la incorruptibilidad
de los datos, su autenticidad y el acompañamiento de los metadatos originales
.
Estas garantías se imponen ante casos de borrado de datos, pérdida,
alteración material o bloqueo de evidencias que pueden resultar básicas para
la investigación de responsabilidades. Especial atención debe prestarse a la
necesidad de concretar contractualmente qué ha de entenderse como “diligencia
debida” a la hora de preservar la integridad, autenticidad, confidencialidad,
indisponibilidad de los datos, y de su posterior retorno. Igualmente,
contractualmente se debe arbitrar medidas que impidan la posible adopción de
cambios unilaterales en los términos del servicio por parte del proveedor, o
le permitan a éste someter a cautividad contractual o funcional al cliente.
Determinar en todo momento la
ubicación de los datos: la cadena de custodia
. Es muy frecuente que la
información esté en tránsito y se mueva por los centros de datos ubicados en
diferentes países, cada uno con sus propios marcos regulatorios en lo
referente al tratamiento de datos y que habrá que tener presentes en la
interpretación de las garantías técnicas, físicas y administrativas
establecidas, así como en los controles de acceso. En definitiva, es esencial
comprender como será el movimiento de los datos en la nube.
Exigir al proveedor la
disposición de certificaciones de seguridad y la realización de auditorías
externas
para subsanar la ausencia de información acerca de cómo se ha
implantado la infraestructura y cómo se están gestionando los datos del
cliente.
Confirmar la suscripción por
parte del proveedor de un seguro de responsabilidad civil
capaz de dar la
cobertura necesaria. También se ha de indicar en el contrato la cuantía
asegurada.
Diseñar una estrategia de
salida, el régimen de retorno y plan de continuidad del negocio
. Se debe
procedimentar todos los pasos a seguir y es preciso prever la duración de la
migración de datos, así como los posibles costes asociados que se puedan
imputar al cambio de proveedor.
Además, se debe de haber previsto
en el contrato las causas de resolución (tanto las generales como las
específicas), concretar la jurisdicción competente o la designación de arbitraje
tecnológico con el fin de atender los posibles casos de resolución por
incumplimiento contractual.
En definitiva, la computación en
la nube o Cloud Computing, supone una nueva manera de prestar servicios
tecnológicos de forma externalizada pero no constituye en sí una nueva
tecnología
. Ahora bien, en un breve periodo de tiempo hemos asistido a un
cambio de modelo de baja a alta externalización, donde los modelos de negocio
están cambiando, adaptándose y evolucionando: de los modelos de licencias y
propiedad, a los de aplicaciones y de suscripción de servicio. El gran cambio
conceptual y ontológico que se está operando en la Cloud Computing estriba en
la superación del paradigma de externalización virtual de los datos, para
conceptualizarse en un valor más trascendente como es el de la
liberalización. Estamos, sin lugar a dudas, ante un caso de exaptación
tecnológica.

Deja una respuesta