Minoración y control de riesgos en la contratación de soluciones de Cloud Computing

BASADOS EN LAS LEYES DE ESPAÑA LES PODEMOS ASESORAR PUES EN COLOMBIA AUN NO HAY NADA.
La Cloud Computing supone una nueva manera de
prestar servicios tecnológicos de forma externalizada, en especial, en el
ámbito del almacenamiento y gestión de datos. Las soluciones de Cloud Computing
están repletas de importantes ventajas pero también de importantes riesgos
tanto tecnológicos como jurídicos que hacen preciso adoptar las cautelas
necesarias en la contratación de este tipo de servicios.
En el año 1.979, el paleontólogo Stephen Jay Gould
y el genetista Richard Lewontin publicaron en la revista Proceedings of the
Royal Society of London el artículo titulado “The spandrels of San Marco and
the panglossian paradigm: a critique of the adaptationist programme”. Se trata
de un artículo que revolucionó el marco teórico de la biología evolucionista al
superar el pensamiento adaptacionista neodarwinista, imperante hasta entonces.
Su postulado principal radica en reconocer la relevancia del papel que juegan
otros factores en la evolución de los organismos, más allá de la importancia
que se ha venido y viene atribuyendo a la selección natural.
Años más tarde, en 1.982, continuando el camino
abierto con la teoría del “paradigma de Pangloss”, el propio Gould y la
paleontóloga, Elisabeth Vrba, propusieron el término “exaptación” con el fin de
explicar el iter de adaptaciones biológicas seguido en aquellas estructuras,
que siendo útiles para el organismo, en realidad, no fueron seleccionadas
evolutivamente para llevar a cabo su función actual.
Hoy en día asistimos a un nuevo escenario en el
mundo de la computación: el que se ha dado en llamar “Cloud Computing”
(computación en la nube). Concepto atribuible a George Gilder, quien en el 2006
publicó en la revista Wired el artículo “The Information Factories” donde por
primera menciona este tipo de arquitectura computacional.

El fenómeno Cloud Computing se comprende ante la
posibilidad de externalizar el almacenamiento de la información. Con la
Computación en la Nube la información pasa de almacenarse en local a
almacenarse en servidores, originando a su vez los centros de datos
(datacenters). Esta deslocalización de los datos permite al usuario acceder vía
Internet a sus archivos desde cualquier parte del mundo, sin la necesidad de
cargar con su ordenador. Esto además posibilita, de manera virtual y escalada,
contratar con un proveedor a través de Internet los servicios y soluciones de
Cloud Computing que mejor se adapten a sus necesidades: “Infraestructuras como
servicios (IaaS)”, Plataformas como Servicios (PaaS)” y “Software como Servicio
(SaaS)”.

Tecnológicamente las primeras manifestaciones de
soluciones modelo Cloud Computing en el ámbito empresarial hay que encontrarlas
en los cajeros automáticos de los bancos (invención de 1.967 y extendida
mundialmente a partir de la década de los ochenta), al permitir al usuario
interactuar en red con su entidad bancaria desde cualquier terminal habilitado.
La rápida y –hasta hace poco- discreta expansión o
“bing bang” del fenómeno Cloud Computing ha supuesto una auténtica revolución
que en pocos años a esta parte ha deparado la entrada en escena de nuevos
modelos de negocio y de aplicabilidad tecnológica. Un auténtico cambio de
paradigma que ha supuesto la proliferación de un cada vez más amplio abanico de
servicios que se ofrecen en la Red. Lo cual, lleva a cuestionarnos si la Cloud
Computing supone una nueva burbuja tecnológica.
En lo que no hay dudas es en reconocer las importantes
ventajas
que depara la computación en la nube al aportar en la gestión de
la información (datos) y de sus procesos mayores cuotas de: flexibilidad,
adaptabilidad, escalabilidad, ubicuidad, deslocalización, movilidad,
fiabilidad, agilidad, disponibilidad, productividad, trabajo en red, reducción
de costes organizativos y de infraestructura. Además, propicia la mejora
continua y la sostenibilidad, la virtualización, la libertad a la hora de fijar
la residencia de la empresa, y facilita nuevos modelos de negocio como es el
pago por utilización de software, al igual que sirve para propiciar la
expansión de la tecnología inalámbrica, así como la firma electrónica, la
e-administración, el e-learning, el teletrabajo, etc.
Pero también se han identificado riesgos
importantes
. Tanto tecnológicos como jurídicos, siendo estos últimos los
que ahora nos ocupan. Riesgos que, principalmente, traen su origen en su
mocedad tecnológica y en el permanente estado evolutivo en el que se encuentra
inmersa la Cloud Computing propiciado por la irrupción de innumerables y
novedosos desarrollos y soluciones IT que día a día se van sucediendo. A todo
ello hay que sumar las ausencias de un marco jurídico regulatorio ad hoc
unívoco y uniforme, así como de criterios específicos asentados a nivel
jurisprudencial -e incluso a nivel de vías de resolución extrajudicial- en los
conflictos en los que traiga causa.
Entre los principales riesgos jurídicos a los que
el contratante de un servicio Cloud Computing se enfrenta, destacan los
relativos a:
-La integridad, autenticidad y calidad de su
información (datos).
-La calidad de prestación del servicio conforme a
lo dispuesto en el acuerdo de nivel de servicio o SLA´s.
-La Propiedad Intelectual de sus datos o
información.
-La Privacidad y Confidencialidad de su
información.
-Conflictos de Jurisdicción y Competencia por la
ubicación física del hardware, como por la procedencia del software aplicado.
-Pérdida de control de los procesos ante las
posibilidades de subcontratación que puede realizar el prestador de servicios.
-Los riesgos habituales ligados a las exigencias de
Cumplimiento Normativo.
-Otros posibles riesgos están vinculados al seguimiento
de las garantías establecidas, las cuestiones de seguridad y cumplimiento de
los estándares en la calidad de servicio contratada, así como del seguimiento
de los protocolos de terminación del servicio, la cobertura de la
responsabilidad civil, la idoneidad, calidad y actualidad del software
utilizado, el soporte previsto durante la prestación del servicio, etc.
Para afrontar estos riesgos será preciso adoptar
las cautelas necesarias en la contratación de servicios de Cloud Computing
con el fin de que el contratante
controle el modo en que sus datos son creados, almacenados, distribuidos y,
llegado su momento, eliminados.
Todas estas cuestiones deberán estar definidas y
planificadas en el acuerdo de nivel de servicio (SLA) entre contratante y proveedor
, para lo cual es clave contar
con la estrecha colaboración entre los departamentos técnico-informático y
legal del contratante. En este sentido proponemos empezar supervisando y
controlando los siguientes items:
Recabar la mayor información posible sobre el
prestador del servicio
. Tanto a nivel de empresa (domicilio de la empresa y
de sus centros de datos o datacenters, información mercantil, societaria y
financiera…) como a nivel de cumplimiento normativo e histórico de
litigación, auditorías realizadas en materia de calidad en la prestación del
servicio, certificaciones de cumplimiento medioambiental, compromisos en RSC y
políticas de transparencia, historial de incidencias en la prestación del
servicio, ubicación de los servidores subcontratados, software utilizado,
etc…
Cumplimiento Normativo. El marco normativo
que inicialmente debe tenerse en cuenta en España por la prestación de
servicios por medio de Cloud Computing radica principalmente en la Ley 34/2002,
de 11 de Julio, de servicios de la sociedad de la información y de comercio
electrónico, y en la Ley Orgánica 15/1999 de 13 de diciembre, de protección de
datos de carácter personal.

 

El prestador del servicio de Cloud Computing deberá
cumplir todas las exigencias legales dispuestas en los ámbitos de la propiedad
intelectual, la protección de datos personales y el régimen de confidencialidad
de la información que se le confía. El marco normativo relativo a la privacidad
y la seguridad de la información varía mucho y no sólo depende del tipo de
datos que se trate si no además, está supeditado al país concreto que albergue
el datacenter. Puede que e incluso dentro de un mismo país, en ocasiones,
existan diferentes reglamentaciones, sea a nivel federal, regional y/o local
complicando exponencialmente el cumplimiento en la prestación del servicio de
Cloud Computing.
Delimitar el régimen jurídico en la propiedad
de los datos
. Es preciso definir de forma clara los derechos sobre los
datos y desambiguar cualquier posible cuestión sobre el uso de los mismos por
parte del proveedor del servicio Cloud Computuing, o por sus posibles
subcontratistas.
Aislamiento de los datos. La información
del contratante puede que termine compartiendo espacio en el servidor del
datacenter con datos de otros clientes del proveedor. En este sentido es
preciso garantizar el aislamiento de los datos de los respectivos clientes.
Ciframiento de los datos. Se debe exigir al
prestador del servicio que garantice que los datos en reposo estarán
correctamente aislados y que los procedimientos de cifrado de la información se
realizarán correctamente y por personal especialista.
Fijar los indicadores o KPI´s de prestación de
servicio
, sus plazos e hitos de calidad respecto a los niveles contratados
de servicio. Con especial énfasis en todo lo relativo a la disponibilidad y la
seguridad del servidor y de las comunicaciones.
Documentar las políticas de backup y retención
de datos, y establecer una política de recuperación de datos en caso de
incidencias graves
. El caso de hace unos meses del la caída del datacenter
de Amazon en Dublín ha puesto de manifiesto la necesidad de establecer unos
protocolos de actuación a seguir en estos casos. En dichos protocolos debe
contemplarse la viabilidad de una recuperación completa y los plazos a tardar.
Replicar los datos. Es conveniente que los
datos sean replicados en múltiples datacenters para evitar que sean vulnerables
ante un fallo general.
Centralizar los registros de actividad (logs) y
los datos sobre incidentes
. Ello puede además resultar útil para contar con
un soporte investigativo en caso de tener que exigir responsabilidades ante los
tribunales. La investigación de actividades ilegales y la exigencia de
responsabilidades a los proveedores en entornos cloud se presenta como una
actividad harto dificultosa dado que los datos y logs de múltiples clientes
pueden coexistir e incluso encontrarse desperdigados por una gran cantidad de
equipos y centros de datos. También es conveniente articularse un procedimiento
transparente en la notificación y registro de incidencias.
Garantizar la incorruptibilidad de los datos,
su autenticidad y el acompañamiento de los metadatos originales
. Estas
garantías se imponen ante casos de borrado de datos, pérdida, alteración
material o bloqueo de evidencias que pueden resultar básicas para la
investigación de responsabilidades. Especial atención debe prestarse a la
necesidad de concretar contractualmente qué ha de entenderse como “diligencia
debida” a la hora de preservar la integridad, autenticidad, confidencialidad,
indisponibilidad de los datos, y de su posterior retorno. Igualmente,
contractualmente se debe arbitrar medidas que impidan la posible adopción de
cambios unilaterales en los términos del servicio por parte del proveedor, o le
permitan a éste someter a cautividad contractual o funcional al cliente.
Determinar en todo momento la ubicación de los
datos: la cadena de custodia
. Es muy frecuente que la información esté en
tránsito y se mueva por los centros de datos ubicados en diferentes países,
cada uno con sus propios marcos regulatorios en lo referente al tratamiento de
datos y que habrá que tener presentes en la interpretación de las garantías
técnicas, físicas y administrativas establecidas, así como en los controles de
acceso. En definitiva, es esencial comprender como será el movimiento de los
datos en la nube.
Exigir al proveedor la disposición de
certificaciones de seguridad y la realización de auditorías externas
para
subsanar la ausencia de información acerca de cómo se ha implantado la
infraestructura y cómo se están gestionando los datos del cliente.
Confirmar la suscripción por parte del
proveedor de un seguro de responsabilidad civil
capaz de dar la cobertura
necesaria. También se ha de indicar en el contrato la cuantía asegurada.
Diseñar una estrategia de salida, el régimen de
retorno y plan de continuidad del negocio
. Se debe procedimentar todos los
pasos a seguir y es preciso prever la duración de la migración de datos, así
como los posibles costes asociados que se puedan imputar al cambio de
proveedor.
Además, se debe de haber previsto en el contrato
las causas de resolución (tanto las generales como las específicas), concretar
la jurisdicción competente o la designación de arbitraje tecnológico con el fin
de atender los posibles casos de resolución por incumplimiento contractual.

En definitiva, la computación en la nube o Cloud
Computing, supone una nueva manera de prestar servicios tecnológicos de forma
externalizada pero no constituye en sí una nueva tecnología
. Ahora bien, en
un breve periodo de tiempo hemos asistido a un cambio de modelo de baja a alta
externalización, donde los modelos de negocio están cambiando, adaptándose y
evolucionando: de los modelos de licencias y propiedad, a los de aplicaciones y
de suscripción de servicio. El gran cambio conceptual y ontológico que se está
operando en la Cloud Computing estriba en la superación del paradigma de
externalización virtual de los datos, para conceptualizarse en un valor más
trascendente como es el de la liberalización. Estamos, sin lugar a dudas, ante
un caso de exaptación tecnológica.

Deja una respuesta