INTERNET

15 Cautelas imprescindibles para el control y minoración de riesgos en la contratación de servicios y soluciones de Cloud Computing

Noticia

La Cloud Computing supone una nueva manera de prestar servicios tecnológicos de forma externalizada, en especial, en el ámbito del almacenamiento y gestión de datos. Las soluciones de Cloud Computing están repletas de importantes ventajas pero también de importantes riesgos tanto tecnológicos como jurídicos que hacen preciso adoptar las cautelas necesarias en la contratación de este tipo de servicios.

expo_EDEIMA20140313_0014_1.jpg

Acaba de celebrarse la cuarta edición de ExpoCloud, el foro por excelencia en España en materia de conocimiento, divulgación y -en cada edición con más protagonismo- de negocio para empresas y profesionales interesados en la tecnología Cloud.

El sector Cloud Computing está en alza tal como reconocía Pedro Prestel, presidente de EuroCloud España, y además, tal como expresaba César Miralles, director general de Red.es, conceptualmente el término “Cloud ha pasado de ser un anglicismo a ocupar portadas en los medios de comunicación y una oportunidad para las empresas en todos los sectores del tejido productivo.

Así en cuanto a cifras de penetración de mercado, pudimos saber que el 58% de las grandes empresas del mundo ya cuentan con soluciones Cloud, mientras que a nivel nacional, en España, el 60% ya las tienen o esperan tenerlas en breve. Otro dato interesante aportado fue el del 41% de las empresas españolas ya está utilizando algún servicio Cloud, frente al 29% del año 2012. Ello supone un aumento considerable y sostenido en la cifra de negocio Cloud.

En efecto, si en el informe anual del ONTSI del 2012 sobre el sector Cloud Computing en España se informaba que la generación de Valor Añadido Bruto (VAB) superaba los 2.730 millones de euros, lo que repercutía en la generación de más de 3.049 millones de euros en términos de Producto Interior Bruto (PIB), esa cifra, a la espera de la publicación de la edición 2013 del mencionado informe, a buen seguro quedará ostensiblemente superada (ver http://www.ontsi.red.es/ontsi/sites/default/files/2-_resumen_ejecutivo_cloud_computing_vf.pdf ).

La Cloud Computing

En el año 1.979, el paleontólogo Stephen Jay Gould y el genetista Richard Lewontin publicaron en la revista Proceedings of the Royal Society of London el artículo titulado “The spandrels of San Marco and the panglossian paradigm: a critique of the adaptationist programme”. Se trata de un artículo que revolucionó el marco teórico de la biología evolucionista al superar el pensamiento adaptacionista neodarwinista, imperante hasta entonces. Su postulado principal radica en reconocer la relevancia del papel que juegan otros factores en la evolución de los organismos, más allá de la importancia que se ha venido y viene atribuyendo a la selección natural.

Años más tarde, en 1.982, continuando el camino abierto con la teoría del “paradigma de Pangloss”, el propio Gould y la paleontóloga, Elisabeth Vrba, propusieron el término “exaptación” con el fin de explicar el iter de adaptaciones biológicas seguido en aquellas estructuras, que siendo útiles para el organismo, en realidad, no fueron seleccionadas evolutivamente para llevar a cabo su función actual.

Hoy en día asistimos a un nuevo escenario en el mundo de la computación: el que se ha dado en llamar “Cloud Computing” (computación en la nube). Concepto atribuible a George Gilder, quien en el 2006 publicó en la revista Wired el artículo “The Information Factories” donde por primera menciona este tipo de arquitectura computacional.

El fenómeno Cloud Computing se comprende ante la posibilidad de externalizar el almacenamiento de la información. Con la Computación en la Nube la información pasa de almacenarse en local a almacenarse en servidores, originando a su vez los centros de datos (datacenters). Esta deslocalización de los datos permite al usuario acceder vía Internet a sus archivos desde cualquier parte del mundo, sin la necesidad de cargar con su ordenador. Esto además posibilita, de manera virtual y escalada, contratar con un proveedor a través de Internet los servicios y soluciones de Cloud Computing que mejor se adapten a sus necesidades: “Infraestructuras como servicios (IaaS)”, Plataformas como Servicios (PaaS)” y “Software como Servicio (SaaS)”.

Tecnológicamente las primeras manifestaciones de soluciones modelo Cloud Computing en el ámbito empresarial hay que encontrarlas en los cajeros automáticos de los bancos (invención de 1.967 y extendida mundialmente a partir de la década de los ochenta), al permitir al usuario interactuar en red con su entidad bancaria desde cualquier terminal habilitado.

La rápida y –hasta hace poco- discreta expansión o “bing bang” del fenómeno Cloud Computing ha supuesto una auténtica revolución que en pocos años a esta parte ha deparado la entrada en escena de nuevos modelos de negocio y de aplicabilidad tecnológica. Un auténtico cambio de paradigma que ha supuesto la proliferación de un cada vez más amplio abanico de servicios que se ofrecen en la Red. Lo cual, lleva a cuestionarnos si la Cloud Computing supone una nueva burbuja tecnológica.

Ventajas y  riesgos

En lo que no hay dudas es en reconocer las importantes ventajas que depara la computación en la nube al aportar en la gestión de la información (datos) y de sus procesos mayores cuotas de: flexibilidad, adaptabilidad, escalabilidad, ubicuidad, deslocalización, movilidad, fiabilidad, agilidad, disponibilidad, productividad, trabajo en red, reducción de costes organizativos y de infraestructura. Además, propicia la mejora continua y la sostenibilidad, la virtualización, la libertad a la hora de fijar la residencia de la empresa, y facilita nuevos modelos de negocio como es el pago por utilización de software, al igual que sirve para propiciar la expansión de la tecnología inalámbrica, así como la firma electrónica, la e-administración, el e-learning, el teletrabajo, etc.

Pero también se han identificado riesgos importantes. Tanto tecnológicos como jurídicos, siendo estos últimos los que ahora nos ocupan. Riesgos que, principalmente, traen su origen en su mocedad tecnológica y en el permanente estado evolutivo en el que se encuentra inmersa la Cloud Computing propiciado por la irrupción de innumerables y novedosos desarrollos y soluciones IT que día a día se van sucediendo. A todo ello hay que sumar las ausencias de un marco jurídico regulatorio ad hoc unívoco y uniforme, así como de criterios específicos asentados a nivel jurisprudencial -e incluso a nivel de vías de resolución extrajudicial- en los conflictos en los que traiga causa.

Riesgos Jurídicos en la contratación de un servicio Cloud Computing

Entre los principales riesgos jurídicos a los que el contratante de un servicio Cloud Computing se enfrenta, destacan los relativos a:

  • La integridad, autenticidad y calidad de su información (datos).
  • La calidad de prestación del servicio conforme a lo dispuesto en el acuerdo de nivel de servicio o SLA´s.
  • La Propiedad Intelectual de sus datos o información.
  • La Privacidad y Confidencialidad de su información.
  • Conflictos de Jurisdicción y Competencia por la ubicación física del hardware, como por la procedencia del software aplicado.
  • Pérdida de control de los procesos ante las posibilidades de subcontratación que puede realizar el prestador de servicios.
  • Los riesgos habituales ligados a las exigencias de Cumplimiento Normativo.
  • Otros posibles riesgos están vinculados al seguimiento de las garantías establecidas, las cuestiones de seguridad y cumplimiento de los estándares en la calidad de servicio contratada, así como del seguimiento de los protocolos de terminación del servicio, la cobertura de la responsabilidad civil, la idoneidad, calidad y actualidad del software utilizado, el soporte previsto durante la prestación del servicio, etc.

Cautelas recomendadas a adoptar en la contratación del servicio de Cloud Computing

Para afrontar estos riesgos será preciso adoptar las cautelas necesarias en la contratación de servicios de Cloud Computing con el fin de que el contratante controle el modo en que sus datos son creados, almacenados, distribuidos y, llegado su momento, eliminados.

Todas estas cuestiones deberán estar definidas y planificadas en el acuerdo de nivel de servicio (SLA) entre contratante y proveedor, para lo cual es clave contar con la estrecha colaboración entre los departamentos técnico-informático y legal del contratante.

En este sentido proponemos empezar supervisando y controlando los siguientes items.

  • Recabar la mayor información posible sobre el prestador del servicio. Tanto a nivel de empresa (domicilio de la empresa y de sus centros de datos o datacenters, información mercantil, societaria y financiera...) como a nivel de cumplimiento normativo e histórico de litigación, auditorías realizadas en materia de calidad en la prestación del servicio, certificaciones de cumplimiento medioambiental, compromisos en RSC y políticas de transparencia, historial de incidencias en la prestación del servicio, ubicación de los servidores subcontratados, software utilizado, etc.
  • Cumplimiento Normativo. El marco normativo que inicialmente debe tenerse en cuenta en España por la prestación de servicios por medio de Cloud Computing radica principalmente en la Ley 34/2002, de 11 de Julio, de servicios de la sociedad de la información y de comercio electrónico, EDL 2002/24122, y en la Ley Orgánica 15/1999 de 13 de diciembre, de protección de datos de carácter personal, EDL 1999/63731.

El prestador del servicio de Cloud Computing deberá cumplir todas las exigencias legales dispuestas en los ámbitos de la propiedad intelectual, la protección de datos personales y el régimen de confidencialidad de la información que se le confía. El marco normativo relativo a la privacidad y la seguridad de la información varía mucho y no sólo depende del tipo de datos que se trate si no además, está supeditado al país concreto que albergue el datacenter. Puede que e incluso dentro de un mismo país, en ocasiones, existan diferentes reglamentaciones, sea a nivel federal, regional y/o local complicando exponencialmente el cumplimiento en la prestación del servicio de Cloud Computing.

  • Delimitar el régimen jurídico en la propiedad de los datos. Es preciso definir de forma clara los derechos sobre los datos y desambiguar cualquier posible cuestión sobre el uso de los mismos por parte del proveedor del servicio Cloud Computuing, o por sus posibles subcontratistas.
  • Aislamiento de los datos. La información del contratante puede que termine compartiendo espacio en el servidor del datacenter con datos de otros clientes del proveedor. En este sentido es preciso garantizar el aislamiento de los datos de los respectivos clientes.
  • Ciframiento de los datos. Se debe exigir al prestador del servicio que garantice que los datos en reposo estarán correctamente aislados y que los procedimientos de cifrado de la información se realizarán correctamente y por personal especialista.
  • Fijar los indicadores o KPI´s de prestación de servicio, sus plazos e hitos de calidad respecto a los niveles contratados de servicio. Con especial énfasis en todo lo relativo a la disponibilidad y la seguridad del servidor y de las comunicaciones.
  • Documentar las políticas de backup y retención de datos, y establecer una política de recuperación de datos en caso de incidencias graves. El caso de hace unos meses del la caída del datacenter de Amazon en Dublín ha puesto de manifiesto la necesidad de establecer unos protocolos de actuación a seguir en estos casos. En dichos protocolos debe contemplarse la viabilidad de una recuperación completa y los plazos a tardar.
  • Replicar los datos. Es conveniente que los datos sean replicados en múltiples datacenters para evitar que sean vulnerables ante un fallo general.
  • Centralizar los registros de actividad (logs) y los datos sobre incidentes. Ello puede además resultar útil para contar con un soporte investigativo en caso de tener que exigir responsabilidades ante los tribunales. La investigación de actividades ilegales y la exigencia de responsabilidades a los proveedores en entornos cloud se presenta como una actividad harto dificultosa dado que los datos y logs de múltiples clientes pueden coexistir e incluso encontrarse desperdigados por una gran cantidad de equipos y centros de datos. También es conveniente articularse un procedimiento transparente en la notificación y registro de incidencias.
  • Garantizar la incorruptibilidad de los datos, su autenticidad y el acompañamiento de los metadatos originales. Estas garantías se imponen ante casos de borrado de datos, pérdida, alteración material o bloqueo de evidencias que pueden resultar básicas para la investigación de responsabilidades. Especial atención debe prestarse a la necesidad de concretar contractualmente qué ha de entenderse como “diligencia debida” a la hora de preservar la integridad, autenticidad, confidencialidad, indisponibilidad de los datos, y de su posterior retorno. Igualmente, contractualmente se debe arbitrar medidas que impidan la posible adopción de cambios unilaterales en los términos del servicio por parte del proveedor, o le permitan a éste someter a cautividad contractual o funcional al cliente.
  • Determinar en todo momento la ubicación de los datos: la cadena de custodia. Es muy frecuente que la información esté en tránsito y se mueva por los centros de datos ubicados en diferentes países, cada uno con sus propios marcos regulatorios en lo referente al tratamiento de datos y que habrá que tener presentes en la interpretación de las garantías técnicas, físicas y administrativas establecidas, así como en los controles de acceso. En definitiva, es esencial comprender como será el movimiento de los datos en la nube.
  • Exigir al proveedor la disposición de certificaciones de seguridad, a ser posible homologadas por una autoridad certificadora de competencia reconocida nacional e internacionalmente en la materia.
  • Requerir, igualmente, la realización de auditorías externas para subsanar la ausencia de información acerca de cómo se ha implantado la infraestructura y cómo se están gestionando los datos del cliente.
  • Confirmar la suscripción por parte del proveedor de un seguro de responsabilidad civil capaz de dar la cobertura necesaria. También se ha de indicar en el contrato la cuantía asegurada.
  • Diseñar una estrategia de salida, el régimen de retorno y plan de continuidad del negocio. Se debe procedimentar todos los pasos a seguir y es preciso prever la duración de la migración de datos, así como los posibles costes asociados que se puedan imputar al cambio de proveedor.
  • Además, se debe de haber previsto en el contrato las causas de resolución (tanto las generales como las específicas), resulta imperativo en estos casos concretar la jurisdicción competente o la designación de arbitraje tecnológico con el fin de atender los posibles casos de resolución por incumplimiento contractual.

En definitiva, la computación en la nube o Cloud Computing, supone una nueva manera de prestar servicios tecnológicos de forma externalizada pero no constituye en sí una nueva tecnología. Ahora bien, en un breve periodo de tiempo hemos asistido a un cambio de modelo de baja a alta externalización, donde los modelos de negocio están cambiando, adaptándose y evolucionando: de los modelos de licencias y propiedad, a los de aplicaciones y de suscripción de servicio.

Es por todo ello que el gran cambio conceptual y ontológico que se está operando en la Cloud Computing estriba en la superación del paradigma de externalización virtual de los datos, para conceptualizarse en un valor más trascendente como es el de la liberalización. Estamos, ciertamente, ante un caso de exaptación tecnológica.