Pasar al contenido principal

ES / EN

Leyes del Cloud Computing: ¿está la región preparada para subirse a la nube?
Martes, Junio 14, 2011 - 20:34

Una progresiva migración de empresas hacia distintos sistemas de computación en la nube se ha dado en los últimos años, pero más allá de los beneficios económicos y logísticos existen una serie de interrogantes que tienen relación con protección de datos, distintas leyes por países y una ignorancia general en torno a los aspectos técnicos del servicio.

 

Santiago. Los disquetes agrupan polvo en un olvidado cajón mientras CDs y DVDs van rápidamente camino a transformarse en objetos de culto, anticuados y poco funcionales en cualquier caso que no sea el de un coleccionista. La gran movilidad y capacidad de discos duros portátiles y pendrives con memorias flash cambiaron la forma en que la gente se relaciona con el trabajo y el entretenimiento. ¿Para qué cargar un gran estuche con discos si todo alcanza en una milimétrica memoria portátil?

Pero incluso eso ya está al borde de convertirse en parte del pasado, mientras una casi mágica y ubicua conglomeración de información flota por el aire, dando el poder de acceder a cualquier dato en cualquier lugar, sin necesidad de cargar siquiera con aquellos ínfimos aparatos: la "nube", el máximo exponente del abandono de los formatos de almacenamiento físicos; una tecnología que parece sacada de la ciencia ficción pero que se encuentra ya presente en el diario vivir de muchas personas y, a un ritmo cada vez mayor, de empresas.

Con la arremetida de cada vez más servicios de éste tipo: ERPs, correo electrónico, ofimática y CRMs, entre otros; y la cada vez más numerosa migración de compañías -de cualquier tipo y tamaño- a las nubes de información, hay varias preguntas que es necesario realizar en tanto su importancia puede ser fundamental para afirmar la seguridad y viabilidad de los datos de una empresa. ¿En qué país están alojados los datos y bajo qué legislación se rigen?, ¿qué nivel de protección existe contra catástrofes y quién responde si se extravía información?, ¿se pueden realizar auditorías estatales o privadas?

Esto toma especial relevancia si se considera que la preocupación gubernamental por estos temas es apenas reciente, con una Unión Europea que sólo hace un par de semanas comenzó una discusión para redefinir la legislación en torno a la protección de los datos, dado que en su severa ley el Cloud Computing (CC) gana prácticamente el estatus de ilegal.

En Latinoamérica, ¿están los países preparados para certificar seguridad y operatividad en un entorno de computación cloud completo?

Primero es necesario aclarar algunos puntos, puesto que aún tomando en cuenta la popularidad que ha ganado el término en los últimos años, mucha confusión existe en torno a qué es realmente CC.

Según el National Institute of Standards and Technology (NIST), de Estados Unidos, el cloud computing es un modelo para posibilitar un acceso conveniente, y rápido a una fuente de recursos computacionales (como redes, servidores, almacenamiento, aplicaciones, servicios) que pueden ser provisionados con mínimos esfuerzos o necesidad de que el proveedor del servicio intervenga.

Además de eso es necesario dividir la Computación en la Nube (CN) en sus capas de servicio, que equivalen a Software como Servicio, Plataforma como Servicio, e Infraestructura como Servicio (SaaS, PaaS Iaas, respectivamente, por sus siglas en inglés); y en sus modelos operativos (Nube Privada, nube comunitaria, nube pública y nube híbrida).

Las tipologías y combinaciones -por lo tanto, las ofertas- son muchas y ofrecidas por clientes muy distintos. Lo que hay que tener claro es que todas dan la facilidad de acceder rápidamente a una serie de servicios para los que no es necesario comprar grandes servidores, ni invertir en una plataforma de IT muy elevada: las operaciones se realizan en servidores externos, quizás a muchos kilómetros de distancia, ejecutándose a través de internet las interacciones entre un servidor y un usuario.

Esto, a primera vista puede parecer muy conveniente: se ahorran fuertes inversiones en infraestructura y mantenimiento, se pierde el riesgo de que la información se dañe por desperfectos (ya que siempre estará en la nube); y permite acceder desde cualquier lugar a las aplicaciones y servicios, incluso desde teléfonos móviles.

Es por esto que cada vez más empresas están cambiando sus operaciones hacia el cloud computing. A modo de ejemplo, en el estudio Global Cloud Computing Adoption, Attitudes and Approaches, encuesta de AMD a más de 1.500 empresas tanto públicas como privadas en torno a ésta tecnología, 70% de los encuestados señalaron que están ya usando o por lo menos investigando sobre CC para aplicaciones alojadas en forma remota o para almacenar datos.

Y a nivel de beneficios las cifras no se quedan cortas, el 60% de los que ya usan CN afirmó que ha apreciado resultados positivos a nivel financiero. Tal es el nivel de confianza, que el 63% estima que almacenan un valor equivalente a más de US$250.000 de sus datos en la nube, cifra que en compañías más grandes puede incluso multiplicarse.

Por otro lado IDC, la firma especializada en estudios de mercado relacionados con IT y telecomunicaciones, estima que la inversión en cloud computing llegará a US$44.000 millones el 2013, tres veces más que lo que existía para el año 2009.

Frente a esta gran cantidad de dinero en juego puede no ser prudente adoptar sin más preocupaciones el nuevo y popular modelo, y es en las regulaciones legales de cada país donde más conflictos pueden encontrarse a la hora de comprometer los datos.

La nube enjaulada. En Francia se realizó hace pocas semanas un encuentro conocido como eG8, destinado a discutir con respecto a las regulaciones y obligaciones relacionadas con internet. Algunos de los más importantes exponentes de la tecnología se hicieron parte, contando con la presencia de Mark Zuckerberg, Yochai Benkler, Jeff Jarvis, y Larry Lessig, entre otros.  

Uno de los puntos más importantes en la conferencia tuvo que ver con las regulaciones necesarias para hacer del cloud computing una plataforma segura y armónica con relación a los derechos de propiedad intelectual y otros. Y ya en esas discusiones pudo verse cómo aún se está muy lejos de encontrar una fórmula perfecta. “Puedes hacer internet segura para Justien Bieber y Lady Gaga, o puedes hacerla segura para la siguiente gran innovación tipo Skype”, dijo el académico Yochai Benkler. “Pero tienes que escoger una de las dos”, sentenció.

“La Unión Europea está revisando toda su legislación sobre protección de datos, porque requiere una actualización. Si Europa está realizando encuentros de ese tipo significa que tan atrás no estamos”, comenta Rodrigo Rojas, abogado experto en TI y asesor de la Asociacion Chilena de Tecnologías de la Información (ACTI). “En el mundo tan veloz en que vivimos la legislación siempre va detrás de la realidad. En temas de seguridad, actualmente la única disposición que se aplica es la que permite que un juez le ordene a una persona que tiene datos, dar acceso a ellos. Es lo mismo que hace la policía cuando llega a una casa e incauta un computador: es por orden de un juez”, agrega.

Según Rojas, internet no tiene domicilio, los datos viajan por el mundo a grandes velocidades y un día pueden estar en un servidor y al otro día en otro. “Entonces, bajo qué reglas me rijo yo. Si tengo un contrato con un proveedor de CC en un país, ese es el proveedor que me tiene que responder a mi”.

Gabriela Franchetto, Google Enterprise Sales Manager para América Latina, encargada del sistema de Google Apps, una plataforma de servicios y herramientas en la nube para empresas, concuerda con este planteamiento. “Los datos no son de Google, los datos son de las empresas. Ellas son las dueñas de los datos y se responsabilizan de la información. Google se pone a disposición de ustedes, pero los datos no son nuestros, sólo la infraestructura que los aloja”, dice la ejecutiva.

Este modelo implica que si una información es requerida, por ejemplo, por un tribunal para realizar algún tipo de auditoría o proceso similar, el dueño de la empresa que contrató los servicios con el proveedor de CC es el responsable de entregarlos. En otras palabras, la nube sólo responde a quién solicitó alojarse en ella.

Pero hay que recordar que la nube no es tan etérea como intenta aparentar: toda la información está finalmente repartida por el mundo en distintos servidores físicos, que van alojando de manera casi anónima los datos y procesos de las personas que contratan el servicio. ¿Qué pasaría si esos servidores fueran destruidos por algún tipo de accidente o catástrofe?

Según cuenta Franchetto, esa preocupación ya es parte del pasado. “Nosotros utilizamos una tecnología llamada multitenancy, que lo que hace finalmente es replicar todos los pedazos de la información en distintos servidores por todo el mundo. Entonces si, por ejemplo, hubiera un terremoto o un tsunami y los servidores alojados en algún lugar se vieran dañados, la información rápidamente se recuperaría con los otros respaldos que existen”.

Sin embargo, la continudad del negocio ante eventuales catástrofes no es la única preocupación. Según explica Joel A. Gómez, abogado mexicano experto en derecho informático, las regulaciones legales aún no están totalmente definidas, por lo tanto la mejor opción es cuidar que todos los aspectos que puedan comprometer a una empresa estén detallados claramente en el contrato que se realice con el prestador del servicio.

Según explica Gómez en un documento, algunas de las preocupaciones más importantes a la hora de contratar un sistema de Cloud Computing son:

Ámbito de aplicación de procesamiento de datos. ¿Qué tipo de datos pueden ser procesados?, ¿para qué propósitos?

Sub-contrantes (outsourcing en la nube). ¿Bajo qué condiciones el proveedor puede subcontratar partes del servicio de computación en nube?

Transferencias. ¿Cómo operará la transferencia de la información en el plano físico, electrónico o en ambos? ¿Estará su proveedor actual obligado a colaborar en el proceso de transferencia con otro proveedor?

Acuerdo de Niveles de Servicio(SLA). Pactar obligaciones relacionadas con la disponibilidad y recuperación de información.

Seguridad. ¿Está la información encriptada?, ¿Libre de virus/spyware? ¿Es segura la transferencia o sólo el almacenamiento? ¿Tiene su proveedor un Plan de Recuperación en Caso de Desastre (DRP) o BCP?

Separación de datos.¿Están los datos separados de los de otros clientes? Eventualmente cierto tipo de empresas podrían estar interesadas en que sus datos o información este segmentada o separada del resto de los clientes, sobre todo si el proveedor pudiera brindarle servicios a empresas competidoras.

De la misma forma, Macarena Pereyra Rozas, abogada de la Universidad Católica Argentina y especialista en Derecho en Alta Tecnología y Asesoramiento Empresarial, concuerda en un artículo relacionado, que actualmente y bajo las leyes existentes, lo más importante es revisar el contrato en profundidad. “Son fundamentales estas cláusulas dado que, si no se prevén, dependerá de la legislación que, en definitiva, resulte aplicable a fin de determinar la extensión de responsabilidad de usuario y proveedor”, agregando que “la previsión de antemano de estas cuestiones permite al usuario conocer la extensión de la reparación ante un evento que le provoque un daño. De este modo, el usuario podrá valorar qué delega en este modelo y qué cuestiones prefiere reservarse, pudiendo tomar una decisión responsable y acorde a un buen hombre de negocios.”

De todas formas, los avances legislativos para normar de forma completa las relaciones comerciales a nivel de Cloud Computing ya están avanzando en Latinoamérica. En Colombia se viene discutiendo desde hace un mes la polémica "Ley Lleras", que regulará una serie de aspectos relacionados con la información, y que podría otorgarle a los proveedores de internet un fuerte control sobre los datos, algo que podría afectar positiva o negativamente al CC dependiendo de su aplicación. En Chile se está comenzando el desarrollo de un proyecto de ley de protección de datos que planea normar los aspectos concernientes a esta materia. Argentina, mientras tanto, tiene algunas normas regulatorias al respecto, como la Ley 25326 de Protección de los Datos Personales, pero los diversos actores relacionados al tema concuerdan en que la actualización de la misma es urgente, puesto que presenta falencias similares a las encontradas en el resto de la región.

Lo que sí está claro, es que de una forma u otra, las empresas tanto latinoamericanas como internacionales, se están subiendo aceleradamente al avión de la Computación en la Nube, y que para evitar mayores catástrofes la mejor opción, mientras no existan reglas claras, será leer en detalle la letra pequeña del contrato.