Lo intangible es complicado: no pesa, no se manipula (con las manos, de verdad) o se almacena, no tiene características de un objeto físico, como color, sabor u olor. Y es que en realidad todo el software informático cae en esta categoría de objetos, intangibles. Al final es software no es más que una serie de instrucciones en un documento electrónico, y si vamos más allá, es un conjunto de electrones acomodados de forma particular de acuerdo con las instrucciones. Nada más etéreo y volátil que eso; y nada menos.
Y con esto o a su pesar, tenemos una sociedad que cada vez más se apoya en estos bienes intangibles y toda una industria que vive de ello. Sin embargo la complejidad de determinar valor y existencia de los servicios informáticos entregados a partir del software no termina ahí, tenemos además el temible termino «Nube», que representa no sólo lo intangible sino lo inasible, lo que está en un espacio indeterminado, pero que podemos acceder ubicuamente. Internet es en sí una nube de información, datos y servicios.
La Nube no es un ente nuevo, en el artículo de 2009 “Historia del cómputo en la Nube” publicado en Computer Weekly[i], se atribuye a John McCarthy el concepto inicial, quien propuso la idea del cómputo entregado como un servicio, similar a la electricidad o el agua. Desde los años sesenta del siglo XX se vino manejando la idea de adquirir servicios de cómputo en contraposición con la entrega de bienes. El término moderno de “la Nube” aparece por primera vez en un documento interno de Compaq en 1996[ii]. En los años 90 el vocablo y concepto comienzan a adquirir su significado actual, con la introducción del servicio de Salesforce.com en 1999 y los servicios web de Amazon en 2002. En 2006 Amazon lanza la Nube de Cómputo Elástico. Hacia 2009 se alcanza su forma actual con el lanzamiento de aplicaciones accesibles mediante en navegador web como Google Apps.
El modelo de servicios
Los optimistas de la Nube, y aquellos que no lo son tanto, dicen que el cómputo derivará gradualmente en la adquisición de plataformas, infraestructura y software en el modelo de servicios. Se hace el símil con la electricidad o la telefonía, hoy en día nadie piensa en comprar una central generadora de electricidad para tener electricidad o instalar una central telefónica para obtener la comunicación por este medio. De la misma manera puede ocurrir que cada vez sea más extraño instalar un servicio propio de correo electrónico o comprar un servidor y darle acceso a Internet.
Pensemos, para hacer más concreto el concepto de servicios, en hacer una analogía con el transporte mediante un automóvil:
- Comprar un automóvil es similar al modelo tradicional de adquisición de bienes de cómputo. Soy dueño de la solución (el auto) y obtengo el beneficio directamente (la transportación), sin embargo todos los costos asociados al mantenimiento o reparaciones corren a mi cargo, además de que corro el riesgo de una falla mayor que me deje sin el beneficio. Adicionalmente la obsolescencia también es un costo que debo asumir, con la consiguiente inversión en un nuevo sistema (automóvil) en el futuro.
- Rentar es otra posibilidad para obtener la transportación. Esto equivaldría al modelo de arrendamiento, que no es “la Nube” de la que hablamos, ya que a pesar de que la actualización del medio y reparaciones por fallas mayores o menores corren a cargo del proveedor, sigo teniendo costos relativos a la operación del transporte: gasolina, limpieza, chofer. En el medio informático equivale a soluciones hospedadas, donde la responsabilidad del mantenimiento del aplicativo es a cargo del cliente, así como la configuración y seguridad. Además, los precios en este modelo, dependen del plazo que pactemos con el proveedor, ya que la inversión y mantenimiento se prorratean en el tiempo de contrato, por lo cual siempre existe la posibilidad de ser el propietario de la solución al término del plazo acordado.
- La tercera forma de tener acceso a la transportación es contratar un servicio de taxi, donde a partir de una tarifa por uso, medida en tiempo, distancia o usuarios, se accede al beneficio esperado que es llegar del punto A al B. Con la contratación del servicio el cliente no es responsable de mantenimiento o conducción del vehículo, limpieza, o tiene compromiso de usar el taxi por tiempo determinado, sino sólo para cubrir el trayecto para el que se ha hecho el acuerdo. Si de manera previa a hacer uso del servicio el vehículo no cumple las condiciones que requiere el cliente para recibir el servicio, puede optar por otro proveedor.
La definición de Nube es escurridiza, pero los puntos de convergencia son la escalabilidad, elasticidad y el pago del servicio por unidad utilizada. Un servicio en la nube debe tener reglas claras de uso y expectativas de pago precisas dados los factores de uso.
¿Se puede comprar nube?
Los modelos tradicionales de adquisición en el gobierno (y con esto me refiero a los entes públicos de los tres niveles y los tres poderes) pueden parecer un obstáculo insalvable al pensar en comprar un servicio en la nube, dado que cuando se compra software o una solución que involucre también el hardware, los testigos de adquisición son generalmente cajas y números de licencia, un servidor y su número serial. En muchas ocasiones he escuchado que no se pueden comprar servicios en la nube por esta razón, ya que no hay soporte físico de la inversión (además de dudas en otros ámbitos de los que hablaremos más adelante). Para resolver estas afirmaciones es preciso preguntar a quienes desean adquirir infraestructura, plataformas o software como servicios lo siguiente: ¿cuándo contratan el servicio de telefonía o electricidad, cuál es el testigo de la compra?
Para no hacer esperar una respuesta, les diré que el gobierno y cualquier otro ente público o privado, suele contratar servicios como esos, donde por una tarifa se accede al uso o consumo sin obtener un producto.
El cambio del modelo conceptual de lo que se pretende a través de un bien de cómputo (que no es el bien por sí mismo, sino el servicio) ha resultado difícil, sin mencionar que en muchas ocasiones las soluciones en la Nube requieren el pago por adelantado del periodo, ya sea mes, año o algún otro plazo determinado. Recordemos entonces, de la misma manera, que cualquier gobierno siempre ha adquirido suscripciones, a diarios, revistas, publicaciones académicas. También se adquieren membresías, que a través de un pago dan derecho a la pertenencia a alguna asociación u organismo no gubernamental.
Acerca de la cuestión de la elasticidad, beneficio por el cual la Nube es deseable, se puede abordar a través de contratos con mínimos y máximos.
Pero más allá de la opinión y ventajas que el autor ve en la Nube, la normatividad de las Tecnologías de la Información y Comunicaciones, en el caso específico de México, indica en el “Acuerdo que tiene por objeto emitir las políticas y disposiciones para la Estrategia Digital Nacional [..]”[iii] en su Artículo 5, que “el PETIC (Plan Estratégico de Tecnologías de la Información y Comunicaciones) se integrará con iniciativas y proyectos de TIC que determinen las instituciones [..] para lo cual atenderán lo siguiente:
- Favorecer el uso del cómputo en la nube para el aprovechamiento de la economía de escala, eficiencia en la gestión gubernamental y estandarización de las TIC, teniendo en cuenta la seguridad de la información”.
Dados los montos de inversión requeridos para comprar soluciones completas y la incertidumbre en el uso o crecimiento de los proyectos, las soluciones en la Nube representan una posibilidad de racionalidad en el uso de los recursos públicos.
Protección de datos y privacidad
Otra inquietud, o tal vez limitante que algunos servidores públicos ven en la nube es la cuestión de los datos personales. Independientemente del debate posible acerca de qué es o no un dato personal[iv], por ello resulta más útil referirnos a “sistema de datos personales” que es un “conjunto ordenado de datos personales que estén en posesión de un sujeto obligado”[v].
Del análisis de los diversos ordenamientos que se refieren a la protección de datos o datos personales no se desprende alguna limitante o prohibición expresa para el uso de los sistemas en la Nube. El Manual Administrativo de Aplicación General en materia de Tecnologías de la Información y Comunicaciones y de Seguridad de la Información (MAAGTIC-SI), que es la normatividad para la eficiencia operativa gubernamental de las operaciones del área de Tecnologías de la Información y Comunicación emitido por la Secretaría de Función Pública, tiene todo un apartado respecto al tema de la seguridad de la informacioón en su numeral 5.2, alineado con la norma ISO 27000, donde los puntos más relevantes en la gestión de un sistema informático para proteger los datos son:
- Implicación de la Dirección.
- Alcance del SGSI (Sistema de Gestión de Seguridad de la Información) y política de seguridad.
- Inventario de todos los activos de información.
- Metodología de evaluación del riesgo.
- Identificación de amenazas, vulnerabilidades e impactos.
- Análisis y evaluación de riesgos.
- Selección de controles para el tratamiento de riesgos.
- Aprobación por parte de la dirección del riesgo residual.
- Declaración de aplicabilidad.
- Plan de tratamiento de riesgos.
- Implementación de controles, documentación de políticas, procedimientos e instrucciones de trabajo.
- Definición de un método de medida de la eficacia de los controles y puesta en marcha del mismo.
- Formación y concienciación en lo relativo a seguridad de la información a todo el personal.
- Monitorización constante y registro de todas las incidencias.
- Realización de auditorías internas.
- Evaluación de riesgos periódica, revisión del nivel de riesgo residual, del propio SGSI y de su alcance.
- Mejora continua del SGSI.
Donde no hay restriccion alguna para el uso de sistemas en la Nube. De la misma manera, al hablar de sistemas de datos personales, la legislación federal de México indica:
Artículo 20. Los sujetos obligados serán responsables de los datos personales y, en relación con éstos, deberán:
- Adoptar los procedimientos adecuados para recibir y responder las solicitudes de acceso y corrección de datos, así como capacitar a los servidores públicos y dar a conocer información sobre sus políticas en relación con la protección de tales datos, de conformidad con los lineamientos que al respecto establezca el Instituto o las instancias equivalentes previstas en el Artículo 61;
- Tratar datos personales sólo cuando éstos sean adecuados, pertinentes y no excesivos en relación con los propósitos para los cuales se hayan obtenido;
- Adoptar las medidas necesarias que garanticen la seguridad de los datos personales y eviten su
alteración, pérdida, transmisión y acceso no autorizado.
Artículo 21. Los sujetos obligados no podrán difundir, distribuir o comercializar los datos personales contenidos en los sistemas de información, desarrollados en el ejercicio de sus funciones, salvo que haya mediado el consentimiento expreso, por escrito o por un medio de autenticación similar, de los individuos a que haga referencia la información.
De acuerdo con la legislación entonces no hay restricción de usar la nube para guardar o procesar sistemas de datos personales ni se menciona en apartado alguno que los datos de mexicanos no deben salir del país (una de las caracaterísticas de los sistemas en la nube es que los servidores donde se hospedan y ejecutan los servicios están en algún servidor no dteerminado dentro de un centro de datos o replicado varias veces en ellos alrededor del mundo).
Digamos entonces que la Nube, a pesar de las objeciones que encuentra para su adquisición y uso, es un medio legal y correcto, e incluso recomendado por las mismas autoridades rectoras de las TIC en el gobierno mexicano.
Mi recomendación personal es verificar las certificaciones de seguridad que el servicio en la Nube que piense contratar sean satisfactorias a la luz de los requerimientos de seguridad de datos, revisar el historial de operación del servicio en cuestión y con estos elementos bajo control, adelante, proceda a definir la contratación de un servicio bajo suscripción. Su teléfono inteligente, su tableta y su televisor saben que la nube está más cerca de lo que usted cree.
[i] Mohamed, Arif. “A history of cloud computing”, publicado en Computer Weekly. Disponible en http://www.computerweekly.com/feature/A-history-of-cloud-computing consultado el 16 de mayo de 2015.
[ii] Esto según la Wikipedia en http://en.wikipedia.org/wiki/Cloud_computing consultado el 15 de mayo de 2015.
[iii] Acuerdo publicado en el Diario Oficial de la Federación el 8 de mayo de 2014. Disponible en http://dof.gob.mx/nota_detalle.php?codigo=5343881&fecha=08/05/2014 consultado el 14 de mayo de 2015.
[iv] La Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental define como “cualquier información concerniente a una persona física identificada o identificable”, por lo cual si un dato como correo electrónico, características físicas, raciales o de sus bienes, no está en un sistema de datos que relacione los atributos con una persona, no se puede entender como un dato personal. Para más explicación, si existe un auto, de un color determinado o de cierto año, conocer esto no involucra un dato personal, pero si existe un sistema de datos que relacione a este automóvil con una persona identificable, podemos hablar entonces de datos personales. Lo mismo aplica para cualquier objeto, comportamiento o característica.
[v] Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, Artículo 3 numeral X.
Hola Carlos, muy buen artículo.
Pregunta ¿Qué hay de la nube privada, pública e híbrida?
Abrazo
En todos los casos de nube se aplican las regulaciones. No hay nada que limite la contratación de nubes fuera del territorio mexicano. Muchas veces se dan como argumentos la Ley de Protección de Datos Personales y/o la Ley de Acceso a la Información. Hay que tener claro que el sacar datos del territorio, o confiárselos (es un decir)a un proveedor, no exime de la figura de resguardatario de los datos que se contempla en la ley y debe recaer sobre el servidor público que de todas maneras, con nube o sin nube, ostenta la figura legal por ser quien tiene bajo su responsabilidad la seguridad de los datos. De ahí mi recomendación de las certificaciones de seguridad del proveedor (que en muchos casos son más y mejores que las de casi cualquier centro de datos del gobierno).