Topicos Clou

Investigación de tópicos importantes Software “Cloud”

• En qué consisten la nube que tipos de nube existen y que tipos de servicios se pueden ofrecer así como sus beneficios y riesgos para finalmente abordar qué tipo de contratos se deben realizar cuando se realiza la contratación de estos servicios y las cláusulas que deben obligatoriamente contemplar para una adecuada protección jurídica ambas partes.

o MODELOS DE "NUBES"

Existen cuatro formas fundamentales de prestación de los servicios en la nube en función del control y de la gestión de los entornos informáticos, lo cual, como después veremos más adelante, tiene una importancia fundamental a la hora de dotarle de la necesaria cobertura jurídica.

a.) "Nubes públicas" que son gestionadas por empresas prestadoras de estos servicios y en las que se atienden a una pluralidad de clientes (bien el público en general, bien un grupo industrial, etc.) mediante la utilización de servidores, sistemas de almacenamiento y otras infraestructuras que se utilizan de forma compartida.

b.) "Nubes privadas" son aquellas infraestructuras manejadas en favor de un solo cliente el cual suele decidir los usuarios que quedan autorizados a utilizar la infraestructura y que controla las aplicaciones, los servidores, etc. Puede gestionarla la propia organización cliente o un tercero y puede residir tanto en las instalaciones del cliente como fuera de ellas. Este tipo de nubes suelen implantarse para la gestión de sistemas informáticos que necesitan un alto grado de sincronización o que trabajan con bases de datos que involucran un considerable grado de complejidad.

c.) "Nubes comunitarias" son aquellas en las que la infraestructura tecnológica se comparte entre diversas organizaciones que mantienen objetivos similares, por ejemplo, en materia de requisitos de seguridad, o sobre consideraciones relacionadas con el cumplimiento normativo. Puede ser gestionada por las propias organizaciones o por un tercero y puede establecerse en las propias instalaciones de la comunidad o grupo o fuera de ellas.

d.) "Nubes híbridas" son aquellas que combinan elementos definitorios de los modelos de nubes públicas, comunitarias y privadas, por lo que los clientes pueden ser propietarios de unas partes y compartir otras con otros clientes aunque de una manera controlada. En este caso, la infraestructura de nube suele basarse en tecnología estandarizada o propietaria que permite la portabilidad de datos y de aplicaciones. Este tipo de nubes suelen ser las utilizadas en el caso de empresas que necesite una infraestructura tecnológica simple, que no requiera un alto grado de sofisticación pero que a su vez pueda ser escalable en capacidad en un corto espacio de tiempo.

o TIPOS DE SERVICIOS

Existen tres modelos fundamentales que junto a sus combinaciones derivadas describen los tipos de prestación de los servicios que cabe realizar a través de la nube.

Habitualmente, y de manera genérica, se hace referencia a esos tres modelos fundamentales como el “Modelo SPI,” donde “SPI” hace referencia a Software, Plataforma e Infraestructura (as a Service, o como Servicio), respectivamente, y se definen del siguiente modo:

a.) Software como Servicio (SaaS)

El SaaS se caracteriza por la puesta a disposición de un software ofrecido como un servicio bajo demanda que se utiliza de forma compartida con otros usuarios, lo cual implica que un solo software que reside en la infraestructura del proveedor del servicio puede ser utilizado por múltiples organizaciones empresariales o clientes. Su antecesor fue el denominado ASP (Application Service Provider)

b.) Plataforma como Servicio (PaaS)

Se trata de plataformas de desarrollo de software como herramienta de desarrollo a la cual se accede a través de Internet. De esta forma, los desarrolladores pueden construir nuevas aplicaciones sin tener que instalar ninguna herramienta específica en sus propios ordenadores, por lo que se hace posible el acceso a esa herramienta sin necesidad de tener conocimientos especializados. En estas plataformas, la ventaja que se proporciona al cliente, básicamente, consiste en poner a su disposición lenguajes y herramientas de programación que son gestionadas por el prestador de servicios.

c.) Infraestructura como Servicio (IaaS)

Tiene como principal característica el servir como medio para alcanzar capacidad tanto de procesamiento informático como de almacenamiento de información a través de servicios estandarizados prestados a través de Internet de forma que el cliente puede desplegar y ejecutar software de cualquier tipo, ya sean sistemas operativos o software específico.

BENEFICIOS Y RIESGOS

Las ventajas que ofrece la nube son muchas, el hecho de que la empresa –en principio- no va a verse en la necesidad de instalar ningún hardware adicional y, por lo tanto, se requerirá de una inversión inicial menor de la que debería haberse realizado en el pasado para obtener unos rendimientos productivos similares, se producen mayores compatibilidades y capacidades de integración con el resto de aplicaciones informáticas, proporcionando una mayor capacidad de recuperación en caso de desastre y reduciendo los tiempos de inactividad del sistema

Si bien es cierto que la contratación de servicios en la nube entraña ciertos riesgos y límites dentro de la gestión de la empresa, algunos aducen que limita la libertad de gestión de las empresas clientes y las hace excesivamente dependientes de su proveedor de servicios y, a su vez, ello redunda en que se limita tanto la libertad como la creatividad de la empresa cliente para estructurar y organizar de una cierta manera su información.

En la sociedad actual uno de los activos más valioso de una compañía es precisamente su información.

Hay que estar conscientes de los siguientes riesgos fundamentales:

- Disminución de disponibilidad debido a la merma en la interoperabilidad (cautivos de un sólo proveedor): Si un cliente contrata exclusivamente con una solo proveedor de servicios en la nube que le garantiza un servicio completo puede ser complicado transferir datos y documentos entre diferentes sistemas de proveedores de nubes (data portability) o intercambiar información con otras entidades que utilizan un sistema diferente de nubes (interoperabilidad)

- Disminución de la integridad de los sistemas por operar con recursos compartidos: Las infraestructuras de las nubes se realizan a través de sistemas y recursos compartidos. De forma que los datos personales de personas físicas u organizaciones estarán dentro de infraestructuras de seguridad más complicadas.

- Disminución de confidencialidad: Es el riesgo que entraña que los servidores donde se aloje la información de la nube no se encuentren dentro del ámbito territorial de México y por lo tanto no cumplan con la normativa de seguridad que exige nuestro país en materia de protección de datos.

- Disminución de la capacidad de control debido a la complejidad de las dinámicas de la externalización de los servicios: Los proveedores de servicios de nube suelen utilizar a su vez otros proveedores que pueden cambiar a lo largo del contrato, dificultando el control sobre los mismos y pudiendo provocar cambios durante la prestación del servicio.

CONCIENCIACIÓN

El empresario que dados todos los riesgos que se están poniendo de manifiesto considere finalmente recibir servicios a través del modelo cloud deberá asegurarse de que la seguridad de su información en esos entornos debe tratarse de igual manera que el resto de las "cuestiones críticas de seguridad en su cadena de suministro". Por ello, en el cloud computing cobran especial relevancia los potenciales riesgos jurídicos que hacen referencia a la identificación e implementación contractual de las estructuras, procesos y controles organizativos adecuados necesarios para gestionar la seguridad de la información (como un elemento más del proceso productivo) y alcanzar un cumplimiento normativo efectivo. Como punto de partida, las empresas deben ser muy conscientes de que trasladar información, datos y aplicaciones informáticas a un esquema de prestación de servicios en la nube repercute muy directamente en las políticas y en los procedimientos internos de la empresa cliente.

Por tanto, las empresas deberán evaluar qué políticas y procedimientos están dispuestos a modificar y a cambiar de forma íntegra. Algunos ejemplos de las políticas y procedimientos que pueden verse afectados y cuya regulación debe preverse en el clausulado del contrato que regule la prestación de servicios bajo el régimen de cloud computing son los informes de actividad, las políticas de retención de datos, los procedimientos de respuesta a incidencias, la normativa de las auditorías de control interno y externo y las políticas de privacidad de la compañía

No debemos olvidar que el cloud computing implica la presencia de una empresa tercera -el proveedor de servicios en la nube- y que ésta va a tener acceso a la organización empresarial y a la información que se gestiona, lo que va a dar lugar a nuevos retos a la hora de determinar las leyes y los contratos que se aplican a la gestión de la información.

Conviene también recordar que mucha de la legislación relacionada con la informática que las empresas deben cumplir no se redactó pensando en el cloud computing y, a modo de ejemplo, es muy posible que los auditores u otros asesores externos con los que habitualmente colabora la empresa no estén familiarizados con el cloud computing en general

...