La visión jurídica especializada es cada vez más apreciada en los proyectos de cloud computing porque aporta mucho valor, y sin embargo, por ahora se está descuidando en un porcentaje muy alto de los proyectos.
Así puede verse en un reciente estudio de Forrester:
Solo un 28 % de proyectos en la nube se firman con la intervención del departamento o asesores jurídicos de las empresas. Solo en un 36 % de ellos aparecen las cláusulas jurídicas que deberían incluirse para una mejor vida de la relación entre proveedor y cliente.
Ello brinda una oportunidad de negocio para los abogados dedicados a esta materia.
Nuestro objetivo, por lo tanto, es determinar qué implicaciones legales conlleva el paso a la nube, qué preguntas debemos hacernos. Y para resolverlas, proporcionar algunos conceptos básicos y ejemplos relacionados con el cloud computing: qué es nube y qué no y cuáles son los modos más frecuentes de su implantación.
Los motivos del paso a la nube: del ahorro a la seguridad
La nube ya no es un concepto o modelo reservado solo para empresas avanzadas tecnológicamente. De hecho, se ha convertido en una manera estándar de gestión de negocios que se adapta perfectamente a todos los tipos y tamaños de organizaciones, abrumadas por las infraestructuras tecnológicas actuales y en búsqueda de modos de disminuir su complejidad.
- Según Gartner, a finales de 2016, un 89% de las empresas estaban usando algún tipo de computación en la nube. Algunas puede que lo están haciendo sin ser conscientes de ello como ocurre cuando se usan servicios como Dropbox, Box, Gmail, Office 365 o SalesForce, ya están en la nube.
- Y según la encuesta de Forrester citada, mientras que las razones principales para el paso a la nube hace tres años eran el ahorro de dinero y la reducción de complejidad, actualmente la razón más importante es el deseo de mejorar la seguridad y el cumplimiento normativo. Ambos motivos en realidad buscan la transferencia de riesgos (complejidad y seguridad) a la empresa proveedora de servicios, que se halla mejor preparada para afrontar tanto cuestiones de seguridad como de compliance o cumplimiento normativo.
¿Cómo pueden estar seguras las empresas de que esos niveles se mantienen, una vez que sus datos abandonan sus servidores o instalaciones? Porque la normativa y estándares diseñados para proteger las transmisiones electrónicas de datos personales cuando los datos se transferían solo de manera directa entre proveedores y consumidores es la misma que rige para los intermediarios que proveen servicios en la nube.
¿Qué es la nube? Sus seis características esenciales
Cualquiera que sea la motivación de una empresa para pasar a la nube, retrocedamos un momento para revisar qué es el cloud computing o computación en la nube, así como algunas otras infraestructuras informáticas que pueden parecer computación en la nube o «nube» pero no lo son.
Principalmente, hay dos organizaciones que han desarrollado los términos y definiciones relacionadas con la nube:
- el Instituto Nacional de Estándares y Tecnología del Gobierno de los Estados Unidos (National Institute of Standards and Technology , NIST) y
- la Organización Internacional para la Estandarización (International Organization for Standarization, ISO).
Para una mejor comprensión, han desarrollado las seis características esenciales que definen el cloud computing y que, a su vez, representan algunas de sus ventajas clave. Son las siguientes:
- Amplio acceso a la red: la nube ofrece más comodidad puesto que los usuarios pueden acceder a los recursos físicos y virtuales desde cualquier lugar en donde estén trabajando, siempre que haya conexión a internet, pudiendo ser usada por muchos clientes diferentes a la vez y con múltiples dispositivos, tales como móviles, tabletas, portátiles o PCs.
- Servicio medido: el consumo de los servicios cloud puede ser medido, de modo pueda ser monitorizado, controlado, declarado y facturado; muy importante para optimizar y validar el servicio de nube contratado. Los clientes solo pagan por los recursos que utilizan. Desde el punto de vista del cliente, la computación en la nube ofrece a sus usuarios la posibilidad de pasar de un modelo de negocio de baja eficiencia basado en activos de la empresa a otro de alto rendimiento.
- Tenencia múltiple, también llamada «Multitenencia»: los recursos físicos o virtuales se gestionan de modo que múltiples aplicaciones y datos de los usuarios están aislados y no sean accesibles entre ellos. En general, en un contexto de multitenencia, el grupo de usuarios de los servicios de la nube que forman una «tenencia» pertenecen a la misma organización cliente de servicio cloud, aunque puede haber casos en que el grupo de usuarios del servicio cloud comprenda usuarios de otros clientes de servicio cloud diferentes, sobre todo en el caso de desarrollos de nube pública o comunitaria.
- Autoservicio bajo demanda: el cliente de servicio cloud puede acceder a mayor capacidad de computación de manera automática o con una mínima interacción con el proveedor de servicios en la nube. Ello ofrece a los usuarios una reducción de costes, tiempo y esfuerzos con posibilidad de hacer lo que necesitan, cuando lo necesitan, sin necesidad de mayor intervención humana adicional o siendo esta mínima.
- Flexibilidad y escalabilidad: los recursos físicos o virtuales pueden ser ajustados de manera rápida y flexible, en algunos casos de manera automática, para de manera también rápida aumentar o disminuir la capacidad. Significa que los clientes ya no deben preocuparse por los límites de sus recursos y no deberían tampoco preocuparse por contar con planes sobre capacidad.
- Agrupaciones de recursos: los recursos físicos o virtuales de un proveedor de servicios cloud pueden ser compartidos para ser ofrecidos a uno o varios clientes. El cliente solo percibe que el servicio funciona, sin tener control o noticia sobre cómo están siendo proporcionados los recursos o dónde están ubicados, lo que simplifica procesos de los que antes tenía que ocuparse como el mantenimiento, que se transfieren al proveedor. Aunque es así hay que destacar que los usuarios podrían especificar la ubicación en un nivel de detalle mayor (p.e. país, estado o servidor).
Además de las características esenciales, ISO e INET han definido también varios modelos y submodelos de servicio de computación en la nube, así como cuatro «modelos de despliegue».
Modelos de servicio
Los primeros tres modelos de servicio son los modelos básicos en los que se basan los demás.
- Infraestructura como servicio (Infraestructure as a Service, IaaS): se suministra al usuario procesamiento, almacenaje, red, y otros recursos informáticos fundamentales donde puede usar y hacer funcionar de manera arbitraria software, pudiendo incluir sistemas operativos y aplicaciones.
El cliente no gestiona o controla la infraestructura cloud subyacente pero sí tiene control sobre los sistemas operativos, almacenaje, aplicaciones implementadas y, en su caso, control limitado sobre determinados componentes de la red (por ejemplo, cortafuegos del servidor).
El ejemplo más común de IaaS consiste en hacer funcionar máquinas virtuales desde un entorno cloud remoto: el cliente tiene control sobre el suministro rápido y la gestión del entorno operativo que alberga la máquina virtual, mientras que el CSP (Cloud Service Provider) gestiona la infraestructura en la que opera dicha máquina virtual así como servicios de apoyo como red o el almacenamiento.
Asimismo, el CSP (Cloud Service Provider) asegura que los recursos compartidos sean suficientemente amplios como para acomodarse a los nuevos requerimientos de la infraestructura.
- Plataforma como servicio (Platform as a Service, PaaS): el usuario puede implementar en la estructura cloud aplicaciones creadas usando lenguajes de programación y herramientas con servicio técnico por parte del proveedor.
El cliente no gestiona ni controla la infraestructura cloud subyacente (red, servidores, sistemas operativos o almacenamiento), pero tiene control sobre las aplicaciones implementadas y en algunos casos sobre la configuración del entorno donde se aloja la aplicación.
En este caso, el cliente o editor de software (Independent Software Vendor, ISV) crea un programa informático que ejecuta en la nube un conjunto de interfaces de programación de aplicaciones (APIs) especialmente diseñadas para ejecutarse en un entorno cloud. A diferencia de los programas que funcionan en un ordenador local, el programa opera en la nube proporcionando servicios a los usuarios y haciéndose cargo de los procesos de clientes que interactúan con el programa.
- Software como Servicio (Software as a Service, SaaS): permite al cliente la utilización de las aplicaciones del proveedor, funcionando en una infraestructura cloud. Las aplicaciones están accesibles desde los diferentes dispositivos del cliente a través de una sencilla interfaz como pueda ser un navegador web (por ejemplo, en el caso de un correo electrónico con base web). El usuario ni gestiona ni controla la infraestructura cloud subyacente, que incluye redes, servidores, sistemas operativos, almacenamiento o incluso funcionalidades de las aplicaciones individuales, con la posible excepción de los ajustes de configuración de algunas específicas aplicaciones del usuario.Los ejemplos más comunes de soluciones SaaS son los servicios de correo electrónico en la nube, como el de Microsoft (parte de Office 365) o Google. En ambos casos, el usuario puede interactuar con el servicio mail usando un navegador web conectado al servicio en la nube, o puede configurar una aplicación web en el dispositivo del cliente, como Outlook, para interactuar con el servicio o descargar y enviar emails usando la interfaz de la aplicación.
Además hay numerosos submodelos ofrecidos por los CSPs (Cloud Service Provider) y se prevé que sigan apareciendo más en el futuro. Los submodelos adicionales definidos por ISO son los siguientes:
- Comunicación como Servicio (Communication as a Service): incluye comunicaciones en tiempo real, servicios de interacción y de colaboración y puede proporcionarse como PaaS o como SaaS. Un ejemplo de este tipo de servicio es Skype Profesional, parte de Microsoft.
- Computación como Servicio (Compute as a Service, CompaaS): supone un suministro y uso de recursos de procesamiento necesarios para poner en marcha y hacer funcionar un software. Este servicio se entrega como IaaS, y fue de hecho el modelo de servicio cloud original. En los inicios de las ofertas de EC2 de Amazon, los clientes compraban capacidad de procesamiento y se les facturaba usando un modelo basado en el consumo.
- Almacenamiento de datos como Servicio (Data Storage as a Service, DSaaS): consiste en el suministro y uso del almacenamiento de datos y las correspondientes funcionalidades y puede ser parte de IaaS, PaaS o SaaS. Los ejemplos típicos de DSaaS son las ofertas de almacenamiento virtual de datos ofrecidos por Dropbox, Box, Google Drive o OneDrive de Microsoft. En todos ellos, los usuarios pueden conectarse al servicio cloud y usar la nube para guardar archivos.
- Red como Servicio (Network as a Service, NaaS): ISO lo define como «transporte de conectividad y funcionalidades de red relacionadas». Puede ser entregado como IaaS, PaaS o SaaS y puede consistir en una mejora de la red, seguridad y cambios del ancho de banda. Un típico ejemplo de NaaS son los servicios de redes virtuales privadas (VPN) ofrecidos por los proveedores cloud (CSP). El usuario se conecta a la infraestructura de red del proveedor cloud y a la nube ofreciendo para ello túneles para el tráfico de red del cliente que usan el servicio a través de VPN por medio de la nube.
Modelos de despliegue: nube pública, privada, comunitaria o híbrida
Los modelos de despliegue de la nube describen cómo el cloud computing puede ser organizado según el tipo de control y de reparto de los recursos físicos y virtuales. Tal y como han sido definidos por ISO, incluyen:
- Nube pública: los servicios de la nube pública se prestan a cualquier cliente de la nube, siendo los recursos controlados por el proveedor del servicio cloud. Una nube pública generalmente pertenece, es gestionada y operada por una organización empresarial, académica o pública, o alguna combinación de ellas tres, y la infraestructura está en las instalaciones del proveedor de los servicios cloud. La disponibilidad real para algunos clientes de determinados servicios en la nube a veces puede estar sujeta a la regulación nacional. Las nubes públicas están muy extendidas, y si bien el acceso de los clientes a ciertos de los servicios cloud de dicha nube pública podrían tener restricciones, estas son pocas.La nube pública es el modelo de despliegue más extendido. Son ejemplos de ella Amazon AWS, Google G Suite y Microsoft Azure y Office 365.
- Nube privada: en ella los servicios cloud son usados de manera exclusiva por un único cliente cloud y los recursos son asimismo controlados por dicho cliente. Una nube privada generalmente pertenece, es gestionada y operada por la misma organización o por un tercero y puede existir dentro o fuera de las instalaciones del proveedor cloud. El cliente del servicio cloud también puede autorizar el acceso a que terceros sujetos se beneficien de ella. Las nubes privadas buscan establecer unos límites controlados de manera estrecha sobre la nube privada, limitándola a los usuarios de una única organización.Las nubes privadas son menos comunes pero muy populares entre las grandes organizaciones que buscan más control sobre su infraestructura cloud. Por ejemplo, IBM ofrece servicios de nube privada y Microsoft ofrece la solución software Azure Pack, que permite a los clientes crear una interfaz de sus propios sistemas de datos y servicios como servicios en la nube dentro de su organización. OpenStack es otra herramienta popular para la construcción de nubes privadas.
- Nube comunitaria: aquí los servicios cloud son proporcionados de manera exclusiva a un grupo concreto de usuarios de servicio cloud que tienen los mismos requerimientos y que están relacionadoss entre ellos, y en el que los recursos son controlados por al menos uno de los miembros de este grupo o colectivo. Una nube comunitaria generalmente pertenece, es gestionada y operada por una o más de una de las organizaciones del colectivo, o por un tercero, o por una combinación de ambos, y la infraestructura suele estar alojada fuera de las instalaciones del proveedor cloud. En comparación con la apertura de las nubes públicas, las nubes comunitarias limitan la participación a un grupo de usuarios del servicio cloud que tienen intereses comunes; y se distinguen de las nubes privadas porque tienen mayor participación que estas.Las nubes comunitarias son bastante comunes en las organizaciones gubernamentales o de orden público (fuerzas y cuerpos de seguridad) en los que existe la necesidad de compartir datos y recursos entre agentes similares y requisitos de aislar el entorno del acceso público.
- Nube híbrida: en este tipo de nube se usan por lo menos dos tipos diferentes de modelos de despliegue, que son independientes entre ellos pero que tienen en común tecnologías que permiten su interoperabilidad y la portabilidad de los datos y aplicaciones. Una nube híbrida suele pertenecer, gestionarse y operar por la propia organización o por un tercero y puede existir dentro o fuera de la nube del proveedor cloud.La nube híbrida se ha ido haciendo popular a medida que las organizaciones han querido optimizar los recursos de sus centros de datos existentes como servicios de nube privada de modo que interactúen con servicios de nube pública, creando así servicios cloud privados y públicos a la vez que proporciona a sus usuarios una experiencia única conjunta.
Lo que no es cloud computing
Mientras que las definiciones dadas por ISO y NIST abarcan gran variedad de configuraciones informáticas, hay algunos servicios que no pueden ser considerados verdaderos servicios cloud, salvo cuando sean implementados con las seis características citadas anteriormente:
- Centros de datos remotos o servicios IT externalizados: muchos proveedores IT confunden la definición de IT externalizado con el cloud computing , como si se tratara de una nube privada. Pero que alguien gestione tu centro de datos, no significa que el servicio esté alojado en la nube. Así, los verdaderos servicios en la nube necesitan en todo caso un componente de autoservicio, necesitan ser automáticamente escalables según su utilización y que el cliente pague según consumo o según la banda de ancho y almacenaje utilizados.
- Alojamiento de máquina virtual: si bien es cierto que el alojamiento de máquina virtual es una labor esencial en la nube, el simple hecho de que este alojamiento exista en un centro de datos remoto no proporciona todos los beneficios que implica el funcionamiento de la máquina virtual en la nube. Por ejemplo, en la nube el cliente no se tiene que preocupar sobre si el entorno de alojamiento cuenta con recursos suficientes para albergar una única máquina virtual o miles de ellas, porque el proveedor de la nube es capaz de un escalado automático que se ajuste a las necesidades de las máquinas virtuales.
- Sitios o aplicaciones con base web: Muchos de los servicios ofrecidos vía web pueden parecer o asemejarse a los servicios en la nube pero, tras esa apariencia, el sitio en realidad funciona sobre un número fijo de máquinas u otros recursos. Si la demanda de servicios crece, un servicio que no está en la nube no es capaz de un escalado que se ajuste a dicha demanda, con lo que la calidad del servicio disminuye para el total de usuarios. Un verdadero sitio o aplicación en la nube es aquel capaz de utilizar una gran cantidad de recursos y de un escalado que concilie demandas razonables de los usuarios sin que afecte a la calidad del servicio.
- Email basado en Internet: Los servicios email vía web fueron algunos de los primeros servicios cloud de la modalidad Software-as-a-Service ofrecidos por grandes proveedores como Microsoft Office 365 y Google Gmail. Mientras que estas ofertas son verdaderos servicios en la nube, otras soluciones email ofrecidas vía web no presentan las mismas funcionalidades de autoservicio, ni pueden ser multi-tenencia ni ofrecen escalabilidad a medida que más clientes usan el servicio. Además, algunos servicios que no están en la nube se alojan en centros de datos en una única ubicación, por lo que no es posible pasarlos a otra o muestran rendimientos mediocres si se accede a ellos en remoto.
- Computación en modo Cliente-Servidor: Fue popular antes de que apareciera el cloud computing. Por ejemplo, en muchas empresas de distribución cuyos empleados usaban dispositivos para gestionar la relación con los clientes, estos dispositivos interactuaban con servidores ubicados en lugares remotos con los que intercambiaban datos, por ejemplo registros de ventas. Aunque pueda parecer que esos servidores estuvieran en la nube, simplemente estaban en otro lugar, sin ofrecer las características esenciales de la nube como su rápida flexibilidad, escalabilidad y grupos de recursos. Tampoco estaban disponibles otras características como el autoservicio. Así, añadir un nuevo sistema de punto de venta (Point of Sales) requería habitualmente visitas presenciales y extensos manuales de configuración.
Por ello insistimos en que, para que un servicio pueda ser clasificado como un verdadero servicio de cloud computing, debe contar con las seis características esenciales citadas anteriormente.
Pero… ¿dónde está la nube?
Los actuales proveedores de la nube usan un sistema modular de servidores, almacenamiento de datos y componentes de red que pueden ser volcados en centros de datos de cualquier lugar del mundo. Estos módulos están conectados a la red eléctrica para obtener energía y a agua para su refrigeración con lo que pueden ser suministrados de manera automática para añadirse a la nube.
Los principales proveedores generalmente tienen centros de datos repartidos por todo el mundo que prestan servicio a los usuarios locales y actúan de manera subsidiaria en caso de interrupciones en otros centros de datos. En algunos casos, estos centros de datos solo están disponibles para grupos determinados de usuarios en función de requisitos o normativa de residencia nacionales, o se dirigen a las necesidades específicas de una comunidad de clientes, como por ejemplo los usuarios de organismos públicos. En otros casos, el uso de administradores de los centros de datos locales es el modo que tienen los proveedores cloud de que los requerimientos establecidos para los datos de los organismos públicos locales sean controlados por el departamento jurídico del administrador del centro de datos local.
Por último, lo que se debe exigir a un vendedor cloud es suministrar un acceso a sus servicios en la nube transparente, sin interrupciones, seguro y rápido, desde prácticamente cualquier lugar del mundo, y que a la vez cumpla con los requisitos jurídicos de cada lugar y cliente.
Fuente: An Introduction to Cloud Computing for Legal and Compliance Professionals. Douglas Miller, Principal Consultant, Milltech Consulting Inc.