Nube informática

Page

La nube informática es un modelo para permitir, desde cualquier lugar y a través de la red, el acceso a un conjunto compartido de recursos informáticos configurables (por ejemplo, redes, servidores, almacenamiento, aplicaciones y servicios) con un esfuerzo mínimo de gestión así como una mínima interacción con el proveedor del servicio.

Existen tres modelos de servicio que un proveedor de nube informática podría ofertar (Morocho, 2013):

  1. Software como servicio (Saas), permite usar aplicaciones previamente instaladas.
  2. Plataforma como servicio (PaaS), permite la creación de aplicaciones con herramientas e idiomas previamente definidos por el proveedor.
  3. Infraestructura como servicio (IaaS), permite la instalación de cualquier tipo de software en un hardware remoto, también se lo conoce como máquina virtual.

El surgimiento del modelo de software como servicio es una tendencia a nivel mundial por considerarse una solución flexible, escalable, de bajo costo y fácil adopción (Jara, 2012; Zuñiga, 2014:62). Ecuador no es la excepción, en el sector de la pequeña y mediana empresa, por ejemplo, cerca del 40% hace uso de la nube informática (Armijos, 2013) y las páginas más visitadas por los usuarios finales, como Facebook, usualmente incorporan este tipo de servicios.

Este modelo de negocio ha despertado la preocupación de organizaciones comprometidas con la privacidad, ya que los operadores de las nubes podrían usar información privada de sus clientes sin su consentimiento (Kurbalija, 2014), adicionalmente un potencial atacante no tendría que infiltrarse en varios computadores para obtener la información de un grupo de personas, sino sólo en unas pocas (Ramos, 2014). La tendencia al monopolio en el mercado (Burch, 2014b) podría potencializar el número de posibles víctimas de estos ataques, como se ha evidenciado en casos recientes.

Según el fundador de la Free Software Foundation, el SaaS “equivale a ejecutar software que contiene código espía y una puerta trasera universal. Otorga al administrador del servidor un poder injusto sobre los usuarios” (Stallman, 2010). No obstante, es el segundo modelo de negocio más utilizado en el sector del software libre en Ecuador (Delgado, 2014), esto puede ser un claro indicador de su preponderancia de este modelo de negocio, considerando que entre los desarrolladores de software libre se tiene una mayor conciencia sobre los temas de privacidad (Appelbaum, 2014a) y a pesar de ello este modelo persiste como uno de los más importantes.

La adopción masiva de servicios en nube podría suponer que al haber una pérdida de conexión se comprometan una mayor cantidad de servicios, como redacción de texto o incluso cálculo simplificado (Kurbalija, 2014). La problemática de interoperabilidad entre nubes se volverá crítica, podría ser necesaria la creación de un nuevo estándar para mantener una correcta funcionalidad, así como para un mayor nivel de seguridad (Kurbalija, 2014; Fox et col., 2009).

Las revelaciones de Snowden han mitigado la migración a servicios en la nube, entre aquellas empresas que todavía no han adoptado este servicio (NTT Communications, 2014), la razón es que no existe suficiente confianza sobre la privacidad de los usuarios y la seguridad de la información, esta es también la principal preocupación en Ecuador (Infantino, 2014). Según el ex-analista de la CIA, una forma en que los proveedores podrían recuperar a sus clientes es ofrecer sistemas en los cuales estos no puedan obtener acceso alguno a la información (Meyer, 2014). Este tipo de servicio se daría en una nube privada (Iaas).

A fin de aumentar el nivel de seguridad en la nube se debería también asegurar el cifrado en la transmisión de datos, entre otras características (Ramos, 2014; Morocho, 2013). La ubicación de los servidores también es una característica importante para los usuarios. En el sector privado, apenas un 5% de quienes toman las decisiones sobre TIC piensa que la ubicación de los servidores es intrascendente, de hecho entre el 92 – 97% refiere preferir que estos se encuentren en su propia región (NTT Communications, 2014). Esto también es cierto para los gobiernos, dado que la mayoría de granjas de servidores se encuentran en Estados Unidos (Kurbalija, 2014).

En noviembre de 2013, el en ese entonces Secretario Nacional de la Administración Pública, Cristian Castillo, declaró que “la premisa detrás de la política pública [ecuatoriana] siempre ha sido garantizar la soberanía tecnológica” (“Una Minga por la Libertad Tecnológica”, 2013), el reglamento emitido por la misma institución prohíbe a los servidores públicos el uso de nubes ubicadas fuera del territorio nacional.20

Si bien es cierto que la seguridad informática es la principal preocupación, también debe considerarse la importancia de otras áreas como la gestión de la identidad, la gestión del control de acceso, la seguridad forense, la virtualización, la computación distribuida, entre otras (Salazar, 2013).

El 16 de marzo de 2010, se presentó ante la Asamblea Nacional el proyecto de “Ley de Protección a la Intimidad y a los Datos personales”, el Legislativo resolvió su archivo por considerar que varias de las normas propuestas ya constan en la Constitución y en la legislación secundaria existente (Ley Orgánica de Garantías Jurisdiccionales y Control Constitucional, Ley de Transparencia y Acceso a la Información Pública), esto a pesar de que la propia constitución señala que debe existir una ley de protección a datos privados en registros públicos (“Asamblea Nacional archiva el proyecto de Ley de Protección a la Intimidad y a los Datos Personales”, 2010).

Debido a la falta de una regulación específica para la Nube, los contratos o acuerdos de Nivel de Servicio representan el principal elemento de cumplimiento. Salazar (2013:108) propone una serie de principios para ser incluidos en un nuevo marco regulatorio específico para Ecuador, que abarque la protección de datos en la Nube:

Aprobación: Considerar si el tratamiento de datos necesita el consentimiento del titular, responsable de los datos, interesado de los datos, etc.

Delimitación de responsabilidades: Esclarecer cuáles son las responsabilidades específicas de las partes en un servicio de Cloud Computing.

Finalidad: Cual será la finalidad determinada para utilizar la plataforma de Cloud Computing, y si debe o no extenderse hacia otra finalidad.

Seguridad: Qué medidas técnicas y organizativas deben adoptarse para el tratamiento de datos en un entorno de Cloud. Si es posible establecerlo como un requisito para los proveedores de la Nube.

Transferencias Internacionales: Cómo debería realizarse el flujo transfronterizo de los datos personales y los niveles de protección que deben presentar los involucrados. Qué se reconoce por un adecuado nivel de protección.

Intervención de terceras partes que afecten el tratamiento de los datos: Qué requisitos deben cumplir las terceras partes cuando intervengan en un ambiente de Nube. Comunicación al cliente de quienes intervienen en el tratamiento de datos en la Nube.

Comunicación: Comunicación a los clientes acerca de todos los cambios y modificaciones importantes que se den en la plataforma de la Nube, que afecten el servicio, siendo claros y transparentes.

Indemnizaciones, garantías y sanciones: Cómo retribuyen los proveedores de servicios de la Nube al cliente en el caso de provocarle daños irreparables en el tratamiento de los datos.

Propiedad intelectual: Cómo se interpreta la propiedad intelectual de los datos colocados en una infraestructura de Nube. Qué sanciones se colocarían al mal uso o abuso de contenido con derechos de autor.

La responsabilidad de desarrollar este marco regulatorio, según la normativa actual, recaería sobre la Dirección de Regulación, Integración y Control de la Subsecretaría de Informática de la Secretaría Nacional de Administración Pública.21

Notas al pie

20 Se prohíbe expresamente a las entidades de la Administración Pública la contratación, acceso y uso de servicios de correo electrónico en la Internet (Nube), para uso institucional o de servidores públicos, con empresas privadas o públicas cuyos centros de datos, redes (salvo la Internet), equipos, software base y de gestión de correo electrónico y cualquier elemento tecnológico necesario, se encuentren fuera del territorio nacional; y adicionalmente, si las condiciones de los servicios que tales empresas prestaren no se someten a la Constitución y Leyes Ecuatorianas.
21 Según acuerdo ministerial número 119, publicado en registro oficial el 1 de agosto de 2007, dentro de sus atribuciones y responsabilidades está “Preparar proyectos de leyes y reglamentos para la regulación, control, evaluación y seguimiento de los proyectos informáticos; así como para el acceso a al [SIC] información”.

Cómo citar este artículo

Delgado, J. A. (2014, noviembre). Nube informática en Gobernanza de Internet en Ecuador: Infraestructura y acceso. Artículo presentado en el Encuentro Nacional de Gobernanza de Internet, Quito, Ecuador. Obtenido de http://delgado.ec/research/es/Gobernanza_Internet_Ecuador_2014.pdf

Leave a Reply

Your email address will not be published. Required fields are marked *