Introducción a la nube para abogados

La visión jurídica especializada es cada vez más apreciada en los proyectos de cloud computing porque aporta mucho valor, y sin embargo, por ahora se está descuidando en un porcentaje muy alto de los proyectos. Así puede verse en un reciente estudio de Forrester :

  • solo un 28 % de proyectos en la nube se firman con la intervención del departamento o asesores jurídicos de las empresas, y
  • solo en un 36 % de ellos aparecen las cláusulas jurídicas que deberían incluirse para una mejor vida de la relación entre proveedor y cliente.

Ello brinda una oportunidad de negocio para los abogados dedicados a esta materia.

Nuestro objetivo, por lo tanto, es determinar qué implicaciones legales conlleva el paso a la nube, qué preguntas debemos hacernos. Y para resolverlas, proporcionar algunos conceptos básicos y ejemplos relacionados con el cloud computing: qué es nube y qué no y cuáles son los modos más frecuentes de su implantación.

Los motivos del paso a la nube: del ahorro a la seguridad

La nube ya no es un concepto o modelo reservado solo para empresas avanzadas tecnológicamente. De hecho, se ha convertido en una manera estándar de gestión de negocios que se adapta perfectamente a todos los tipos y tamaños de organizaciones, abrumadas por las infraestructuras tecnológicas actuales y en búsqueda de modos de disminuir su complejidad.

Según Gartner, a finales de 2016, un 89% de las empresas estaban usando algún tipo de computación en la nube. Algunas puede que lo están haciendo sin ser conscientes de ello como ocurre cuando se usan servicios como Dropbox, Box, Gmail, Office 365 o SalesForce, ya están «en la nube».

Dropbox
Dropbox

Y según la encuesta de Forrester citada, mientras que las razones principales para el paso a la nube hace tres años eran el ahorro de dinero y la reducción de complejidad, actualmente la razón más importante es el deseo de mejorar la seguridad y el cumplimiento normativo.

Ambos motivos en realidad buscan la transferencia de riesgos (complejidad y seguridad) a la empresa proveedora de servicios, que se halla mejor preparada para afrontar tanto cuestiones de seguridad como de compliance o cumplimiento normativo.
¿Cómo pueden estar seguras las empresas de que esos niveles se mantienen, una vez que sus datos abandonan sus servidores o instalaciones? Porque la normativa y estándares diseñados para proteger las transmisiones electrónicas de datos personales cuando los datos se transferían solo de manera directa entre proveedores y consumidores es la misma que rige para los intermediarios que proveen servicios en la nube.

¿Qué es la nube? Sus seis características esenciales

Cualquiera que sea la motivación de una empresa para pasar a la nube, retrocedamos un momento para revisar qué es el cloud computing o computación en la nube, así como algunas otras infraestructuras informáticas que pueden parecer computación en la nube o «nube» pero no lo son.

Principalmente, hay dos organizaciones que han desarrollado los términos y definiciones relacionadas con la nube:

  • el Instituto Nacional de Estándares y Tecnología del Gobierno de los Estados Unidos (National Institute of Standards and Technology , NIST) y
  • la Organización Internacional para la Estandarización (International Organization for Standarization, ISO).

Para una mejor comprensión, han desarrollado las seis características esenciales que definen el cloud computing y que, a su vez, representan algunas de sus ventajas clave. Son las siguientes:

– Amplio acceso a la red: la nube ofrece más comodidad puesto que los usuarios pueden acceder a los recursos físicos y virtuales desde cualquier lugar en donde estén trabajando, siempre que haya conexión a internet, pudiendo ser usada por muchos clientes diferentes a la vez y con múltiples dispositivos, tales como móviles, tabletas, portátiles o PCs.

– Servicio medido: el consumo de los servicios cloud puede ser medido, de modo pueda ser monitorizado, controlado, declarado y facturado; muy importante para optimizar y validar el servicio de nube contratado. Los clientes solo pagan por los recursos que utilizan. Desde el punto de vista del cliente, la computación en la nube ofrece a sus usuarios la posibilidad de pasar de un modelo de negocio de baja eficiencia basado en activos de la empresa a otro de alto rendimiento.

– Tenencia múltiple, también llamada «Multitenencia»: los recursos físicos o virtuales se gestionan de modo que múltiples aplicaciones y datos de los usuarios están aislados y no sean accesibles entre ellos. En general, en un contexto de multitenencia, el grupo de usuarios de los servicios de la nube que forman una «tenencia» pertenecen a la misma organización cliente de servicio cloud, aunque puede haber casos en que el grupo de usuarios del servicio cloud comprenda usuarios de otros clientes de servicio cloud diferentes, sobre todo en el caso de desarrollos de nube pública o comunitaria.

– Autoservicio bajo demanda: el cliente de servicio cloud puede acceder a mayor capacidad de computación de manera automática o con una mínima interacción con el proveedor de servicios en la nube. Ello ofrece a los usuarios una reducción de costes, tiempo y esfuerzos con posibilidad de hacer lo que necesitan, cuando lo necesitan, sin necesidad de mayor intervención humana adicional o siendo esta mínima.

– Flexibilidad y escalabilidad: los recursos físicos o virtuales pueden ser ajustados de manera rápida y flexible, en algunos casos de manera automática, para de manera también rápida aumentar o disminuir la capacidad. Significa que los clientes ya no deben preocuparse por los límites de sus recursos y no deberían tampoco preocuparse por contar con planes sobre capacidad.

– Agrupaciones de recursos: los recursos físicos o virtuales de un proveedor de servicios cloud pueden ser compartidos para ser ofrecidos a uno o varios clientes. El cliente solo percibe que el servicio funciona, sin tener control o noticia sobre cómo están siendo proporcionados los recursos o dónde están ubicados, lo que simplifica procesos de los que antes tenía que ocuparse como el mantenimiento, que se transfieren al proveedor. Aunque es así hay que destacar que los usuarios podrían especificar la ubicación en un nivel de detalle mayor (p.e. país, estado o servidor).

Además de las características esenciales, ISO e INET han definido también varios modelos y submodelos de servicio de computación en la nube, así como cuatro «modelos de despliegue».

Modelos de servicio

Los primeros tres modelos de servicio son los modelos básicos en los que se basan los demás.

– Infraestructura como servicio (Infraestructure as a Service, IaaS): se suministra al usuario procesamiento, almacenaje, red, y otros recursos informáticos fundamentales donde puede usar y hacer funcionar de manera arbitraria software, pudiendo incluir sistemas operativos y aplicaciones. El cliente no gestiona o controla la infraestructura cloud subyacente pero sí tiene control sobre los sistemas operativos, almacenaje, aplicaciones implementadas y, en su caso, control limitado sobre determinados componentes de la red (por ejemplo, cortafuegos del servidor).

El ejemplo más común de IaaS consiste en hacer funcionar máquinas virtuales desde un entorno cloud remoto: el cliente tiene control sobre el suministro rápido y la gestión del entorno operativo que alberga la máquina virtual, mientras que el CSP (Cloud Service Provider) gestiona la infraestructura en la que opera dicha máquina virtual así como servicios de apoyo como red o el almacenamiento. Asimismo, el CSP (Cloud Service Provider) asegura que los recursos compartidos sean suficientemente amplios como para acomodarse a los nuevos requerimientos de la infraestructura.

– Plataforma como servicio (Platform as a Service, PaaS): el usuario puede implementar en la estructura cloud aplicaciones creadas usando lenguajes de programación y herramientas con servicio técnico por parte del proveedor. El cliente no gestiona ni controla la infraestructura cloud subyacente (red, servidores, sistemas operativos o almacenamiento), pero tiene control sobre las aplicaciones implementadas y en algunos casos sobre la configuración del entorno donde se aloja la aplicación.

En este caso, el cliente o editor de software (Independent Software Vendor, ISV) crea un programa informático que ejecuta en la nube un conjunto de interfaces de programación de aplicaciones (APIs) especialmente diseñadas para ejecutarse en un entorno cloud. A diferencia de los programas que funcionan en un ordenador local, el programa opera en la nube proporcionando servicios a los usuarios y haciéndose cargo de los procesos de clientes que interactúan con el programa.

– Software como Servicio (Software as a Service, SaaS): permite al cliente la utilización de las aplicaciones del proveedor, funcionando en una infraestructura cloud. Las aplicaciones están accesibles desde los diferentes dispositivos del cliente a través de una sencilla interfaz como pueda ser un navegador web (por ejemplo, en el caso de un correo electrónico con base web). El usuario ni gestiona ni controla la infraestructura cloud subyacente, que incluye redes, servidores, sistemas operativos, almacenamiento o incluso funcionalidades de las aplicaciones individuales, con la posible excepción de los ajustes de configuración de algunas específicas aplicaciones del usuario.

Los ejemplos más comunes de soluciones SaaS son los servicios de correo electrónico en la nube, como el de Microsoft (parte de Office 365) o Google. En ambos casos, el usuario puede interactuar con el servicio mail usando un navegador web conectado al servicio en la nube, o puede configurar una aplicación web en el dispositivo del cliente, como Outlook, para interactuar con el servicio o descargar y enviar emails usando la interfaz de la aplicación.

Office 365
Office 365

Modelos de despliegue: nube pública, privada, comunitaria o híbrida

Los modelos de despliegue de la nube describen cómo el cloud computing puede ser organizado según el tipo de control y de reparto de los recursos físicos y virtuales. Tal y como han sido definidos por ISO, incluyen:

– Nube pública: los servicios de la nube pública se prestan a cualquier cliente de la nube, siendo los recursos controlados por el proveedor del servicio cloud. Una nube pública generalmente pertenece, es gestionada y operada por una organización empresarial, académica o pública, o alguna combinación de ellas tres, y la infraestructura está en las instalaciones del proveedor de los servicios cloud. La disponibilidad real para algunos clientes de determinados servicios en la nube a veces puede estar sujeta a la regulación nacional. Las nubes públicas están muy extendidas, y si bien el acceso de los clientes a ciertos de los servicios cloud de dicha nube pública podrían tener restricciones, estas son pocas.

La nube pública es el modelo de despliegue más extendido. Son ejemplos de ella Amazon AWS, Google G Suite y Microsoft Azure y Office 365.

– Nube privada: en ella los servicios cloud son usados de manera exclusiva por un único cliente cloud y los recursos son asimismo controlados por dicho cliente. Una nube privada generalmente pertenece, es gestionada y operada por la misma organización o por un tercero y puede existir dentro o fuera de las instalaciones del proveedor cloud. El cliente del servicio cloud también puede autorizar el acceso a que terceros sujetos se beneficien de ella. Las nubes privadas buscan establecer unos límites controlados de manera estrecha sobre la nube privada, limitándola a los usuarios de una única organización.

Las nubes privadas son menos comunes pero muy populares entre las grandes organizaciones que buscan más control sobre su infraestructura cloud. Por ejemplo, IBM ofrece servicios de nube privada y Microsoft ofrece la solución software Azure Pack, que permite a los clientes crear una interfaz de sus propios sistemas de datos y servicios como servicios en la nube dentro de su organización. OpenStack es otra herramienta popular para la construcción de nubes privadas.

– Nube comunitaria: aquí los servicios cloud son proporcionados de manera exclusiva a un grupo concreto de usuarios de servicio cloud que tienen los mismos requerimientos y que están relacionadoss entre ellos, y en el que los recursos son controlados por al menos uno de los miembros de este grupo o colectivo. Una nube comunitaria generalmente pertenece, es gestionada y operada por una o más de una de las organizaciones del colectivo, o por un tercero, o por una combinación de ambos, y la infraestructura suele estar alojada fuera de las instalaciones del proveedor cloud. En comparación con la apertura de las nubes públicas, las nubes comunitarias limitan la participación a un grupo de usuarios del servicio cloud que tienen intereses comunes; y se distinguen de las nubes privadas porque tienen mayor participación que estas.

Las nubes comunitarias son bastante comunes en las organizaciones gubernamentales o de orden público (fuerzas y cuerpos de seguridad) en los que existe la necesidad de compartir datos y recursos entre agentes similares y requisitos de aislar el entorno del acceso público.

– Nube híbrida: en este tipo de nube se usan por lo menos dos tipos diferentes de modelos de despliegue, que son independientes entre ellos pero que tienen en común tecnologías que permiten su interoperabilidad y la portabilidad de los datos y aplicaciones. Una nube híbrida suele pertenecer, gestionarse y operar por la propia organización o por un tercero y puede existir dentro o fuera de la nube del proveedor cloud.

La nube híbrida se ha ido haciendo popular a medida que las organizaciones han querido optimizar los recursos de sus centros de datos existentes como servicios de nube privada de modo que interactúen con servicios de nube pública, creando así servicios cloud privados y públicos a la vez que proporciona a sus usuarios una experiencia única conjunta.

Pero… ¿dónde está la nube?

Los actuales proveedores de la nube usan un sistema modular de servidores, almacenamiento de datos y componentes de red que pueden ser volcados en centros de datos de cualquier lugar del mundo. Estos módulos están conectados a la red eléctrica para obtener energía y a agua para su refrigeración con lo que pueden ser suministrados de manera automática para añadirse a la nube.

Los principales proveedores generalmente tienen centros de datos repartidos por todo el mundo que prestan servicio a los usuarios locales y actúan de manera subsidiaria en caso de interrupciones en otros centros de datos. En algunos casos, estos centros de datos solo están disponibles para grupos determinados de usuarios en función de requisitos o normativa de residencia nacionales, o se dirigen a las necesidades específicas de una comunidad de clientes, como por ejemplo los usuarios de organismos públicos. En otros casos, el uso de administradores de los centros de datos locales es el modo que tienen los proveedores cloud de que los requerimientos establecidos para los datos de los organismos públicos locales sean controlados por el departamento jurídico del administrador del centro de datos local.

Por último, lo que se debe exigir a un vendedor cloud es suministrar un acceso a sus servicios en la nube transparente, sin interrupciones, seguro y rápido, desde prácticamente cualquier lugar del mundo, y que a la vez cumpla con los requisitos jurídicos de cada lugar y cliente.

Fuente: Noticias Jurídicas.

Comentarios: