Abstract: “Development of the paper I presented at the itSMF Spain Seventh National Congress, under VISION12 CONFERENCE & EXHIBITION"
Resumen: "Desarrollo de la ponencia que presenté en el VII Congreso Nacional de itSMF España, en el marco de VISION12 CONFERENCE & EXHIBITION”.
Resumen: "Desarrollo de la ponencia que presenté en el VII Congreso Nacional de itSMF España, en el marco de VISION12 CONFERENCE & EXHIBITION”.
Hubo quien, no pudiendo
asistir en directo a la ponencia, debido al obligado sistema de salas
simultáneas al tratarse de un congreso tan multitudinario (unos 500 asistentes),
me preguntó si la publicaría en Internet. Para ellos, para los que pese asistir
se dieron cuenta que tuve que aplicarle un elevado grado de abstracción por los
habituales problemas de falta de tiempo de exposición y para otros “grupos de
interés” fuera del ámbito de itSMF, es que la he fusionado con las notas
empleadas para prepararla, de manera que sea más comprensible que una simple secuencia
de diapositivas en PowerPoint.
Aparte, en el “canal
ponencias” de www.itsmf.es según la organización, se irán publicando paulatinamente todos los videos
de las diferentes ponencias presentadas.
La ponencia la he estructurado en cuatro partes diferenciadas, aunque
obviamente relacionadas entre ellas:
·
Capítulo 1 y 2. Introducción al Cloud
Computing y formalización de conceptos que permitan comprender las otras
partes.
·
Capítulo 3. Para mí es el eje central
de la ponencia desde el punto de vista de itSMF, donde se habla de las Implicaciones organizativas del Cloud
Computing en Gobierno y Gestión de TI.
·
Capítulos 4 y 5. No menos importantes
son los aspectos jurídicos desde un punto de vista de regulación si llevamos al
Cloud datos de naturaleza personal, así como
las cláusulas contractuales que regirán todo el ciclo de vida de los servicios externalizados.
·
Capítulo 6. Conclusiones finales.
ÍNDICE
1.
INTRODUCCIÓN AL CLOUD COMPUTING
1.1. Índice de la Ponencia1.2. ¿Cómo nace el CLOUD COMPUTING?
1.3. Conclusión: ¿Es una moda pasajera?
2.
CARACTERÍSTICAS, MODELOS DE SERVICIO Y DESPLIEGUE
2.1. Definición de CLOUD COMPUTING2.2. Características esenciales
2.3. Modelos de servicio
2.4. Modelos de despliegue
2.5. Relación entrega/pago según modelo
3.
IMPLICACIONES ORGANIZATIVAS EN GOBIERNO Y GESTIÓN
3.1. Descomposición funcional (GOB, GES, OPE, INF)3.2. Gobierno de TI
3.3. Otros análisis de la tabla cruzada
3.4. Gestión de TI
3.4.1. PMM o Modelo de Madurez de los Procesos
3.4.2. ISO 20000-1:2011
3.4.3. PRM de Cobit 5
3.4.4. ITIL 2011. Proceso de Gestión de Proveedores
3.5. Normativa deseable en un CSP
4. MARCO JURÍDICO DE PROTECCIÓN DE DATOS
4.1.
Marco jurídico español4.2. Actores que intervienen según LOPD y RLOPD
4.3. Implicaciones LOPD según ubicación geográfica del CPD que soporta el CLOUD
4.4. Ejemplos de sanciones
5.
CLÁUSULAS CONTRACTUALES EN EL CLOUD
5.1. Según CSA (Cloud Security
Alliance)5.2. Según Thomas Trappler
5.3. Según ENISA
5.4. Decisión de la Comisión 2010/87/UE
5.5. ITIL 2011: Underpinning Contracts
6.
CONCLUSIONES FINALES
7. DERECHOS DE AUTOR
1. INTRODUCCIÓN AL CLOUD
COMPUTING
1.1. Índice de la
ponencia
1.2. ¿Cómo nace el CLOUD COMPUTING?
El CLOUD COMPUTING no APARECE por generación espontánea
cuando nadie se lo esperaba. Más bien al contrario, es la lenta evolución de
una serie de conceptos sociales, organizativos y técnicos, que lo han acabado
posibilitando al converger la maduración de todos ellos, a partir de cierto
momento.
Para explicarlo, utilizaré el BMIS de ISACA, que es un modelo
que parte del que se viene utilizando de forma clásica para analizar cualquier
empresa (personas, procesos, tecnología).
·
En el vértice
PERSONAS, anotamos una evolución, un cambio de mentalidad. Ya
nos hemos acostumbrado a lo intangible. Si sacamos dinero de un cajero, no
pulsamos el botón de imprimir recibo dado que confiamos en el sistema que lo
gestiona y en las auditorías internas de control que tiene la entidad
financiera. Preferimos una canción en “mp3”, ya que podemos llevarla a cualquier
parte, en cualquier soporte y asegurarla con un backup. Compramos libros por
internet en formato PDF. . . Las personas hemos
evolucionado y estamos preparadas.
·
En el vértice ORGANIZACIÓN, anotamos la evolución de los
usuarios de la organización que pasan a entender TI como entrega de
servicios.
·
En el vértice TECNOLOGÍA, anotamos el desarrollo espectacular
que viene experimentado ésta.
§ Internet con su extensión geográfica y
accesos simétricos de banda ancha; enlaces 3G, 4G. . .
§ La virtualización que permite optimizar
la infraestructura ya que un único hardware puede ejecutar simultáneamente y de
forma aislada, varios sistemas operativos.
Permite
aprovisionar rápidamente VM (Máquinas virtuales) a partir de un catálogo de
plantillas y el empleo de técnicas de automatización y orquestación.
§ Y la llamada “Anywhere computing”. Con
la consumerización, los usuarios desean conectarse a los recursos corporativos
desde cualquier sitio, en cualquier momento y usando cualquier dispositivo,
preferiblemente el suyo, lo que se conoce actualmente como BYOD (Bring Your Own
Device).
1.3. Conclusión: ¿Es una moda pasajera?
·
Lo
que APARECE de golpe, tiene las mismas posibilidades de DESAPARECER rápidamente,
como moda pasajera.
·
Lo
que es fruto de una larga EVOLUCIÓN de factores diversos, PERMANECE.
Por tanto
podemos afirmar que EL CLOUD COMPUTING
SE QUEDA.
No solo por
sus prestaciones: FLEXIBILIDAD (Ajuste del servicio a la demanda), rapidez de
APROVISIONAMIENTO (Time to Market), POCA INVERSIÓN INICIAL (Opex versus Capex).
. . Sino porque en una época de continuada recesión (aunque mejore ya nunca
volverá a ser como antes) y dificultad de acceso al crédito, es el modelo
favorito de los directores financieros.
Pensemos que
ya presenta ventajas económicas en su fase inicial, que es cuando las novedades
son más caras. A medida que crezca el volumen de negocio que la incorporación
de nuevos clientes proporcione a los CSP, mas bajarán los precios y mayor la
presión sobre TI para migrar (Gestionar el Cambio) a dicho modelo, por parte de
CFOs y CEOs.
¿Inhibidores?
Por supuesto que la seguridad de la información y la protección de datos lo son
según encuestas, pero ¿Acaso es más segura una empresa que no sabe que es la
ISO 27001 ni la ISO 22301?
2. CARACTERÍSTICAS, MODELOS DE SERVICIO
Y DESPLIEGUE
El NIST (National
Institute of Standards and Technology), en su publicación especial 800-145,
define las bases del modelo CLOUD COMPUTING.
2.1. Definición de CLOUD COMPUTING
De tan
larga definición, que no es otra cosa que encadenar las características
separándolas con comas, analizaré la primera y la última línea.
Lo primero
que dice es que CLOUD COMPUTING “es un MODELO”. No dice de qué, pero es
la primera vez que se reconoce como tal. Lo importante es entender que CLOUD no es un modelo tecnológico puesto que simplemente se apoya en ella como cualquier ámbito de TI, como desde siempre ha venido haciendo
TI. Tampoco es un modelo de negocio; quizá si desde el punto de vista del CSP (Cloud Services Provider) ya que se gana la vida ofreciendo servicios en el Cloud, pero no desde el punto de vista de la empresa cliente que los contrata o los migra allí.
La única definición que puede conciliar a ambos es la de un modelo de entrega de servicios.
La única definición que puede conciliar a ambos es la de un modelo de entrega de servicios.
El CLOUD COMPUTING es un
MODELO DE ENTREGA DE SERVICIOS.
La última
línea dice “con mínima interacción del proveedor de servicios”. Concretamente,
los servicios deben poder aprovisionarse o liberarse a partir de un pool de recursos, desde un portal de autoservicio.
2.2. Características esenciales
2.3. Modelos de servicio
Existen
según el NIST 3 modelos básicos de entrega de servicio: Iaas, PaaS y SaaS.
·
El
IaaS (Infraestructura como Servicio),
que simplificando mucho en aras de la didáctica y no descuidar la esencia, con
el perdón de los compañeros de ingeniería,
es como aprovisionar un servidor vacio que incluya únicamente el OS
(Sistema Operativo).
·
El
PaaS (Plataforma como Servicio),
incorpora a la anterior oferta utilidades que tendrán valor si coinciden con
los intereses del cliente: BB.DD. (Bases de Datos), Web Services, utilidades de
programación, run-times… En IaaS todos estos complementos debe instalárselos el
cliente desde Internet.
·
El
SaaS (Software como Servicio), se
apoya en las capas anteriores pero ya difiere conceptualmente en diversos
aspectos. Con el mismo grado de simplificación anterior, es como contratar una App (Aplicación) o
conjunto de ellas, instaladas en el CLOUD. El cliente se despreocupa del
servidor virtual, del sistema operativo, de la BB.DD., de instaladores. Se
limita a parametrizar el software y a utilizarlo.
Existen
otros modelos de entrega, pero pueden descomponerse como variaciones de los
tres anteriores que son básicos.
Por citar
alguno:
·
DRaaS (Data Recovery as a Service) que consiste en utilizar el CLOD
COMPUTING como recuperación ante desastres. Para ampliar sobre el tema puede
consultarse un artículo en este mismo Blog:
·
BPaaS (Business Proces as a Service) que consiste en llevar al CLOUD,
todas las aplicaciones que dan servicio a un BP (Proceso de Negocio) completo.
En ese caso, si los llevamos todos, o
si llevamos todos los servicios que ofrece TI al CLOUD, ¿Podemos estar hablando
de TIaaS?
Si es así, todos los que tenemos un
vínculo profesional a cualquier nivel dentro de TI en una empresa, a no ser que
trabajemos en un CSP, ¿nos iremos a casa?
Se contestará por si sola, más
adelante, ésta valiente y comprometida pregunta.
2.4. Modelos de despliegue
El NIST indica
cuatro modelos de despliegue esenciales. Yo los hubiera dejado en tres, dado
que el comunitario lo considero un caso especial del privado (compartido entre
unos pocos con afinidad, como puede ser el rectorado de una universidad y sus escuelas
o facultades).
Básicamente
hablaremos de Cloud Privada, Cloud Pública y Cloud Híbrida.
Lo importante es
entender que una Cloud Privada para serlo, no tiene que estar en un CPD ubicado
necesariamente dentro de las dependencias de la empresa.
Si se utiliza la
fórmula del HOUSING, que consiste en alquilar espacio dentro del CPD de un
tercero (ISP), y ubicar allí la CLOUD PRIVADA de la empresa, no dejará por ello
de serlo.
Será privada porque
tanto la infraestructura física como la virtual, no está compartida con nadie.
Es de su exclusivo uso.
Se le denomina “ON
PREMISE o Internal” si está en nuestro CPD y “OFF PREMISE o External” si está
en el CPD de un tercero, para beneficiarse de un entorno más protegido (Aire
acondicionado redundado, alimentación eléctrica redundada y asegurada mediante
SAIs y generadores autónomos, Internet de alta velocidad con alta seguridad
perimetral, control de acceso físico y vigilancia 365x24. . .).
2.5. Relación entrega/pago según modelo
La comparativa entre
modelos de entrega de servicios, podemos hacerla desde dos puntos de vista:
·
La forma de pago
·
La flexibilidad
en la entrega
Antes de comentar la diapositiva correspondiente, es
necesario entender y diferenciar dos conceptos clásicos:
·
El HOUSING, que
consiste en alquilar espacio (normalmente en rack) en el CPD de un proveedor
ISP o CSP, para llevar allí infraestructura física de una empresa cliente. Si
dicha infraestructura física además está preparada mediante software de
virtualización y configurada para soportar el modelo Cloud, hablaremos de “CLOUD
PRIVADA off premise”.
·
El HOSTING, que
consiste en alquilar no solo el espacio en el CPD de un proveedor de servicios,
sino además los servidores físicos. Cuando no existía el modelo de Cloud
Computing, era la fórmula empleada para externalizar la infraestructura y nos
consta que todavía se utiliza.
El proveedor de servicios mediante compra masiva,
puede conseguir un mejor precio del hardware y normalmente al ser todos los
equipos de un mismo fabricante, facilitar las labores de mantenimiento y
sustitución caso de avería.
Como en el caso anterior, si sobre la infraestructura
física alquilada en exclusividad por una empresa, configuramos una Cloud,
estamos también hablando de “CLOUD PRIVADA off premise”.
Si analizamos la forma de pago observando la figura de izquierda a derecha, vemos que tanto la CLOUD PRIVADA (con infraestructura comprada) como en el CPD clásico, hablamos de CapEx (Costes de Adquisición). En cambio la CLOUD PÚBLICA y el HOSTING tradicional, representan nulos costes de adquisición al tratarse de “pago por uso”, hablando de OpEx (Costes de Operación).
Pero si analizamos la forma de entrega de servicios,
observando la figura de abajo a arriba, vemos que en el entorno físico (CPD clásico
y HOSTING tradicional) hablamos de aprovisionamiento lento, mientras que en la Cloud privada o Pública, hablamos de
autoaprovisionamiento casi instantáneo desde un portal.
3. IMPLICACIONES ORGANIZATIVAS EN GOBIERNO Y GESTIÓN
3.1. Descomposición funcional (GOB, GES, OPE, INF)
Analizaremos de entrada tres conceptos:
·
El CPD
tradicional en la empresa (INSOURCING).
·
El OUTSORCING
entendido como externalización de personas en TI.
·
El modelo de
CLOUD PÚBLICA.
Para cada uno de ellos, se analizan cuatro aspectos,
desde el punto de vista de sobre quien recae la responsabilidad :
·
Gobierno
·
Gestión
·
Operaciones o
ejecución
·
Infraestructura
3.2. Gobierno de TI
Lo primero que llama la atención es que la primera
fila horizontal está entera pintada de verde. La razón es que el GOBIERNO de TI,
siempre es interno.
Perder el gobierno representa ceder el control, y si
no se controla significa “libre albedrio”, que hemos “perdido” los servicios
externalizados.
Desde un punto de vista más riguroso, GOBERNAR
significa ASEGURAR unos OBJETIVOS en base a unos RECURSOS. En ningún lugar se
indica que los recursos tengan que ser internos o externos. Por lo tanto en un
entorno de Cloud Computing es la empresa cliente la que gobierna los procesos y
servicios tanto internos como externalizados.
3.3. Otros análisis de la
tabla cruzada.
Si analizamos la tabla por columnas, vemos que el CPD
tradicional en la empresa, es el caso más sencillo. Gobierno, Gestión,
Operación e Infraestructura, todos son
responsabilidad interna.
En el OUTSOURCING (Externalización de personas),
Gobierno e Infraestructura son responsabilidad interna de la empresa. La
operación en el ámbito o alcance de la subcontratación es responsabilidad
externa del proveedor. La Gestión normalmente es responsabilidad interna (del
cliente), aunque en algunos casos de outsourcing total de TI, puede
transferirse bajo unas directrices claras de gobierno o ser válido todo lo que se
hablará a continuación sobre Cloud Pública. Por eso aparece en la tabla de
color ámbar.
En la CLOUD PÚBLICA, el Gobierno es interno de la
empresa cliente. La operación es externa del CSP en el alcance o ámbito del
contrato de servicios. La infraestructura es externa, al menos el CPD, aunque
quedan en las sedes corporativas los terminales de usuario, LAN y terminaciones
de comunicaciones. Además todos los dispositivos de usuario quizá con sus App.
Por eso lo hemos pintado de color rojo con una estrecha franja verde.
Si utilizamos virtualización de escritorios (VDI) en
el Cloud simultáneamente, dicha franja se hará aún más estrecha.
3.4. Gestión de TI
3.4.1. PMM o Modelo de Madurez de los
Procesos
Para entender que ocurre con la Gestión en el modelo
de CLOUD COMPUTING, debe recordarse que cualquier empresa que persigue la
mejora continua de la calidad, debe estructurarse en base a procesos del
negocio.
En la figura anterior se observa el MAPA DE PROCESOS
de una empresa cualquiera.
Existe el llamado PMM (Modelo de Madurez de Procesos)
que será decisivo para poder externalizar. Si estamos en niveles bajos de la
escala de madurez (Inexistente, impredecible, repetible), será muy difícil
tener éxito en la externalización de algunos de ellos. Si estamos a niveles
altos (Definido, administrado, optimizado) afrontaremos la migración al Cloud
con mejores garantías.
Y lo que hablamos para la empresa en general, lo decimos
también para TI. Ambos deben estar alineados, así que su grado de madurez
debería ser similar.
Si intentamos llevar servicios al Cloud con un índice
de madurez bajo en los procesos que los soportan, lo más probable es que se
cumpla aquella famosa cita de la era pre-industrial:
“Arrancada
de caballo y parada de burro”.
Es muy difícil externalizar servicios al Cloud si TI no
dispone de al menos un “Catálogo de Servicios”. Si no conoce los servicios que ofrece o puede
ofrecer a los usuarios, ¿Cómo decidirá cuales llevar al CLOUD?
Es por tanto muy conveniente que TI esté gestionada
según las mejores prácticas de ITIL o amparada por una certificación en gestión
de servicios (ISO 20000-1).
En la gestión “extremo a extremo”, donde se darán
“relaciones de confianza” entre la gestión interna del cliente y la externa del
proveedor, deben establecerse canales de comunicación que coordinen los Sistemas de Gestión de cliente y CSP. Mediante un
CUADRO INTEGRAL DE MANDO o “panel de control”, el cliente podrá analizar
los KPIs (Indicadores Clave de Rendimiento) de los procesos externalizados y los LOGS que se produzcan.
Muchos CSP ya tienen estandarizado un panel de control con dicha visualización que facilita la gestión al aportar transparencia.
Cuando se lleva un servicio al Cloud, recordemos que éste
sigue estando soportado por varios procesos de TI. Algunos en exclusiva y otros
compartidos con el resto de servicios. Los exclusivos se “transfieren”, pero
los compartidos deben gestionarse “relacionados”.
3.4.2. ISO 20000-1:2011
La propia ISO 20000-1:2011, ya habla de gobierno de
“procesos” operados por terceros.
Dicha introducción contempla el avance del modelo
CLOUD de externalización de servicios y procesos de TI.
3.4.3. PRM de Cobit 5
Si observamos el PRM (Modelo de Referencia de Procesos)
de Cobit5, vemos una clasificación en 5 apartados, de los que uno de ellos será
interesante analizar:
·
Evaluate, Direct and Monitor
·
Align,
Plan and Organize
·
Build, Acquire and implement
·
Deliver, Service and Support
·
Monitor, Evaluate and Assess
Concretamente el apartado de “Alinear, Planificar y Organizar”,
es el que siempre estará presente en la Gestión, aunque la empresa transfiera varios
de sus servicios de TI al Cloud.
Los tres controles de Gestión, pintados en color blanco, no son específicos de Cloud Computing ni siquiera de TI. Cualquier actividad empresarial debe basarse en ellos. Resulta obvio gestinar en base a la Estrategia, en base a la Arquitectura Empresarial y persiguiendo la calidad.
Los tres controles de Gestión, pintados en color blanco, no son específicos de Cloud Computing ni siquiera de TI. Cualquier actividad empresarial debe basarse en ellos. Resulta obvio gestinar en base a la Estrategia, en base a la Arquitectura Empresarial y persiguiendo la calidad.
Para citar algunos procesos (u objetivos de control de
la gestión), marcados en color amarillo en la figura:
·
AP004 (Gestionar la Innovación). La tendencia que se vislumbra es que el área de TI
cada vez se dedicará mas a innovar con nuevos servicios, mientras que dedicará paulatinamente
menos esfuerzo a la operación y las infraestructuras del CPD, liberada de
dichas funciones por el nuevo modelo de entrega de servicios.
·
AP005 (Gestionar la cartera de servicios). Es vital gestionar la cartera global de servicios a disposición
de la empresa en entornos mixtos. En ellos, el catálogo de servicios puede estar soportado por más de un CSP,
además de por la propia área de TI.
·
AP006 (Gestionar el presupuesto y los costes). En entornos de Cloud Computing, con enormes facilidades
de autoaprovisionamiento, si TI no gestiona los costes asociados a la provisión
de los servicios que se van contratando por los usuarios, la empresa cliente
corre el riesgo de que se produzca una elevada desviación en exceso del
presupuesto aprobado.
· AP009 (Gestionar SLAs). La Gestión de los SLAs (Acuerdos de Nivel de Servicio) será sustancial en entornos de Cloud Computing para poder asegurar que el servicio contratado y el realmente ofrecido coinciden.
· AP009 (Gestionar SLAs). La Gestión de los SLAs (Acuerdos de Nivel de Servicio) será sustancial en entornos de Cloud Computing para poder asegurar que el servicio contratado y el realmente ofrecido coinciden.
·
AP010 (Gestionar proveedores). La Gestión de proveedores es por esencia fundamental
en los modelos externalizados. Incidiremos más adelante en el tema, basándonos
en ITIL 2011.
·
AP012 y AP013 (Gestionar el riesgo y Gestionar la
seguridad). Si la seguridad en base a
un análisis de riesgos en la empresa es fundamental en cualquier entorno, con
la externalización adquiere una mayor preponderancia. Debe gestionarse “extremo
a extremo” y supervisarse directamente los procesos gestionados o, lo que es más
factible, en base a certificaciones y auditorías de terceros acreditados.
3.4.4. ITIL 2011. Proceso de Gestión de Proveedores
En el libro “Service design” de ITIL 2011, encontramos
un capítulo específico dedicado a la Gestión de Proveedores. Igual que decíamos
en la Norma ISO 20000-1:2011, los marcos de referencia se van adaptando a la
realidad de entrega de servicios externalizada en base al modelo de Cloud
Computing.
El “Live motif” del proceso TI de Gestión de Proveedores
es alinear los contratos con las necesidades del negocio y con los objetivos
acordados en base a SLAs (Acuerdos de Nivel de Servicio) pactados a partir de
los SLRs (Requerimientos de Nivel de Servicio) de la empresa que contrata.
En base a ello la Gestión de Proveedores se encargará
de velar por el cumplimiento de los SLA acordados, en coordinación con el
proceso de Gestión de Nivel de Servicio. En otras palabras, deberá velar de
forma continuada por el “rendimiento efectivo” del proveedor.
Su misión es acordar y “gestionar los contratos”
durante todo su “ciclo de vida”, que coincidirá con el ciclo de vida del
servicio externalizado.
ITIL 2011 recomienda seguir una política específica
para los proveedores y mantener un SCMIS (Supplier and Contract
Management Information System).
Dicho sistema de información para la gestión de
contratos y proveedores, con el Cloud Computing irá tomando protagonismo, al mostrarse
insuficiente la conocida CMDB con el
nuevo modelo de entrega de servicios.
Como activos del negocio, no todos los servicios
tienen el mismo valor e importancia para la empresa, así que su pérdida de
disponibilidad producirá un impacto
distinto, que evaluaremos en base a un análisis de riesgos.
Dicho riesgo asociado a la disponibilidad de los
servicios, se transfiere al CSP (Proveedor de Servicios de Cloud Computing).
Por tanto es de rigor establecer una categorización de los proveedores en base
a la categorización de los servicios que soportarán.
ITIL 2011 los clasifica en estratégicos, tácticos,
operacionales y “commodity”.
Los criterios de selección del proveedor que soportará
servicios estratégicos diferirán del CSP que simplemente soporte un servicio
“commodity”.
Como curiosidad, en el modelo de representación de una
empresa gestionada en busca de la calidad, ITIL añade un cuarto elemento: Los
Proveedores.
Por tanto habla de Personas, Procesos, Tecnología y
Proveedores. Es una tendencia que el Cloud Computing hará que cada vez su
gestión sea más significativa en la empresa.
3.6. Normativa deseable en
un CSP
Comentaba antes que la gestión “extremo a extremo”
debe establecer “relaciones de confianza” entre la empresa que contrata y el
CSP.
Dichas relaciones deben basarse en unos canales de
comunicación fluidos, acceso a LOGS y KPI,s de los procesos externalizados.
Otra forma es mediante auditorías de control. Como son
inviables en la práctica, ya que además violarían el principio de reserva y
seguridad del CPD del CSP, la solución es transferirlas a una tercera entidad
acreditada.
La fórmula consiste en solicitar al proveedor que
acredite certificaciones en seguridad y calidad de los servicios que presta a sus
clientes.
Pese a que existen normas ISO específicas para Cloud
Computing (ISO 27017 e ISO27018), están todavía en fase de borrador y por tanto
no podemos tenerlas hoy en cuenta.
Las Normas publicadas más conocidas son:
·
ISO 27001:2013 que
certifica un SGSI o Sistema de Gestión de la Seguridad de la Información.
·
ISO 22301:2012 que
certifica un SGCN o Sistema de Gestión de la Continuidad del Negocio.
·
ISO 20000-1:2011 que certifica un SGS o Sistema de Gestión de Servicios.
Si un CSP está certificado por las tres normas,
garantiza un nivel de seguridad óptimo y la empresa cliente puede confiar en la
información, procesos y servicios que le ha transferido.
Es importante averiguar el ALCANCE de las
certificaciones. Citaré a modo de ejemplo que una empresa puede estar
certificada conforme la ISO 20000-1 únicamente en el ámbito de un servicio,
como puede ser el correo electrónico. Por tanto, debe leerse con detalle el
alcance de la certificación del CSP.
Tampoco es lo mismo gestionar los servicios y la
seguridad según una Norma ISO, que tener certificado nuestro SG (Sistema de
Gestión) por una entidad acreditada. En el primer caso se le supone y en el
segundo hay una total garantía en base a auditorías anuales de revisión y cada
tres años de recertificación.
Todo ello sin perjuicio de las auditorías internas de
revisión.
NOTA DEL EDITOR. Puede ampliarse
información sobre las auditorías internas en este mismo Blog:
4. MARCO JURÍDICO DE PROTECCIÓN DE DATOS
4.1. Marco jurídico español
Existen múltiples
legislaciones que afectan a la seguridad de la información y más concretamente
a la protección de los datos de naturaleza personal.
La generalización
del modelo se entrega de servicios en la Nube, con la posibilidad de transferir
los datos fuera de nuestras fronteras, hace que debamos ser cuidadosos al
decidir la contratación del modelo de Cloud Computing para no incumplir la
legislación y enfrentarnos a sanciones económicas y pérdida de prestigio al
hacerse éstas públicas.
En
España estamos bajo el paraguas de las siguientes leyes:
·
Ley Orgánica
15/1999, de 13 de diciembre, más conocida como la LOPD.
·
Asociado a ella
está el Real Decreto 1720/2007, de 21 de diciembre, conocido como RLOPD ya que
es su reglamento de aplicación.
·
Si (resumiendo
mucho) utilizamos una página web para comercio electrónico y/o el e-mail para
fines publicitarios, está la Ley 34/2002, de 11 de Julio, que conocemos por
LSSI-CE (Ley de Servicios de la Sociedad de la Información y el Comercio
Electrónico.
·
La Directiva de
la Unión Europea 95/46/CE, de 24 de Octubre.
·
Dado que la
protección de datos personales es un derecho fundamental de la persona, el CP
(Código Penal) según la Ley Orgánica 10/1995, de 23 de Noviembre, tipificado en
los artículos 197, 198 y 199.
En el caso de AA.PP.
(Administraciones Públicas), en relación a la seguridad de la información y
como regulación, tenemos el ENS (Esquema Nacional de Seguridad) y el ENI
(Esquema Nacional de Interoperabilidad).
4.2. Actores que intervienen según LOPD y RLOPD
La LOPD y el RLOPD
consideran los siguientes actores en relación a la protección de datos de
naturaleza personal:
En relación al CLOUD
COMPUTING, la empresa que contrata los servicios es la “Responsable del Fichero”
y el CSP (Proveedor de Servicios de Cloud) es el “Encargado del Tratamiento”.
Es importante destacar
el último párrafo de la diapositiva, donde se indica que EN TODOS LOS CASOS que
exista un tratamiento por encargo de los datos responsabilidad de un “Responsable
del Fichero” por parte de un tercero “Encargado del Tratamiento”, debe de
existir un contrato que los vincule y delimite el ámbito de actuación del
subcontratado.
4.3. Implicaciones LOPD según ubicación geográfica del CPD que
soporta el CLOUD
Como se sabe, los
datos que llevamos al Cloud, no están flotando entre las nubes, sino en CPDs en
tierra firme, en cualquier lugar concreto del mundo.
Eso significa que
estarán sujetos por una parte a la legislación donde se ubica la empresa que
contrata los servicios de Cloud, y por otro a la legislación del país donde se
ubica el CPD del CSP.
A modo de resumen,
analizaremos en la tabla anterior como afecta a un “Responsable del Fichero” o
empresa española que contrata los servicios de Cloud, la ubicación del CPD que
contendrá sus datos de naturaleza personal:
· Si el CPD del Cloud está ubicado en España, y existe
contrato de acceso a datos, no hay que hacer nada.
· Si el CPD del Cloud está ubicado en el EEE (Espacio
Económico Europeo), y también existe contrato de acceso a datos, tampoco hay
que hacer nada.
· Si el CPD del Cloud está ubicado en un tercer país,
pero de los considerados con nivel de seguridad equiparable por la UE y la AEPD
(Agencia Española de Protección de Datos), además de firmar el contrato
específico de acceso a datos, debe de informarse a la AEPD que hacemos una transferencia
internacional de datos, pero nada más.
· Si el CPD del Cloud está ubicado en cualquier otro país,
además de firmar el contrato específico de acceso a datos, debe solicitarse
previamente permiso de la transferencia internacional de datos al director de
la AEPD, con resultado incierto.
Hay que distinguir la Razón Social del CSP, que puede
estar ubicada en cualquier país del mundo, y el CPD de los varios que puede
tener, donde la empresa cliente elige ubicar sus datos. Un ejemplo puede ser
una empresa de USA, que dispone de un CPD en Alemania y es el que el cliente
elige. En dicho caso se considerará una cesión de datos a la UE en vez de una
transferencia internacional de datos a USA.
4.4. Ejemplos de sanciones
La AEPD dispone de
un régimen sancionador, que le da fuerza para velar por el cumplimiento del
derecho fundamental de las personas a la protección de sus datos de naturaleza
personal.
Las sanciones se
dividen en Leves, Graves y Muy Graves.
A modo de ejemplo,
citaremos:
El hecho de que
enviemos y almacenemos de forma cifrada la información en el Cloud, no exime
del cumplimiento de la legislación vigente en materia de protección de datos.
NOTA
DEL EDITOR. Para ampliar aspectos de legislación,
pude consultarse el siguiente artículo en este mismo Blog:
5. CLÁUSULAS CONTRACTUALES EN EL CLOUD
El CLOUD COMPUTING
representa un cambio respecto al modelo tradicional de entrega de servicios de
TI. Una parte importante del éxito de la migración hacia él, es la
formalización del contrato o contratos (prestación de servicios, acceso a datos
personales, etc.) entre el CSP (Cloud Services Provider) y la empresa cliente.
Dicho contrato
acompañará durante todo el ciclo de vida del servicio o servicios migrados al
Cloud.
5.1. Según CSA (Cloud Security Alliance)
5.1.1. Confidencialidad
Dicha cláusula
asegura que únicamente accederán a la información que se lleve al CLOUD, aquellos
que sean autorizados por la empresa cliente. Evita que nuestra información se
propague por el mundo.
5.1.2. Propiedad intelectual
Asegura que todo lo
que la empresa cliente mueva hacia el CLOUD, es de su exclusiva propiedad. El
CSP o proveedor de servicios de Cloud, no tiene ningún derecho sobre ella pese
a estar utilizando su plataforma. Al finalizar el contrato deberá devolvérsela al
cliente en un formato estándar preestablecido y durante un tiempo determinado
estar disponible para que éste la pueda transferir a otro CSP, a una Cloud privada o donde desee.
5.1.3. Responsabilidad
La empresa cliente
debe asegurarse que el CSP no excluya su responsabilidad ante una divergencia
entre el servicio contratado y el realmente ofrecido.
5.1.4. Resolución anticipada
Dicha cláusula permitirá
al cliente poder rescindir el contrato suscrito con el CSP, ante cualquier
incumplimiento reiterado de los compromisos contractuales o de los SLAs.
5.1.5. Privacidad y Protección de Datos
Debe informarse al
CSP que la empresa cliente llevará al Cloud datos de naturaleza personal, para
que éste pueda aplicar en ellos las medidas de seguridad adecuadas a la
legislación aplicable.
5.1.6. Ley aplicable y jurisdicción
Los CPD donde se
almacena nuestra información en el Cloud, no están volando entre las nubes,
sino en tierra firme dentro de las fronteras de estados. Las sedes sociales del
CSP también. Ello significa que los datos y los contratos estarán sujetos a
diferente legislación. Caso de divergencias, debe quedar claro en que
tribunales se dirimirán.
5.1.7. Auditabilidad.
Hay legislación en
materia de protección de datos, como la española, que obliga al Responsable del
Tratamiento a asegurarse que el Encargado del Tratamiento cumple las medidas de
seguridad exigibles por el Reglamento de aplicación.En algunos casos debido a la lejanía geográfica resulta inviable. Entonces debe intentarse al menos conseguir un certificado emitido por una tercera entidad certificadora acreditada, conforme cumple con las medidas necesarias de seguridad de la información.
5.1.8. Seguridad.
La finalidad de ésta
cláusula es garantizar que se cumplan los tres atributos básicos de la
información:
·
DISPONIBILIDAD: Garantizar que la información esté disponible y se
pueda usar cuando se necesite.
·
CONFIDENCIALIDAD: Garantizar que la información esté disponible
exclusivamente para personas autorizadas.
·
INTEGRIDAD: Garantizar que la información sea completa, precisa
y protegida contra cambios no autorizados.
5.1.9. Acuerdos de Nivel de Servicio (SLAs).
Normalmente vienen como
anexos al contrato y suele haber uno para cada servicio migrado al Cloud.
5.2. Según Thomas Trappler
5.2.1. Change of Control
Thomas Trappler, un experto en contratación en entornos de Cloud Computing, además de coincidir en el resto de cláusulas, añade una nueva referente al Cambio de Control.
Se refiere a prever
la posibilidad de que el CSP sea comprado, absorbido, se fusione o cambie la
Dirección de la empresa. En dicho caso ésta cláusula debe garantizarnos que el
nuevo gestor nos mantenga las mismas condiciones del servicio o nos de la
posibilidad de rescindir el contrato.
5.3. Según ENISA
5.3.1. Cadenas de subcontratación.
Además de coincidir con el resto de cláusulas, ENISA habla de las cadenas de subcontratación y su implicación en la protección de datos de naturaleza personal.
La subcontratación
se da cuando un CSP subcontrata en otro y así sucesivamente constituyendo
contrataciones en cadena donde a partir de un momento determinado pueden salir
nuestros datos fuera de la Unión Europea, pese a haber contratado con un
proveedor de allí, con el consiguiente incumplimiento legal.
Un ejemplo típico es
contratar SaaS a un CSP desarrollador de
software y este a falta de infraestructura propia, la subcontrata a otro CSP en
modalidad de IaaS o PaaS.
NOTA
DEL EDITOR. Una amplia y detallada información del
significado e implicaciones de cada una de las diferentes cláusulas
contractuales, puede onsultarse en éste mismo Blog, en el artículo titulado:
5.4. Decisión de la Comisión 2010/87/UE
En el Diario Oficial de la Unión Europea, se publicó la Decisión de la
Comisión 2010/87/UE, de 5 de Febrero,
relativa a las cláusulas contractuales tipo para la transferencia de datos
personales a los “Encargados del Tratamiento” (Como CSPs) establecidos en terceros países, de
conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo.
Dicha Decisión
contiene:
·
Definiciones· Detalles de la transferencia
· Cláusula de tercero beneficiario
· Obligaciones del exportador de datos
· Obligaciones del importador de datos
· Responsabilidad
· Mediación y jurisdicción
· Cooperación con las Autoridades de Control
· Legislación aplicable
· Variación del contrato
· Sub-tratamiento de datos
· Obligaciones una vez finalizada la prestación de los servicios de tratamiento de los datos personales.
5.5. ITIL 2011:
Underpinning Contracts
En la página 210 del libro “Diseño del Servicio” de ITIL 2011, en el
apartado referente a “Supplier Management”, encontramos en “Underpinning
Contracts and agreements”, una relación
de cláusulas contractuales, que si bien son de uso general en cualquier
proveedor, tienen su interés.
Llama la atención un pequeño recuadro resaltado al final de la página,
donde dice textualmente:
“Busque asesoramiento legal cuando formalice acuerdos con suministradores
externos”.
Es un buen consejo de las “mejores prácticas” de ITIL.
6. CONCLUSIONES FINALES
·
El GOBIERNO Y la GESTIÓN permanecen bajo la responsabilidad de la empresa
cliente, aunque transfiera la mayoría de sus servicios o procesos de negocio al
Cloud.
·
De OPERACIONES E INFRAESTRUCTURA no me atrevería a decir lo mismo. A medida que aumente
la implantación del modelo Cloud, todo parece prever qué irán perdiendo alcance.
·
El índice de madurez de los procesos de TI, será determinante para asegurar una migración
exitosa al modelo de entrega de servicios basado en el Cloud Computing.
Para ello el emplear las “mejores prácticas” de
gestión tipo ITIL 2011, de Gobierno tipo Cobit 5, o bien que la empresa esté
certificada en gestión de servicios mediante la Norma ISO 20000-1:2011, serán
una garantía de madurez y por tanto de éxito.
·
Exigir certificaciones al CSP, es una garantía que nuestros datos, procesos y
servicios transferidos al Cloud estarán seguros. Las Normas ISO 27001:2008, ISO
22301:2012 e ISO 20000-1:2011 con sus auditorías obligatorias de seguimiento, pueden
ayudar.
·
La protección de datos de naturaleza personal, debe tenerse en cuenta debido a la mucha legislación
aplicable en base al derecho fundamental de las personas que busca preservar.
La ubicación geográfica del CPD del proveedor de servicios de Cloud, será decisiva.
·
Las Cláusulas Contractuales, nos acompañarán durante todo el ciclo de vida del
servicio transferido al Cloud. Serán nuestra única garantía si en algún momento
surge una discrepancia en relación al servicio contratado.
·
Una contratación adecuada, es aquella que recoge tres documentos diferentes:
o
El contrato de
prestación del servicio, con sus cláusulas.
o
El contrato de
acceso a datos de naturaleza personal.
o
Un anexo formado
por los diferentes SLAs, a ser posible indicando los KPIs relevantes a
proporcionar por parte del CSP, con sus valores pactados.
Y como terminé en la ponencia, también aquí lo haré
con un dicho marinero:
“Al
mar hay que tenerle respeto, pero nunca miedo, ya que puede proporcionarnos
multitud de oportunidades”
Solo hay que sustituir la palabra “mar” por “Cloud
Computing”.
Agradezco a Margarita Pardo de Santayana C., quién me animó a presentar la ponencia al Congreso Nacional, así como a la organización de itsmf España que la seleccionó.
7. DERECHOS DE AUTOR
La presente obra y su título
están protegidos por el derecho de autor. Las denominadas obras derivadas, es
decir, aquellas que son el resultado de la transformación de ésta para generar
otras basadas en ella, también se ven afectadas por dicho derecho.
Sobre
el autor:
A
nivel de especialización jurídica, ha realizado el postgrado
de Especialista Universitario en Protección de Datos y Privacidad en la
Facultad de Derecho de la Universidad de Murcia, disponiendo de la
certificación CDPP (Certified Data
Privacy Professional) del ISMS Fórum Spain. También ha cursado el programa
superior de Compliance Officer (Controller jurídico) en la Escuela Legal WKE y
se ha especializado respecto a los delitos de blanqueo de capitales en la UOC,
en colaboración con el Ilustre Colegio de Abogados de Barcelona (ICAB). Es
experto externo en prevención de blanqueo de capitales, certificado por INBLAC e inscrito en el SEPBLAC.
A
nivel de especialización técnica y organizativa, ha cursado Ingeniería
técnica de Telecomunicaciones en “la Salle BCN” estando adscrito a la AEGITT
(Asociación Española de Graduados e Ingenieros Técnicos de Telecomunicación). Es
Auditor e Implantador de SGSI (Gestión de la Seguridad de la Información) por
AENOR (Asociación Española de Certificación y Normalización). Leader Auditor & Implanter ISO 27001 e ISO 22301
by BSI (British Standards Institution). Auditor del esquema de
certificación STAR para prestadores de servicios de Cloud Computing (BSI +
Cloud Security Alliance). Ha obtenido la certificación internacional CISA
(Certified Information Systems Auditor) by ISACA (Information Systems Audit and
Control Association). Dispone de las certificaciones ISO 20000 PMI (Process
Management Improvement) e ITIL Service Management by EXIN (Examination
Institute for Information Science).
Desempeña su labor
profesional en GOVERTIS Advisory Services
cómo Compliance, Management & IT Advisor, incidiendo en Compliance
Penal, PBCyFT, asesoramiento respecto a cumplimiento normativo, privacidad
y gestión de la seguridad de la información. Ha participado como lead implementer y lead auditor de diferentes sistemas de gestión basados en Normas
ISO, individuales o integrados, y en la optimización de sus procesos. Ha
realizado diferentes niveles de auditorías de cumplimiento legal ya sea para
organizaciones sujetas a Derecho público o privado.
También colabora con BSI como
auditor jefe de certificación e impartiendo formación para la obtención de la
certificación de lead auditor, en diferentes marcos normativos. A partir de su
dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.
Convencido del valor que
aportan las organizaciones profesionales, es asociado sénior de la APEP
(Asociación Profesional Española de Privacidad), miembro de ISACA
(Information Systems Audit and Control Association), miembro de ISMS Forum
Spain (Asociación Española para el Fomento de la Seguridad de la
Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación
de Técnicos de Informática), ENATIC (Asociación de expertos nacionales
de la abogacía TIC), CUMPLEN (Asociación de Profesionales de
Cumplimiento Normativo) y asociado de INBLAC (Instituto
de expertos en prevención del Blanqueo de Capitales), habiendo sido
ponente o colaborado en casi todas las referidas organizaciones. También lo es
de la iniciativa del Observatorio Iberoamericano de Protección de Datos (OIPRODAT)
habiendo obtenido, junto a algunos colaboradores del mismo, un premio
compartido otorgado por la AEPD.
Twittear
En efecto, se quedaron muchas cosas en el tintero, gracias por la publicación de la ponencia completa, es muy interesante.
ResponderEliminar