domingo, 25 de noviembre de 2012

PONENCIA itSMF: “CLOUD COMPUTING: Regulando el desorden”



Abstract: “Development of the paper I presented at the itSMF Spain Seventh National Congress, under VISION12 CONFERENCE & EXHIBITION"

Resumen: "Desarrollo de la ponencia que presenté en el VII Congreso Nacional de itSMF España, en el marco de VISION12 CONFERENCE & EXHIBITION”.


Hubo quien, no pudiendo asistir en directo a la ponencia, debido al obligado sistema de salas simultáneas al tratarse de un congreso tan multitudinario (unos 500 asistentes), me preguntó si la publicaría en Internet. Para ellos, para los que pese asistir se dieron cuenta que tuve que aplicarle un elevado grado de abstracción por los habituales problemas de falta de tiempo de exposición y para otros “grupos de interés” fuera del ámbito de itSMF, es que la he fusionado con las notas empleadas para prepararla, de manera que sea más comprensible que una simple secuencia de diapositivas en PowerPoint.

Aparte, en el “canal ponencias” de www.itsmf.es según la organización, se irán publicando paulatinamente todos los videos de las diferentes ponencias presentadas.

La ponencia la he estructurado en cuatro partes diferenciadas, aunque obviamente relacionadas entre ellas:

·       Capítulo 1 y 2. Introducción al Cloud Computing y formalización de conceptos que permitan comprender las otras partes.

·       Capítulo 3. Para mí es el eje central de la ponencia desde el punto de vista de itSMF, donde se habla de las  Implicaciones organizativas del Cloud Computing en Gobierno y Gestión de TI.

·       Capítulos 4 y 5. No menos importantes son los aspectos jurídicos desde un punto de vista de regulación si llevamos al Cloud datos de naturaleza personal,  así como las cláusulas contractuales que regirán todo el ciclo de vida  de los servicios externalizados.

·       Capítulo 6. Conclusiones finales.



ÍNDICE

1. INTRODUCCIÓN AL CLOUD COMPUTING
1.1. Índice de la Ponencia
1.2. ¿Cómo nace el CLOUD COMPUTING?
1.3. Conclusión: ¿Es una moda pasajera?

2. CARACTERÍSTICAS, MODELOS DE SERVICIO Y DESPLIEGUE
2.1. Definición de CLOUD COMPUTING
2.2. Características esenciales
2.3. Modelos de servicio
2.4. Modelos de despliegue
2.5. Relación entrega/pago según modelo

3. IMPLICACIONES ORGANIZATIVAS EN GOBIERNO Y GESTIÓN
3.1. Descomposición funcional (GOB, GES, OPE, INF)
3.2. Gobierno de TI
3.3. Otros análisis de la tabla cruzada
3.4. Gestión de TI
         3.4.1. PMM o Modelo de Madurez de los Procesos
         3.4.2. ISO 20000-1:2011
         3.4.3. PRM de Cobit 5
         3.4.4. ITIL 2011. Proceso de Gestión de Proveedores
3.5. Normativa deseable en un CSP

4. MARCO JURÍDICO DE PROTECCIÓN DE DATOS
4.1. Marco jurídico español
4.2. Actores que intervienen según LOPD y RLOPD
4.3. Implicaciones LOPD según ubicación geográfica del CPD que soporta el CLOUD
4.4. Ejemplos de sanciones

5. CLÁUSULAS CONTRACTUALES EN EL CLOUD
5.1. Según CSA (Cloud Security Alliance)
5.2. Según Thomas Trappler
5.3. Según ENISA
5.4. Decisión de la Comisión 2010/87/UE
5.5. ITIL 2011: Underpinning Contracts

6. CONCLUSIONES FINALES

7. DERECHOS DE AUTOR



1. INTRODUCCIÓN AL CLOUD COMPUTING

1.1. Índice de la ponencia

1.2. ¿Cómo nace el CLOUD COMPUTING?

El CLOUD COMPUTING no APARECE por generación espontánea cuando nadie se lo esperaba. Más bien al contrario, es la lenta evolución de una serie de conceptos sociales, organizativos y técnicos, que lo han acabado posibilitando al converger la maduración de todos ellos, a partir de cierto momento.

Para explicarlo, utilizaré el BMIS de ISACA, que es un modelo que parte del que se viene utilizando de forma clásica para analizar cualquier empresa (personas, procesos, tecnología).

·       En el vértice PERSONAS, anotamos una evolución, un cambio de mentalidad. Ya nos hemos acostumbrado a lo intangible. Si sacamos dinero de un cajero, no pulsamos el botón de imprimir recibo dado que confiamos en el sistema que lo gestiona y en las auditorías internas de control que tiene la entidad financiera. Preferimos una canción en “mp3”, ya que podemos llevarla a cualquier parte, en cualquier soporte y asegurarla con un backup. Compramos libros por internet en formato PDF. . . Las personas hemos  evolucionado y estamos preparadas.


·       En el vértice ORGANIZACIÓN, anotamos la evolución de los usuarios de la organización que pasan a entender TI como entrega de servicios.
   



    ·       En el vértice TECNOLOGÍA, anotamos el desarrollo espectacular que viene experimentado ésta.


§  Internet con su extensión geográfica y accesos simétricos de banda ancha; enlaces 3G, 4G. . .


§   La virtualización que permite optimizar la infraestructura ya que un único hardware puede ejecutar simultáneamente y de forma aislada, varios sistemas operativos.

Permite aprovisionar rápidamente VM (Máquinas virtuales) a partir de un catálogo de plantillas y el empleo de técnicas de automatización y orquestación.

En definitiva se simplifica la gestión de los sistemas y se flexibiliza el CPD dado que una infraestructura física compuesta de servidores físicos, cabinas de almacenamiento y electrónica de red, permite soportar a una amplia y adaptable infraestructura virtual.


§   Y la llamada “Anywhere computing”. Con la consumerización, los usuarios desean conectarse a los recursos corporativos desde cualquier sitio, en cualquier momento y usando cualquier dispositivo, preferiblemente el suyo, lo que se conoce actualmente como BYOD (Bring Your Own Device).


1.3. Conclusión: ¿Es una moda pasajera?


·       Lo que APARECE de golpe, tiene las mismas posibilidades de DESAPARECER rápidamente, como moda pasajera.

·       Lo que es fruto de una larga EVOLUCIÓN de factores diversos, PERMANECE.


Por tanto podemos afirmar que EL CLOUD COMPUTING SE QUEDA.

No solo por sus prestaciones: FLEXIBILIDAD (Ajuste del servicio a la demanda), rapidez de APROVISIONAMIENTO (Time to Market), POCA INVERSIÓN INICIAL (Opex versus Capex). . . Sino porque en una época de continuada recesión (aunque mejore ya nunca volverá a ser como antes) y dificultad de acceso al crédito, es el modelo favorito de los directores financieros.

Pensemos que ya presenta ventajas económicas en su fase inicial, que es cuando las novedades son más caras. A medida que crezca el volumen de negocio que la incorporación de nuevos clientes proporcione a los CSP, mas bajarán los precios y mayor la presión sobre TI para migrar (Gestionar el Cambio) a dicho modelo, por parte de CFOs y CEOs.


¿Inhibidores? Por supuesto que la seguridad de la información y la protección de datos lo son según encuestas, pero ¿Acaso es más segura una empresa que no sabe que es la ISO 27001 ni la ISO 22301?


2. CARACTERÍSTICAS, MODELOS DE SERVICIO Y DESPLIEGUE


  

El NIST (National Institute of Standards and Technology), en su publicación especial 800-145, define las bases del modelo CLOUD COMPUTING.


  

2.1. Definición de CLOUD COMPUTING




De tan larga definición, que no es otra cosa que encadenar las características separándolas con comas, analizaré la primera y la última línea.

Lo primero que dice es que CLOUD COMPUTING “es un MODELO”. No dice de qué, pero es la primera vez que se reconoce como tal. Lo importante es entender que CLOUD no es un modelo tecnológico puesto que simplemente se apoya en ella como cualquier ámbito de TI, como desde siempre ha venido haciendo TI. Tampoco es un modelo de negocio; quizá si desde el punto de vista del CSP (Cloud Services Provider) ya que se gana la vida ofreciendo servicios en el Cloud, pero no desde el punto de vista de la empresa cliente que los contrata o los migra allí.
La única definición que puede conciliar a ambos es la de un modelo de entrega de servicios.

El CLOUD COMPUTING es un MODELO DE ENTREGA DE SERVICIOS.

La última línea dice “con mínima interacción del proveedor de servicios”. Concretamente, los servicios deben poder aprovisionarse o liberarse a partir de un pool de recursos, desde un portal de autoservicio.


2.2. Características esenciales


2.3. Modelos de servicio

Existen según el NIST 3 modelos básicos de entrega de servicio: Iaas, PaaS y SaaS.


·       El IaaS (Infraestructura como Servicio), que simplificando mucho en aras de la didáctica y no descuidar la esencia, con el perdón de los compañeros de ingeniería,  es como aprovisionar un servidor vacio que incluya únicamente el OS (Sistema Operativo).

·       El PaaS (Plataforma como Servicio), incorpora a la anterior oferta utilidades que tendrán valor si coinciden con los intereses del cliente: BB.DD. (Bases de Datos), Web Services, utilidades de programación, run-times… En IaaS todos estos complementos debe instalárselos el cliente desde Internet.

·       El SaaS (Software como Servicio), se apoya en las capas anteriores pero ya difiere conceptualmente en diversos aspectos. Con el mismo grado de simplificación anterior,  es como contratar una App (Aplicación) o conjunto de ellas, instaladas en el CLOUD. El cliente se despreocupa del servidor virtual, del sistema operativo, de la BB.DD., de instaladores. Se limita a parametrizar el software y a utilizarlo.


Existen otros modelos de entrega, pero pueden descomponerse como variaciones de los tres anteriores que son básicos.


Por citar alguno:


·       DRaaS (Data Recovery as a Service) que consiste en utilizar el CLOD COMPUTING como recuperación ante desastres. Para ampliar sobre el tema puede consultarse un artículo en este mismo Blog:



·       BPaaS (Business Proces as a Service) que consiste en llevar al CLOUD, todas las aplicaciones que dan servicio a un BP (Proceso de Negocio) completo.

En ese caso, si los llevamos todos, o si llevamos todos los servicios que ofrece TI al CLOUD, ¿Podemos estar hablando de TIaaS?

Si es así, todos los que tenemos un vínculo profesional a cualquier nivel dentro de TI en una empresa, a no ser que trabajemos en un CSP, ¿nos iremos a casa?

Se contestará por si sola, más adelante, ésta valiente y comprometida pregunta.


2.4. Modelos de despliegue

El NIST indica cuatro modelos de despliegue esenciales. Yo los hubiera dejado en tres, dado que el comunitario lo considero un caso especial del privado (compartido entre unos pocos con afinidad, como puede ser el rectorado de una universidad y sus escuelas o facultades).

Básicamente hablaremos de Cloud Privada, Cloud Pública y Cloud Híbrida.




Lo importante es entender que una Cloud Privada para serlo, no tiene que estar en un CPD ubicado necesariamente dentro de las dependencias de la empresa.


Si se utiliza la fórmula del HOUSING, que consiste en alquilar espacio dentro del CPD de un tercero (ISP), y ubicar allí la CLOUD PRIVADA de la empresa, no dejará por ello de serlo.

Será privada porque tanto la infraestructura física como la virtual, no está compartida con nadie. Es de su exclusivo uso.


Se le denomina “ON PREMISE o Internal” si está en nuestro CPD y “OFF PREMISE o External” si está en el CPD de un tercero, para beneficiarse de un entorno más protegido (Aire acondicionado redundado, alimentación eléctrica redundada y asegurada mediante SAIs y generadores autónomos, Internet de alta velocidad con alta seguridad perimetral, control de acceso físico y vigilancia 365x24. . .).


2.5. Relación entrega/pago según modelo

La comparativa entre modelos de entrega de servicios, podemos hacerla desde dos puntos de vista:


·       La forma de pago

·       La flexibilidad en la entrega


Antes de comentar la diapositiva correspondiente, es necesario entender y diferenciar dos conceptos clásicos:


·       El HOUSING, que consiste en alquilar espacio (normalmente en rack) en el CPD de un proveedor ISP o CSP, para llevar allí infraestructura física de una empresa cliente. Si dicha infraestructura física además está preparada mediante software de virtualización y configurada para soportar el modelo Cloud, hablaremos de “CLOUD PRIVADA off premise”.


·       El HOSTING, que consiste en alquilar no solo el espacio en el CPD de un proveedor de servicios, sino además los servidores físicos. Cuando no existía el modelo de Cloud Computing, era la fórmula empleada para externalizar la infraestructura y nos consta que todavía se utiliza.

El proveedor de servicios mediante compra masiva, puede conseguir un mejor precio del hardware y normalmente al ser todos los equipos de un mismo fabricante, facilitar las labores de mantenimiento y sustitución caso de avería.

Como en el caso anterior, si sobre la infraestructura física alquilada en exclusividad por una empresa, configuramos una Cloud, estamos también hablando de “CLOUD PRIVADA off premise”.



Si analizamos la forma de pago observando la figura de izquierda a derecha, vemos que tanto la CLOUD PRIVADA (con infraestructura comprada)  como en el CPD clásico, hablamos de CapEx (Costes de Adquisición). En cambio la CLOUD PÚBLICA y el HOSTING tradicional, representan nulos costes de adquisición al tratarse de “pago por uso”, hablando de OpEx (Costes de Operación).


Pero si analizamos la forma de entrega de servicios, observando la figura de abajo a arriba, vemos que en el entorno físico (CPD clásico y HOSTING tradicional) hablamos de aprovisionamiento lento, mientras que  en la Cloud privada o Pública, hablamos de autoaprovisionamiento casi instantáneo desde un portal.


3. IMPLICACIONES ORGANIZATIVAS EN GOBIERNO Y GESTIÓN


3.1. Descomposición funcional (GOB, GES, OPE, INF)


Analizaremos de entrada tres conceptos:

·       El CPD tradicional en la empresa (INSOURCING).

·       El OUTSORCING entendido como externalización de personas en TI.

·       El modelo de CLOUD PÚBLICA.


Para cada uno de ellos, se analizan cuatro aspectos, desde el punto de vista de sobre quien recae la responsabilidad :

·       Gobierno

·       Gestión

·       Operaciones o ejecución

·       Infraestructura


  

3.2. Gobierno de TI

Lo primero que llama la atención es que la primera fila horizontal está entera pintada de verde. La razón es que el GOBIERNO de TI, siempre es interno.

Perder el gobierno representa ceder el control, y si no se controla significa “libre albedrio”, que hemos “perdido” los servicios externalizados.

Desde un punto de vista más riguroso, GOBERNAR significa ASEGURAR unos OBJETIVOS en base a unos RECURSOS. En ningún lugar se indica que los recursos tengan que ser internos o externos. Por lo tanto en un entorno de Cloud Computing es la empresa cliente la que gobierna los procesos y servicios tanto internos como externalizados.


3.3. Otros análisis de la tabla cruzada.

Si analizamos la tabla por columnas, vemos que el CPD tradicional en la empresa, es el caso más sencillo. Gobierno, Gestión, Operación e  Infraestructura, todos son responsabilidad interna.


En el OUTSOURCING (Externalización de personas), Gobierno e Infraestructura son responsabilidad interna de la empresa. La operación en el ámbito o alcance de la subcontratación es responsabilidad externa del proveedor. La Gestión normalmente es responsabilidad interna (del cliente), aunque en algunos casos de outsourcing total de TI, puede transferirse bajo unas directrices claras de gobierno o ser válido todo lo que se hablará a continuación sobre Cloud Pública. Por eso aparece en la tabla de color ámbar.


En la CLOUD PÚBLICA, el Gobierno es interno de la empresa cliente. La operación es externa del CSP en el alcance o ámbito del contrato de servicios. La infraestructura es externa, al menos el CPD, aunque quedan en las sedes corporativas los terminales de usuario, LAN y terminaciones de comunicaciones. Además todos los dispositivos de usuario quizá con sus App. Por eso lo hemos pintado de color rojo con una estrecha franja verde.

Si utilizamos virtualización de escritorios (VDI) en el Cloud simultáneamente, dicha franja se hará aún más estrecha.


3.4. Gestión de TI

3.4.1. PMM o Modelo de Madurez de los Procesos

Para entender que ocurre con la Gestión en el modelo de CLOUD COMPUTING, debe recordarse que cualquier empresa que persigue la mejora continua de la calidad, debe estructurarse en base a procesos del negocio.



En la figura anterior se observa el MAPA DE PROCESOS de una empresa cualquiera.

Existe el llamado PMM (Modelo de Madurez de Procesos) que será decisivo para poder externalizar. Si estamos en niveles bajos de la escala de madurez (Inexistente, impredecible, repetible), será muy difícil tener éxito en la externalización de algunos de ellos. Si estamos a niveles altos (Definido, administrado, optimizado) afrontaremos la migración al Cloud con mejores garantías.


Y lo que hablamos para la empresa en general, lo decimos también para TI. Ambos deben estar alineados, así que su grado de madurez debería ser similar.


Si intentamos llevar servicios al Cloud con un índice de madurez bajo en los procesos que los soportan, lo más probable es que se cumpla aquella famosa cita de la era pre-industrial:

“Arrancada de caballo y parada de burro”.


Es muy difícil externalizar servicios al Cloud si TI no dispone de al menos un “Catálogo de Servicios”.  Si no conoce los servicios que ofrece o puede ofrecer a los usuarios, ¿Cómo decidirá cuales llevar al CLOUD?


Es por tanto muy conveniente que TI esté gestionada según las mejores prácticas de ITIL o amparada por una certificación en gestión de servicios (ISO 20000-1).


En la gestión “extremo a extremo”, donde se darán “relaciones de confianza” entre la gestión interna del cliente y la externa del proveedor, deben establecerse canales de comunicación que coordinen los Sistemas de Gestión de cliente y CSP. Mediante un CUADRO INTEGRAL DE MANDO o “panel de control”,  el cliente podrá analizar los KPIs (Indicadores Clave de Rendimiento) de los procesos externalizados y los LOGS que se produzcan. Muchos CSP ya tienen estandarizado un panel de control con dicha visualización que facilita la gestión al aportar transparencia.


Cuando se lleva un servicio al Cloud, recordemos que éste sigue estando soportado por varios procesos de TI. Algunos en exclusiva y otros compartidos con el resto de servicios. Los exclusivos se “transfieren”, pero los compartidos deben gestionarse “relacionados”.


3.4.2. ISO 20000-1:2011


La propia ISO 20000-1:2011, ya habla de gobierno de “procesos” operados por terceros.


Dicha introducción contempla el avance del modelo CLOUD de externalización de servicios y procesos de TI.


3.4.3. PRM de Cobit 5

Si observamos el PRM (Modelo de Referencia de Procesos) de Cobit5, vemos una clasificación en 5 apartados, de los que uno de ellos será interesante analizar:


·       Evaluate, Direct and Monitor

·       Align, Plan and Organize

·       Build, Acquire and implement

·       Deliver, Service and Support

·       Monitor, Evaluate and Assess




Concretamente el apartado de “Alinear, Planificar y Organizar”, es el que siempre estará presente en la Gestión, aunque la empresa transfiera varios de sus servicios de TI al Cloud.

Los tres controles de Gestión, pintados en color blanco, no son específicos de Cloud Computing ni siquiera de TI. Cualquier actividad empresarial debe basarse en ellos. Resulta obvio gestinar en base a la Estrategia, en base a la Arquitectura Empresarial y persiguiendo la calidad.


Para citar algunos procesos (u objetivos de control de la gestión), marcados en color amarillo en la figura:


·       AP004 (Gestionar la Innovación). La tendencia que se vislumbra es que el área de TI cada vez se dedicará mas a innovar con nuevos servicios, mientras que dedicará paulatinamente menos esfuerzo a la operación y las infraestructuras del CPD, liberada de dichas funciones por el nuevo modelo de entrega de servicios.


·       AP005 (Gestionar la cartera de servicios). Es vital gestionar la cartera global de servicios a disposición de la empresa en entornos mixtos. En ellos, el catálogo de servicios  puede estar soportado por más de un CSP, además de por la propia área de TI.


·       AP006 (Gestionar el presupuesto y los costes). En entornos de Cloud Computing, con enormes facilidades de autoaprovisionamiento, si TI no gestiona los costes asociados a la provisión de los servicios que se van contratando por los usuarios, la empresa cliente corre el riesgo de que se produzca una elevada desviación en exceso del presupuesto aprobado.

·       AP009 (Gestionar SLAs). La Gestión de los SLAs (Acuerdos de Nivel de Servicio) será sustancial en entornos de Cloud Computing para poder asegurar que el servicio contratado y el realmente ofrecido coinciden.

·       AP010 (Gestionar proveedores). La Gestión de proveedores es por esencia fundamental en los modelos externalizados. Incidiremos más adelante en el tema, basándonos en ITIL 2011.


·       AP012 y AP013 (Gestionar el riesgo y Gestionar la seguridad). Si la seguridad en base a un análisis de riesgos en la empresa es fundamental en cualquier entorno, con la externalización adquiere una mayor preponderancia. Debe gestionarse “extremo a extremo” y supervisarse directamente los procesos gestionados o, lo que es más factible, en base a certificaciones y auditorías de terceros acreditados.

3.4.4. ITIL 2011. Proceso de Gestión de Proveedores

En el libro “Service design” de ITIL 2011, encontramos un capítulo específico dedicado a la Gestión de Proveedores. Igual que decíamos en la Norma ISO 20000-1:2011, los marcos de referencia se van adaptando a la realidad de entrega de servicios externalizada en base al modelo de Cloud Computing.




El “Live motif” del proceso TI de Gestión de Proveedores es alinear los contratos con las necesidades del negocio y con los objetivos acordados en base a SLAs (Acuerdos de Nivel de Servicio) pactados a partir de los SLRs (Requerimientos de Nivel de Servicio) de la empresa que contrata.



En base a ello la Gestión de Proveedores se encargará de velar por el cumplimiento de los SLA acordados, en coordinación con el proceso de Gestión de Nivel de Servicio. En otras palabras, deberá velar de forma continuada por el “rendimiento efectivo” del proveedor.


Su misión es acordar y “gestionar los contratos” durante todo su “ciclo de vida”, que coincidirá con el ciclo de vida del servicio externalizado.





ITIL 2011 recomienda seguir una política específica para los proveedores y mantener un SCMIS (Supplier and Contract Management Information System).


Dicho sistema de información para la gestión de contratos y proveedores, con el Cloud Computing irá tomando protagonismo, al mostrarse insuficiente  la conocida CMDB con el nuevo modelo de entrega de servicios.


Como activos del negocio, no todos los servicios tienen el mismo valor e importancia para la empresa, así que su pérdida de disponibilidad  producirá un impacto distinto, que evaluaremos en base a un análisis de riesgos.



Dicho riesgo asociado a la disponibilidad de los servicios, se transfiere al CSP (Proveedor de Servicios de Cloud Computing). Por tanto es de rigor establecer una categorización de los proveedores en base a la categorización de los servicios que soportarán.


ITIL 2011 los clasifica en estratégicos, tácticos, operacionales y “commodity”.


Los criterios de selección del proveedor que soportará servicios estratégicos diferirán del CSP que simplemente soporte un servicio “commodity”.


Como curiosidad, en el modelo de representación de una empresa gestionada en busca de la calidad, ITIL añade un cuarto elemento: Los Proveedores.


Por tanto habla de Personas, Procesos, Tecnología y Proveedores. Es una tendencia que el Cloud Computing hará que cada vez su gestión sea más significativa en la empresa.


3.6. Normativa deseable en un CSP

Comentaba antes que la gestión “extremo a extremo” debe establecer “relaciones de confianza” entre la empresa que contrata y el CSP.

Dichas relaciones deben basarse en unos canales de comunicación fluidos, acceso a LOGS y KPI,s de los procesos externalizados.


Otra forma es mediante auditorías de control. Como son inviables en la práctica, ya que además violarían el principio de reserva y seguridad del CPD del CSP, la solución es transferirlas a una tercera entidad acreditada.


La fórmula consiste en solicitar al proveedor que acredite certificaciones en seguridad y calidad de los servicios que presta a sus clientes.





Pese a que existen normas ISO específicas para Cloud Computing (ISO 27017 e ISO27018), están todavía en fase de borrador y por tanto no podemos tenerlas hoy en cuenta.


Las Normas publicadas más conocidas son:


·       ISO 27001:2013 que certifica un SGSI o Sistema de Gestión de la Seguridad de la Información.

·       ISO 22301:2012 que certifica un SGCN o Sistema de Gestión de la Continuidad del Negocio.

·       ISO 20000-1:2011 que certifica un SGS o Sistema de Gestión de Servicios.


Si un CSP está certificado por las tres normas, garantiza un nivel de seguridad óptimo y la empresa cliente puede confiar en la información, procesos y servicios que le ha transferido.


Es importante averiguar el ALCANCE de las certificaciones. Citaré a modo de ejemplo que una empresa puede estar certificada conforme la ISO 20000-1 únicamente en el ámbito de un servicio, como puede ser el correo electrónico. Por tanto, debe leerse con detalle el alcance de la certificación del CSP.


Tampoco es lo mismo gestionar los servicios y la seguridad según una Norma ISO, que tener certificado nuestro SG (Sistema de Gestión) por una entidad acreditada. En el primer caso se le supone y en el segundo hay una total garantía en base a auditorías anuales de revisión y cada tres años de recertificación. 

Todo ello sin perjuicio de las auditorías internas de revisión.



NOTA DEL EDITOR. Puede ampliarse información sobre las auditorías internas en este mismo Blog:





4. MARCO JURÍDICO DE PROTECCIÓN DE DATOS


4.1. Marco jurídico español


Existen múltiples legislaciones que afectan a la seguridad de la información y más concretamente a la protección de los datos de naturaleza personal.


La generalización del modelo se entrega de servicios en la Nube, con la posibilidad de transferir los datos fuera de nuestras fronteras, hace que debamos ser cuidadosos al decidir la contratación del modelo de Cloud Computing para no incumplir la legislación y enfrentarnos a sanciones económicas y pérdida de prestigio al hacerse éstas públicas.



En España estamos bajo el paraguas de las siguientes leyes:


·       Ley Orgánica 15/1999, de 13 de diciembre, más conocida como la LOPD.

·       Asociado a ella está el Real Decreto 1720/2007, de 21 de diciembre, conocido como RLOPD ya que es su reglamento de aplicación.

·       Si (resumiendo mucho) utilizamos una página web para comercio electrónico y/o el e-mail para fines publicitarios, está la Ley 34/2002, de 11 de Julio, que conocemos por LSSI-CE (Ley de Servicios de la Sociedad de la Información y el Comercio Electrónico.

·       La Directiva de la Unión Europea 95/46/CE, de 24 de Octubre.


·       Dado que la protección de datos personales es un derecho fundamental de la persona, el CP (Código Penal) según la Ley Orgánica 10/1995, de 23 de Noviembre, tipificado en los artículos 197, 198 y 199.


En el caso de AA.PP. (Administraciones Públicas), en relación a la seguridad de la información y como regulación, tenemos el ENS (Esquema Nacional de Seguridad) y el ENI (Esquema Nacional de Interoperabilidad).


4.2. Actores que intervienen según LOPD y RLOPD


La LOPD y el RLOPD consideran los siguientes actores en relación a la protección de datos de naturaleza personal:



En relación al CLOUD COMPUTING, la empresa que contrata los servicios es la “Responsable del Fichero” y el CSP (Proveedor de Servicios de Cloud) es el “Encargado del Tratamiento”.


Es importante destacar el último párrafo de la diapositiva, donde se indica que EN TODOS LOS CASOS que exista un tratamiento por encargo de los datos responsabilidad de un “Responsable del Fichero” por parte de un tercero “Encargado del Tratamiento”, debe de existir un contrato que los vincule y delimite el ámbito de actuación del subcontratado.


4.3. Implicaciones LOPD según ubicación geográfica del CPD que soporta el CLOUD


Como se sabe, los datos que llevamos al Cloud, no están flotando entre las nubes, sino en CPDs en tierra firme, en cualquier lugar concreto del mundo.


Eso significa que estarán sujetos por una parte a la legislación donde se ubica la empresa que contrata los servicios de Cloud, y por otro a la legislación del país donde se ubica el CPD del CSP.




A modo de resumen, analizaremos en la tabla anterior como afecta a un “Responsable del Fichero” o empresa española que contrata los servicios de Cloud, la ubicación del CPD que contendrá sus datos de naturaleza personal:


·       Si el CPD del Cloud está ubicado en España, y existe contrato de acceso a datos, no hay que hacer nada.

·       Si el CPD del Cloud está ubicado en el EEE (Espacio Económico Europeo), y también existe contrato de acceso a datos, tampoco hay que hacer nada.

·       Si el CPD del Cloud está ubicado en un tercer país, pero de los considerados con nivel de seguridad equiparable por la UE y la AEPD (Agencia Española de Protección de Datos), además de firmar el contrato específico de acceso a datos, debe de informarse a la AEPD que hacemos una transferencia internacional de datos, pero nada más.

·       Si el CPD del Cloud está ubicado en cualquier otro país, además de firmar el contrato específico de acceso a datos, debe solicitarse previamente permiso de la transferencia internacional de datos al director de la AEPD, con resultado incierto.


Hay que distinguir la Razón Social del CSP, que puede estar ubicada en cualquier país del mundo, y el CPD de los varios que puede tener, donde la empresa cliente elige ubicar sus datos. Un ejemplo puede ser una empresa de USA, que dispone de un CPD en Alemania y es el que el cliente elige. En dicho caso se considerará una cesión de datos a la UE en vez de una transferencia internacional de datos a USA.


4.4. Ejemplos de sanciones


La AEPD dispone de un régimen sancionador, que le da fuerza para velar por el cumplimiento del derecho fundamental de las personas a la protección de sus datos de naturaleza personal.


Las sanciones se dividen en Leves, Graves y Muy Graves.

A modo de ejemplo, citaremos:




El hecho de que enviemos y almacenemos de forma cifrada la información en el Cloud, no exime del cumplimiento de la legislación vigente en materia de protección de datos.





NOTA DEL EDITOR. Para ampliar aspectos de legislación, pude consultarse el siguiente artículo en este mismo Blog:





5. CLÁUSULAS CONTRACTUALES EN EL CLOUD


El CLOUD COMPUTING representa un cambio respecto al modelo tradicional de entrega de servicios de TI. Una parte importante del éxito de la migración hacia él, es la formalización del contrato o contratos (prestación de servicios, acceso a datos personales, etc.) entre el CSP (Cloud Services Provider) y la empresa cliente.

Dicho contrato acompañará durante todo el ciclo de vida del servicio o servicios migrados al Cloud.


5.1. Según CSA (Cloud Security Alliance)







5.1.1. Confidencialidad
Dicha cláusula asegura que únicamente accederán a la información que se lleve al CLOUD, aquellos que sean autorizados por la empresa cliente. Evita que nuestra información se propague por el mundo.


5.1.2. Propiedad intelectual
Asegura que todo lo que la empresa cliente mueva hacia el CLOUD, es de su exclusiva propiedad. El CSP o proveedor de servicios de Cloud, no tiene ningún derecho sobre ella pese a estar utilizando su plataforma. Al finalizar el contrato deberá devolvérsela al cliente en un formato estándar preestablecido y durante un tiempo determinado estar disponible para que éste la pueda transferir  a otro CSP, a una Cloud privada o donde desee.


5.1.3. Responsabilidad
La empresa cliente debe asegurarse que el CSP no excluya su responsabilidad ante una divergencia entre el servicio contratado y el realmente ofrecido.


5.1.4. Resolución anticipada
Dicha cláusula permitirá al cliente poder rescindir el contrato suscrito con el CSP, ante cualquier incumplimiento reiterado de los compromisos contractuales o de los SLAs.


5.1.5. Privacidad y Protección de Datos
Debe informarse al CSP que la empresa cliente llevará al Cloud datos de naturaleza personal, para que éste pueda aplicar en ellos las medidas de seguridad adecuadas a la legislación aplicable.


5.1.6. Ley aplicable y jurisdicción
Los CPD donde se almacena nuestra información en el Cloud, no están volando entre las nubes, sino en tierra firme dentro de las fronteras de estados. Las sedes sociales del CSP también. Ello significa que los datos y los contratos estarán sujetos a diferente legislación. Caso de divergencias, debe quedar claro en que tribunales se dirimirán.


5.1.7. Auditabilidad.
Hay legislación en materia de protección de datos, como la española, que obliga al Responsable del Tratamiento a asegurarse que el Encargado del Tratamiento cumple las medidas de seguridad exigibles por el Reglamento de aplicación.
En algunos casos debido a la lejanía geográfica resulta inviable. Entonces debe intentarse al menos conseguir un certificado emitido por una tercera entidad certificadora acreditada, conforme cumple con las medidas necesarias de seguridad de la información.


5.1.8. Seguridad.
La finalidad de ésta cláusula es garantizar que se cumplan los tres atributos básicos de la información:

·       DISPONIBILIDAD: Garantizar que la información esté disponible y se pueda usar cuando se necesite.

·       CONFIDENCIALIDAD: Garantizar que la información esté disponible exclusivamente para personas autorizadas.

·       INTEGRIDAD: Garantizar que la información sea completa, precisa y protegida contra cambios no autorizados.


5.1.9. Acuerdos de Nivel de Servicio (SLAs).
Normalmente vienen como anexos al contrato y suele haber uno para cada servicio migrado al Cloud.


5.2. Según Thomas Trappler




5.2.1. Change of Control
Thomas Trappler, un experto en contratación en entornos de Cloud Computing, además de coincidir en el resto de cláusulas, añade una nueva referente al Cambio de Control.

Se refiere a prever la posibilidad de que el CSP sea comprado, absorbido, se fusione o cambie la Dirección de la empresa. En dicho caso ésta cláusula debe garantizarnos que el nuevo gestor nos mantenga las mismas condiciones del servicio o nos de la posibilidad de rescindir el contrato.



5.3. Según ENISA


  

5.3.1. Cadenas de subcontratación.
Además de coincidir con el resto de cláusulas, ENISA habla de las cadenas de subcontratación y su implicación en la protección de datos de naturaleza personal.

La subcontratación se da cuando un CSP subcontrata en otro y así sucesivamente constituyendo contrataciones en cadena donde a partir de un momento determinado pueden salir nuestros datos fuera de la Unión Europea, pese a haber contratado con un proveedor de allí, con el consiguiente incumplimiento legal.

Un ejemplo típico es contratar SaaS a un CSP  desarrollador de software y este a falta de infraestructura propia, la subcontrata a otro CSP en modalidad de IaaS o PaaS.







NOTA DEL EDITOR. Una amplia y detallada información del significado e implicaciones de cada una de las diferentes cláusulas contractuales, puede onsultarse en éste mismo Blog, en el artículo titulado:




5.4. Decisión de la Comisión 2010/87/UE

En el Diario Oficial de la Unión Europea, se publicó la Decisión de la Comisión 2010/87/UE, de 5 de Febrero, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los “Encargados del Tratamiento” (Como CSPs)  establecidos en terceros países, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo.

  

Dicha Decisión contiene:
·       Definiciones
·       Detalles de la transferencia
·       Cláusula de tercero beneficiario
·       Obligaciones del exportador de datos
·       Obligaciones del importador de datos
·       Responsabilidad
·       Mediación y jurisdicción
·       Cooperación con las Autoridades de Control
·       Legislación aplicable
·       Variación del contrato
·       Sub-tratamiento de datos
·       Obligaciones una vez finalizada la prestación de los servicios de tratamiento de los datos personales.


5.5. ITIL 2011: Underpinning Contracts

En la página 210 del libro “Diseño del Servicio” de ITIL 2011, en el apartado referente a “Supplier Management”, encontramos en “Underpinning Contracts and agreements”, una  relación de cláusulas contractuales, que si bien son de uso general en cualquier proveedor, tienen su interés.



Llama la atención un pequeño recuadro resaltado al final de la página, donde dice textualmente:


“Busque asesoramiento legal cuando formalice acuerdos con suministradores externos”.


Es un buen consejo de las “mejores prácticas” de ITIL.


6. CONCLUSIONES FINALES




·       El GOBIERNO Y la GESTIÓN permanecen bajo la responsabilidad de la empresa cliente, aunque transfiera la mayoría de sus servicios o procesos de negocio al Cloud.


·       De OPERACIONES E INFRAESTRUCTURA no me atrevería a decir lo mismo. A medida que aumente la implantación del modelo Cloud, todo parece prever qué irán perdiendo alcance.


·       El índice de madurez de los procesos de TI, será determinante para asegurar una migración exitosa al modelo de entrega de servicios basado en el Cloud Computing.

Para ello el emplear las “mejores prácticas” de gestión tipo ITIL 2011, de Gobierno tipo Cobit 5, o bien que la empresa esté certificada en gestión de servicios mediante la Norma ISO 20000-1:2011, serán una garantía de madurez y por tanto de éxito.


·       Exigir certificaciones al CSP, es una garantía que nuestros datos, procesos y servicios transferidos al Cloud estarán seguros. Las Normas ISO 27001:2008, ISO 22301:2012 e ISO 20000-1:2011 con sus auditorías obligatorias de seguimiento, pueden ayudar.


·       La protección de datos de naturaleza personal, debe tenerse en cuenta debido a la mucha legislación aplicable en base al derecho fundamental de las personas que busca preservar. La ubicación geográfica del CPD del proveedor de servicios de Cloud, será decisiva.


·       Las Cláusulas Contractuales, nos acompañarán durante todo el ciclo de vida del servicio transferido al Cloud. Serán nuestra única garantía si en algún momento surge una discrepancia en relación al servicio contratado.


·       Una contratación adecuada, es aquella que recoge tres documentos diferentes:

o   El contrato de prestación del servicio, con sus cláusulas.

o   El contrato de acceso a datos de naturaleza personal.

o   Un anexo formado por los diferentes SLAs, a ser posible indicando los KPIs relevantes a proporcionar por parte del CSP, con sus valores pactados.

Y como terminé en la ponencia, también aquí lo haré con un dicho marinero:


“Al mar hay que tenerle respeto, pero nunca miedo, ya que puede proporcionarnos multitud de oportunidades”


Solo hay que sustituir la palabra “mar” por “Cloud Computing”.




Agradezco a Margarita Pardo de Santayana C., quién me animó a presentar la ponencia al Congreso Nacional, así como a la organización de itsmf España que la seleccionó. 



7. DERECHOS DE AUTOR




Imágenes bajo licencia 123RF internacional. La licencia únicamente es válida para su publicación en este blog. Diapositivas creadas por el autor.





La presente obra y su título están protegidos por el derecho de autor. Las denominadas obras derivadas, es decir, aquellas que son el resultado de la transformación de ésta para generar otras basadas en ella, también se ven afectadas por dicho derecho.



Sobre el autor:



José Luis Colom Planas Posee un doble perfil, jurídico y técnico, que le facilita el desempeño profesional en el ámbito de los diferentes marcos normativos, especialmente del Derecho de las nuevas tecnologías y las normas ISO de adscripción voluntaria.

A nivel de especialización jurídica, ha realizado el postgrado de Especialista Universitario en Protección de Datos y Privacidad en la Facultad de Derecho de la Universidad de Murcia, disponiendo de la certificación  CDPP (Certified Data Privacy Professional) del ISMS Fórum Spain. También ha cursado el programa superior de Compliance Officer (Controller jurídico) en la Escuela Legal WKE y se ha especializado respecto a los delitos de blanqueo de capitales en la UOC, en colaboración con el Ilustre Colegio de Abogados de Barcelona (ICAB). Es experto externo en prevención de blanqueo de capitales, certificado por INBLAC e inscrito en el SEPBLAC.

A nivel de especialización técnica y organizativa, ha cursado Ingeniería técnica de Telecomunicaciones en “la Salle BCN” estando adscrito a la AEGITT (Asociación Española de Graduados e Ingenieros Técnicos de Telecomunicación). Es Auditor e Implantador de SGSI (Gestión de la Seguridad de la Información) por AENOR (Asociación Española de Certificación y Normalización). Leader Auditor & Implanter ISO 27001 e ISO 22301 by BSI (British Standards Institution). Auditor del esquema de certificación STAR para prestadores de servicios de Cloud Computing (BSI + Cloud Security Alliance). Ha obtenido la certificación internacional CISA (Certified Information Systems Auditor) by ISACA (Information Systems Audit and Control Association). Dispone de las certificaciones ISO 20000 PMI (Process Management Improvement) e ITIL Service Management by EXIN (Examination Institute for Information Science).

Desempeña su labor profesional en GOVERTIS Advisory Services cómo Compliance, Management & IT Advisor, incidiendo en Compliance Penal, PBCyFT, asesoramiento respecto a cumplimiento normativo, privacidad  y gestión de la seguridad de la información.  Ha participado como lead implementer y lead auditor de diferentes sistemas de gestión basados en Normas ISO, individuales o integrados, y en la optimización de sus procesos. Ha realizado diferentes niveles de auditorías de cumplimiento legal ya sea para organizaciones sujetas a Derecho público o privado.

También colabora con BSI como auditor jefe de certificación e impartiendo formación para la obtención de la certificación de lead auditor, en diferentes marcos normativos. A partir de su dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.

Convencido del valor que aportan las organizaciones profesionales, es asociado sénior de la APEP (Asociación Profesional Española de Privacidad), miembro de ISACA (Information Systems Audit and Control Association), miembro de ISMS Forum Spain (Asociación Española para el Fomento de la Seguridad de la Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación de Técnicos de Informática), ENATIC (Asociación de expertos nacionales de la abogacía TIC), CUMPLEN (Asociación de Profesionales de Cumplimiento Normativo) y   asociado de INBLAC (Instituto de expertos en prevención del Blanqueo de Capitales),  habiendo sido ponente o colaborado en casi todas las referidas organizaciones. También lo es de la iniciativa del Observatorio Iberoamericano de Protección de Datos (OIPRODAT) habiendo obtenido, junto a algunos colaboradores del mismo, un premio compartido otorgado por la AEPD.






1 comentario:

  1. En efecto, se quedaron muchas cosas en el tintero, gracias por la publicación de la ponencia completa, es muy interesante.

    ResponderEliminar