En el Perú, por Resolución de
Secretaría de Gobierno Digital N° 001-2018-PCM/SEGDI publicada el 12 de Enero
de 2018, se han aprobado los lineamientos para Uso de Servicios en la Nube para
Entidades de la Administración Pública del Estado Peruano. Por su importancia y
actualidad, publicamos esta breve reseña en el presente Blog Académico.
Finalidad
Los Lineamientos para Uso de
Servicios en la Nube son un conjunto de medidas, preceptos y recomendaciones
que deben tener en cuenta las Entidades de la Administración Pública, y el cual
está basado en estándares técnicos y recomendaciones de organismos
internacionales como la Organización para la Cooperación y Desarrollo Económico
(OCDE), y en la experiencia de otros países; todo ello con la finalidad de
dotar de un instrumento para que puedan acceder a los beneficios de usar
servicios en la Nube.
Principios
Los presentes lineamientos se
interpretan según los siguientes principios: a) Impulsar la transformación
digital del país. b) Facilitar un mejor acceso de servicios a las personas. c) Respetar
las jurisdicciones de otros países. d) Los presentes lineamientos contienen
recomendaciones generales y sugerencias, con un carácter orientador y, por ende
no impone obligaciones, dejando a salvo lo previsto por los respectivos marcos
regulatorios nacionales que resulten aplicables en cada caso.
Características de los Servicios en la Nube
Una característica principal de
los servicios en la nube es la accesibilidad de la información. Este modelo de
servicio facilita el acceso, con independencia del lugar o el tipo de
dispositivo que se emplee: basta tener acceso a la red, aunque el uso de estos
servicios implica habitualmente la necesidad de disponer de conexiones con una
capacidad significativa. Otra característica significativa es el ahorro
económico; generalmente el modelo de servicios en la Nube permite reducir
costes a las entidades y organizaciones con respecto al modelo de servicio y
alojamiento tradicional, debido al ahorro de hardware, mantenimiento, personal,
suministros, espacios, instalaciones, entre otros. Por otro lado, los servicios en la nube se
caracterizan por la deslocalización de
los datos, entendida esta como una principal ventaja y donde el usuario o
clientes de los proveedores de servicios en la nube pueden llevar los datos y
los procesos al lugar más conveniente para la entidad u organización, empero
manteniendo el control de acceso independientemente de donde se encuentren los
datos.
Modelos de despliegue y Categorías de Servicio.
Los modelos de despliegue son los
siguientes: a) Nube Pública. b) Nube Privada. c) Nube Hibrida. D) Nube
Comunitaria. Las categorías de servicio
son: i) Infraestructura como Servicio. ii) Plataforma como servicio. iii)
Software como servicio.
Requisitos
en materia de seguridad de la información
En lo relacionado con el
cumplimiento de requisitos de seguridad, el modo de afrontar dicho cumplimiento
normativo difiere en función de que la infraestructura en la nube sea propiedad y esté administrada
por un tercero o lo esté por la propia entidad pública. La responsabilidad del
cumplimiento del marco normativo o de cualquier norma de aplicación, así como
el correcto tratamiento de los datos en términos generales desde el punto de
vista de seguridad, recaerá siempre sobre la entidad pública propietaria de la
información, con independencia de la existencia de acuerdos, seguros u otras
medidas compensatorias.
Es importante recordar que la
gestión de seguridad de los servicios en la nube, que se contraten en las
entidades de la Administración Pública, son una responsabilidad compartida entre
la entidad contratante y el proveedor de servicios en la nube, donde la primera
define los controles de seguridad, mientras que el proveedor de servicios en la
nube es responsable de la seguridad en la nube. Por tanto, la entidad de la
Administración Pública que contrate servicios en la nube habrá de considerar lo
siguiente: a) Disponer una política de seguridad de la información, controles y
proceso de gestión de riegos. b) Observar la Directiva de Seguridad en el
ámbito de la Protección de Datos Personales. c) Disponer un Acuerdo de Nivel de
Servicio con el proveedor de servicios en la Nube. d) requerir al proveedor de
servicios en la Nube un Certificado de Seguridad de la Información ampliamente
reconocido y basado en estándares internacionales. E) Requerir al proveedor de
servicios en la nube, el manejo de protocolos de cifrado que se basen en
estándares y algoritmos aceptados y aprobados por la industria.
Requisitos en materia de protección de datos personales
En la medida que en la prestación
de servicio en la nube se alberguen datos personales se cumplirá lo establecido
por la Ley de Protección de Datos Personales Ley 29733, su reglamento, normas
modificatorias y complementarias. Las Entidades de la Administración Pública
que opten por servicios en la Nube estudiarán con detalle qué tipo de datos personales son susceptibles
de ser transferidos a dichos servicios de conformidad con la legislación de la
materia.
Previamente al proceso de
contratación de algún servicio en la nube, se identificarán al responsable del
tratamiento, al encargado de tratamiento y sus interacciones con el fin de
determinar cuál es el responsable de cumplir con las normas de protección de
datos personales, y así definir como pueden ejercer los administrados sus
derechos, cual es la legislación nacional aplicable y cuál es la eficacia con
la que la Autoridad Nacional de Protección de Datos puede operar.
Otros Temas
Entre los otros temas incluidos
en los Lineamientos materia de comentario, tenemos el de contratación de
servicios en la nube por parte de las entidades de la Administración Pública y
un tercero. Para lo cual, se precisa la necesidad de considerar los principios
a que se refiere la Ley de Contrataciones del Estado, modificada por Decreto
Legislativo N° 1341, como son: libertad y concurrencia; igualdad de trato;
transparencia; publicidad; competencia;
eficacia y eficiencia; vigencia tecnológica; sostenibilidad ambiental y
social; equidad, integridad.
Finalmente, se incluye el tema de
operación, con el seguimiento del servicio, la gestión de la continuidad , la
gestión del cambio, la gestión de incidentes, la finalización del servicio, la
supervisión y auditoría .
Comentarios
La propuesta de “Lineamientos para el uso de Servicios en
la Nube para Entidades de la Administración Pública del Estado Peruano”,
aprobada por la Secretaria de Gobierno Digital (SEGDI) de la PCM, por la norma
en comentario que es reseñada en sus
aspectos principales, fue socializada
con los miembros del Comité de Coordinación Interinstitucional de Informática
(CCOII), así como a través de reuniones de los representantes del sector
público y privado, quienes hicieron llegar sus aportes y comentarios, por lo
que se obtuvo un documento consensuado por los principales actores en este
ámbito. Por otra parte, hay que tener en cuenta que la OCDE ha señalado en el
documento OECD (2014) “Digital Economy Papers N° 240 – Cloud Computing: The
concept, Impacts and Role of Govermment Policy”, consultado en
http://dx.doi.org/10.1787/5ixzf4lcc715-en
, en el que refiriéndose al rol y política de gobierno, ha señalado que: “los
gobiernos son usuarios importantes de la Infraestructura de TI y con la computación
en la nube tiene el potencial de reducir significativamente los costos y puede
aumentar la eficiencia energética…”. Felicitamos a la Secretaria de Gobierno
Digital por el esfuerzo y trabajo realizado, en la elaboración de los
lineamientos para el uso de los Servicios en la Nube. Cordialmente, Dr. Julio
Núñez Ponce. Experto en Derecho Informático. Consultor. Profesor Universitario.
Email:
julionunezponce@gmail.com
Etiquetas: Ciberespacio, Ciberseguridad, Computaciòn en la Nube, Contratación, Datos Personales, Gobierno Electrónico, Seguridad Informática, Sociedad de Gobierno Abierto