Lineamientos para uso de Servicios en la Nube para Entidades de la Administración Pública.

En el Perú, por Resolución de Secretaría de Gobierno Digital N° 001-2018-PCM/SEGDI publicada el 12 de Enero de 2018, se han aprobado los lineamientos para Uso de Servicios en la Nube para Entidades de la Administración Pública del Estado Peruano. Por su importancia y actualidad, publicamos esta breve reseña en el presente Blog Académico.

 Finalidad

Los Lineamientos para Uso de Servicios en la Nube son un conjunto de medidas, preceptos y recomendaciones que deben tener en cuenta las Entidades de la Administración Pública, y el cual está basado en estándares técnicos y recomendaciones de organismos internacionales como la Organización para la Cooperación y Desarrollo Económico (OCDE), y en la experiencia de otros países; todo ello con la finalidad de dotar de un instrumento para que puedan acceder a los beneficios de usar servicios en la Nube.

Principios

Los presentes lineamientos se interpretan según los siguientes principios: a) Impulsar la transformación digital del país. b) Facilitar un mejor acceso de servicios a las personas. c) Respetar las jurisdicciones de otros países. d) Los presentes lineamientos contienen recomendaciones generales y sugerencias, con un carácter orientador y, por ende no impone obligaciones, dejando a salvo lo previsto por los respectivos marcos regulatorios nacionales que resulten aplicables en cada caso.

Características de los Servicios en la Nube

Una característica principal de los servicios en la nube es la accesibilidad de la información. Este modelo de servicio facilita el acceso, con independencia del lugar o el tipo de dispositivo que se emplee: basta tener acceso a la red, aunque el uso de estos servicios implica habitualmente la necesidad de disponer de conexiones con una capacidad significativa. Otra característica significativa es el ahorro económico; generalmente el modelo de servicios en la Nube permite reducir costes a las entidades y organizaciones con respecto al modelo de servicio y alojamiento tradicional, debido al ahorro de hardware, mantenimiento, personal, suministros, espacios, instalaciones, entre otros.  Por otro lado, los servicios en la nube se caracterizan   por la deslocalización de los datos, entendida esta como una principal ventaja y donde el usuario o clientes de los proveedores de servicios en la nube pueden llevar los datos y los procesos al lugar más conveniente para la entidad u organización, empero manteniendo el control de acceso independientemente de donde se encuentren los datos.

Modelos de despliegue y Categorías de Servicio.

Los modelos de despliegue son los siguientes: a) Nube Pública. b) Nube Privada. c) Nube Hibrida. D) Nube Comunitaria.  Las categorías de servicio son: i) Infraestructura como Servicio. ii) Plataforma como servicio. iii) Software como servicio.

 Requisitos en materia de seguridad de la información

En lo relacionado con el cumplimiento de requisitos de seguridad, el modo de afrontar dicho cumplimiento normativo difiere en función de que la infraestructura  en la nube sea propiedad y esté administrada por un tercero o lo esté por la propia entidad pública. La responsabilidad del cumplimiento del marco normativo o de cualquier norma de aplicación, así como el correcto tratamiento de los datos en términos generales desde el punto de vista de seguridad, recaerá siempre sobre la entidad pública propietaria de la información, con independencia de la existencia de acuerdos, seguros u otras medidas compensatorias.

Es importante recordar que la gestión de seguridad de los servicios en la nube, que se contraten en las entidades de la Administración Pública, son una responsabilidad compartida entre la entidad contratante y el proveedor de servicios en la nube, donde la primera define los controles de seguridad, mientras que el proveedor de servicios en la nube es responsable de la seguridad en la nube. Por tanto, la entidad de la Administración Pública que contrate servicios en la nube habrá de considerar lo siguiente: a) Disponer una política de seguridad de la información, controles y proceso de gestión de riegos. b) Observar la Directiva de Seguridad en el ámbito de la Protección de Datos Personales. c) Disponer un Acuerdo de Nivel de Servicio con el proveedor de servicios en la Nube. d) requerir al proveedor de servicios en la Nube un Certificado de Seguridad de la Información ampliamente reconocido y basado en estándares internacionales. E) Requerir al proveedor de servicios en la nube, el manejo de protocolos de cifrado que se basen en estándares y algoritmos aceptados y aprobados por la industria.

Requisitos en materia de protección de datos personales

En la medida que en la prestación de servicio en la nube se alberguen datos personales se cumplirá lo establecido por la Ley de Protección de Datos Personales Ley 29733, su reglamento, normas modificatorias y complementarias. Las Entidades de la Administración Pública que opten por servicios en la Nube estudiarán con detalle  qué tipo de datos personales son susceptibles de ser transferidos a dichos servicios de conformidad con la legislación de la materia.

Previamente al proceso de contratación de algún servicio en la nube, se identificarán al responsable del tratamiento, al encargado de tratamiento y sus interacciones con el fin de determinar cuál es el responsable de cumplir con las normas de protección de datos personales, y así definir como pueden ejercer los administrados sus derechos, cual es la legislación nacional aplicable y cuál es la eficacia con la que la Autoridad Nacional de Protección de Datos puede operar.

Otros Temas

Entre los otros temas incluidos en los Lineamientos materia de comentario, tenemos el de contratación de servicios en la nube por parte de las entidades de la Administración Pública y un tercero. Para lo cual, se precisa la necesidad de considerar los principios a que se refiere la Ley de Contrataciones del Estado, modificada por Decreto Legislativo N° 1341, como son: libertad y concurrencia; igualdad de trato; transparencia; publicidad; competencia;  eficacia y eficiencia; vigencia tecnológica; sostenibilidad ambiental y social; equidad, integridad.

Finalmente, se incluye el tema de operación, con el seguimiento del servicio, la gestión de la continuidad , la gestión del cambio, la gestión de incidentes, la finalización del servicio, la supervisión y auditoría .

Comentarios

La propuesta  de “Lineamientos para el uso de Servicios en la Nube para Entidades de la Administración Pública del Estado Peruano”, aprobada por la Secretaria de Gobierno Digital (SEGDI) de la PCM, por la norma en comentario  que es reseñada en sus aspectos principales,  fue socializada con los miembros del Comité de Coordinación Interinstitucional de Informática (CCOII), así como a través de reuniones de los representantes del sector público y privado, quienes hicieron llegar sus aportes y comentarios, por lo que se obtuvo un documento consensuado por los principales actores en este ámbito. Por otra parte, hay que tener en cuenta que la OCDE ha señalado en el documento OECD (2014) “Digital Economy Papers N° 240 – Cloud Computing: The concept, Impacts and Role of Govermment Policy”, consultado en http://dx.doi.org/10.1787/5ixzf4lcc715-en , en el que refiriéndose al rol y política de gobierno, ha señalado que: “los gobiernos son usuarios importantes de la Infraestructura de TI y con la computación en la nube tiene el potencial de reducir significativamente los costos y puede aumentar la eficiencia energética…”. Felicitamos a la Secretaria de Gobierno Digital por el esfuerzo y trabajo realizado, en la elaboración de los lineamientos para el uso de los Servicios en la Nube. Cordialmente, Dr. Julio Núñez Ponce. Experto en Derecho Informático. Consultor. Profesor Universitario. Email: julionunezponce@gmail.com