Foro 2
Hoy en día las organizaciones del sector público siguen teniendo una preocupación
legítima por la seguridad de sus datos, por lo que algunos gobiernos han llegado a
establecer a los Proveedores de Servicios de Comunicaciones (PSC) como requisito de
que todo contenido de los clientes procesado y almacenado en un sistema de TI,
permanezca dentro de las fronteras del país, con el afán de brindar una capa adicional de
seguridad.
Dicho lo anterior pasaré a abordar las cuestiones siguientes:
o ¿Cuáles son los retos para la adecuada administración de estas soluciones?
Los proveedores de Cloud Computing diseñan, operan y mantienen ofrecimientos que
permiten a clientes de diferentes sectores (comercial, público, regulado), abordar algunos
de los riesgos de seguridad y vulnerabilidades predominantes. Los clientes confían en los
ofrecimientos, para que apliquen prácticas de seguridad que sean dinámicas y respondan
ante amenazas en tiempo real, mejorando así drásticamente la seguridad de cada cliente.
Por su parte, los proveedores tienen los incentivos adecuados para mantener una
ciberseguridad de clase mundial dado que se enfrentarían a consecuencias sustanciales a
largo plazo, tales como las repercusiones asociadas a un sistema en peligro, la pérdida de
confianza de los clientes y el daño a la marca. En otras palabras, la seguridad de primer
nivel es requerida para el éxito de un PSC. La seguridad tiene que estar totalmente
integrada en el diseño, el desarrollo y las operaciones de los Servicios en la Nube. La
protección a la seguridad de los datos del gobierno y la infraestructura de TI y la
privacidad de los ciudadanos deben abordarse con planes nacionales de ciberseguridad
sólidos y un marco legal y normativo moderno para la economía digital. El Cloud
Computing es un recurso adicional a disposición de los gobiernos para lograr este objetivo
de política. La transición hacia el Cloud Computing debe ser estable, confiable y segura,
que genere confianza a los usuarios de los distintos servicios, es por esto que los
gobiernos a nivel internacional están considerando a la ciberseguridad como parte de su
estrategia nacional, con la intención de generar políticas públicas que ayuden a generar
un entorno de adopción fiable y seguro. Diferentes aspectos de seguridad han sido
cubiertos por estándares de distintas organizaciones y en el caso específico de los
servicios en la nube tenemos el marco de seguridad ITU-T X.1601, que permite analizar
los riesgos y amenazas en el entorno de Cloud Computing, así como describe medidas de
1
�seguridad que pueden atender dichas amenazas y resolver retos de seguridad y
privacidad.
Derivado de que gran parte de la información y los servicios que son brindados en los
países a través de infraestructuras críticas están adoptando Cloud Computing, la creación
de legislación para la protección de estas infraestructuras se vuelve prioritario, sin
embargo, un tema que presenta un área de oportunidad es la armonización de esta
legislación, ya que si bien se están generando políticas para atender la ciberseguridad,
estas tienden a tipificar los distintos ataques, ataques que pueden o no ser considerados
graves en las distintas legislaciones, lo que genera incertidumbre sobre las acciones a
generar para minimizar estas incidencias.
Aunado a ello, pasaremos a lo siguiente:
o ¿Cuál es la mejor manera de integrar, administrar y monitorear estas soluciones?
Para lograr integrar, administrar y monitorear estas políticas públicas, se requiere de gran
participación de los países, así como de reportar y compartir la información sobre los
ataques recibidos de manera oportuna. Asimismo, para una efectiva implementación de la
legislación se requiere del cumplimiento, certificación y verificación de la misma.
Política de Cloud First: Una política de Cloud-First requiere que las agencias
gubernamentales utilicen los servicios comerciales en la nube como el habilitador principal
para la modernización de TI. Los Proveedores de Servicios en la Nube ahora facilitan que
los clientes gubernamentales se alejen del modelo de gastos de capital (CapEx) de
comprar y poseer activos físicos de TI que se deprecian. En cambio, las agencias pueden
asignar sus presupuestos de TI para gastos operativos (OpEx) para cubrir solo los
servicios que utilizan, al tiempo que evitan la 'deuda tecnológica' tradicional relacionada
con CapEx al tener acceso a pedido a productos y servicios de TI de vanguardia. Una
política de Cloud-First bien diseñada conduce a ahorros de costos, brinda mayor
seguridad que las soluciones locales, permite la flexibilidad para que las entidades
gubernamentales ajusten el uso y aumenta los esfuerzos para el desarrollo y la
transparencia de la fuerza laboral.
2
�Promoción de las políticas Cloud First: Los gobiernos emiten una declaración de
política con una directiva procesable, incluidos los horarios, que crea un marco para la
implementación de tecnologías en la nube, asigna las funciones y responsabilidades de
las entidades gubernamentales y los PSC y establece un canal de adquisición diseñado
para obtener todos los beneficios de las tecnologías en la nube. Una vez que los
gobiernos han establecido políticas e infraestructura para Cloud First, sus profesionales
de TI pueden diseñar soluciones “nacidas en la nube” o “nativas de la nube”.
Acreditación, cumplimiento y seguridad en la nube: Los gobiernos utilizan los
sistemas de acreditación nacionales e internacionales enfocados en la nube para evaluar
a los PSC (en lugar de crear sus propios programas de certificación únicos) y aprovechar
el modelo de responsabilidad compartida para la seguridad en la nube.
Clasificación de datos: Los gobiernos clasifican sus datos en función de su nivel de
sensibilidad y luego gestionan cada segmento de manera congruente con su nivel de
sensibilidad.
Privacidad y control de datos: Los gobiernos establecen y/o adoptan políticas
complementarias de seguridad y procesamiento de datos y privacidad para respaldar una
transición exitosa a la nube.
Contratación y adquisición en la nube: Los gobiernos diseñan e instituyen un canal de
contratación en la nube que las agencias pueden utilizar para obtener todos los beneficios
de la nube, con términos y condiciones centrados en la nube, precios, gobernanza y
seguridad. Los contratos de adquisición reconocen el modelo de pago por uso de la
computación en la nube comercial y el papel de los socios y revendedores de los PSC en
el modelo de entrega en la nube.
Por lo tanto el modelo de prestación de servicios en la nube tiene importantes
implicaciones legales que deben tenerse en cuenta. Además, estas implicaciones son uno
de los principales motivos por los cuales los clientes (tanto particulares como empresas),
se replantean si es conveniente dar el salto a este tipo de servicios.
Referencias.
3
�Management Solutions (2012). “La nube: oportunidades y retos para los integrantes de la
cadena de valor”. Recuperado de
https://www.managementsolutions.com/sites/default/files/publicaciones/esp/La-nube.pdf
Estudio de Cloud Computing en México. Instituto Federal de Telecomunicaciones.
Recuperado de http://www.ift.org.mx/sites/default/files/dgci.estudio-cloud.computing.pdf
4
�Replica
Si bien es cierto los servicios en la nube están revolucionando el modo en el que las
organizaciones implementan su infraestructura de Tecnologías de la Información (TI).
Este cambio ofrece oportunidades para todos los agentes involucrados, tanto en el sector
de Internet como en los proveedores de sistemas, que de una forma u otra apoyen en el
despliegue de las Tecnologías de la Información.
Los diferentes usos y servicios ofertados bajo el paraguas de este nuevo paradigma
afectan, por un lado, a las organizaciones y particulares que observan cómo la prestación
de servicios en la nube les reporta ventajas en términos de eficiencia, flexibilidad y
disminución del esfuerzo inversor y, por otro, a las empresas tecnológicas y operadoras
tradicionales que ven una oportunidad de administrar y ampliar su negocio.
En este sentido, es importante encontrar el modo de monetizar las oportunidades que
ofrezca este nuevo paradigma de prestación de servicios. Por tanto, debiera ser lograr
aumentar los ingresos en un contexto de mercado caracterizado por la alta penetración y
madurez de los servicios tradicionales de conectividad.
Management Solutions (2012). “La nube: oportunidades y retos para los integrantes de la
cadena de valor”. Recuperado de
https://www.managementsolutions.com/sites/default/files/publicaciones/esp/La-nube.pdf
