Revisión de los lineamientos sobre computación en la nube - RESOLUCIÓN N 001-2018-PCM-SEGDI | Tecnologías de la Información y Consultoria

Revisión de los lineamientos sobre computación en la nube - RESOLUCIÓN N 001-2018-PCM-SEGDI

 

La computación en la nube es una tendencia tecnológica de alto impacto en todos los sectores, su capacidad transformadora no solo aborda en lo que puede ofrecer sino también en su constante evolución, por lo que no se debe tomar como algo estricto sino como una tendencia que se desarrolla y mejora con el tiempo.

 

Opinión

El documento es un instrumento normativo con el potencial de transformar a la gestión pública, sin embargo los lineamientos necesitan ser complementados para alcanzar los mejores resultados, aspectos como estrategia, evaluaciones, gestión del riesgo y gestión de servicios son solo algunos de los aspectos que se pudieron haber profundizado y aportado mayor valor al documento.


Es necesario masificar el conocimiento base sobre cloud computing como tal, a fin de que la administración pública pueda reconocer las ventajas que necesita de forma independiente a los múltiples proveedores de servicios en la nube que tratarán de vender sus productos al sector públicos, en este contexto necesitamos personal que pueda diferenciar conceptos y tendencias de productos comerciales y poder desarrollar sus propias estrategias que les permita evaluar y seleccionar de forma adecuada los diversos productos y servicios que existen actualmente en el mercado pudiendo utilizar para ello uno o varios proveedores de servicios en la nube. Sin duda el factor persona es vital en el éxito de la aplicabilidad de los lineamientos.  

 

Comentarios

A continuación, realizamos comentarios tomando como referencia la estructura del documento.

Estructura

1. Prólogo
2. Principios generales para el uso de servicios en la nube para entidades de la Administración Pública en el Estado Peruano
3. Introducción
4. Requisitos en materia de seguridad de la información
5. Requisitos en materia de protección de datos de carácter personal
6. Normativa interna
7. Contratación
8. Operación
Anexos

 

Prólogo

Presenta algunos aspectos relevantes al documento, citando a la  Ley Nº 27658 (2002),  el Decreto Legislativo N° 604 (1990) y el Decreto Supremo Nº 022-2017-PCM(2017).

Se mencionan ventajas del cloud computing pero algunos párrafos pueden comprenderse en mas de un contexto, por ejemplo al mencionar riesgos y provisión de servicios en un contexto separado de seguridad o la innovación, cuando una redacción mas acertada presentaría todos estos componentes de forma articulada para alcanzar lo que podríamos llamar valor publico (Valor hacia el ciudadano).

Un aspecto que es tomado muy tangencialmente corresponde a la referencia sobre las estrategias para el uso de servicios en la nube, lo cual debería ser uno de lo aspectos fundamentales para poder establecer el contexto y los planes relacionados, siendo estas estrategias las que articulan los componentes antes mencionados, definiendo “que” se va a llevar a la nube, sustentando el “por qué” (Valor público), contemplando el control necesario de los riesgos y aprovechando las oportunidades que se presenten, mejorando o innovando la prestación del servicio (Servicio público al ciudadano) mediante la inclusión de la computación en la nube como un elemento en este proceso.

Finalmente señalar 2 aspectos que no quedan claro en este prólogo :

Las amenazas de seguridad siempre deben ser abordadas en cualquier contexto (no solo por la adopción de servicios en la nube), analizadas y tratadas apropiadamente.
El concepto de provisión de servicios en este prólogo esta mas relacionado a lo proporcionado por un “proveedor de servicios de computación en la nube” y no debe ser confundido con los servicios que la entidad pública proporciona a los ciudadanos, toda vez que un fallo en las operaciones ( de lo que se ponga en la nube) es diferente y puede tener un impacto alto en los servicios brindados al ciudadano, esto dependerá de como se aborde la estrategia de computación en la nube y la continuidad del servicio al ciudadano (son dos cosas diferentes).  

 

Principios generales para el uso de servicios en la nube para entidades de la Administración Pública en el Estado Peruano

Esta sección contiene 4 principios, los cuales no tienen un identificador (numérico o literal) lo cual hace un poco difícil referenciarlos.
La redacción de los principios pudo haber sido mas precisa y general para una mayor aplicabilidad.
Los dos primeros principios abordan la transformación digital del estado y la mejora de los servicios al ciudadano.
Los dos últimos principios son un poco confusos, toda vez que los lineamientos que pretende abordar el documento son para entidades peruanas regidos por normativas nacionales donde el respeto a la libre competencia y la eliminación de barreras comerciales son aspectos que ya son abordados por diversas normas de mayor rango, de otro lado el poner como principio que los lineamientos son recomendaciones o sugerencias provoca incertidumbre sobre el cumplimiento de los mismos, quizás el tercer y cuarto principios podrían haber sido incluidos en la introducción del documento.

 

Introducción (del documento)

Esta sección no parece ser una introducción al documento, tal vez hubiera sido un mejor titulo “Alcances” o “Generalidades”, toda vez que se centra en definir algunos aspectos básicos para comprender la terminología.

Conceptos previos, características de los servicios en la nube, modelos de despliegue y categorías de servicio son los aspectos abordados, pero no se profundiza en aspectos relevantes como :
La responsabilidad recae principalmente en la entidad pública contratante (3.2), esto puede significar que dentro de la estrategia se debe contemplar no lo el uso de servicios de computación en la nube sino los modelos de gestión. Monitoreo, control, seguimiento, procesos, procedimientos y demás aspectos que no son responsabilidad del proveedor de servicios en la nube.
Las oportunidades de mejora e innovación, transformando procesos y servicios en nuevas formas de proveer servicios al ciudadano (los mismos o mejores), esto requiere personal calificado y modelos apropiados.
Que la adopción o migración debe ser planificada y obedecer a una estrategia que contemple no solo los aspectos a migrar sino la forma, procesos, instrumentos, recursos, plazos, pruebas y demás aspectos que son necesarios para alcanzar el objetivo, se puede tener la impresión de que tan simple como copiar cosas de un equipo local a uno remoto y en muchos casos ese no es el escenario.
Un aspecto fundamental es que todo debe tener un análisis previo relacionado al impacto al ciudadanos a fin de que el servicio ofrecido por la entidad pública (en la nube o no) no se vea significativamente impactado y que los derechos de las personas sean correctamente protegidos y garantizados ( esto por tratarse de entidades públicas) . 

 

Requisitos en materia de seguridad de la información

En esta sección, se puede encontrar algunas recomendaciones parciales y mucha referencia a la norma NTP-ISO/IEC 27001:2014. En ese sentido debemos recordar que la referida norma en una norma nacional de Perú por lo que un proveedor internacional no esta certificado a esta, siendo común encontrar que los proveedores tengan certificación a la ISO/IEC 27001:2013, esta es una diferencia mínima pero al llevarla al ámbito de la gestión pública podría convertirse en un problema.

También encontramos la palabra “tratamiento”, término utilizado en la Ley 29733, Ley de protección de datos personales y que tiene un significado específico.

Cabe señalar que se incluyen referencias a mecanismos de protección que deben ser contemplados por los proveedores de servicios en la nube, pero no se precisa que estos deban ser utilizados por la entidad pública (como algoritmos de cifrado por ejemplo).

Quizás hubiera sido de mayor utilidad incluir como lineamiento que la gestión del riesgo y el alcance del SGSI del la entidad deberían incluir los procesos y servicios que se pretendan migrar o adaptar a servicios de computación en la nube, de este modo los resultados nos presentarían los controles necesarios a considerar, toda vez que la NTP-ISO/IEC 27001 nos puede ayudar en la evaluación, pero esto dependerá del alcance del SGSI

ISO/IEC 27017 es una norma útil pero no tiene fines de certificación.  

 

Requisitos en materia de protección de datos de carácter personal

Esta sección desarrolla de manera genérica los aspectos sobre protección de datos personales, ante lo presentamos algunas precisiones :

Cuando se debe o no registrar el flujo transfonterizo ante la Autoridad de protección de Datos Personales.

Mucho de lo recomendado puede cumplirse de manera apropiada mediante la realización de un Analisis de Impacto en los datos personales o PIA (Privacy Impact Assessment) como se recomienda en el Anexo C de la Directiva de Seguridad elaborada por la Autoridad Nacional de Protección de Datos Personales, así como la inclusión de los bancos de datos personales dentro del alcance del SGSI (También recomendada en el Anexo C de la Directiva de seguridad).
Otra recomendación útil sería la de aplicar mecanismos de disociación o anonimización a los datos personales a ser tratados.
La ISO/IEC 27018 contiene información que puede ser de utilidad para la evaluación de proveedores.

 

Normativa interna

Los usuarios usuarios del servicio en la nube es un término un poco ambiguo, toda vez que puede referirse tanto a funcionarios públicos como a ciudadanos o personas externas a la entidad pública o funcionarios de otras entidades públicas, ante ello se debe tomar en consideración los diversos niveles jerarquicos, roles y responsabilidades para generar los criterios de uso aceptable, recordando que aquí también podría incluirse tópicos relacionados con acceso a la información pública y transparencia.

 

Contratación

Esta sección es amplia y abunda en detalles sobre la contratación, sin embargo parte de la simplicidad y economía de la computación en la nube se basa en el autoservicio, al requerir muchas cosas adicionales al proveedor de lo que ya oferta de forma automatizada el costo evidentemente se incrementa.

Uno de los aspectos disruptivos de la computación en la nube, es precisamente permitir a las organizaciones cambiar el costo de inversión en infraestructura (CAPEX) por el costo corriente u operacional (OPEX), lo cual permite acceder a infraestructura a costos accesibles y pagar por lo que se consume sin contrato determinado. En la redacción de los lineamientos para contratación, aparentemente no se contempla esto, sino que se asume como un contrato general con lo cual se estaría abordando de forma equivocada todo lo que persigue el documento y que forma parte de su prólogo e introducción.

No se hace referencia sobre si se puede contratar o no un servicio de computación en la nube mediante aceptación de los términos convencionales brindados por el proveedor, manteniendo la gestión por parte de la entidad pública.

Generalmente, el proveedor de servicios en la nube tiene la potestad de cambiar sus ANS (SLA) de manera unilateral, esto supondría un problema para la contratación.

A pesar del nivel de detalle de esta sección del documento, no se hace referencia a integradores de soluciones de computación en la nube

 

Operación

Los lineamientos operacionales, son superiores a los que convencionalmente tiene la administración pública para su infraestructura.

Muchos de estos aspectos de control y seguimiento pueden ser abordados por el cumplimiento de la clausula 9.1 de la NTP-ISO/IEC 27001.2014 la cual es obligatoria para las entidades del sistema nacional de informática, esto siempre y cuando estos servicios estén dentro del alcance del SGSI.

 

Anexos

Los anexos son útiles pero hubiera sido una oportunidad de incluir plantillas y formatos genéricos par facilitar la aplicación de los lineamientos.

 

Conclusiones

El documento es un instrumento importante para el desarrollo tecnológico de la administración pública en Perú, brindando un respaldo normativo en la adopción de computación en la nube.
La redacción del documento podría mejorarse, toda vez que existen términos que pueden comprenderse de forma diferente dependiendo de la especialidad del lector, lo cual puede ser un problema al momento de su aplicación.
Es notoria la influencia de diversos documentos sobre el tema (citados en el anexo de referencias), toda vez que se encuentran ideas y descripciones que son desarrolladas por otros documentos pero que no son abordadas completamente por este documento de lineamientos.
El documento, podría haber sido mas genérico evitando entrar en detalles e incluyendo formatos y plantillas para aplicación (genéricos) que puedan ser utilizados no solo para el cumplimiento de los lineamientos sino para homogeneizar procedimientos y poder obtener indicadores y métricas.
El documento es un avance importante pero debe ser complementado para su aplicabilidad exitosa.

Las referencias a documentos de otros países incluyen el alineamiento a las leyes y regulaciones de cada uno y que no necesariamente son de aplicabilidad completa en Perú, generalmente estas referencias no son únicas sino que obedecen a un conjunto de documentos que desarrollan aspectos generales donde la computación en la nube es solo uno de estos. 

 

Recomendaciones

Sin duda la primera recomendación y mas importante es apostar por el talento humano y la generación de capacidades relacionadas a la computación en la nube, con el objetivo de contar con una generación de profesionales del sector publico que puedan tener la capacidad de transformar la administración pública no solo tomando la computación en la nube como factor relevante sino como parte de un conjunto de instrumentos aplicables, con independencia de marcas proveedores.

Complementar en base a estándares internacionales los lineamientos con el objetivo de aplicar las mejores practicas de la industria en beneficio del ciudadano.

 

=======================================================

Esperamos que esta información pueda ser de utilidad para los interesados.

Si usted esta interesado en estos temas puede contactarnos a info@gtdi.pe

Protección de datos personales Gobernanza TI  SGSI - 27001