domingo, 10 de febrero de 2013

Contratos en la nube: Seguridad jurídica desde la inseguridad de la información



Con frecuencia escuchamos a profesionales de tecnología de información y seguridad de la información estar en la encrucijada de “adoptar la computación en la nube”, toda vez que en el ejercicio inherente a la toma de decisión se encuentran contrapuestos los múltiples beneficios que este modelo entrega y los riesgos propios de la protección de la información, bien por su característica de estar regulada o por ser parte de la información clave que apalanca el modelo de valor de la empresa.

En este entendido, decidir movilizarse hacia la nube, demanda un entendimiento del apalancamiento de capacidades estratégicas de la empresa y aceptación de riesgos residuales (luego de los controles aplicados) que permitan a la organización, avanzar de manera innovadora en nuevas experiencias de servicios y productos para sus clientes, con un monitoreo y aseguramiento proactivo de los riesgos conocidos y aceptados.

Habida cuenta de lo anterior, concretamente “irse a la nube” es conocer de manera detallada y exigente las condiciones contractuales de los proveedores de los servicios, para evaluar sus capacidades y ofertas de valor, frente a las demandas propias de beneficios esperados por la empresa y sus clientes, así como las nuevas experiencias y soluciones novedosas para sus diferentes nichos de influencia.

En este sentido, “la nube” representa un reto técnico y jurídico que implica entender una nueva forma de operar y entregar la administración de la tecnología a un tercero de confianza, que permita mantener el foco de la empresa en el modelo de generación de valor, mientras la tecnología de información de soporte opera de manera virtuosa, en su evolución hacia una TI valiosa.

Como quiera que moverse a “la nube” es una decisión de negocio que motiva a la alta gerencia a revisar cómo potencializa con mayor impacto el modelo de generación de valor de la empresa, materializar esta iniciativa requiere conocer con detalle cómo los terceros desarrollarán el servicio y cómo la organización recibirá los beneficios propios de la promesa de valor que actualmente hacen los proveedores de servicios en la nube.

Por tanto, revisar los aspectos contractuales de la computación en la nube es conocer en profundidad la forma como los profesionales del derecho modelan desde la inseguridad de la información, estrategias de protección y aseguramiento empresariales que demanden el cumplimiento de prácticas concretas por parte de los terceros y la eficacia de las cláusulas sancionatorias que se harán efectivas en el caso que las condiciones pactadas para el servicio no se cumplan según las especificaciones iniciales.

En este ejercicio, revisamos el documento “Negotiating cloud contracts: looking at clouds from both sides now”, elaborado por W. Kuan Hon, Christopher Millard e Ian Walden y publicado en el Stanford Technology Law Review, volumen 16, número 1 en 2012. Este artículo desarrolla con detalle los elementos concretos de los términos contractuales claves que se deben considerar en el momento de adelantar un contrato de “cloud”.

Analizando los elementos identificados por Hon, Millard y Walden, encontramos que muchos de ellos responden a una condición de inseguridad de la información concreta bien sea jurídica, técnica o de procedimiento. Así las cosas,  las cláusulas que se planteen recogerán de manera proactiva las condiciones claves de la prestación del servicio en la nube privilegiando entre otros responsabilidades, niveles de servicio, aspectos regulatorios, seguridad y control de la información, verificaciones independientes, brechas de seguridad de la información, retención de los datos en la infraestructura del proveedor, propiedad intelectual y derechos de autor.

A continuación revelamos los aspectos más importantes en el contexto de los contratos con proveedores en la nube, intentando hacer una revisión práctica de los alcances de las cláusulas, sabiendo que este ejercicio es una excusa académica en este campo y no reemplaza la revisión propia del asesor jurídico empresarial  de la organización.

En el tema de la responsabilidad, los proveedores pueden tomar dos posiciones claras. Por un lado, aceptar una posición de responsabilidad ilimitada sobre el servicio que se contrata, esto es, responder por cualquier tipo de incidente, condición o situación que se presente en el cumplimiento del contrato, dejando al cliente en una posición cómoda, sin que asuma responsabilidades propias de la relación contractual, donde éste debe asegurarse que se mantienen una serie de prácticas de seguridad y control en el modelo seleccionado (IAAS – Infraestructura como servicio, PAAS – Plataforma como servicio o SAAS – Software como servicio) y que el proveedor deberá cumplir para asegurar más allá del servicio, la información.

Por otro, los proveedores buscarán establecer el mayor número de exclusiones y limitaciones posibles, a cambio de incrementar los niveles de servicio, lo cual necesariamente los clientes objetarán frente a las exigencias de seguridad y control que se requieren con la información depositada en custodia en su infraestructura. El cliente buscará obtener el mayor beneficio del proveedor al menor costo posible, por lo cual en esta puja los términos jurídicos contractuales estarán en la mesa de negociación, posiblemente desviando las implicaciones financieras y de negocio que pudiesen ser razones más fuertes, para establecer los términos razonables para potencializar todo el valor de la estrategia en la nube que se quiere desarrollar.

En los aspectos de seguridad y control, los proveedores de la nube pueden resultar respondiendo por brechas de seguridad materializadas sobre su infraestructura, pero no por pérdida o corrupción de datos, toda vez que los mínimos contractuales se basan en un conjunto de prácticas de seguridad y control orientadas a la infraestructura, pero no sobre los datos en sí mismos. Esta realidad establece una revisión particular de los acuerdos de servicio y prácticas del proveedor para encontrar puntos intermedios de puesta en común que demanden prácticas propias de los clientes sobre los datos y las condiciones básicas y funcionales de los proveedores para proteger la información.

Cuando de disponibilidad, tiempo de respuesta y capacidad de canales de comunicación se trata, las organizaciones que se migran a la nube, demanda un alto compromiso del tercero de confianza para lograr niveles de atención de calidad, que le permitan una experiencia diferente en el aseguramiento de su operación. En este sentido, la negociación que se adelante frente a los acuerdos de niveles de servicios, requieren necesariamente la transparencia del proveedor de servicios en la nube para validar que los niveles de latencia (pérdida de servicio) se encuentren en los rangos establecidos y de no ser así, proceder a efectuar las reclamaciones del caso frente a lo pactado.

Generalmente los acuerdos de niveles de servicios una vez contratados son de estricto cumplimiento, sin embargo, las compensaciones como posibilidades de mayor tiempo de uso o retorno de dinero se advierten como estrategia de los proveedores ante posibles fallas o pérdidas de disponibilidad. De otra parte, frente a incidentes o brechas de seguridad, las condiciones varían, pues cada proveedor define las acciones a seguir frente a los hechos y las estrategias de mitigación de impactos requerida. En este punto, los clientes no tienen mucho margen de acción, sólo que a través del contrato se consideren puntos particulares para enfrentar esta realidad.

Las verificaciones independientes son uno de los elementos que más causa inquietud y resistencia por parte de los proveedores en la nube, como quiera que este tipo de ejercicios permitan validar en sitio las condiciones y características de los terceros, quedando evidente cualquier tipo de limitación o falla no declarada inicialmente por éste en el proceso de elaboración del contrato. Algunos autores manifiestan que una auditoría previa sobre el modelo de servicio que se contrate permite advertir el nivel de seriedad de los servicios a contratar, sin perjuicio que de manera posterior y selectiva las organizaciones envíen auditores para contrastar el contrato frente al servicio recibido y la resistencia del modelo de seguridad que opera en la infraestructura.

Como quiera que los modelos de despliegue de la computación en la nube cuentan con infraestructura que los respalda, se hace necesario frente a la terminación del contrato o migración de las máquinas a nuevos equipos, contar con procedimientos formales eliminar la información remanente en los equipos anteriores y asegurar los escenarios técnicos requeridos para efectuar la retención de los datos según las necesidades de la organización. Si bien conocemos algunos de los elementos de la operación de los terceros, se hace necesario validar con hechos y datos que cada uno de los proveedores de la cadena de servicios se ajusta con las exigencias de seguridad, control y calidad de la información.

Los aspectos de propiedad intelectual y derechos de autor son condiciones relevantes para los acuerdos de voluntades que se tracen entre el proveedor y su cliente. Considerando que el proveedor puede desarrollar aplicaciones o nuevas funcionalidades que mejoren la calidad del servicio, es claro que se debe establecer si dichas mejoras serán parte del acuerdo de niveles de servicio o el proveedor se reserva el derechos sobre las mismas, considerando un modelo de licenciamiento para uso de la funcionalidad por parte del cliente.

Como hemos observado en cada uno de los temas revisados los alcances jurídicos tratan de modelar los retos jurídicos en clave de inseguridad de la información, dado que la certeza legal en un entorno cambiante y sin fronteras conocidas, no es posible alcanzarla sin entender las posibilidades que se pueden presentar al mantener una operación de tecnología de información en manos de un tercero de confianza.

Si bien el mercado de los proveedores de servicios en la nube, comienza a madurar y desarrollar una vista más estandarizada de sus propuestas de servicio, se hace necesario que las empresas y entes de supervisión avancen en el desarrollo de posturas de seguridad y control que permitan balancear los requerimientos de los clientes, las exigencias de los reguladores y las consecuencias de mantener una operación fuera de un estándar definido.

Alcanzar acuerdos internacionales alineados con las mejores prácticas de agremiaciones como el Cloud Security Alliance, permite tanto a los proveedores de servicios en la nube como a los clientes y entes de regulación, ordenar esfuerzos para desarrollar una base de operaciones, responsabilidades, procedimientos, prácticas y métricas que permitan asegurar una operación confiable y jurídicamente correcta por parte del proveedor.

Así mismo, unas acciones claras por parte del cliente que, conociendo la inevitabilidad de la falla, construya una relación estratégica de negocio más allá de las sanciones contractuales, centrada en el ejercicio diario del entendimiento de la incertidumbre jurídica y las fallas tecnológicas como factores fundamentales para desaprender, evolucionar y madurar en el gobierno de los riesgos de una infraestructura y servicios de TI ahora operado por un tercero.

Referencias
KUAN HON., W, MILLARD, C. y WALDEN, I. (2012) Negotiating cloud contracts: Looking at clouds from both sides now. Stanford Technology Law Review. Volume 16, number 1. Fall. Disponible en: http://stlr.stanford.edu/pdf/cloudcontracts.pdf (Consultado: 10-02-2013)

No hay comentarios:

Publicar un comentario en la entrada