Con frecuencia escuchamos a
profesionales de tecnología de información y seguridad de la información estar
en la encrucijada de “adoptar la computación en la nube”, toda vez que en el
ejercicio inherente a la toma de decisión se encuentran contrapuestos los
múltiples beneficios que este modelo entrega y los riesgos propios de la
protección de la información, bien por su característica de estar regulada o
por ser parte de la información clave que apalanca el modelo de valor de la
empresa.
En este entendido, decidir
movilizarse hacia la nube, demanda un entendimiento del apalancamiento de
capacidades estratégicas de la empresa y aceptación de riesgos residuales
(luego de los controles aplicados) que permitan a la organización, avanzar de
manera innovadora en nuevas experiencias de servicios y productos para sus
clientes, con un monitoreo y aseguramiento proactivo de los riesgos conocidos y
aceptados.
Habida cuenta de lo anterior,
concretamente “irse a la nube” es conocer de manera detallada y exigente las
condiciones contractuales de los proveedores de los servicios, para evaluar sus
capacidades y ofertas de valor, frente a las demandas propias de beneficios
esperados por la empresa y sus clientes, así como las nuevas experiencias y
soluciones novedosas para sus diferentes nichos de influencia.
En este sentido, “la nube”
representa un reto técnico y jurídico que implica entender una nueva forma de
operar y entregar la administración de la tecnología a un tercero de confianza,
que permita mantener el foco de la empresa en el modelo de generación de valor,
mientras la tecnología de información de soporte opera de manera virtuosa, en
su evolución hacia una TI valiosa.
Como quiera que moverse a “la
nube” es una decisión de negocio que motiva a la alta gerencia a revisar cómo
potencializa con mayor impacto el modelo de generación de valor de la empresa, materializar
esta iniciativa requiere conocer con detalle cómo los terceros desarrollarán el
servicio y cómo la organización recibirá los beneficios propios de la promesa
de valor que actualmente hacen los proveedores de servicios en la nube.
Por tanto, revisar los
aspectos contractuales de la computación en la nube es conocer en profundidad
la forma como los profesionales del derecho modelan desde la inseguridad de la
información, estrategias de protección y aseguramiento empresariales que
demanden el cumplimiento de prácticas concretas por parte de los terceros y la
eficacia de las cláusulas sancionatorias que se harán efectivas en el caso que
las condiciones pactadas para el servicio no se cumplan según las
especificaciones iniciales.
En este ejercicio, revisamos
el documento “Negotiating cloud contracts: looking at clouds from both sides
now”, elaborado por W. Kuan Hon, Christopher Millard e Ian Walden y publicado
en el Stanford Technology Law Review, volumen 16, número 1 en 2012. Este
artículo desarrolla con detalle los elementos concretos de los términos
contractuales claves que se deben considerar en el momento de adelantar un
contrato de “cloud”.
Analizando los elementos
identificados por Hon, Millard y Walden, encontramos que muchos de ellos
responden a una condición de inseguridad de la información concreta bien sea
jurídica, técnica o de procedimiento. Así las cosas, las cláusulas que se planteen recogerán de
manera proactiva las condiciones claves de la prestación del servicio en la
nube privilegiando entre otros responsabilidades, niveles de servicio, aspectos
regulatorios, seguridad y control de la información, verificaciones
independientes, brechas de seguridad de la información, retención de los datos
en la infraestructura del proveedor, propiedad intelectual y derechos de autor.
A continuación revelamos los
aspectos más importantes en el contexto de los contratos con proveedores en la
nube, intentando hacer una revisión práctica de los alcances de las cláusulas,
sabiendo que este ejercicio es una excusa académica en este campo y no
reemplaza la revisión propia del asesor jurídico empresarial de la organización.
En el tema de la
responsabilidad, los proveedores pueden tomar dos posiciones claras. Por un
lado, aceptar una posición de responsabilidad ilimitada sobre el servicio que
se contrata, esto es, responder por cualquier tipo de incidente, condición o
situación que se presente en el cumplimiento del contrato, dejando al cliente
en una posición cómoda, sin que asuma responsabilidades propias de la relación
contractual, donde éste debe asegurarse que se mantienen una serie de prácticas
de seguridad y control en el modelo seleccionado (IAAS – Infraestructura como
servicio, PAAS – Plataforma como servicio o SAAS – Software como servicio) y
que el proveedor deberá cumplir para asegurar más allá del servicio, la
información.
Por otro, los proveedores
buscarán establecer el mayor número de exclusiones y limitaciones posibles, a
cambio de incrementar los niveles de servicio, lo cual necesariamente los
clientes objetarán frente a las exigencias de seguridad y control que se
requieren con la información depositada en custodia en su infraestructura. El
cliente buscará obtener el mayor beneficio del proveedor al menor costo posible,
por lo cual en esta puja los términos jurídicos contractuales estarán en la
mesa de negociación, posiblemente desviando las implicaciones financieras y de
negocio que pudiesen ser razones más fuertes, para establecer los términos
razonables para potencializar todo el valor de la estrategia en la nube que se
quiere desarrollar.
En los aspectos de seguridad
y control, los proveedores de la nube pueden resultar respondiendo por brechas
de seguridad materializadas sobre su infraestructura, pero no por pérdida o
corrupción de datos, toda vez que los mínimos contractuales se basan en un
conjunto de prácticas de seguridad y control orientadas a la infraestructura,
pero no sobre los datos en sí mismos. Esta realidad establece una revisión
particular de los acuerdos de servicio y prácticas del proveedor para encontrar
puntos intermedios de puesta en común que demanden prácticas propias de los
clientes sobre los datos y las condiciones básicas y funcionales de los
proveedores para proteger la información.
Cuando de disponibilidad,
tiempo de respuesta y capacidad de canales de comunicación se trata, las
organizaciones que se migran a la nube, demanda un alto compromiso del tercero
de confianza para lograr niveles de atención de calidad, que le permitan una
experiencia diferente en el aseguramiento de su operación. En este sentido, la
negociación que se adelante frente a los acuerdos de niveles de servicios,
requieren necesariamente la transparencia del proveedor de servicios en la nube
para validar que los niveles de latencia (pérdida de servicio) se encuentren en
los rangos establecidos y de no ser así, proceder a efectuar las reclamaciones
del caso frente a lo pactado.
Generalmente los acuerdos de
niveles de servicios una vez contratados son de estricto cumplimiento, sin
embargo, las compensaciones como posibilidades de mayor tiempo de uso o retorno
de dinero se advierten como estrategia de los proveedores ante posibles fallas
o pérdidas de disponibilidad. De otra parte, frente a incidentes o brechas de
seguridad, las condiciones varían, pues cada proveedor define las acciones a
seguir frente a los hechos y las estrategias de mitigación de impactos
requerida. En este punto, los clientes no tienen mucho margen de acción, sólo
que a través del contrato se consideren puntos particulares para enfrentar esta
realidad.
Las verificaciones
independientes son uno de los elementos que más causa inquietud y resistencia
por parte de los proveedores en la nube, como quiera que este tipo de
ejercicios permitan validar en sitio las condiciones y características de los
terceros, quedando evidente cualquier tipo de limitación o falla no declarada
inicialmente por éste en el proceso de elaboración del contrato. Algunos autores
manifiestan que una auditoría previa sobre el modelo de servicio que se
contrate permite advertir el nivel de seriedad de los servicios a contratar,
sin perjuicio que de manera posterior y selectiva las organizaciones envíen
auditores para contrastar el contrato frente al servicio recibido y la
resistencia del modelo de seguridad que opera en la infraestructura.
Como quiera que los modelos
de despliegue de la computación en la nube cuentan con infraestructura que los
respalda, se hace necesario frente a la terminación del contrato o migración de
las máquinas a nuevos equipos, contar con procedimientos formales eliminar la
información remanente en los equipos anteriores y asegurar los escenarios
técnicos requeridos para efectuar la retención de los datos según las necesidades
de la organización. Si bien conocemos algunos de los elementos de la operación
de los terceros, se hace necesario validar con hechos y datos que cada uno de
los proveedores de la cadena de servicios se ajusta con las exigencias de
seguridad, control y calidad de la información.
Los aspectos de propiedad
intelectual y derechos de autor son condiciones relevantes para los acuerdos de
voluntades que se tracen entre el proveedor y su cliente. Considerando que el
proveedor puede desarrollar aplicaciones o nuevas funcionalidades que mejoren
la calidad del servicio, es claro que se debe establecer si dichas mejoras
serán parte del acuerdo de niveles de servicio o el proveedor se reserva el
derechos sobre las mismas, considerando un modelo de licenciamiento para uso de
la funcionalidad por parte del cliente.
Como hemos observado en cada
uno de los temas revisados los alcances jurídicos tratan de modelar los retos
jurídicos en clave de inseguridad de la información, dado que la certeza legal
en un entorno cambiante y sin fronteras conocidas, no es posible alcanzarla sin
entender las posibilidades que se pueden presentar al mantener una operación de
tecnología de información en manos de un tercero de confianza.
Si bien el mercado de los
proveedores de servicios en la nube, comienza a madurar y desarrollar una vista
más estandarizada de sus propuestas de servicio, se hace necesario que las
empresas y entes de supervisión avancen en el desarrollo de posturas de seguridad
y control que permitan balancear los requerimientos de los clientes, las
exigencias de los reguladores y las consecuencias de mantener una operación
fuera de un estándar definido.
Alcanzar acuerdos
internacionales alineados con las mejores prácticas de agremiaciones como el
Cloud Security Alliance, permite tanto a los proveedores de servicios en la
nube como a los clientes y entes de regulación, ordenar esfuerzos para
desarrollar una base de operaciones, responsabilidades, procedimientos,
prácticas y métricas que permitan asegurar una operación confiable y
jurídicamente correcta por parte del proveedor.
Así mismo, unas acciones
claras por parte del cliente que, conociendo la inevitabilidad de la falla,
construya una relación estratégica de negocio más allá de las sanciones
contractuales, centrada en el ejercicio diario del entendimiento de la
incertidumbre jurídica y las fallas tecnológicas como factores fundamentales
para desaprender, evolucionar y madurar en el gobierno de los riesgos de una
infraestructura y servicios de TI ahora operado por un tercero.
Referencias
KUAN HON., W, MILLARD, C. y WALDEN, I. (2012) Negotiating cloud contracts:
Looking at clouds from both sides now. Stanford
Technology Law Review. Volume 16, number 1. Fall. Disponible en: http://stlr.stanford.edu/pdf/cloudcontracts.pdf (Consultado: 10-02-2013)
No hay comentarios:
Publicar un comentario