Por: Rodolfo Guerrero Martínez (México).

 

“Hoy ya no habitamos la tierra y el cielo, sino Google Earth y la nube. La información domina nuestro entorno de vida. Nos embriaga la comunicación”. 

Byung-Chul Han

En el año 1997 surgió la expresión cloud computing o computación en la nube durante un seminario impartido por el profesor Ramnath Chellappa, no obstante, el concepto contempla diversos precedentes, uno de parte del creador del lenguaje de programación de list processing (LISP) o procesamiento de listas y el fundador del Laboratorio de Inteligencia Artificial del Massachusetts Institute of Technology (MIT), John Mccarthy, en ello comprendiéndose la compartimentación del tiempo que otorgaba a los usuarios al utilizar una computadora de manera simultánea, resultando en la disminución de gastos, debido que las personas pagaban exclusivamente por el uso de la tecnología.

Por otra parte, un segundo acontecimiento relevante nos centra en el físico Joseph Carl, creador del internet y además quien procuró poner en relieve la comunicación a nivel mundial por medio del intercambio de datos, es decir, una nueva forma para facilitar el contacto entre la población, lo cual estaría en armonía con proyectos futuros como ARPANET (Advanced Research Projects Agency Network), una red global para facilitar la comunicación por medio de la conexión entre equipos de computo que brindó que la computación en la nube sentará sus bases fundamentales.

Sin embargo, se asevera que el creador del concepto de nube es la empresa AT&T, sustentado por el relato de los ingenieros de Apple Macintosh, Andy Herzfeld y Bill Atkinsona quienes en el año 1990 fundaron la compañía General Magic y generaron una plataforma de software nombrada Telescript. Consecuencia de las bondades de la nueva tecnología como el envío de mensajes por correo electrónico, realizar comprar, mantener el control de stocks, entre muchas funciones más.

De esta forma, establecemos que el cloud computing es un sistema de cómputo distribuido y orientado al consumidor, mayormente como define el National Institute of Standards and Technology (NIST) dicha computación en la nube, es un modelo tecnológico que permite el acceso ubicuo, adaptado y bajo demanda en red a un conjunto compartido de recursos de computación configurables (redes, servidores, almacenamiento, aplicaciones y servicios), que pueden ser rápidamente aprovisionados y liberados con un esfuerzo de gestión reducido o interacción mínima con el proveedor del servicio.

Actualmente, dicha tecnología emergente representa diversos modelos de implementación de la nube como: (I) pública, entrega recursos como procesamiento, almacenamiento, red, entornos de desarrollo y de implementación y aplicaciones a través de internet; (II) privada, una sola organización, localizada en forma local brinda la compilación, ejecución y uso de nubes de este tipo, proporcionando mayor control, personalización y seguridad de los datos; y (III) hibrida, entornos que combinan tanto las funciones de las nubes publicas y privadas para el aprovechamiento de recursos y servicios, ocasionando mayor flexibilidad para elegir soluciones a necesidades comerciales específicas, así como la no dependencia de un sólo proveedor.

En el presente artículo realizaremos la relevancia del cloud security, las implicaciones legales de la computación en la nube y su implementación en el sector público. 

Cloud Security 

La seguridad en la nube o cloud security nos invita al entendimiento sobre la compleja interacción de las tecnologías de la información y comunicación (TIC), los controles, procesos y políticas. Adicionalmente ilustra tres capacidades (1): (I) Confidencialidad. Capacidad de mantener la información en secreto de las personas que no deberían tener acceso a ella; (II) Integridad. Sistemas funcionan a partir de una programación concreta y genera resultados que no son inesperados; y (III) Disponibilidad. Mantener tiempo de actividad de los servidos e infraestructura basados en la nube, así como la inclusión de prevenir ataques de negación del servicio (DoS).

Justamente, en aras de promover un conjunto de estrategias y de herramientas para lograr una configuración solida de cloud security debe comprenderse (2):

(1) Gestión de la identidad y acceso. Por medio de un sistema de gestión de la identidad y acceso (IAM) se controlar el acceso a la información. Un AIM combina a la autenticación multifactorial y las políticas de acceso a los usuarios, auxiliando el controlar quien tiene acceso a sus aplicaciones y datos, también a qué pueden acceder y qué pueden hacer con sus datos.

(2) Seguridad física. Es aquella combinación de medidas para prevenir el acceso directo e interrupción del hardware alojado en el centro de datos de su proveedor de nube. Incluye el control de acceso directo con puertas de seguridad, fuentes de alimentación ininterrumpida, alarmas, filtración de aire y partículas.

(3) Inteligencia, vigilancia y prevención de amenazas. Brindan la función para identificar a los atacantes. Las herramientas de Sistemas de Prevención de Intrusos (IPS) implementan funcionalidad para mitigar un ataque y avisar de la ocurrencia, habilitando un nivel eficiente de respuesta.

(4) Cifrado. Es otra capa de cloud security para proteger sus activos de datos, codificándolos cuando están en reposo y en tránsito. Asegura que los datos sean difíciles de descifrar sin una clave de descifrado a la que sólo usted tiene acceso.

En ese sentido, las medidas practicas para cloud security nos enfatiza sobre la comprensión de un modelo de responsabilidad compartida -dependiente al tratarse de software como servicio (SaaS), infraestructura como servicio (IaaS), plataforma como servicio (PaaS), o un centro de datos en las instalaciones-, en la revisión de contratos con proveedores de nubes, acuerdos de nivel de servicio y entramiento de los usuarios, reconociéndolos como primer línea de defensa en la protección ellos sistemas y la no apertura de ataques cibernéticos.

Implicaciones legales de la computación en la nube

A partir de los acuerdos publicados en el Diario Oficial de la Federación comprendemos algunas políticas que pueden asociarse a la computación en la nube o cloud computing, en el almacenamiento, en aquellos aspectos que involucra a la administración pública en donde se promueve la protección a los datos y la transparencia.

El primer acuerdo es del día 8 de mayo del año 2014 que tiene como objetivo emitir las disposiciones y políticas para la Estrategia Digital Nacional, en materia de comunicaciones, tecnologías de la información y seguridad de la información.  Por otra parte, el segundo con fecha del 23 de julio del año 2018, donde se modifican las políticas y disposiciones alcanzadas en el acuerdo anterior.

Ahora bien, ¿qué requiere el Estado Mexicano para la implementación idónea de la computación en la nube?  En inicio, el manejo digital de centros de datos o data centers, la nube pública e híbrida, la gran analítica de información o big data, el Internet de las Cosas (IoT) como elementos fundamentales donde reposa el tratamiento de datos personales, que si no son manejados de manera eficiente pueden significar graves brechas de seguridad. Resultado entonces, en la aplicación de un servicio de ofimática en la nube completo, adaptado a las necesidades gubernamentales y empresariales para el respeto a las bases de datos y blindar las operaciones que ahí se desarrollen.

Con respecto a los trabajos para regular el cloud computing en países de América compartimos a continuación diversos aspectos relevantes (1):

(I) Argentina. No existe regulación específica de la computación en la nube. Con relación a iniciativa para promover los servicios en la nube, el Ministerio de modernización firmo con Amazon un acuerdo para promover la innovación.

(II) Brasil. Existe una regulación para internet y protección de datos personales, en ella impone obligaciones sobre el almacenamiento de datos, no obstante, referente a iniciativas contempla un borrador sobre obligaciones de los Data Centers localizados en territorio brasileño.

(III) Canadá. No existe legislación específica. Sin embargo, el marco legal entiende los servicios en la nube, en el caso de datos de localización, sujetos al acta de protección de información personal y documentos electrónicos. El gobierno canadiense adoptó un esquema de control de seguridad para servicios IT en la nube.

(iV) Colombia. No existe legislación específica. En ese sentido, comprende aspectos de privacidad y tecnología en la nube por parte de la Ley Federal de Protección de Datos. En el año 2015 se excluyeron del pago de impuestos a los servicios de cómputo en la nube.

Implementación de la nube en sector público

En nuestro objeto de estudio resulta importante apreciar los puntos clave para la aplicación de los servicios de la computación en la nube en el ámbito público, en ese orden de ideas, en el año 2022 se publicó el estudio sobre las implicaciones jurídicas del uso de cómputo en la nube por el sector público mexicano realizado por la Asociación Mexicana de Internet A.C. Dicho documento manifiesta una serie de conclusiones y recomendaciones que enumeramos a continuación (3):

(1) Iniciar la transición con sistemas de información pública. Existen sistemas con grandes volúmenes de datos no personales o reservados que pueden ser de gran utilidad para las autoridades y sus procesos de decisión.

(2) Establecer como obligación de la autoridad el analizar la información en sus sistemas para determinar su clasificación de acuerdo con las leyes mexicanas. Es decir, distinguir entre sistemas con información pública, personal, reservada o relacionada con temas de seguridad nacional.

(3) El uso de la nube debe ser impulsado como una política pública basada en el principio Cloud first, que sostiene el uso de la infraestructura del proveedor de servicios y en última instancia, recibir servicios de alta gama en lugar de depender de operaciones internas.

(4) Establecer canales de comunicación y coordinación entre las instancias legislativas, los órganos reguladores, los entes públicos ejecutivos y los agentes económicos, para instaurar reglas generales, estándares sectorizados y generar confianza en la nube.

(5) La regulación de la nube debe ser tecnológicamente neutral de acuerdo con la Asia Cloud Computing Association, lo cual significa acorde a la Convención de las Naciones Unidas sobre la Utilización de las Comunicaciones Electrónicas en los Contratos Internacionales Convención sobre Comunicaciones Electrónica, que las reglas “no dependen de la utilización de determinados tipos de tecnología ni la presuponen y podrían aplicarse a la comunicación y al archivo de cualquier tipo de información”.

Cabe resaltar en lo establecido que, en el contexto jurídico del Estado Mexicano los derechos de protección de datos personales, acceso a la información pública, gestión documental y archivos representan una trilogía clave en la historia nacional para el nuevo paradigma de la transformación digital. Por tanto, sostenemos que el legislador debe considerar la elaboración trasversal de una reforma o nuevo cuerpo normativo que involucre a la computación en la nube y su relación con los tres derechos enunciados.

Notas 

(1) Iniciativas regulatorias para los servicios en la nube en América Latina. Cullen Internacional.

(2) Guía de Cloud Security 2023. Riesgos, mejores prácticas y certificaciones. KINSTA. Véase en: https://kinsta.com/es/blog/seguridad-nube/

(3) Introducción a la seguridad en la nube, INTEL. Véase en: https://www.intel.la/content/www/xl/es/cloud-computing/cloud-security.html

(4) Estudio sobre las implicaciones jurídicas del uso de cómputo en la nube por el sector público mexicano, año 2022. Asociación Mexicana de Internet A.C. Véase en: https://t.ly/sM5cy

 

***

Ro­dol­fo Gue­rre­ro es abo­ga­do por la Be­ne­mé­ri­ta Uni­ver­si­dad de Gua­da­la­ja­ra y maes­tro en de­re­cho con orien­ta­ción en ma­te­ria Cons­ti­tu­cio­nal y ad­mi­nis­tra­ti­vo por la mis­ma casa de es­tu­dios. Es So­cio Fun­da­dor y Re­pre­sen­tan­te Le­gal de la So­cie­dad Ci­vil Cof­fee Law “Dr. Jor­ge Fer­nán­dez Ruiz”. So­cio fun­da­dor de la Aca­de­mia Me­xi­ca­na de De­re­cho “Juan Ve­lás­quez” A.C. Ti­tu­lar de la Co­mi­sión de Le­gal­tech del Ilus­tre y Na­cio­nal Co­le­gio de Abo­ga­dos de Mé­xi­co A.C. Ca­pí­tu­lo Oc­ci­den­te. Vi­ce­pre­si­den­te de la Aca­de­mia Me­xi­ca­na de De­re­cho In­for­má­ti­co, Ca­pí­tu­lo Ja­lis­co.