Cloud Computing, también conocido computación en la nube, es un paradigma de negocio gestionado a través de protocolos de Internet. Por tanto el modelo de contratos diferirá. Los proveedores de cloud computing ofrecen recursos informáticos y ejecución de tareas, utilizando técnicas de virtualización y economía en escala. Así, los clientes o consumidores de servicios sólo pagan lo que utilizan y que puedan acceder a los servicios mediante cualquier medio y dispositivo, de manera flexible y escalable.
Para muchas organizaciones, este paradigma ha representado una manera de cubrir sus requerimientos de alta disponibilidad, fiabilidad y tolerancia a fallos, adquiriendo servicios de distribución geográfica muy dispersa. Del mismo modo, la aceptación de cloud computing depende ampliamente de la manera que los servicios cumplan con los requerimientos funcionales y no funcionales planteados por los consumidores.
Debido al rápido crecimiento de cloud computing y desarrollo de la web profunda («deep web»), algunas organizaciones internacionales están analizando la necesidad de una metalegislación aplicable a Internet y de mayores normativas para la protección de datos personales, propiedad intelectual, encriptación de contenidos sensibles, control de acceso a la información, monitoreo del tráfico de redes y seguridad informática.
Por ejemplo, la European Network and Information Security Agency (ENISA) define y analiza los beneficios y riesgos de seguridad en cloud, desde una perspectiva técnica y legal. Cloud Security Alliance (CSA) promueve el uso de las mejores prácticas en cloud para ofrecer garantías de seguridad y el National Institute of Standard and Technology (NIST) creó un equipo para analizar los riesgos actuales que se presentan en la adopción de cloud computing.
Qué son los acuerdos SLA, Service Level Agreement
Los contratos y acuerdos de nivel de servicio (SLA, Service Level Agreement) detallan los requerimientos funcionales y de calidad que un servicio debe cumplir. Debido a que son muchos los potenciales riegos y no existen normativas legales y contractuales que regulen las negociaciones en el contexto de cloud computing, los clientes potenciales deberán asegurarse que estos acuerdos abarquen cláusulas de disponibilidad del servicio, garantías del uso apropiado de información, mantenimiento de los recursos, y seguridad informática, tanto en la adquisición del servicio como en la terminación del contrato.
Si el proveedor no cumple con el nivel de servicio esperado, el consumidor deberá recibir una compensación acorde, que generalmente se refieren a una indemnización monetaria y créditos de servicio. Por lo tanto, el monitoreo continuo de los niveles de servicios es uno de los aspectos más importantes para asegurar que se cumplen los acuerdos establecidos.
A continuación se realiza una síntesis de las características principales de cloud computing, sus modelos de despliegues y sus modelos de servicio.
Características del Cloud Computing
Debido a la diversidad de información y enfoques que tiene el paradigma de cloud computing, no existe una definición unificada. El NIST propone una definición que abarca los aspectos más generales de este modelo de negocio: “Cloud computing es un modelo que permite acceso a redes bajo demanda, para compartir un conjunto de recursos de computación configurable (es decir, redes, servidores, almacenamiento, aplicaciones y servicios) que pueden ser rápidamente provistos o liberados con un mínimo esfuerzo de administración o interacción con los proveedores de servicio”. Además, NIST (National Institute of Standard and Technology) define cinco roles:
- Consumidor: entidad que utiliza el servicio.
- Proveedor: entidad responsable de la disponibilidad del servicio.
- Transportador: intermediario que ofrece conectividad y exportación de datos para utilizar los servicios provistos.
- Bróker: intermediario que se involucra en la relaciones contractuales y de negocio.
- Auditor: agente externo que se encarga de informar el estado de los servicios.
Los entornos de cloud computing consiste en un conjunto de recursos físicos que son optimizados para maximizar su rentabilidad, incrementando los servicios ofrecidos y minimizando los costos totales. Los proveedores pueden reemplazar los dispositivos con fallas crecientes, desconectar unidades de hardware que no son utilizadas cuando la demanda de servicios es baja, o bien conectar nuevas unidades para atender las nuevas demandas.
Es el modelo de despliegue quien define si estos recursos son de acceso exclusivo de determinada organización o compartidos, si se encuentran en el centro de datos del cliente («on-premises») o en el servidor de los servicios («off- premises»). En consecuencia, se debe analizar en los contratos y acuerdos de servicios el modelo de despliegue ofrecido por el proveedor, ya que indica los riegos asumidos durante el contrato de negocio, además los parámetros de seguridad que deberán ser configurados para el acceso de los diferentes consumidores de servicios.
Distintos modelos de despliegue
- Nube Privada.Los recursos y accesos son de uso exclusivo de una organización.
- Nube Comunitaria. Los recursos son compartidos por una comunidad de organizaciones específicas, que poseen alguna característica especial que la hacen formar parte de esta comunidad. Estas comunidades obligan al proveedor a compartir políticas específicas entre los usuarios de la nube comunitaria.
- Nube Pública. Los servicios se encuentran alocados dentro de los servidores del proveedor o de terceras partes. La infraestructura de la nube es compartida por varios clientes independientes y se debe asegura la independencia entre los entornos de estos clientes.
- Nube Híbrida.Es una combinación de una nube privada, nube pública o nube comunitaria.
Los servicios prestados por los proveedores de cloud computing se pueden clasificar en tres modelos o tipos de servicio, considerando el “Modelo SPI” (Software, Plataforma e Infraestructura). Según el modelo adoptado son las características de abstracción brindadas de los recursos físicos y los permisos necesarios que el proveedor debe otorgar al consumidor de servicio. En consecuencia, el consumidor deberá reforzar la seguridad informática y preservación de los datos según el modelo elegido, utilizando mecanismos dentro de su perímetro de control. Los modelos disponibles dentro del enfoque SPI son:
Software como un Servicio (SaaS).
El servicio está formado por aplicaciones que los usuarios finales pueden acceder a través de uso de navegadores o interfaces web en los dispositivos utilizando protocolos de Internet, y el proveedor enmascara el hardware que soporta la capa lógica de las aplicaciones.
Plataforma como un Servicio (PaaS)
.El servicio ofrecido es un contenedor que posee un entorno de programación, con bibliotecas y herramientas que dan soporte al desarrollo de aplicaciones.
Infraestructura como un Servicio (IaaS)
.El servicio está dado por máquinas virtuales, capacidad de almacenamiento, base de datos y dispositivos de redes.
Conclusiones
La migración de servicios a cloud computing puede considerarse un cambio en la estructura de los contratos de negocios, y los procedimientos jurídicos. Es por esto, que se necesita de herramientas que identifiquen la relación de la tecnología con la legislación. Además, hay que considerar los potenciales riesgos en el contexto de cloud computing, que hacen referencia a la seguridad de la información, la implementación de políticas y los controles para la gestión de los servicios.
Por Ana Sofía Zalazar, Silvio Gonnet y Horacio Leone.