Internet y Seguridad
Control, auditoría y aseguramiento en Cloud Computing
Cómo controlo la Nube? ¿Cuáles son las mejores prácticas para asegurar la información? ¿Es...
Conozca todos los detalles en:
Inicio »
Noticias de Negocios y Tecnología »
Noticias de Negocios y Tecnología »
Entrevistas »
Cloud Computing: El futuro tecnológico para el sector público
aaaa
Cloud Computing: El futuro tecnológico para el sector público
Expertos a nivel mundial coinciden en resaltar al sector público como uno de los sectores en donde se espera que Cloud Computing tenga, a futuro, una mayor acogida y un mejor desempeño. Channel Planet conversó con el Consultor internacional de empresas e instituciones públicas Alejandro Barros* quien ha hecho un amplio seguimiento al tema.
¿Cuáles son los beneficios de Cloud Computing para el sector público?
Sin lugar a dudas es un servicio que tiene muchos beneficios en temas como escalabilidad, en términos de no compra de infraestructura sino niveles de servicio definidos en un contrato con un costo de migración relativamente bajo, tanto al iniciar como al finalizar. Hay muchos beneficios en temas de ahorros y competitividad.
¿Cuánto podría ahorra un gobierno haciendo una migración a Cloud?
El nivel de ahorro anda entre el 10 y el 20% en costos asociados a adquisición de infraestructura y en licenciamiento, aunque depende mucho del tipo de solución porque hay algunas que requieren más adaptación y por ende más recursos, pero a nivel de ahorros para un gobierno es mucho dinero.
Por ejemplo, en el caso de la estructura del gobierno central chileno son más o menos 300 instituciones y debe haber, por lo menos, 300 servidores web y unos 300 servidores de correo electrónico.
¿Tiene sentido para un servicio bastante estándar? La verdad es que las adaptaciones propias a las particularidades de cada institución es bastante menor que tener toda esa infraestructura. Por qué no comprar mejor, por ejemplo, un main frame, y dar el servicio de mensajería electrónica a todo el aparto del Estado.
Un segundo paso sería no comprar un medio sino un servicio. Entonces se compra a Microsoft a Google a Yahoo un servicio de mensajería electrónica para todo el Estado. Los ahorros ahí no son decenas, sino centenas de millones de dólares
¿Cloud puede incrementar la productividad en las instituciones públicas?
Absolutamente. Solo habría que imaginarse cómo sería la operación de un gobierno si, por ejemplo, todas las agendas de sus funcionarios estuvieran en Google Calendar y fuera posible establecer reuniones inter agencia con toda la seguridad y los accesos correspondientes.
A nivel de correo electrónico se podría manejar los niveles de servicio que tiene Microsoft, y no los que tiene el servidor de mi institución, que son bastante más altos. En general los GCLAS que manejan los grandes proveedores de Cloud son mucho más altos que lo que las instituciones son capaces de proveer en su propia institución porque para llegar ellos a esos niveles de servicio habría que tener equipamiento redundante y probablemente no se tienen los recursos, ni lo amerita el negocio.
Instituciones muy pequeñas, por ejemplo, tienen problemas con su servidor de correo porque se les cae, porque alguien instaló un parche malo o porque ocurrió algún tipo de problema y si se monitorea eso en tiempo va a haber varios periodos de interrupción.
En el fondo lo que se hace es estandarizar la operación con modelos de servicios flexibles y así poder volcar las energías al negocio y no a administrar infraestructura, que para efectos prácticos no es muy relevante.
¿Para qué sectores Cloud funcionaría mejor?
Cloud aplica para todas aquellas que no están vinculadas de manera directa a temas de seguridad nacional. Probablemente en ciertas cosas o áreas de las Fuerzas Armadas o de los organismos de seguridad, no aplicaría un modelo de Cloud abierto, pero probablemente un modelo de cloud cerrado sí.
¿Qué aplicaciones tendrían mayor cabida para el sector público?
Hay que partir por las aplicaciones que hoy en día ya están instaladas en el paradigma colectivo que existe sobre servicios de Cloud. Hoy en día todas las personas, sino la gran mayoría, tienen una cuenta de correo en algunos de esos servicios Cloud, Yahoo, Gmail o Hotmail, entonces por qué no tener los de la institución en Hotmail si a nivel personal me ha funcionado bien en los últimos años.
¿Cloud es lo suficientemente seguro para que los gobiernos se sientan tranquilos para dar el paso hacia la nube?
Si se miran los problemas asociados a seguridad, un porcentaje muy importante se da en atentados que provienen desde dentro de las instituciones y no desde fuera. En Cloud se resuelve este tema.
Por otro lado, los niveles de seguridad se pueden definir contractualmente. En el contrato se define el modelo de seguridad. Adicionalmente, hay que decir que ya hoy en día todos los paquetes IP están circulando y viajan por los ISP.
Ya no solo va a circular por la web sino que además va a estar alojado en la web.
Por otro lado, creo que no todas las organizaciones del Estado van a entrar en este modelo, porque para algunas áreas del Estado, más vinculas a temas de seguridad nacional, no tiene sentido que entren en una modalidad Cloud.
Ojo, porque aún así existen dos tipos de Cloud, el abierto y el corporativo. En este último, es posible que un conjunto de instituciones públicas se pongan de acuerdo y generen un servicio bajo la modalidad de shear services y brinden ese conjunto servicios a otras. Se juntan entre varios para tener el servicio en la nube.
¿Qué tan difícil es que Cloud sea adoptado como modelo a nivel público?
Cloud tiene varios desafíos, para poder entrar en el mundo público. Son cuestionamientos de mayor envergadura que los que ocurren en el mundo privado, fundamentalmente asociados a temas más de seguridad de la información o residencia de la información; para muchos gobiernos la residencia de los datos es un tema no menor.
Recuerdo algo que ocurrió, parecido al Cloud Computing, con el tema de los Blackberry, en Francia y en Estados Unidos. En Francia, Sarkozy prohibió a sus ministros utilizar tecnología Rhino o sea Blackberry por el hecho de que los mails circulaban por servidores de Rhino en Canadá.
En el caso de Obama, Rhinno, debido la importancia de su cargo, tuvo que desarrollar un dispositivo especial que encripta la información a la entrada de los servidores.
Ese es el claro ejemplo de que en el mundo aún no hay una respuesta adecuada que de cuenta en el ámbito del mundo legal, sobre Cloud Computing.
La otra complejidad se da desde el punto de vista de auditoría de gobierno, en algunos países se llama la contraloría general. Cuando compras infraestructura estás comprando fierros y software y por lo tanto en un proceso de fiscalización, es fácil de presentar y de fiscalizar.
Pero cuando se contratan servicios en la modalidad SaaS lo que estas contratando es una suscripción a un servicio, por lo que en el fondo hay una inmaterialidad de la compra lo que hace difícil su fiscalización.
Un tercer punto son las formas de pago. Muchos de estos servicios se compran en la red con un esquema de pago con tarjeta de crédito, por lo tanto, salvo que se haga una definición como país o pago se realice por todo el Estado a través de su organismo central de compra, la modalidad de pago no es fácil, porque no son tradicionales para el sector público, están pensados más para el mundo privado.
Hay cuarto tema sobre el modelo de negocio que los proveedores de servicios, hablando de los más grandes, tienen detrás. El modelo de negocios de Google es un modelo de venta de publicidad a partir de la indexación de contenidos. En ese caso surge la pregunta de si el proveedor que yo como Estado escojo, en este caso Google, tiene derecho a indexar mis contenidos.
Lo que ocurre hoy en día es que no hay un match adecuado entre la oferta de servicios en modalidad Cloud y las particularidades que tiene el sector público como comprador.
¿Es decir que en Cloud las regulaciones no están avanzando a la misma velocidad a la que avanza el modelo?
Claro y respondo con un ejemplo de un servicio público en Chile. El área de informática quería contratar una solución para la solución de sus proyectos, porque estaban montando una PMO (Project Managment Office) y por lo tanto querían tener una solución tecnológica para apoyar el trabajo de esa PMO.
Hicieron una evaluación de las distintas alternativas y finalmente la que salía más conveniente desde el punto de vista económico y de crecimiento, era una solución de modalidad Cloud Coputing, un software as a service en la web, en la cual cada usuario se conectaba y encontraba los proyectos identificados con su versión de proyecto, el estado de avance, los recursos asignados, etc. Un recurso bastante bueno en su relación calidad precio.
El problema fue que el área legal de ese servicio público dijo que la información del servicio no puede residir fuera del país.
Ahí surgen varios cuestionamientos. ¿Dónde están los datos? La verdad uno nunca sabe. Uno se hace la pregunta dónde está el correo de Gmail, en qué parte recibe; la verdad es que nadie sabe y probablemente una parte está en Kansas, la otra en Nueva York y la otra está en Australia o en Dublín y a ti eso no te importa, pero en la vida pública eso sí importa. Eso es un problema.
El otro problema es cómo se paga. Hay que pagarlo con una tarjeta de crédito internacional pero el servicio público no tiene como medio de pago una tarjeta de crédito internacional. Es posible que alguno de sus funcionarios tenga su tarjeta de crédito personal y pueda cargarlo a su cuenta para después hacer una transferencia y una reducción de gastos al respecto.
La verdad es que para este caso no estaba estructurado para que fueran aún un click de distancia como se dice.
¿Están preparados los gobiernos para la gestión del cambio con una migración a Cloud? ¿Sería un proceso complicado o sencillo?
Creo lo más complicado está en la decisión más que en el proceso. Cuando un Estado toma la decisión de que todas sus autoridades, cambien a alguna modalidad Cloud para algún tipo de servicio tecnológico, el proceso de migración es menos complejo que ese proceso de toma de decisión, porque lo primero que hay que resolver son esas objeciones que te van a poner dentro del mismo aparato del Estado.
Siempre van a estar las dudas sobre dónde están los datos, cómo vamos a hacer con las normativas, voy a poder ver los servidores si quiero verlos, cuál va a ser el modo de pago, cómo lo parametrizo.
¿Existe algún caso de éxito de utilización de Cloud en el sector público?
Todavía hay pocos casos de éxito para mostrar a nivel mundial, este es un tema bastante nuevo. Los casos más emblemáticos son de algunas administraciones no a nivel de gobierno total, sino de administraciones públicas, que han delegado en un tercero sus servicios de mensajería electrónica, de hosting de aplicaciones o de telefonía en la modalidad IP.
La ciudad de los Ángeles tiene un caso, está en proceso de implementación, migrando a todos sus usuarios a la plataforma de Google con todos sus aplicativos de Google Docs.
El gobierno de Estados Unidos creo el portal www.apps.gov, que más que un portal es una vitrina para comprar con proveedores que ya han sido preseleccionados por la GSA. En ese portal hay más de un proveedor por tipo de aplicación Cloud.
En nuestra región el tema ha tenido como punto de partida las universidades públicas.
En Chile, la Universidad de Chile, entregó todo el servicio de mensajería electrónica que se entrega a los alumnos, a los académicos y funcionarios de la Universidad a Google. Ahí son varias miles de cuentas.
Alejandro Barros Magíster en Ciencias, mención Computación, de la Universidad de Chile. Presidente Ejecutivo de e.nable. ex-Secretario Ejecutivo - Estrategia Digital de Chile 2007-2008.
Es consultor internacional de empresas e instituciones públicas. Se ha especializado en planificación estratégica tecnológica, políticas tecnológicas, gobierno electrónico, compras públicas e introducción de tecnologías en procesos de negocios.
Ha sido consultor de organismos internacionales como el Banco Mundial y Banco Interamericano de Desarrollo.
Es autor de diversos blogs relacionados con la tecnología en el sector público en su sitio web http://www.alejandrobarros.com/
Sin lugar a dudas es un servicio que tiene muchos beneficios en temas como escalabilidad, en términos de no compra de infraestructura sino niveles de servicio definidos en un contrato con un costo de migración relativamente bajo, tanto al iniciar como al finalizar. Hay muchos beneficios en temas de ahorros y competitividad.
¿Cuánto podría ahorra un gobierno haciendo una migración a Cloud?
El nivel de ahorro anda entre el 10 y el 20% en costos asociados a adquisición de infraestructura y en licenciamiento, aunque depende mucho del tipo de solución porque hay algunas que requieren más adaptación y por ende más recursos, pero a nivel de ahorros para un gobierno es mucho dinero.
Por ejemplo, en el caso de la estructura del gobierno central chileno son más o menos 300 instituciones y debe haber, por lo menos, 300 servidores web y unos 300 servidores de correo electrónico.
¿Tiene sentido para un servicio bastante estándar? La verdad es que las adaptaciones propias a las particularidades de cada institución es bastante menor que tener toda esa infraestructura. Por qué no comprar mejor, por ejemplo, un main frame, y dar el servicio de mensajería electrónica a todo el aparto del Estado.
Un segundo paso sería no comprar un medio sino un servicio. Entonces se compra a Microsoft a Google a Yahoo un servicio de mensajería electrónica para todo el Estado. Los ahorros ahí no son decenas, sino centenas de millones de dólares
¿Cloud puede incrementar la productividad en las instituciones públicas?
Absolutamente. Solo habría que imaginarse cómo sería la operación de un gobierno si, por ejemplo, todas las agendas de sus funcionarios estuvieran en Google Calendar y fuera posible establecer reuniones inter agencia con toda la seguridad y los accesos correspondientes.
A nivel de correo electrónico se podría manejar los niveles de servicio que tiene Microsoft, y no los que tiene el servidor de mi institución, que son bastante más altos. En general los GCLAS que manejan los grandes proveedores de Cloud son mucho más altos que lo que las instituciones son capaces de proveer en su propia institución porque para llegar ellos a esos niveles de servicio habría que tener equipamiento redundante y probablemente no se tienen los recursos, ni lo amerita el negocio.
Instituciones muy pequeñas, por ejemplo, tienen problemas con su servidor de correo porque se les cae, porque alguien instaló un parche malo o porque ocurrió algún tipo de problema y si se monitorea eso en tiempo va a haber varios periodos de interrupción.
En el fondo lo que se hace es estandarizar la operación con modelos de servicios flexibles y así poder volcar las energías al negocio y no a administrar infraestructura, que para efectos prácticos no es muy relevante.
¿Para qué sectores Cloud funcionaría mejor?
Cloud aplica para todas aquellas que no están vinculadas de manera directa a temas de seguridad nacional. Probablemente en ciertas cosas o áreas de las Fuerzas Armadas o de los organismos de seguridad, no aplicaría un modelo de Cloud abierto, pero probablemente un modelo de cloud cerrado sí.
¿Qué aplicaciones tendrían mayor cabida para el sector público?
Hay que partir por las aplicaciones que hoy en día ya están instaladas en el paradigma colectivo que existe sobre servicios de Cloud. Hoy en día todas las personas, sino la gran mayoría, tienen una cuenta de correo en algunos de esos servicios Cloud, Yahoo, Gmail o Hotmail, entonces por qué no tener los de la institución en Hotmail si a nivel personal me ha funcionado bien en los últimos años.
¿Cloud es lo suficientemente seguro para que los gobiernos se sientan tranquilos para dar el paso hacia la nube?
Si se miran los problemas asociados a seguridad, un porcentaje muy importante se da en atentados que provienen desde dentro de las instituciones y no desde fuera. En Cloud se resuelve este tema.
Por otro lado, los niveles de seguridad se pueden definir contractualmente. En el contrato se define el modelo de seguridad. Adicionalmente, hay que decir que ya hoy en día todos los paquetes IP están circulando y viajan por los ISP.
Ya no solo va a circular por la web sino que además va a estar alojado en la web.
Por otro lado, creo que no todas las organizaciones del Estado van a entrar en este modelo, porque para algunas áreas del Estado, más vinculas a temas de seguridad nacional, no tiene sentido que entren en una modalidad Cloud.
Ojo, porque aún así existen dos tipos de Cloud, el abierto y el corporativo. En este último, es posible que un conjunto de instituciones públicas se pongan de acuerdo y generen un servicio bajo la modalidad de shear services y brinden ese conjunto servicios a otras. Se juntan entre varios para tener el servicio en la nube.
¿Qué tan difícil es que Cloud sea adoptado como modelo a nivel público?
Cloud tiene varios desafíos, para poder entrar en el mundo público. Son cuestionamientos de mayor envergadura que los que ocurren en el mundo privado, fundamentalmente asociados a temas más de seguridad de la información o residencia de la información; para muchos gobiernos la residencia de los datos es un tema no menor.
Recuerdo algo que ocurrió, parecido al Cloud Computing, con el tema de los Blackberry, en Francia y en Estados Unidos. En Francia, Sarkozy prohibió a sus ministros utilizar tecnología Rhino o sea Blackberry por el hecho de que los mails circulaban por servidores de Rhino en Canadá.
En el caso de Obama, Rhinno, debido la importancia de su cargo, tuvo que desarrollar un dispositivo especial que encripta la información a la entrada de los servidores.
Ese es el claro ejemplo de que en el mundo aún no hay una respuesta adecuada que de cuenta en el ámbito del mundo legal, sobre Cloud Computing.
La otra complejidad se da desde el punto de vista de auditoría de gobierno, en algunos países se llama la contraloría general. Cuando compras infraestructura estás comprando fierros y software y por lo tanto en un proceso de fiscalización, es fácil de presentar y de fiscalizar.
Pero cuando se contratan servicios en la modalidad SaaS lo que estas contratando es una suscripción a un servicio, por lo que en el fondo hay una inmaterialidad de la compra lo que hace difícil su fiscalización.
Un tercer punto son las formas de pago. Muchos de estos servicios se compran en la red con un esquema de pago con tarjeta de crédito, por lo tanto, salvo que se haga una definición como país o pago se realice por todo el Estado a través de su organismo central de compra, la modalidad de pago no es fácil, porque no son tradicionales para el sector público, están pensados más para el mundo privado.
Hay cuarto tema sobre el modelo de negocio que los proveedores de servicios, hablando de los más grandes, tienen detrás. El modelo de negocios de Google es un modelo de venta de publicidad a partir de la indexación de contenidos. En ese caso surge la pregunta de si el proveedor que yo como Estado escojo, en este caso Google, tiene derecho a indexar mis contenidos.
Lo que ocurre hoy en día es que no hay un match adecuado entre la oferta de servicios en modalidad Cloud y las particularidades que tiene el sector público como comprador.
¿Es decir que en Cloud las regulaciones no están avanzando a la misma velocidad a la que avanza el modelo?
Claro y respondo con un ejemplo de un servicio público en Chile. El área de informática quería contratar una solución para la solución de sus proyectos, porque estaban montando una PMO (Project Managment Office) y por lo tanto querían tener una solución tecnológica para apoyar el trabajo de esa PMO.
Hicieron una evaluación de las distintas alternativas y finalmente la que salía más conveniente desde el punto de vista económico y de crecimiento, era una solución de modalidad Cloud Coputing, un software as a service en la web, en la cual cada usuario se conectaba y encontraba los proyectos identificados con su versión de proyecto, el estado de avance, los recursos asignados, etc. Un recurso bastante bueno en su relación calidad precio.
El problema fue que el área legal de ese servicio público dijo que la información del servicio no puede residir fuera del país.
Ahí surgen varios cuestionamientos. ¿Dónde están los datos? La verdad uno nunca sabe. Uno se hace la pregunta dónde está el correo de Gmail, en qué parte recibe; la verdad es que nadie sabe y probablemente una parte está en Kansas, la otra en Nueva York y la otra está en Australia o en Dublín y a ti eso no te importa, pero en la vida pública eso sí importa. Eso es un problema.
El otro problema es cómo se paga. Hay que pagarlo con una tarjeta de crédito internacional pero el servicio público no tiene como medio de pago una tarjeta de crédito internacional. Es posible que alguno de sus funcionarios tenga su tarjeta de crédito personal y pueda cargarlo a su cuenta para después hacer una transferencia y una reducción de gastos al respecto.
La verdad es que para este caso no estaba estructurado para que fueran aún un click de distancia como se dice.
¿Están preparados los gobiernos para la gestión del cambio con una migración a Cloud? ¿Sería un proceso complicado o sencillo?
Creo lo más complicado está en la decisión más que en el proceso. Cuando un Estado toma la decisión de que todas sus autoridades, cambien a alguna modalidad Cloud para algún tipo de servicio tecnológico, el proceso de migración es menos complejo que ese proceso de toma de decisión, porque lo primero que hay que resolver son esas objeciones que te van a poner dentro del mismo aparato del Estado.
Siempre van a estar las dudas sobre dónde están los datos, cómo vamos a hacer con las normativas, voy a poder ver los servidores si quiero verlos, cuál va a ser el modo de pago, cómo lo parametrizo.
¿Existe algún caso de éxito de utilización de Cloud en el sector público?
Todavía hay pocos casos de éxito para mostrar a nivel mundial, este es un tema bastante nuevo. Los casos más emblemáticos son de algunas administraciones no a nivel de gobierno total, sino de administraciones públicas, que han delegado en un tercero sus servicios de mensajería electrónica, de hosting de aplicaciones o de telefonía en la modalidad IP.
La ciudad de los Ángeles tiene un caso, está en proceso de implementación, migrando a todos sus usuarios a la plataforma de Google con todos sus aplicativos de Google Docs.
El gobierno de Estados Unidos creo el portal www.apps.gov, que más que un portal es una vitrina para comprar con proveedores que ya han sido preseleccionados por la GSA. En ese portal hay más de un proveedor por tipo de aplicación Cloud.
En nuestra región el tema ha tenido como punto de partida las universidades públicas.
En Chile, la Universidad de Chile, entregó todo el servicio de mensajería electrónica que se entrega a los alumnos, a los académicos y funcionarios de la Universidad a Google. Ahí son varias miles de cuentas.
Alejandro Barros Magíster en Ciencias, mención Computación, de la Universidad de Chile. Presidente Ejecutivo de e.nable. ex-Secretario Ejecutivo - Estrategia Digital de Chile 2007-2008.
Es consultor internacional de empresas e instituciones públicas. Se ha especializado en planificación estratégica tecnológica, políticas tecnológicas, gobierno electrónico, compras públicas e introducción de tecnologías en procesos de negocios.
Ha sido consultor de organismos internacionales como el Banco Mundial y Banco Interamericano de Desarrollo.
Es autor de diversos blogs relacionados con la tecnología en el sector público en su sitio web http://www.alejandrobarros.com/
