Realidad y marketing en el cloud soberano
La construcción de un cloud soberano constituye uno de los retos más relevantes en el sector público actual. La evolución de la política internacional, el constante riesgo de espionaje por parte de potencias extranjeras (aliadas, o no), las dificultades derivadas del ransomware en sus múltiples modalidades y, en fin, la extensión extraterritorial de la normativa extranjera de los actuales dominantes del mercado de la “nube” hace que el cloud sólo pueda ser una cuestión interna.
De hecho, en los últimos tiempos, se ha reavivado la cuestión del cloud soberano. Tanto que una de las grandes empresas estadounidenses de cloud ha desarrollado una campaña de marketing en la que lanza la idea de que en Europa se puede crear un cloud soberano con su apoyo. El olvido de la CLOUD Act de los Estados Unidos ha sido un error patente (deliberado o no) de su campaña. Como se verá a lo largo de este artículo, no se trata sólo de un problema físico, de donde están las máquinas, sino tecnológico y legal. Si no se adopta este planteamiento transversal tendremos fallas de soberanía en el sistema que nos harán vulnerables (aunque sea ante aparentes aliados).
Y ello porque países como los Estados Unidos, Israel o China extienden su territorio en esta materia a todos los lugares donde se encuentren servidores, ya sea Finlandia, el Caribe o Arkansas. El criterio es la nacionalidad de la empresa o su matriz.
¿Qué es un cloud soberano?
¿De qué hablamos cuando hacemos referencia al cloud soberano? Pues esencialmente al hecho de garantizar la seguridad de los datos y los procesos de computación que se desarrollan a través del cloud; mediante un instrumento en el que se garantice la integridad jurídica. Es, desde este punto de vista un enfoque jurídico que afecta a los dos elementos del cloud: almacenamiento y computación. Sin cualquiera de ellos no tenemos más que un armario de datos; pero del que no se extrae la ropa necesaria.
En efecto, es necesario el almacenamiento, en el sentido de custodia de los datos de personas, empresas y sector público, en donde el cloud no es más que un disco duro con un valor limitado ya que el dato está meramente custodiado. Hay siempre un proceso de computación, pero aquí es pequeño. Sería el equivalente a los sistemas que tenemos en nuestros equipos personales.
Lo relevante del cloud está constituido por la computación; esto es la aplicación de programas que permitan extraer las consecuencias de los datos y adoptar, en consecuencia, procesos. Por tomar un ejemplo sencillo, nos encontraríamos ante la reparación de equipos a distancia a través de que la información sobre el equipo averiado tiene su traslación en la nube.
El impacto que puede tener esto en las Fuerzas Armadas, por ejemplo, que tienen misiones a distancia es muy considerable. Pero también sirve para el desarrollo de políticas de prevención de delitos o, sencillamente, para crear simulaciones sobre los impactos de políticas públicas y privadas en un determinado territorio. Por coger algo de lo que se habla mucho, las llamadas smart cities están estructuradas a través del cloud, y una aplicación relevante a través de la computación sería la comparativa de contaminación del propio cloud por comparación con la ciudad no inteligente. Análisis que, por cierto, no está muy desarrollado.
Ni que decir tiene que la batalla de la inteligencia artificial entre China y los Estados Unidos se desarrolla a través del cloud. Y, de hecho, están apareciendo nuevos polos emergentes, como Israel, India Rusia o Abu Dabi. Realmente tenemos delante un gran reto para el Estado, sobre todo para los Estados de la Unión Europea.
Para el sector público y más
Un último elemento ha de ser contemplado en relación con la soberanía del cloud. Esencialmente, es una cuestión que afecta a las Administraciones públicas y, en general, a todas las entidades del sector público. No sólo del Estado, sino de Comunidades autónomas, Ciudades autónomas, Diputaciones Provinciales y Municipios. Pero no nos podemos quedar aquí. La soberanía se ha de predicar en un sentido económico también, lo que nos abre dos campos diferenciados: el primero el de las empresas estratégicas, en donde el cloud no sólo afecta a la empresa sino a la totalidad de la economía. Este tipo de entidades tienen que superar su visión únicamente economicista de sus resultados y han de tener la voluntad de hacer país, también en la gestión de los datos. Y, en segundo lugar, para la propia empresa, para sus desarrollos de productos y su evolución económica, la confianza en quién es el gestor de los datos debiera dar un paso más y situar sus servidores en cloud soberano.
¿Qué requisitos debe cumplir un cloud soberano?
En estas condiciones, qué hemos de exigir a un cloud para que pueda ser soberano.
En primer lugar, que el proveedor de servicios de cloud sea del país que quiera la soberanía. La importancia de este dato deriva de que Estados Unidos o China o la India, o Israel, han estructurado legislaciones e las que recogen la potestad del Estado en cuestión de recabar la información contenida en los servidores de estas empresas, o sus filiales, con independencia de dónde se encuentren físicamente los servidores. Por otra parte, los espejos que existen entre servidores, hace que resulte realmente complejo poder aislar los datos en un único servidor.
El dato anterior elimina la posibilidad de externalizar los servidores en las grandes empresas norteamericanas que copan el mercado occidental. De hecho, cuando el Estado francés prohibió la utilización de las aplicaciones de Microsoft -dentro de lo que se encuentra su servidor de datos- era precisamente por los problemas de seguridad de la información y el acceso que tengan potencias extranjeras a estos datos. Potencias aliadas o no, que en este punto poco importa.
Por ello, el primer paso consistiría en que más allá de quién haya construido las máquinas, todo el proceso de gestión sea llevado a cabo por entidades fiables, esto es, domiciliadas en el país de origen. Ya señalé en su momento que lo ideal sería disponer de una empresa pública que se dedicara a estas actividades de cloud. Una empresa pública de cloud.
Si se buscara un socio privado, tecnológico, habría que hacerle un examen exhaustivo de que cumple con todos los requisitos de nacionalidad primaria y de segundo nivel.
En segundo lugar, que los procesos de atención al cliente y en general todos los procesos de solución de dificultades no se externalicen, y, en particular que no se externalicen en terceros países que no entren dentro del ámbito de protección de las normas. No es sólo que la legislación de protección de datos personales impida la transferencia internacional de datos personales (y, aunque sean datos de administraciones públicas o empresas, siempre aparecen datos de personas) sino que, además, constituye un elemento esencial para la seguridad de la información.
En tercer lugar, para determinadas operaciones críticas, y teniendo en cuenta la vinculación del almacenamiento con la computación, hace falta dar un paso más y hacer que que el software que se utiliza en la computación sea soberano. O al menos, que se para los procesos críticos, el mantener el control sobre el código fuente, sus procesos de desarrollo y las actualizaciones de software. El punto de la criticidad deberá ser administrado por el titular del cloud, en colaboración con los centros de seguridad nacional.
En nuestro caso, si afecta a información sensible de seguridad nacional, debería ser verificado por el CNPIC, dependiente del CNI. Pero, hay que tener presente que si el proveedor de los elementos de almacenamiento no es soberano y no está vinculado legalmente con terceros países, de poco sirve el control de la soberanía del software.
En cuarto lugar, el cloud soberano requiere la soberanía de la organización, que determine que la organización -sus equipos directivos y su personal-, incluyendo los aspectos que se puedan considerar menores, como su acceso físico y su acceso lógico está configurado de acuerdo con las exigencias de seguridad nacional y que estén protegiendo la soberanía. En particular, todos los niveles de control sobre las capas del framework debe cumplir con dichos niveles de exigencia.
En este sentido, los niveles de complace que debería tener una empresa dedicada al cloud soberana son mucho más altos y exigentes que los que tiene una empresa dedicada a otras actividades económicas.
En quinto lugar, la soberanía regulatoria sobre el cloud. Una soberanía regulatoria que no elude las relaciones de cooperación, a diversos niveles con otros ámbitos de soberanía extranjera, sobre todo en relación con organizaciones de seguridad y defensa o de interés económico. Pero la regulación marca la estrategia del país en relación con los datos.
Todo lo anterior no es algo que se pueda gestionar de la noche a la mañana. Requiere un proceso constante, preciso, y organizado para garantizar la soberanía del dato, la protección del interés interno y una participación activa en un mundo globalizado. Y en este sentido, la generación de una estructura administrativa que sea capaz de gestionarlo, que involucre al menos a todo el sector público de todos los niveles resulta imprescindible. Su materialización será lo que nos ponga en el camino de ser un actor eficaz ante los retos que tenemos delante, especialmente, el de la inteligencia artificial y su impacto en el sector público. Y ni que decir tiene que el gap tecnológico que hoy tiene Europa con respecto a China, Estados Unidos, India o Israel constituyen un factor que debería ser generador de preocupación en los actores.
