Nube

Principios generales de la Nube Pública en el Estado

Reglamentos

28/03/2023
Principios generales para guiar a las entidades públicas en la adopción y uso de la tecnología en la Nube.

Motivación

La tecnología en la nube presenta ventajas respecto a la forma tradicional de proporcionar servicios tecnológicos en las organizaciones, en la que inciden factores propios de la operativa y escalabilidad de las soluciones tecnológicas, además de factores económicos.  

En este esquema, determinadas actividades realizadas tradicionalmente por el equipo de TI de la organización pasan a ser desarrolladas por el proveedor de servicios de nube. Esto implica considerar la existencia de nuevas responsabilidades, actualizar políticas y procedimientos, orientar las capacidades de los recursos internos para obtener un mayor beneficio en las soluciones de nube, generar acuerdos para monitorear actividades, comprobar la eficiencia de los controles del proveedor de forma transparente para ambas partes, entender la regulación a las que está expuesto el proveedor y las propias de la organización, gestionar los riesgos para comprender los que se reducen y los que aparecen.

Todo ello resultará esencial para obtener el mayor beneficio de las soluciones de Nube y desarrollar la confianza de las organizaciones en que los servicios se mantienen seguros, íntegros y disponibles.

Con el fin de guiar a las entidades públicas en la adopción y uso de la tecnología en la Nube, Agesic plantea en este documento principios generales a tener en cuenta. Estos principios forman parte de una visión más amplia que Agesic está promoviendo para una gestión segura de los datos en poder de la Administración -por medio de sistemas y herramientas-, por lo que deben considerarse en forma armónica con otros principios propuestos en otras estrategias.

A los efectos de este documento “entidad pública” refiere a la forma más genérica de organización estatal que incluye todos los organismos públicos. Refiere a toda estructura perteneciente al Estado que ha sido creada por Ley para ejercer cometidos y funciones propias o aquellas creadas con aportes de origen público.

Principios generales

Transparencia por diseño

Toda la información que acredite el cumplimento de las obligaciones y la eficacia de los controles definidos con el proveedor de Nube, debe ser accesible para la entidad pública en forma previa a la contratación. Además, esta información debe encontrarse disponible públicamente en el marco de las obligaciones de transparencia activa, salvo las excepciones previstas legalmente.

Seguridad por diseño

Las entidades públicas deberán cumplir los lineamientos y normativa de ciberseguridad vigentes en el análisis y contratación de un proveedor de servicios de Nube, con el fin de velar por la preservación de la confidencialidad, integridad, disponibilidad y autenticidad de datos y servicios brindados por éstas.

Protección de datos por diseño

Las entidades públicas que contratan servicios de Nube deberán asegurarse de que el contenido del servicio se ajusta a la normativa vigente en protección de datos personales, en especial en cuanto al ejercicio de derechos, cumplimiento de obligaciones, y requisitos para la transferencia internacional de datos. Todo ello puede requerir la realización de una evaluación de impacto previa, de conformidad con dicha normativa.

Autonomía digital

Las entidades públicas, en todos los casos, deben conservar la capacidad de definir y controlar la gestión, producción, desarrollo y mantenimiento de los activos de información que entregan al proveedor de servicios en el marco del contrato. La contratación de servicios de un proveedor de Nube no significa en ningún caso que éste pueda hacer uso de la información enviada para fines propios.

Determinación de responsabilidades

En caso de incumplimiento, las responsabilidades se determinarán conforme con la normativa vigente y las obligaciones asumidas a nivel contractual. Desde el punto de vista externo, se deberán determinar previamente a la contratación, los derechos y obligaciones del proveedor de servicios y de las entidades públicas contratantes. A la interna, la entidad pública deberá revisar sus políticas y procedimientos para asegurar el debido control de cumplimiento del contrato.

Maximización de valor

Para el desarrollo de soluciones tecnológicas, las entidades públicas contratarán servicios de Nube con base en una comprensión completa de los servicios ofrecidos, considerando la agilidad, calidad, disponibilidad, seguridad, escalabilidad, costos y en sintonía con el resto de los principios.

Generación de capacidades 

Las entidades públicas deben desarrollar capacidades en sus recursos humanos para integrar sus procedimientos y políticas con la del proveedor de Nube, no sólo al momento de la adquisición de estos servicios, sino también para su gestión continua.

Enlaces relacionados

Cloud Computing and costumers experience in the public sector. Harvard Business Review.  Estados Unidos, 2021

Contratación Pública de Servicios de Computación en la Nube: Mejores prácticas para su implementación en América Latina y el Caribe. BID, 2020

El uso de la nube en la Administración Pública. AGESIC. Uruguay, 2022

Guía para clientes que contraten servicios de cloud computing. Agencia Española de Protección de Datos. España, 2018

Guidelines on security and privacy in public cloud computing. NIST. Estados Unidos. 2011

Guidelines on the use of Cloud Computing Services by the European institutions and bodies. European Data Protection Supervisor. Unión Europea, 2018

Guiding Principles for Cloud Computing adoption and use. ISACA. 2012

Recomendaciones para el avance de la política pública de nube primero  en Colombia.  Implementación del pacto por la transformación digital establecido en el PND. Equipo Tic tac. Colombia, 2020

Glosario Marco de Ciberseguridad – Definiciones

Secure Cloud Strategy. Australian Government Digital Transformation Agency. Australia, 2021

Etiquetas

Nube Herramientas para organismos