cloud computing, Opinión

¿Debería haber regulación internacional para el cloud computing?

Ya nadie duda que el cloud computing ha dejado de ser un palabra buzz para convertirse en un mercado que en los próximos años van a mover mucho dinero. Prácticamente todas las grandes compañías han llegado a la nube con más o menos empuje y ganas, y esto está convirtiendo al cloud computing en un aglutinador de usuarios de perfiles que van desde el más técnico hasta el más usuario de los usuarios.

Acabamos de ver que un incidente como el de Amazon pueden dejarte si tus datos en la nube y aun peor, puedes quedarte sin los datos y la aplicación, como fue el caso de Magnolia. El caso es que si echamos un vistazo a servicios parecidos a la nube, donde se aglutinan usuarios, si parece más o menos normal que exista una regulación por parte del gobierno ya sea por intereses políticos al ser comodities,  por su repercusión económica o por su repercusión social. En España por ejemplo los Bancos están regulados y auditados por el Banco de España, y  otros como las eléctricas , automoción , aeronáuticas y el sector farmacéutico por el Gobierno directamente.

Quizás haya otros muchos que no lo están pero me planteo si: debería plantearse una regulación [internacional] de los servicios cloud.

Y lo planteo porque una catástrofe gorda de un servicio cloud puede llevar al traste a más de una empresas donde su gestión u operativa se mantenga allí  o al menos hacerla sufrir para recuperar el estado anterior a la caída del servicio. Imaginemos servicios como  CRM, Gestión de cobros, un portal de venta de productos, etc. Y si vamos a un modelo donde todo el mundo utilizará la nube, una de esta caídas podría tener repercusiones económicas tan fuertes como para tomar esto en consideración.

Sabemos que la LOPD obliga a las empresas responsables de los ficheros a disponer procedimientos de seguridad. En concreto el artículo 9 de la LOPD reza:

El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que estén expuestos, ya provengan de la acción humana o del medio físico o natural.

Y está muy bien para garantizar que los datos estarán seguros y que  no se perderán pero la LOPD ( y en su caso con la directiva europea base de nuestra LOPD ) solo aplica a los miembros de la EU y algún país más que la agencia española de protección de datos (http://www.agpd.com) dicta. Y esto último tampoco te deja muy tranquilo porque por ejemplo las empresas de EEUU acogidas al acuerdo de Safe Harbor establecido entre Europa y EEUU, no cumplen ni de lejos con LOPD (si interesa lease en este artículo la parte de puerto seguro). Total que en cuanto a protección de datos el tema es bastante complicado y solo estaríamos cubiertos en estados miembros de la EU.

Pero la seguridad de los datos no lo es todo, ¿qué hacemos con el nivel de servicio que se le debería exigir a un servicio cloud? Las grandes empresas  y alguna otra no tan grande por su cuenta se están certificando en los estándares más conocidos como Systrust,  SAS 70 o como ISO 27001 para generar confianza pero no hay nadie que se lo exija. E incluso ellas mismas establecen SLAs (service level agreement) con penalizaciones en caso de caídas, que en la mayoría de los casos son irrisorias en comparación con el daño que pueden ocasionar,  pero que sigue si ser algo que nadie les impone.

¿Y si cierra un empresa cloud? ¿Qué garantía tenemos de recuperar nuestros datos, software, configuraciones, etc? Esta sí que es gorda porque no es la primera vez que ocurre esto y no hay mucho que hacer más que lo que dictara el contrato, y por supuesto no hay nada que lo regule internacionalmente (ponte a buscar a la empresa que te daba el servicio). Lo normal es que la empresas te permitan coger los datos y hay algunas que para estos casos ponen el software a disposición de sus clientes a través de una empresa intermediaria,  pero hay obligación de ello. Hay casos como el de Coghead que te jodes y te aguantas, y ellos se van de rositas aunque  han cerrado el quiosco. No parece muy justo y menos que salgan sin ninguna penalización.

En fin. Tema complicado que dejo aquí y que pongo el foco en el ámbito internacional porque como ya hemos dicho alguna que otra vez  queremos aplicar en Internet leyes a nivel nacional cuando  Internet no sabe de fronteras.

Por último y por romper una lanza por las empresas cloud, apostaría lo que sea porque todas ellas velan por dar un nivel de servicio y seguridad por encima de las expectativas de cualquier cliente.

Entradas relacionadas: