Los gobiernos pueden migrar a la nube con confianza
La migración hacia la nube ya comenzó y no se detendrá. Viene impulsada por ventajas claras como la agilidad y ampliación de respuesta a la ciudadanía, el ahorro en costos y la innovación en términos de infraestructura. Habiendo superado el período marcado por preguntas sobre cómo cumplir con requisitos de privacidad y seguridad de los datos, hoy hay opciones para una nube confiable.
En la nube, las áreas de TI del sector público encuentran la disponibilidad, poder de cómputo y capacidad de recuperación de datos que necesitan, con mayor seguridad y logrando una reducción efectiva en sus costos.
Gobiernos como los de Estados Unidos, Australia, México, Colombia, y el Reino Unido aprovechan lo que la nube les brinda de la mano de una estrategia bien ejecutada. La forma en la que estos gobiernos –pioneros en el aprovechamiento de la nube–, abordan la situación es guía para quienes estén interesados en llevar a cabo esta iniciativa adaptándola, claro está, a sus intereses y necesidades específicas.
La pregunta no es qué hacer, sino cómo hacerlo
La duda no debe ser si empezar a migrar o no, sino cómo elegir el sitio en el que conviene almacenar la información según características particulares, así como los controles a considerar en cada caso. La respuesta está en la aplicación de la gobernabilidad y una robusta clasificación de datos. Gobernabilidad y clasificación son la clave.
La clasificación debe basarse en los riesgos potenciales de interés institucional, así como en la disponibilidad de soluciones pertinentes de nube y controles de seguridad para mitigar esos riesgos. A la vez, se deben considerar objetivos más amplios, como mejorar la prestación de servicios a la gente, modernizar la infraestructura tecnológica y reducir costos, sin comprometer la experiencia.
Un buen ejemplo lo brinda el sitio web NHS Choices, operado por el Departamento de Salud de Inglaterra, el cual provee información sobre salud y bienestar, además de directrices para que los ciudadanos comparen servicios disponibles relacionados con la salud. Su muy amplia distribución y constante uso (se trata del tercer sitio web más utilizado en ese país, con 52 millones de visitas registradas en enero de 2015) hacen que la disponibilidad e integridad de la información sean temas críticos. El Departamento de Salud inglés migró toda esta información a la nube con lo que asegura su disponibilidad conforme los visitantes accedan al sitio de forma incremental, para cumplir así su principal objetivo y reducir costos de hosting en aproximadamente un 40%.
De la misma manera, el sistema educativo de Colombia ha utilizado la nube para mejorar su servicio de entrega de resultados en pruebas estandarizadas para estudiantes. Sin esta tecnología, el Instituto Colombiano para el Fomento de la Educación Superior (ICFES) hubiera requerido miles de sus propios servidores para poner a disposición de los estudiantes estos resultados dos veces por año. Utilizando el cómputo en la nube, el ICFES aprovechó la escala y la naturaleza on demand de la nube, ahorrando en los servidores que necesita para poder satisfacer esta demanda. Esto benefició tanto al gobierno como a los estudiantes, padres y profesores.
Ahora bien, ¿qué hacer con los datos que son considerados confidenciales, en los cuales puede ir de por medio la integridad y seguridad de un país y sus habitantes? Para detectar cuáles son realmente estos datos y qué hacer con ellos, es que la clasificación de datos es un crítico primer paso. Gracias a este ejercicio, el Reino Unido, por ejemplo, ha logrado designar de forma efectiva alrededor de 90% de los datos gubernamentales como “listos para la nube pública”. Dicho de otra manera, solo el 10% de los datos gubernamentales en el Reino Unido serian de contenido confidencial referente a la seguridad nacional que preferirían no migrar a la nube.
En el marco de referencia del gobierno de los Estados Unidos, los datos se califican según el nivel de impacto potencial que habría en el caso eventual de un incumplimiento en la seguridad, siendo impacto bajo, moderado, o alto. Esta clasificación aplicada en la práctica resulta que 80% o más de los datos del gobierno de los EEUU son de impacto bajo o moderado.
También está el caso del Departamento de Agricultura de los Estados Unidos, que migra a la nube a 120 mil usuarios dispersos en 5 mil locaciones, decisión por la que estima reducir $27 millones de dólares en costos en 5 años. Australia es otro gran ejemplo: como parte de una política de ‘Primero la nube’, la provincia de Queensland considera que ahorrará $17 millones de dólares al año tan sólo por mover su servicio de correo electrónico a la nube.
El Servicio de Administración Tributaria (SAT) del gobierno de México necesitaba desplegar una mejor forma de manejar facturas electrónicas en respuesta a un mandato presidencial. Para esta tarea, el organismo se apoyó en Microsoft para planear, desarrollar, implementar y operar en sólo cuatro meses una solución basada en el servicio en la nube Microsoft Azure. El resultado: un incremento de 8.24% en declaraciones de ingresos anuales, y un aumento de su capacidad de procesamiento de facturas de 24M a 34M en menos de dos semanas en 2014 gracias a la flexibilidad y confiabilidad de la nube. Cabe señalar que la solución costó 30 veces menos que una implementación comparable en un esquema on premise usando otras tecnologías.
De acuerdo con los diferentes casos y necesidades/obligaciones de las instancias de gobierno, se define si los datos se almacenarán en la infraestructura on-premise, en nubes privadas gubernamentales sujetas a robustos controles de seguridad, en nubes públicas con restricciones y permisos apropiados, o bien de forma totalmente abierta a través de la nube también.
La clasificación que proponen los países más experimentados segmentan los datos en cinco niveles:
Nivel 1. Información extremadamente sensible, como datos críticos para la seguridad nacional y económica. Ésta se almacenaría en una nube privada del gobierno en instalaciones propias.
Nivel 2. Información restringida y sólo compartida con algunos funcionarios de manera fundamental, como investigaciones judiciales o datos relacionados con la salud. La nube del gobierno o la nube pública con controles de seguridad robustos sería el formato adecuado para este tipo de datos.
Nivel 3. Información utilizada de manera interna, como la relacionada con trámites y servicios o información económica. Al ser datos de uso cotidiano no sensibles y sin información personal, se almacenaría en la nube pública, considerando controles de seguridad.
Nivel 4. Información anónima que sólo puede ser visualizada, entre la cual se incluyen reportes fiscales, estadísticas censales e información relacionada con salud que puede incluir datos personales pero es sólo para su análisis público. Esta información puede hospedarse en la nube pública, igualmente con controles de seguridad.
Nivel 5. Datos públicos al alcance de los ciudadanos, como serían agendas de transporte público e información climatológica. Ésta es apropiada para alojarse en la nube pública.
En este sentido, el gobierno del Reino Unido implementó en 2014 un nuevo sistema de clasificación de 3 niveles reemplazando un sistema anterior que contaba con 7 niveles de clasificación de la información. El objetivo planteado fue el de simplificar el proceso de clasificación de datos y asegurar que entidades del sector público no estaban perdiendo la oportunidad de migrar a la nube debido a problemas con la clasificación de la información. La nueva clasificación incluye un segmento denominado “Oficial”, información de rutina que involucra el mayor volumen de datos provenientes del gobierno, “Secreta”, que incluye información delicada y “Súper Secreta”, que agrupa la información más sensible del gobierno.
Ya comenzaron a presentarse diversos resultados que son prueba fiel de que un esquema de Cloud Computing no sólo es posible de implementar, sino que además es ampliamente recomendable para soportar la operación y los servicios gubernamentales.
Hay muchos más ejemplos de instituciones públicas que a nivel mundial han dado el paso a la nube con excelentes resultados y sin poner en riesgo su información. Éstos son prueba fehaciente de que los gobiernos pueden migrar a la nube con confianza.