Читать книгу Cloud Computing. Régimen jurídico para empresarios - Francisca María Rosselló Rubert - Страница 9

El National Institute of Standards and Technology es uno de los principales responsables del desarrollo de estándares y directrices técnicas y de seguridad en materia tecnológica y científica. Se fundó en 1901 en Estados Unidos y actualmente forma parte de su Departamento de Comercio, donde promueve la innovación y la competitividad de las industrias norteamericanas, convirtiéndose en un referente mundial dentro del sector de las tecnologías de la información y la comunicación (TIC).

En septiembre de 2011, el NIST publicó su última definición de Cloud Computing, que es la que sigue: «el Cloud Computing es un modelo para proporcionar el acceso, bajo demanda y a través de la red, a un conjunto de recursos compartidos configurables (por ejemplo: redes, servidores, almacenaje, aplicaciones y servicios) que pueden ser rápidamente suministrados y lanzados al cliente con un sencillo manejo y con mínima interacción con el proveedor. Se compone de cinco características, tres modelos de servicio y cuatro modelos de implementación»6).

Como vemos, el NIST define el Cloud Computing como un modelo que proporciona acceso en respuesta a la demanda del cliente de forma rápida, utilizando una red de comunicaciones como canal de entrega, prácticamente sin interacción con el proveedor. El objeto que se proporciona consiste en recursos computacionales (tales como redes de comunicación secundarias, servidores virtuales, almacenamiento, aplicaciones y otros servicios informáticos) que, generalmente, proceden de un «contenedor» común y se compartirán entre diferentes usuarios.

Según el NIST, la computación en la nube se compone de cinco características esenciales, tres modelos de servicio y cuatro modelos de implementación, los cuales describe en el mismo documento técnico7). A continuación y para una mejor comprensión del concepto técnico del Cloud Computing, analizaremos con detalle cada una de estas características, dejando para apartados posteriores la explicación relativa a sus diferentes modelos de implementación y servicio. Si un servicio no reúne estas características que describimos a continuación, conforme a los criterios del NIST no nos hallaremos ante un verdadero servicio de computación en la nube.

1.1. Autoservicio bajo demanda

La primera característica propia de los servicios de computación en la nube es el «autoservicio bajo demanda», denominado así por el NIST8). Consiste en que el cliente puede proveerse por sí mismo de las capacidades contratadas (almacenamiento, servidores virtuales, aplicaciones, etc.), a través de mecanismos automatizados, en el momento preciso en que los requiera, que le serán suministrados desde el llamado «contenedor de recursos compartidos», y que equivaldría a diferentes centros de datos interconectados desde los cuales se transmite la capacidad informática al cliente.

Esta cualidad permite una reducción de costes para el cliente empresario: en cuanto al factor tiempo, ya que se evitan procesos largos porque obtienen un aumento de capacidad inmediato y personalizado tras efectuarse la petición; en cuanto a esfuerzo, puesto que esta variación de capacidades tendrá lugar sin necesidad de paralizar la operativa empresarial; y en cuanto a capital humano, puesto que el diseño sencillo de la interfaz permite aumentar o disminuir el volumen de recursos sin necesidad de contar con personal informático altamente especializado en su plantilla9).

Igualmente, esta configuración de la prestación a modo de autoservicio permite al cliente acceder a los recursos que necesita de forma ágil, sobrellevando mejor las diferentes cargas de trabajo que se le presenten en su operativa empresarial. Por ejemplo, para hacer frente al manejo de grandes cantidades de datos altamente confidenciales o críticos, puede ser preferible un elevado nivel de seguridad a una rápida velocidad de procesamiento. A su vez, los proveedores son capaces de responder eficazmente a las fluctuaciones de demanda de sus clientes prácticamente en tiempo real.

1.2. Acceso a través de red

Los recursos puestos a disposición por el proveedor están disponibles en red y son accesibles a través de una red de comunicaciones, generalmente, desde cualquier dispositivo con acceso de banda ancha a Internet (ADSL, fibra óptica, satelital, etc.): teléfonos móviles, tabletas, ordenadores portátiles o de sobremesa, videoconsolas, etc.10). Internet, pues, se configura como la vía de entrega del servicio en muchas de las nubes.

Gracias al acceso al servicio por red, el proveedor puede distribuir y mover los datos del cliente entre diferentes centros de datos geográficamente dispersos, para optimizar su rendimiento y minimizar riesgos y costes de operación. No obstante, es una de las obligaciones del proveedor cloud permitir el acceso a tales datos para el cliente conectado, aunque este desconozca su particular ubicación11).

Actualmente, el uso del servicio se realiza a través de estándares de interfaz de servicio web, para facilitar al cliente el enlace de sus propias aplicaciones y las capacidades suministradas por el proveedor. Por ejemplo, el cliente se conecta a un sitio web y accede mediante unas credenciales a los servicios o contenidos contratados. Este sistema le permitirá no tener que descargar programas o adquirir dispositivos añadidos para poder hacer uso de los servicios cloud, ni cargar con su instalación o actualizaciones.

1.3. Agrupación de recursos y «multi-tenancy»

En el entorno cloud, los recursos físicos y virtuales que el proveedor pone a disposición de sus múltiples clientes se agrupan a modo de grandes «contenedores de recursos» o «resource pools», y los recursos que albergan se asignan dinámicamente a uno u otro cliente de acuerdo a las demandas de estos12). Por ello resulta difícil delimitar una ubicación física determinada en la cual se encuentren los recursos, ya que, a menudo, provienen de centros de datos geográficamente dispersos y se replican entre ellos por razones de disponibilidad, resiliencia y seguridad. Aun así, es posible determinar la localización de estos recursos de una manera más abstracta, por ejemplo, delimitando los países entre los cuales se mueven esos datos13).

Los clientes del proveedor o proveedores comparten los recursos albergados en estos «contenedores14)», gracias a la arquitectura en capas de la nube, diseñada especialmente para albergar a múltiples usuarios, característica que recibe el nombre de «multitenencia» (en inglés, multi-tenancy). Aunque la necesidad de interacción entre varios usuarios puede generar conflictos relacionados con la gestión del sistema y la compartición de recursos, el proveedor de cada capa garantiza un entorno protegido y aislado para cada uno de ellos mediante controles de acceso y otros mecanismos de seguridad y disgregación que hacen inaccesibles los datos de un cliente por parte de otros usuarios con quienes comparte tales recursos. Así, el proveedor debe asegurarse de que los datos y aplicaciones de cada cliente conservan su integridad y confidencialidad, y que son inaccesibles por otros clientes con los que se comparte el hardware15).

Los recursos que se ofrecen en forma de provisión de servicio son infinitamente variados, y, como hemos comentado, pueden abarcar, entre otros, potencia de procesamiento, ancho de banda o espacio de almacenaje, plataformas de programación informática o aplicaciones de software más o menos complejas16).

1.4. Rápida elasticidad

La nube proporciona una manera elástica de abastecerse de las capacidades de computación y permite liberar las que no se usan, generalmente de forma automática y mediante el autoservicio, ajustándose a las necesidades de demanda existentes en cada momento17). Así se optimiza al máximo el uso de los recursos, evitando que se abastezcan en exceso o se desaprovechen, y facilitando la máxima escalabilidad hacia los recursos que requiere cada cliente.

Esta elasticidad y la consiguiente escalabilidad de los recursos computacionales resultan idóneas para entornos informáticos y de desarrollo de aplicaciones complejas, cuya demanda de recursos puede variar de forma amplia y rápida. La asignación dinámica y automatizada de recursos se consigue mediante evaluaciones constantes de las fluctuaciones de la demanda, realizadas por el propio sistema cloud del proveedor, y no únicamente en los momentos con picos de cargas de trabajo. Se retornan al «contenedor» los excedentes para que otros usuarios puedan hacer uso de ellos. Esta facultad de aprovisionamiento (y desaprovisionamiento) está siempre disponible para el cliente sin procesos largos, ya que tiene lugar de forma inmediata y automatizada.

A menudo, el proveedor oferta la flexibilidad al cliente como la capacidad de disponer de recursos de computación «ilimitados», ya que el usuario puede acceder a ellos en cualquier volumen e instantáneamente, y como hemos mencionado, sin necesidad alguna de adquisición o mantenimiento de hardware o instalación de software accesorio. Así, el cliente puede acceder a los recursos que necesita atendiendo a sus picos de demanda, y sujetándose únicamente a eventuales límites que vengan determinados contractualmente por el proveedor.

1.5. Sujeción a métrica y monitorizaciones

Es muy frecuente que los sistemas de computación en la nube monitoricen o controlen la utilización que hacen los usuarios de los recursos, más si se tiene en cuenta que múltiples servicios cloud se retribuyen en función del uso de esos recursos o del número de usuarios que acceden a ellos. Estos controles se llevan a cabo mediante herramientas específicas de software que proporciona el propio proveedor, aunque el cliente puede utilizar mediciones de terceros si lo considera adecuado18).

Las monitorizaciones del uso que hacen los clientes del servicio tendrán su relevancia jurídica, por un lado, en cuanto a la determinación de la remuneración del servicio por parte del cliente y en cuanto al cumplimiento del nivel de servicio contratado, y por otro lado, en relación a ciertos derechos del usuario respecto de los controles ejercidos sobre las actividades que lleva a cabo al utilizar los servicios.

Del mismo modo, también puede medirse el uso y distribución de los recursos suministrados a los clientes con la finalidad de recopilar información sobre el rendimiento de las aplicaciones, posibles intervalos de inactividad, detección de errores del sistema y sus causas, eventuales fallos de seguridad, control de accesos a información almacenada, etc. Dado que estos controles aportarán transparencia sobre el efectivo consumo de recursos y la calidad de su prestación, sus resultados podrán aprovecharse en la toma de decisiones sobre la gestión de recursos y operativa empresarial, tanto por el proveedor como por el cliente.

Una vez analizadas las características derivadas del concepto de Cloud Computing definido por el NIST, cabe destacar la especial relevancia de esta definición, dado que ha sido adoptada como referente por diferentes instituciones europeas, como el Grupo de Trabajo del Artículo 2919).