COMISIN EUROPEA

COMUNICADO DE PRENSA
Bruselas, 27 de septiembre de 2012

Agenda Digital: Nueva estrategia para impulsar las empresas europeas y la productividad de la administracin pblica gracias a la computacin en nube
La nueva estrategia de la Comisin Europea para Liberar el potencial de la computacin en nube en Europa propone medidas para obtener 2,5 millones de nuevos puestos de trabajo en Europa, as como un incremento anual del PIB en la Unin igual a 160 000 millones de euros (en torno a un 1 %) de aqu a 2020. La estrategia est concebido para acelerar y aumentar el uso de la computacin en nube en toda la economa. La computacin en nube consiste en el almacenamiento de datos (tales como archivos de texto, imgenes y vdeo) y de software en ordenadores remotos a los que los usuarios acceden via Internet a travs de los dispositivos de su eleccin. Este sistema es ms rpido, barato, flexible y, potencialmente, seguro, que las tecnologas informticas in situ. Muchos servicios de gran utilizacin como Facebook, Spotify o el correo electrnico por Internet recurren a tecnologas de computacin en nube; pero las verdaderas ventajas econmicas vendran de la mano de un uso masivo de sistemas en nube por parte de las empresas y el sector pblico. Entre las medidas fundamentales de la estrategia estn las siguientes: zanjar la cuestin de la profusin de normas tcnicas, de forma que los usuarios de estas tecnologas puedan beneficiarse de la interoperabilidad y de la portabilidad y reversibilidad de los datos; las normas necesarias debern determinarse para 2013; refuerzo de los sistemas de certificacin para garantizar unos proveedores de computacin en nube fiables a escala de la Unin; creacin de un modelo de contrato seguro y equitativo para la computacin en nube, incluidos los acuerdos de nivel de servicio; poner en marcha un esfuerzo de colaboracin entre los Estados miembros y las empresas con el fin de aprovechar el poder adquisitivo del sector pblico (20 % del gasto total en tecnologas de la informacin) para dar forma al mercado europeo de la computacin en nube, multiplicar las oportunidades de los proveedores europeos de crecer y alcanzar una escala competitiva y para obtener una administracin electrnica ms barata y eficaz.

IP/12/1025

La Viceresidenta Neelie Kroes ha declarado lo siguiente: La computacin en nube est destinada a transformar nuestra economa. Sin la intervencin de la UE nos quedaramos estancados en fortalezas nacionales separadas y perderamos cientos de millones de euros en beneficios econmicos. Debemos alcanzar una masa crtica y determinar un nico conjunto de normas para toda Europa. Tenemos que encontrar solucin a los peligros que algunos ven en un viraje decidido hacia la computacin en nube. La Viceresidenta Viviane Reding ha declarado lo siguiente: Europa debe perseguir objetivos ambiciosos. La estrategia de fomento de la computacin en nube fortalecer la confianza en soluciones innovadoras en este campo e impulsar la consecucin de un mercado nico digital en el que los europeos se sientan seguros. Esto significa una adopcin rpida del nuevo marco de proteccin de datos que la Comisin propuso este mismo ao, as como la creacin de un modelo de contrato seguro y equitativo..

Antecedentes
El anuncio de la estrategia que se hace pblico hoy se basa en la propuesta de la Comisin de 2012 para actualizar las normas de proteccin de datos; constituye un anticipo de la Estrategia Europea en materia de ciberseguridad que se propondr en los prximos meses. El desarrollo de este tipo de normas europeas es una condicin previa para el espacio digital continuado que permitira la consecucin de un verdadero mercado nico digital. Todas estas medidas son parte de un esfuerzo coherente para alcanzar en Europa un entorno de internet dinmico y en el que los ciudadanos depositen su confianza. Los beneficios de la computacin en nube proceden de las economas de escala que produce. El 80% de las organizaciones que adoptan este sistema logran tasas de ahorro de, como mnimo, un 10 %-20%. Tambin cabe prever un aumento significativo de la productividad si es adoptado ampliamente por todos los sectores de la economa. Hoy en da, sin unas normas comunes y sin unos contratos claros, muchos usuarios potenciales no se atreven a adoptar tecnologas en nube. No estn al tanto de qu normas y certificaciones deben exigir para que se satisfagan tanto la normativa vigente como sus propias necesidades, por ejemplo para asegurarse de que sus datos o los de sus clientes estn seguros, o que las aplicaciones sean interoperables. Los proveedores y los usuarios necesitan tambin unas normas ms claras para lo relativo a la prestacin de servicios en nube; por ejemplo han de saber cmo van a resolverse las eventuales controversias o cmo asegurarse de que pueden pasarse fcilmente datos y programas informticos entre diferentes proveedores en nube.

Enlaces tiles
Liberar el potencial de la computacin en nube en Europa - Qu significa esto para m? (MEMO/12/713) European Commission Communication on Unleashing the Potential of Cloud Computing in Europe (Comunicacin de la Comisin Europea sobre Liberar el potencial de la computacin en nube en Europa Unleashing the Potential of Cloud Computing in Europe Accompanying Staff Working Document (Liberar el potencial de la computacin en nube en Europa Documento de trabajo de los servicios de la Comisin) IDC Study "Quantitative Estimates of the Demand for Cloud Computing in Europe and the Likely Barriers to Take-up" (Estimaciones cuantitativas de la demanda de computacin en nube en Europa y de los posibles obstculos a su asimilacin). Have Your say (Su opinin nos interesa) Etiqueta: # cloudstrategy Pgina web de Neelie Kroes: Sugue a Neelie en Twitter The policy explained (explicacin de la estrategia).

Contacts : Ryan Heath (+32 2 296 17 16), Twitter: @ECspokesRyan Linda Cain (+32 2 299 90 19)

COMISIN EUROPEA

NOTA INFORMATIVA
Bruselas, 27 de septiembre de 2012

Liberar el potencial de la computacin en nube en Europa: en qu consiste y qu significa para m?

Vase tambin IP/12/1025

Qu es la computacin en nube?
La computacin en nube consiste en el almacenamiento, tratamiento y utilizacin de datos en ordenadores a distancia accesibles va Internet. A menudo se utilizan estos sistemas en nube sin siquiera darse cuenta. Muchos servicios, tales como el correo electrnico o las redes sociales, pueden basarse en tecnologas en nube. Para los profesionales de las tecnologas de la informacin (TI), la computacin en nube confiere un alto grado de flexibilidad respecto a la capacidad informtica de que es necesario disponer. Por ejemplo, si la utilizacin de un determinado servicio aumenta, el proveedor simplemente incrementar su capacidad, algo que llevara mucho ms tiempo si una empresa tuviera que instalar un nuevo aparato en su propio centro de datos.

Cmo funciona la computacin en nube?

El usuario conecta su ordenador a una plataforma en nube utilizando unos programas informticos especficos. En ella la capacidad informtica es proporcionada por grandes centros de datos que disponen de cientos de servidores y sistemas de almacenamiento de datos capaces de manejar prcticamente cualquier programa informtico (desde los de tratamiento de datos a los videojuegos) que sus clientes pudieran necesitar usar. A veces los servicios son gratuitos (p. ej., el correo electrnico), pero la mayora de usuarios pueden pagar de forma flexible segn utilizacin o mediante un tanto fijo mensual.

Dnde se guardan mis datos en la computacin en nube?

En un centro de datos en algn lugar del planeta. Si la ubicacin fsica es importante, los usuarios pueden asegurarse de que tal extremo se especifique en sus contratos de computacin en nube. Por lo que se refiere a los datos personales de otras personas, la Directiva en materia de proteccin de datos exige que se almacenen en el Espacio Econmico Europeo (EEE) o en un territorio con una normativa de proteccin de la intimidad de un nivel equivalente.

MEMO/12/713

Cules con las principales ventajas de la computacin en nube para los usuarios?
Los usuarios no tienen que adquirir programas informticos ni comprar y mantener costosos servidores o almacenes de datos. Esto supone un gran ahorro de dinero, espacio y personal de apoyo informtico. Los usuarios, adems, mantienen una flexibilidad casi total respecto a su espacio de almacenamiento o a la eleccin de herramientas.

Por qu es necesaria una estrategia de la UE para liberar el potencial de la computacin en nube?

Los beneficios econmicos son mucho mayores a travs de una intervencin paneuropea (160 000 millones EUR, o unos 300 EUR por persona y ao). Hoy en da, la proliferacin de normativas a nivel de los Estados miembros provoca incertidumbre entre las empresas respecto a sus obligaciones legales, lo que retrasa la adopcin de estas tecnologas. Si bien son loables las iniciativas de los Estados miembro en este sentido (pensemos en Andromde en Francia, G-Cloud en el Reino Unido o Trusted Cloud en Alemania, no es la mejor ni ms eficiente forma de impulsar este mercado en beneficio de todos.

Qu ventajas econmicas y de empleo se derivaran de la estrategia europea en nube?

Las nuevas estimaciones sealan que, si la poltica tiene xito, los ingresos procedentes de la computacin en nube en la UE podran ascender en 2020 a casi 80 000 millones EUR (lo que supondra ms que duplicar el crecimiento del sector). Es decir, que con esta estrategia se estara creando un nuevo sector y se podra hacer frente a la competencia, en especial de los EEUU. Ms en general, si se desarrolla la totalidad de la estrategia sobre la nube, se prevn unos ingresos anuales suplementarios netos en la UE de 160 000 millones EUR para 2020 (o unos ingresos totales de casi 600 000 millones entre 2015 y 2020). De lo contrario, el incremento econmico sera inferior en dos tercios. Los beneficios procederan del ahorro que las empresas podran realizar o de la productividad que podran alcanzar gracias al acceso a la tecnologa. Por lo que se refiere al empleo, es de prever la generacin de 3,8 millones de puestos de trabajo tras un despliegue completo de la estrategia (frente a 1,3 millones si no se eliminan las barreras legislativas, polticas o de otro tipo)1.

Cmo se planificaran las acciones? Despus de cunto tiempo se haran sentir cambios concretos?
La Comisin tendr frutos en 2013 sobre las acciones clave determinadas en la Comunicacin, especialmente en lo relativo a la normalizacin y la certificacin en el mbito de la computacin en nube, a la elaboracin de unos contratos seguros y equitativos y a la Asociacin Europea de Computacin en Nube. A finales de 2013, un informe de avance mostrar si son necesarias nuevas iniciativas polticas o legislativas.

Vase IDC (2012), Quantitative Estimates of the demand for cloud computing in Europe and the likely barriers to take-up (Estimaciones cuantitativas de la demanda de computacin en nube en Europa y de los posibles obstculos a su asimilacin), febrero de 2012.

A quin beneficiar la computacin en nube?

Todos los usuarios de internet pueden beneficiarse de esta tecnologa, que en muchos mbitos puede suponer una revolucin. Algunas encuestas realizadas muestran que los costes de TI de un 81 % de las empresas que ya utilizan la computacin en nube arrojan una disminucin del 10 % - 20 %, y un 20 % de ellas sostienen que dicho ahorro es de un 30 % o ms. Muchos consumidores utilizan ya una computacin en nube bsica (p. ej., cuentas de correo electrnico). Una gran capacidad de almacenamiento a un coste nfimo o nulo, un acceso cmodo y universal, y una disminucin del gasto son algunas de las ventajas que ofrecen los sistemas en nube. La computacin en nube podra reportar beneficios importantes al sector pblico porque facilita la prestacin de unos servicios a la vez integrados, efectivos y baratos. Servira, adems, para impulsar la investigacin, ya que los organismos de investigacin podran combinar sus infraestructuras especficas propias con las de los proveedores en nube, lo que les permitira disponer de enormes cantidades de datos y de la posibilidad de tratarlos mucho ms rpidamente, as como la innovacin, ya que se hace posible ensayar nuevas ideas de productos o servicios de TI de forma fcil y barata.

Cmo puede la computacin en nube contribuir a la proteccin del medio ambiente?

Como en el caso de la aviacin, el rpido desarrollo de la informtica constituye una de las fuentes de crecimiento ms importante de emisin de carbono. Por su parte, la computacin en nube constituye la mejor forma de aumentar la eficiencia de la informtica en el consumo de carbono. Esto es as porque las grandes inversiones en este campo pueden llevarse a cabo con servidores comprometidos con el ahorro energtico y las fuentes de energa ms ecolgicas, algo ms fcil que convencer a cientos de millones de usuarios para que opten por soluciones ecolgicas. Por otro lado, se hace posible optimizar el uso del material informtico, reduciendo fsicamente el nmero de aparatos necesarios para realizar una serie de tareas. La Comisin Europea est financiando un proyecto de investigacin, el proyecto de servidor Eurocloud (Eurocloud server project), cuyos primeros resultados muestran que sera posible reducir en un 90 % la energa utilizada en los centros de datos en nube, ahorro que se aadira a los ya conseguidos en la transicin de sistemas locales o de servidor a sistemas en nube.

Cmo afectara la computacin en nube al sector de las TIC?

Segn un estudio efectuado entre mil empresas europeas, si se eliminaran las barreras que se oponen a la computacin en nube: ms de un 98 % de las empresas de la Unin adoptaran o reforzaran su uso; el sistema atraera a nuevos usuarios; un 96 % de las empresas de la Unin que en la actualidad no lo emplean, pero estn pensando en ello, procederan a realizar inversiones; se producira un aumento de la demanda de especialistas en TI, no solo en mbitos bsicos, como la gestin de centros de datos, sino tambin, por ejemplo, en marketing digital, diseo de aplicaciones, redes sociales y seguridad financiera.

La Asociacin Europea de Computacin en Nube (AECN), ms en detalle Qu es la Asociacin Europea de Computacin en Nube y cul ser su funcin?
La AECN constar de responsables de contratacin de alto nivel procedentes de los organismos pblicos europeos, as como de actores clave de los sectores de las TI y las telecomunicaciones. Siguiendo las indicaciones de un Comit de Direccin, la Asociacin reunir a las autoridades pblicas contratadoras y a consorcios industriales para aplicar medidas de contratacin precomercial. Ello les permitir determinar los requisitos del sector pblico para los servicios en nube, desarrollar especificaciones para la contratacin de TI y fijar unas aplicaciones de referencia. A partir de ah se podr avanzar hacia una contratacin comn e incluso conjunta de servicios de computacin en nube por los organismos pblicos sobre la base de requisitos comunes de los usuarios. La Asociacin no pretende crear una infraestructura fsica de computacin en nube, sino ms bien garantizar que la oferta comercial de computacin en nube en Europa, tanto en el sector pblico como en el privado, est adaptada a las necesidades europeas, por medio de requisitos de contratacin pblica que sern promovidos por los Estados miembros y las entidades pblicas participantes con vistas a su utilizacin en toda la UE.

Cmo funcionar la Asociacin Europea de Computacin en Nube (AECN)?

Habr un Comit de Direccin cuya funcin ser determinar orientaciones estratgicas, sobre todo en lo relativo a la contratacin de servicios en nube por parte del sector pblico, con el fin de marcar las pautas en este mercado en beneficio de todos sus usuarios potenciales. El otro componente clave de la AECN es su nivel de ejecucin: se ha asignado un presupuesto inicial de diez millones EUR a un proyecto de contratacin precomercial en el tema correspondiente a las TIC del 7 PM de Investigacin de la UE2. Este proyecto requerir una coordinacin y una colaboracin estrechas entre los diferentes actores del sector pblico de los Estados miembros al objeto de consolidar unos requisitos exigibles para la contratacin y la utilizacin de servicios de computacin en nube por parte de dicho sector.

Cul es la principal funcin del Comit de Direccin de la AECN?

Las funciones principales del Comit de Direccin son las siguientes: asesorar sobre las prioridades estratgicas teniendo como objetivo consolidar la computacin en nube en Europa como un motor de crecimiento econmico y fuente de innovacin y creacin de unos servicios pblicos eficientes en el coste, utilizando para ello la AECN; realizar recomendaciones para desarrollar una poltica en materia de computacin en nube segura, interoperable y que contribuya al mercado nico digital europeo.

Vase el Objetivo 11.3 en http://cordis.europa.eu/fp7/ict/docs/ict-wp2013-10-7-2013.pdf

Cmo funciona el Comit de Direccin de la AECN?

Los miembros del Comit de Direccin, as como su Presidente, son elegidos por el Comisario encargado de la Agenda Digital y actan a ttulo personal. El Comit se reunir dos o tres veces al ao. Podr consultar con expertos u organismos de la industria, la universidad o las administraciones. La reunin inaugural del Comit de Direccin deber tener lugar en el ltimo trimestre de 2012.

Proteccin de datos, seguridad, proteccin de la intimidad y derechos del usuario Cmo contribuir la estrategia a proteger mis derechos de usuario de servicios en nube?
Una de las acciones clave de la estrategia es desarrollar modelos de condiciones contractuales con el fin de resolver cuestiones que an no estn cubiertas por la normativa comn de compraventa europea, tales como: conservacin de los datos al finalizar el contrato, revelacin e integridad, ubicacin y transferencia, propiedad de los datos y responsabilidad directa e indirecta; determinacin y desarrollo de unas condiciones coherentes en los contratos con el fin de fortalecer la confianza de los usuarios para con los servicios en nube, fomentando as su adopcin.

Cul es la relacin entre esta estrategia y las propuestas de la Comisin en materia de proteccin de datos?
En los trabajos preparatorios del Reglamento de proteccin de datos propuesto por la Comisin en enero de 2012 se han tenido muy en cuenta las preocupaciones de los prestadores y usuarios de los servicios en nube. El Reglamento propuesto constituye una buena base general para el futuro desarrollo de la computacin en nube. Dado que la inquietud por la proteccin de datos fue considerada uno de los mayores obstculos que entorpecan la adopcin de la computacin en nube, es primordial que el Consejo de Ministros y el Parlamento Europeo promuevan activamente la adopcin del Reglamento propuesto lo antes posible en 2013. Una vez adoptado el Reglamento, la Comisin utilizar los nuevos mecanismos para proporcionar las directrices adicionales que se consideren necesarias para la aplicacin de la normativa europea de proteccin de datos a los servicios de computacin en nube.

Qu medidas concretas se estn tomando a nivel mundial para lograr una normativa coherente?
La computacin en nube es una actividad de mbito mundial que requiere un dilogo internacional estrecho para lograr un sistema transfronterizo seguro y sin fisuras. La Comisin Europea est trabajando, a travs del dilogo internacional en materia de comercio, ejecucin efectiva de la normativa, seguridad y delincuencia ciberntica, con el fin de hacer frente a los nuevos retos que plantea la computacin en nube. Este dilogo se desarrolla en foros multilaterales tales como la OMC y la OCDE con el objetivo de lograr unos objetivos comunes en el mbito de los servicios de computacin en nube, pero tambin de forma bilateral con los EEUU, Japn y otros pases.

Cmo puedo saber si mis datos se guardan en Europa o en otro sitio?

Las condiciones del contrato deben estipular la cuestin de la ubicacin de los datos. Sin embargo, en los contratos tipo lo tomas o lo dejas que usan los proveedores de servicios en nube hoy en da puede no incluirse dicha informacin. La estrategia subraya la necesidad de desarrollar un modelo de condiciones contractuales para resolver cuestiones an no cubiertas por la normativa comn de compraventa europea, como es la ubicacin.

Qu sucede con mis datos si cierra la empresa de computacin en nube?

Normalmente esto estar previsto en las condiciones del contrato; si la Comisin est desarrollando un modelo de contrato, es precisamente para disponer de unas condiciones ms claras en materia de proteccin respecto a cuestiones no cubiertas por la normativa comn de compraventa europea.

Normas, certificacin y contratos Por qu no puede uno mismo establecer las normas necesarias , por qu confiar la labor a la industria?
La normalizacin resulta ms eficaz cuando la industria es el motor del proceso. La industria est ya realizando un gran esfuerzo creando normas que aumenten la interoperabilidad de la computacin en nube. Ya se estn elaborando normas, pero por el momento no existe un acuerdo acerca de cules normas garantizaran mejor la interoperabilidad y la portabilidad y reversibilidad de los datos. La Comisin desea que se determinen unos conjuntos coherentes de normas tiles que faciliten tanto a la oferta como a la demanda su propia organizacin.

Cundo se espera que se lance el sistema de certificacin?

Con el respaldo de la ENISA y otros organismos interesados, la Comisin tiene la intencin de proceder a la creacin de unos sistemas voluntarios de certificacin en toda la UE para lo relativo a la computacin en nube (incluida la proteccin de datos) y confeccionar una lista de tales sistemas en 2014.

Si es voluntario, qu se har si las empresas deciden no adherirse?

La Comisin continuar colaborando con las empresas con el fin de aumentar el atractivo del sistema. Los ciudadanos han manifestado que desean disponer de tal informacin; por otro lado, hay que sealar que la certificacin no es un castigo para las empresas. Les hace disponer de un instrumento que avala su calidad y su conformidad con la normativa de cara a los potenciales clientes.

Prev la estrategia la construccin de una supernube europea?

No, la estrategia no contempla la creacin de infraestructuras fsicas. No obstante, deseamos que exista una oferta de computacin en nube a disposicin de todos y que cumpla unas normas europeas, no slo legislativas, sino tambin de competitividad, apertura y seguridad.

Qu puede decirse de la seguridad de la computacin en nube?

Los riesgos de seguridad de la computacin en nube son los que se derivan de la tenencia mltiple y del carcter compartido de los recursos en la computacin en nube; es decir, que la misma estructura fsica a menudo sirve a muchos clientes del proveedor. Hasta cierto punto, en los sistemas en nube el cliente cede parte del control de la seguridad al prestador de servicios, lo que hace necesario controlar si dicho prestador cumple con los requisitos de seguridad. Ello demuestra la importancia que revisten los sistemas de certificacin, que permiten que los prestadores demuestren a sus usuarios potenciales, de una forma fiable, que cumplen con los requisitos. Por otro lado, para los legos en la materia, dejar las cuestiones de seguridad en manos de profesionales de las TI que trabajan para el prestador de servicios en nube podra aumentar la seguridad.

Es interoperable la computacin en nube? Es posible cambiar fcilmente de prestador de servicios en nube?

Por el momento la oferta de servicios en nube no es todo lo interoperable que podra ser. Los prestadores pueden utilizar sistemas operativos diferentes o interfaces de aplicacin no interoperables, lo que significa que no es fcil que unos programas informticos pensados para funcionar con un prestador funcione con otro. Al no poder trasladar los datos de una nube a otra, esta situacin podra llevar a una dependencia de un determinado prestador (usuario cautivo).

Contempla generales?

la

estrategia

cuestiones

de

seguridad

ms

En s misma, la estrategia no contempla cuestiones de seguridad relativas a internet o al entorno en lnea. En los prximos meses la Comisin tratar problemas ms generales de seguridad informtica en su Estrategia Europea de Ciberseguridad. Esta otra estrategia se aplicar a todos los proveedores de la sociedad de la informacin, incluidos los prestadores de servicios en nube. Entre otras cosas, determinar las medidas tcnicas y organizativas que deban adoptarse para hacer frente a los riesgos de seguridad. Determinar tambin las obligaciones de notificacin de incidentes significativos a las autoridades competentes.

Se propone la estrategia impedir que los prestadores internacionales ofrezcan sus servicios en nube en Europa?
No. La estrategia se propone facilitar la participacin de Europa en el auge mundial de la computacin en nube, para lo que deber revisar las clusulas contractuales tipo aplicables a la transferencia de datos personales a terceros pases y adaptarlas, cuando sea necesario, a los servicios en nube, as como invitar a las autoridades nacionales de proteccin de datos a aprobar las normas corporativas vinculantes para los proveedores de servicios en nube3. Por otro lado, la Comisin se basar en el dilogo que lleva a cabo a nivel internacional con los EEUU, Japn y otros pases en temas clave relacionados con la computacin en nube.

Los Dictmenes pertinentes del Grupo de Trabajo del Artculo 29 (Vanse WP 195 y WP 153) servirn de base para el proyecto de la Comisin. Las normas corporativas vinculantes constituyen un medio necesario para permitir las transferencias internacionales legales de datos. Regulan con carcter obligatorio cmo han de manejar los datos personales las diferentes partes de una corporacin, independientemente de dnde se encuentren a nivel internacional.

COMISIN EUROPEA

Bruselas, 27.9.2012 COM(2012) 529 final

COMUNICACIN DE LA COMISIN AL PARLAMENTO EUROPEO, AL CONSEJO, AL COMIT ECONMICO Y SOCIAL EUROPEO Y AL COMIT DE LAS REGIONES Liberar el potencial de la computacin en nube en Europa

(Texto pertinente a efectos del EEE) {SWD(2012) 271 final}

ES

ES

COMUNICACIN DE LA COMISIN AL PARLAMENTO EUROPEO, AL CONSEJO, AL COMIT ECONMICO Y SOCIAL EUROPEO Y AL COMIT DE LAS REGIONES Liberar el potencial de la computacin en nube en Europa

(Texto pertinente a efectos del EEE)

1.

INTRODUCCIN

De forma simplificada, puede entenderse que la computacin en nube es el almacenamiento, tratamiento y utilizacin de datos en ordenadores a distancia a los que se tiene acceso a travs de Internet. Esto significa que los usuarios pueden obtener una capacidad informtica casi ilimitada y a voluntad, que no tienen que hacer importantes inversiones de capital para satisfacer sus necesidades y que pueden acceder a sus datos desde cualquier lugar con una conexin a Internet. La computacin en nube tiene potencial para reducir considerablemente los gastos informticos de los usuarios y para que se desarrollen muchos servicios nuevos. Utilizando la nube, hasta las ms pequeas empresas pueden llegar a mercados cada vez mayores, y las administraciones pblicas pueden hacer sus servicios ms eficientes y atractivos, a la vez que contienen el gasto. Mientras que la red global (World Wide Web) permite la disponibilidad de informacin en todas partes y para cualquier persona, la computacin en nube permite la disponibilidad de capacidad informtica en todas partes y para cualquier persona. Como la red, la computacin en nube es un avance tecnolgico que se est desarrollando desde hace cierto tiempo y que seguir evolucionando. A diferencia de la red, la computacin en nube est todava en una fase comparativamente temprana, lo que da a Europa la oportunidad de actuar para asegurarse un puesto en la vanguardia de su ulterior desarrollo y para beneficiarse tanto en la demanda como en la oferta a travs del uso generalizado de la nube y de la prestacin de servicios en la nube. La Comisin pretende, por consiguiente, permitir y facilitar una adopcin ms rpida de la computacin en nube en todos los sectores de la economa, lo que puede reducir los costes informticos, as como, en combinacin con nuevas prcticas empresariales digitales1, impulsar la productividad, el crecimiento y el empleo. Sobre la base de un anlisis de los panoramas generales de la poltica, la reglamentacin y la tecnologa, y una amplia consulta de los interesados, efectuados para sealar las necesidades que deben satisfacerse a fin de alcanzar dicho objetivo, el presente documento expone las medidas adicionales ms importantes y ms urgentes. Adems, recoge una de las principales medidas contempladas en la Comunicacin sobre el comercio electrnico y los servicios en lnea2, representa un compromiso poltico de la Comisin y sirve de convocatoria para que todas las partes
1

Kretschmer, T. (2012), Information and Communication Technologies and Productivity Growth: A Survey of the Literature, OECD Digital Economy Papers, No. 195, OECD Publishing. http://dx.doi.org/10.1787/5k9bh3jllgs7-en . Comunicacin Un marco coherente para aumentar la confianza en el mercado nico digital del comercio electrnico y los servicios en lnea, COM(2011) 942 final.

ES

ES

interesadas participen en la puesta en prctica de estas medidas, que podra significar un importe adicional de 45 000 millones EUR de gasto directo en la computacin en nube en la Unin Europea en 2020, as como un impacto global acumulado en el PIB de 957 000 millones EUR, y 3,8 millones de puestos de trabajo, de aqu a 20203. Varias de las medidas sealadas estn diseadas para mejorar la percepcin que tienen muchos usuarios potenciales de la computacin en nube, segn la cual el uso de esta tecnologa podra aportar riesgos adicionales4. La forma de conseguirlo es buscar mayor claridad y conocimiento sobre el marco jurdico aplicable, facilitar la comunicacin y la verificacin de la conformidad con el marco jurdico (por ejemplo, a travs de normas y certificacin) y desarrollarlo ms (por ejemplo, a travs de una futura iniciativa legislativa sobre la ciberseguridad). Atender a los desafos especficos de la computacin en nube significara una adopcin ms rpida y armonizada de la tecnologa por las empresas, organizaciones y autoridades pblicas europeas, lo que aportara, por el lado de la demanda, un crecimiento acelerado de la productividad y una mejora de la competitividad en el conjunto de la economa, as como, por el lado de la oferta, un mercado ms amplio en el que Europa se convertira en un actor mundial clave. En este caso, el sector europeo de las TIC se beneficiara de nuevas oportunidades importantes; dado el contexto adecuado, los puntos fuertes tradicionales europeos en equipos de telecomunicaciones, redes y servicios podran desplegarse de forma muy eficaz en relacin con infraestructuras en nube. Adems, los creadores europeos de aplicaciones, tanto grandes como pequeos, podran beneficiarse del aumento de la demanda. 2. NATURALEZA Y BENEFICIOS DE LA COMPUTACIN EN NUBE

La computacin en nube dispone de una gama de caractersticas definitorias (lo que hace difcil dar una definicin general5), a saber: los equipos fsicos (ordenadores, dispositivos de almacenamiento) son propiedad del proveedor de la computacin en nube, y no del usuario, que interacta con ellos a travs de Internet; la utilizacin de los equipos fsicos est optimizada de manera dinmica a travs de una red de ordenadores, de manera que el emplazamiento exacto de los datos o de los

IDC (2012): Quantitative Estimates of the Demand for Cloud Computing in Europe and the Likely Barriers to Take-up (Estimaciones cuantitativas de la demanda de computacin en nube en Europa y de los posibles obstculos a su asimilacin); pueden verse ms detalles en el documento de trabajo de la Comisin que acompaa a la presente Comunicacin, seccin 3.1. La importancia de la computacin en nube se reconoce asimismo en la parte Conjunto de medidas esenciales para el empleo en las TIC, anexo de la Comunicacin de la Comisin Hacia una recuperacin generadora de empleo, COM(2012) 173 final. Por ejemplo, las organizaciones pueden preocuparse por la continuidad de sus actividades en caso de interrupcin del servicio, mientras que los particulares pueden tener dudas acerca de lo que ocurre con su informacin personal. Estas preocupaciones reducen la velocidad general de adopcin de la computacin en nube. Muchas de estas definiciones son muy abstractas: una definicin ampliamente difundida, elaborada por el NIST (National Institute for Standards and Technology) de Estados Unidos en 2009, es la de modelo que permite el acceso, fcil y a voluntad, a una red de recursos informticos configurables compartidos, el cual puede establecerse e interrumpirse rpidamente con un mnimo esfuerzo o interaccin con un prestador de servicios.

ES

ES

procesos, as como la informacin sobre qu elemento del equipo fsico est sirviendo realmente a un usuario particular en un momento dado, no tienen en principio que afectar al usuario, aunque pueden tener una importante repercusin en los aspectos jurdicos aplicables; los proveedores en nube suelen trasladar las tareas de sus usuarios (por ejemplo, de un ordenador a otro o de un centro de datos a otro) para optimizar la utilizacin de los equipos disponibles; los equipos fsicos a distancia almacenan y tratan los datos y los hacen accesibles, por ejemplo mediante aplicaciones (de manera que una empresa pueda utilizar su computacin en nube exactamente del mismo modo que los consumidores ya utilizan ahora sus cuentas de correo en red); las organizaciones y los particulares pueden acceder a sus contenidos, y utilizar sus programas informticos cuando y donde lo necesiten, por ejemplo en ordenadores de sobremesa, ordenadores porttiles, ordenadores pizarra (tabletas) y telfonos inteligentes; una disposicin en nube consta de capas: equipos fsicos, soportes intermedios o plataformas y programas informticos de aplicaciones; la normalizacin es importante, especialmente en la capa intermedia, porque permite a los creadores abordar una amplia variedad de clientes potenciales y a los usuarios elegir entre varias posibilidades; los usuarios normalmente pagan por uso, evitando tener que sufragar los elevados costes iniciales y fijos necesarios para organizar y explotar unos equipos informticos complejos; al mismo tiempo, los usuarios pueden modificar muy fcilmente la cantidad de equipos fsicos que utilizan (por ejemplo, es posible introducir nueva capacidad de almacenamiento en lnea en cuestin de segundos con unas cuantas pulsaciones de ratn).

Los consumidores pueden utilizar los servicios en la nube para almacenar informacin (por ejemplo, imgenes o correo electrnico) y usar programas informticos (por ejemplo, redes sociales, msica y vdeos en flujo continuo, y juegos). Las organizaciones, incluidas las administraciones pblicas, pueden utilizar los servicios de computacin en nube para sustituir sucesivamente los centros de datos y los departamentos de tecnologas de la informacin y la comunicacin (TIC) que tengan funcionando a nivel interno. Las empresas pueden aprovechar los servicios en la nube para comprobar y ampliar rpidamente lo que ofrecen a sus clientes, ya que pueden hacerlo sin tener que invertir en la construccin de infraestructuras fsicas. En conjunto, la computacin en nube representa una industrializacin ms avanzada (normalizacin, aumento de escala, amplia disponibilidad) de la prestacin de servicios informticos (la informtica como servicio de utilidad pblica), de la misma manera que las centrales elctricas industrializaron el suministro de energa elctrica. Gracias a las interfaces normalizadas (equivalentes a los enchufes de la corriente elctrica), los usuarios pueden dejar los detalles (cmo construir un centro de datos, dotarlo de potencia, hacerlo funcionar y asegurarlo) a los expertos, que conseguirn unas economas de escala mucho mejores (al dar servicio a muchos usuarios) que las que podran conseguir los usuarios por separado. Por otra parte, los servicios en la nube ofrecen economas de escala importantsimas, lo que significa

ES

ES

que las actuaciones aisladas a nivel nacional tienen pocas posibilidades de ofrecer una rentabilidad ptima. Las ventajas de adoptar la computacin en nube pueden ilustrarse mediante una encuesta de la Comisin, efectuada en 2011, que pone de manifiesto que, como consecuencia de la adopcin de la computacin en nube, el 80 % de las organizaciones reduciran sus costes en un 10-20 %. Pueden citarse otros beneficios, como una mejora del teletrabajo (46 %), de la productividad (41 %) y de la normalizacin (35 %), as como nuevas posibilidades de negocio (33 %) y de mercados (32 %)6. Todos los estudios econmicos disponibles confirman tambin la importancia de la computacin en nube, y se espera que esta crezca rpidamente en todo el mundo7. El aumento sin precedentes del flujo de datos y del tratamiento de informacin por Internet tiene un impacto significativo en el medio ambiente en trminos de consumo de agua y energa, y de emisiones de gases de efecto invernadero. La computacin en nube puede ayudar a mitigar estos problemas gracias a un uso ms eficiente de los equipos fsicos y, ms concretamente, mediante la construccin de centros de datos que utilicen servidores de bajo consumo de energa y que utilicen energa verde8. Por ejemplo, segn algunas estimaciones, las grandes empresas de los Estados Unidos podran ahorrar 12 300 millones USD al ao en su consumo de energa mediante la adopcin de la computacin en nube9. Por tanto, pueden esperarse importantes mejoras de eficiencia en toda la economa si adoptan la computacin en nube las empresas y otras organizaciones, especialmente las PYME. La computacin en nube podra ser especialmente importante para que las pequeas empresas en economas con dificultades o situadas en regiones rurales y apartadas se introdujeran en los mercados de las regiones ms prsperas. Por ejemplo, utilizando infraestructuras de banda ancha para superar la tirana de la distancia, toda la gama de empresas, desde las incipientes de alta tecnologa hasta los pequeos comerciantes o artesanos, pueden aprovechar la computacin en nube para beneficiarse de mercados distantes. Esto abre nuevas oportunidades de desarrollo econmico a cualquier regin que tenga ideas, talento y una infraestructura de banda ancha de alta velocidad. Asimismo, la computacin en nube podra dar empleo a los trabajadores del mbito de las TIC sin que tengan que desarraigarse para ir a buscar trabajo, al llevar empleos y dinero a las regiones menos favorecidas. Muchos productos y servicios aparentemente locales podran conseguir un alcance mundial, aumentar su presencia en la red (y su visibilidad mediante los motores de bsqueda en Internet) y en particular en los casos en que se agrupen pequeas empresas alcanzar la masa crtica necesaria para negociar condiciones preferenciales con los principales socios comerciales (por ejemplo, empresas de reparto/transportes, operadores tursticos y sociedades financieras). Las autoridades pblicas tambin pueden beneficiarse considerablemente de la adopcin de la nube tanto en trminos de aumento de la eficiencia como en trminos de servicios ms flexibles y ajustados a las necesidades de los ciudadanos y de las empresas. El ahorro ms inmediato se dara en trminos de reduccin de los costes informticos mediante la disminucin de los gastos de capital y de explotacin, y el aumento de los ndices de utilizacin de los equipos fsicos, que actualmente pueden ser tan bajos como el 10 % en las

8 9

IDC (2012): Quantitative Estimates of the Demand for Cloud Computing in Europe and the Likely Barriers to Take-up (Estimaciones cuantitativas de la demanda de computacin en nube en Europa y de los posibles obstculos a su asimilacin). Por ejemplo, uno de los estudios prev que el mercado de la computacin en nube se triplique de aqu a 2014. Otro estudio considera que para entonces se habrn sumado a la economa once millones de puestos de trabajo. Vase el documento de trabajo de la Comisin, punto 4.1. Vase: Greenpeace (2012): How clean is your cloud? Vase: http://www.broadbandcommission.org/net/broadband/Documents/bbcomm-climate-full-reportembargo.pdf

ES

ES

infraestructuras del sector pblico10. Podran obtenerse ms beneficios de la reestructuracin de procesos por la posibilidad de actualizarlos con mayor frecuencia y menor coste, as como por la perspectiva de compartir infraestructuras entre organismos. Ms all de la mera reduccin de costes, la computacin en nube puede contribuir a orientar la transicin al siglo XXI de unos servicios pblicos interoperables, modulables y en consonancia con las necesidades de una poblacin y unas empresas mviles que desean beneficiarse del mercado nico digital europeo. Las primeras etapas consistiran en una mejora de las caractersticas del servicio, tales como la mejora de la seguridad, la mayor facilidad de utilizacin, la capacidad de desarrollar nuevos servicios de forma barata, rpida y flexible, la relativa facilidad de utilizacin de la computacin en nube para la creacin de plataformas de participacin social o en relacin con campaas especficas y la posibilidad de seguir mejor los resultados. Pero, en una proyeccin a diez aos, la nube podra contribuir a la realizacin del objetivo de familiarizar a todos los europeos con el mundo digital, en condiciones de gozar de unos servicios pblicos plenamente electrnicos en lugar de sufrir el papeleo burocrtico. La computacin en nube podra contribuir a la reduccin de los costes pblicos y al aumento de los beneficios pblicos, y aportar una base ms amplia para la actividad econmica en la que participe toda la poblacin. 3. ETAPAS PREVISTAS

El trabajo preparatorio llevado a cabo por la Comisin muestra los mbitos fundamentales en los que se han de tomar medidas: Entre las preocupaciones de los posibles usuarios y proveedores de la computacin en nube figuraba en primer lugar la fragmentacin del mercado nico digital debido a los diferentes marcos jurdicos nacionales y a las incertidumbres sobre la normativa aplicable, los contenidos digitales y la localizacin de datos. Esta situacin est relacionada, en particular, con la complejidad de la gestin de servicios y de los patrones de uso, que abarcan mltiples jurisdicciones, y con la confianza y la seguridad en mbitos como la proteccin de los datos, los contratos y la proteccin del consumidor, o el Derecho penal. Los problemas con los contratos se refieren a la preocupacin sobre el acceso a los datos y su portabilidad, el control de las modificaciones y la propiedad de los datos. Por ejemplo, existe inquietud en cuanto a cmo se determina la responsabilidad en caso de fallos de los servicios, tales como tiempos de inactividad o prdida de datos, los derechos de los usuarios en relacin con mejoras del sistema decididas unilateralmente por el proveedor, la propiedad de los datos creados en las aplicaciones en nube o la resolucin de conflictos. Una jungla de normas genera confusin debido, por un lado, a la proliferacin de normas y, por otro, a la falta de seguridad a la hora de determinar qu normas proporcionan un nivel adecuado de interoperabilidad de los formatos de los datos que permita la portabilidad, o en qu medida existen salvaguardias para la proteccin de los datos personales, sin olvidar tampoco la cuestin de las violaciones de datos y la proteccin contra los ciberataques. Esta estrategia no contempla la creacin de una supernube europea, es decir, una infraestructura de equipos fsicos especializada en la prestacin de servicios genricos de

10

Gobierno britnico (2011): Government Cloud Strategy, www.cabinetoffice.gov.uk .

ES

ES

computacin en nube a los usuarios del sector pblico en toda Europa. No obstante, uno de los objetivos es tener a disposicin del pblico ofertas en nube (nube pblica11) que cumplan las normas europeas no solo en trminos reglamentarios, sino tambin en cuanto a su carcter competitivo, abierto y seguro. Esto no impide a las autoridades pblicas crear nubes privadas especficas para el tratamiento de datos sensibles, pero, en general, incluso los servicios en la nube utilizados por el sector pblico deberan, en la medida de lo posible, estar sujetos a la competencia del mercado a fin de garantizar las ofertas econmicamente ms ventajosas, ajustndose a la vez a las obligaciones reglamentarias o a los objetivos ms amplios de las polticas pblicas en relacin con criterios operacionales fundamentales, tales como la seguridad y la proteccin de los datos sensibles. 3.1. La computacin en nube y la Agenda Digital (mercado nico digital)

Debido a su libertad intrnseca respecto a limitaciones espaciales, la computacin en nube podra elevar al mercado nico digital a un nuevo nivel. Pero esto ocurrir solo si conseguimos una aplicacin efectiva de las normas del mercado nico. Los beneficios son potencialmente inmensos. El estudio preparatorio realizado para la Comisin calcula que la nube pblica generara 250 000 millones EUR en el PIB en 2020, si se aplicaran polticas favorables a la nube, frente a 88 000 millones EUR en la hiptesis de no intervencin, lo que llevara a unos impactos acumulativos adicionales entre 2015 y 2020 de 600 000 millones EUR. Esto se traduce en la creacin de 2,5 millones de puestos de trabajo suplementarios12. Muchos de los pasos necesarios para hacer una Europa favorable para la nube ya se haban sealado como medidas del pilar del mercado nico de la Agenda Digital para Europa y del Acta del Mercado nico13. La mayora de estas acciones estn actualmente sobre la mesa de los legisladores y una rpida actuacin para adoptar y aplicar estas propuestas supondr una contribucin fundamental para hacer realidad los beneficios econmicos de la computacin en nube. Actuaciones de la Agenda Digital sobre la apertura del acceso a los contenidos En la Agenda Digital para Europa, la Comisin se fijaba el objetivo de simplificar la autorizacin de derechos de autor, su gestin y la concesin de licencias transfronterizas14. Las actuaciones clave que recoge la Agenda Digital para alcanzar estos objetivos estn en curso y aumentarn la capacidad de Europa para aprovechar las nuevas oportunidades apasionantes de la computacin en nube, tanto para los productores como para los consumidores de contenidos digitales.

11

12

13 14

En contraste con una nube privada, que sera un servicio o infraestructura especfica para un cliente particular, sin estar abierto a su utilizacin por otros clientes. IDC (2012): En el documento Quantitative Estimates of the Demand for Cloud Computing in Europe and the Likely Barriers to Take-up (Estimaciones cuantitativas de la demanda de computacin en nube en Europa y los posibles obstculos para su adopcin) se calcula que con la hiptesis de polticas favorables podra haber ms de 3,8 millones de trabajadores en relacin con la nube, frente a aproximadamente 1,3 millones con la de no intervencin, es decir, la aplicacin de la poltica podra inducir la creacin de 2,5 millones de puestos de trabajo adicionales. Comunicacin Acta del Mercado nico, COM(2011) 206 final. Las actuaciones correspondientes consistan en proponer una directiva sobre gestin colectiva de derechos [COM(2012) 372 final] y una directiva sobre obras hurfanas [COM(2011) 289 final], y revisar la Directiva relativa a la reutilizacin de la informacin del sector pblico [COM(2011) 877 final], todo lo cual ya se ha efectuado.

ES

ES

Para que la computacin en nube pueda funcionar correctamente como plataforma de servicios de contenidos digitales, incluidos los servicios mviles, se necesita disponer de modelos de distribucin de contenidos que promuevan el acceso a todo tipo de contenidos (musicales, audiovisuales o libros), as como su utilizacin, a travs de distintos dispositivos y en distintos territorios. Los proveedores de servicios en la nube y los titulares de derechos podrn acordar condiciones comerciales de licencias que permitan a los consumidores acceder a su cuenta personal utilizando diferentes dispositivos, independientemente del territorio a partir del que se efecte el acceso. Ya se estn consiguiendo en el mercado acuerdos flexibles de este tipo, aunque en algunos casos resulta ms difcil llegar a un acuerdo. Es necesario que les resulte fcil a los proveedores obtener licencias para la prestacin de estos servicios. Los consumidores deberan tener la posibilidad de disfrutar legalmente de contenidos desde fuera de su casa, en toda la UE, sin perder el acceso a servicios por los que hayan pagado en cualquier otro Estado miembro. Para los titulares de derechos, tales acuerdos de licencias deberan promover la innovacin de los servicios y, por lo tanto, crear nuevas fuentes de ingresos. Una rpida adopcin de la propuesta de la Comisin de Directiva sobre gestin colectiva de derechos satisfar muchas de las necesidades de concesin de licencias transfronterizas relativas a los contenidos en la nube por lo que se refiere a la msica. La Comisin est considerando asimismo la realizacin de otras actividades como consecuencia del Libro Verde sobre obras audiovisuales15, por ejemplo fomentando y facilitando la concesin de licencias de obras audiovisuales para su distribucin en lnea, en particular a travs de las fronteras. Un servicio de computacin en nube puede permitir asimismo almacenar contenidos en la nube. El consumidor puede utilizar la nube como armario digital de contenidos digitales y como herramienta de sincronizacin para acceder a los contenidos desde dispositivos diferentes. Por lo tanto, se plantean cuestiones sobre el posible cobro de cnones por copia privada en el caso de las eventuales copias privadas de contenidos desde, hacia o dentro de la nube. Estas cuestiones, entre otras, se estn examinando en un proceso de mediacin en curso dirigido por Antnio Vitorino16. Sobre la base de los resultados de este proceso, la Comisin va a determinar, entre otras cosas, si es necesario aclarar el mbito de aplicacin de la excepcin por copia privada y la aplicabilidad de cnones, as como, en particular, en qu medida los servicios de computacin en nube que permitan la remuneracin directa de los titulares de derechos estn excluidos del rgimen del canon por copia privada. Actuaciones de la Agenda Digital sobre la simplificacin de las transacciones en lnea y transfronterizas La reciente revisin de la Directiva sobre comercio electrnico emprendida como actuacin de la Agenda Digital ha reafirmado su papel como fundamento esencial para el crecimiento de los servicios digitales en Europa a travs de la exencin de responsabilidad de los prestadores de servicios de la sociedad de la informacin cuando albergan o transmiten informacin ilegal facilitada por un tercero. Muchos de estos servicios en lnea ya estn migrando a
15

16

Libro Verde sobre la distribucin en lnea de obras audiovisuales en la Unin Europea: oportunidades y problemas en el avance hacia un mercado nico digital, COM(2011) 427 final. Vase la Comunicacin de la Comisin Un mercado nico de los derechos de propiedad intelectual, COM(2011) 287 final Accin 8, mediante la que se puso en marcha el proceso de mediacin dirigido a explorar posibles planteamientos para armonizar la metodologa empleada para imponer los cnones y en la que se declaraba que mediante una labor concertada de todas las partes para resolver los problemas pendientes, cabe esperar que puedan tomarse medidas legislativas generales a nivel de la UE. La Comunicacin COM(2011) 942 final, sobre el comercio electrnico, prev una iniciativa legislativa en 2013 sobre las copias privadas.

ES

ES

infraestructuras en la nube, lo que facilita la oferta de servicios ms integrados. Esto da lugar a cadenas de valor ms complejas, que a menudo abarcan mltiples jurisdicciones, lo cual a su vez plantea cuestiones relativas a la determinacin de la legislacin aplicable (por ejemplo, establecimiento) y a la aplicacin a estos nuevos servicios de los procedimientos de notificacin sobre informacin y actividades (presuntamente) ilegales. Estas cuestiones se abordan, como consecuencia de la Comunicacin sobre el mercado nico digital del comercio electrnico y los servicios en lnea, en la iniciativa de la Comisin sobre los procedimientos de notificacin y accin17. El disponer de unos mtodos seguros de autenticacin electrnica para las transacciones por Internet es tambin esencial para el desarrollo del mercado nico digital. Las cadenas de valor ms complejas y la naturaleza anidada de muchos servicios de computacin en nube convierten en necesaria la autenticacin fiable para garantizar la confianza y dinamizar el uso de los servicios. Por ejemplo, un procedimiento nico de apertura de sesin simplifica el uso de un conjunto de servicios, pero requiere unos mtodos de autenticacin ms complejos y fiables que el de una simple contrasea de creacin propia para potenciar la confianza en el conjunto de proveedores de que se trate. La adopcin de normas comunes que permitan el uso seguro, pero sin fisuras, de servicios que requieren una autenticacin y autorizacin fiables sera una gran ayuda para la adopcin de la nube. El logro de tales soluciones se reforzar considerablemente mediante la adopcin de las propuestas de la Comisin sobre identificacin electrnica y autenticacin18. La Comisin tratar en los prximos meses los problemas generales de seguridad informtica en su estrategia de ciberseguridad. La estrategia se referir a todos los prestadores de servicios de la sociedad de la informacin, incluidos los proveedores de servicios de computacin en nube. Sealar aspectos como las medidas tcnicas y de organizacin adecuadas que debern adoptarse para gestionar los riesgos de seguridad, as como las obligaciones de notificacin de incidentes significativos a las autoridades competentes. Actividades de la Agenda Digital sobre crear confianza en el mundo digital De la consulta y estudios llevados a cabo por la Comisin se desprende que la proteccin de datos es un motivo de preocupacin importante que podra obstaculizar la adopcin de la computacin en nube. En particular, frente a veintisiete marcos legislativos nacionales, en parte divergentes, es muy difcil ofrecer una solucin rentable en la nube al nivel de mercado nico digital. Adems, dado el mbito mundial de la nube, se peda claridad sobre cmo se reglamentaran las transferencias internacionales de datos. Estas preocupaciones fueron abordadas por la Comisin el 25 de enero de 2012, completando otra actuacin de la Agenda Digital, al proponer un marco jurdico fuerte y uniforme que proporcione seguridad jurdica sobre la proteccin de datos. El reglamento propuesto se refiere a las cuestiones planteadas por la nube. En esencia, aclara la importante cuestin de la legislacin aplicable, garantizando que se aplicara directa y uniformemente en los veintisiete Estados miembros un nico conjunto de normas. Esto ser positivo para las empresas y los ciudadanos, al impulsar unas condiciones equitativas y reducir la carga administrativa y los costes de cumplimiento para las empresas en toda Europa, garantizando al mismo tiempo un alto nivel de proteccin de las personas y permitindoles un mayor control sobre sus datos. Una mayor transparencia del tratamiento de los datos tambin contribuir a aumentar la confianza de los consumidores. La
17 18

Comunicacin sobre comercio electrnico, COM(2011) 942 final, p. 15. Propuesta de Reglamento relativo a la identificacin electrnica y los servicios de confianza para las transacciones electrnicas en el mercado interior, COM(2012) 238/2.

ES

ES

propuesta facilita las transferencias de datos personales a pases de fuera de la UE y del EEE, asegurando al mismo tiempo la continuidad de la proteccin de las personas afectadas. El nuevo marco jurdico aportar las condiciones necesarias para la adopcin de cdigos de conducta y de normas para la nube, cuando las partes interesadas perciban la necesidad de disponer de sistemas de certificacin para verificar que el prestador del servicio ha aplicado las normas adecuadas de seguridad informtica y las garantas pertinentes para las transferencias de datos. Dado que la preocupacin por la proteccin de datos se considera uno de los ms graves obstculos para la aceptacin de la computacin en nube, destaca la importancia de que el Consejo y el Parlamento trabajen con rapidez para conseguir la adopcin de la propuesta de Reglamento tan pronto como sea posible, en 2013. Mientras tanto, como la computacin en nube implica cadenas de proveedores y otros agentes, tales como proveedores de infraestructuras o de comunicaciones, es necesario disponer de directrices en cuanto a la aplicacin de la vigente Directiva de la UE sobre proteccin de datos, en particular para identificar y distinguir los derechos y obligaciones correspondientes de los controladores y procesadores de datos que trabajan para los proveedores de servicios en la nube, o los agentes de la cadena de valor. Por otra parte, debido a la naturaleza especfica de la computacin en nube, se han planteado cuestiones sobre la legislacin aplicable en caso de que el lugar de establecimiento pertinente de un prestador en la nube sea difcil de determinar, por ejemplo cuando se trate de usuarios de fuera de la UE, o de proveedores de fuera de la UE cuando utilicen equipos que funcionen en la UE. En este contexto, la Comisin acoge con satisfaccin las orientaciones sobre la aplicacin de la vigente Directiva de la UE sobre proteccin de datos recogidas en el dictamen del Grupo de Trabajo de Proteccin de Datos, el denominado Grupo de Trabajo del Artculo 29 sobre la computacin en nube, de 1 de julio de 201219. La Comisin considera que el dictamen del Grupo de Trabajo del Artculo 29 proporciona una buena base para la transicin desde la vigente Directiva de la UE sobre proteccin de datos hacia el nuevo reglamento de la UE sobre proteccin de datos, y que debe guiar el trabajo de las autoridades nacionales y de las empresas y, de este modo, ofrecer la mxima claridad y seguridad jurdica sobre la base del marco jurdico vigente. Adems, una vez se haya adoptado la propuesta de Reglamento, la Comisin har uso de los nuevos mecanismos establecidos en ella para elaborar, en estrecha cooperacin con las autoridades nacionales de proteccin de datos, las eventuales directrices adicionales que puedan ser necesarias para la aplicacin de la legislacin europea sobre proteccin de datos en materia de servicios en la nube. El Derecho contractual se consideraba tambin motivo de preocupacin por afectar negativamente a la confianza digital de los consumidores que no tenan seguridad sobre sus derechos y carecan de proteccin, y de los comerciantes que necesitaban un marco que les facilitara ofrecer sus productos en lnea. En este contexto, la Comisin ha propuesto ya un reglamento relativo a una normativa comn de compraventa europea20.

19

20

Vase el dictamen del Grupo de Trabajo del Artculo 29 sobre la computacin en nube, adoptado el 1 de julio de 2012: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/index_en.htm#h2-1. COM(2011) 635 final.

ES

10

ES

3.2.

Acciones clave especficas en materia de computacin en nube

El primer paso esencial en el proceso de hacer una Europa favorable a la nube consiste en completar el mercado nico digital avanzando lo ms rpidamente posible hacia la adopcin y la aplicacin de las propuestas de la Agenda Digital que estn sobre la mesa. Pero, para subir otro grado hacia la actividad en nube, debe desarrollarse ms un clima de seguridad y confianza a fin de estimular la adopcin activa de la computacin en nube en Europa. Es necesaria una cadena de medidas generadoras de certidumbre para crear confianza en las soluciones en nube. Esta cadena se inicia con la identificacin de un conjunto apropiado de normas que puedan certificarse con el fin de permitir que los compradores pblicos y privados tengan la certeza de que cumplen sus obligaciones y de que acceden a una solucin adecuada para satisfacer sus necesidades cuando adoptan servicios en la nube. Las clusulas de los contratos, a su vez, pueden hacer referencia a estas normas y certificados, para que los proveedores y los usuarios se sientan seguros de que los contratos son equitativos. Los trabajos preparatorios mencionados anteriormente indican la necesidad de disponer de marcos especficos para la computacin en nube en relacin tanto con las normas y la certificacin como con las condiciones contractuales. Las autoridades pblicas tienen un papel que desempear a la hora de forjar un ambiente de confianza en torno a la nube en Europa. Tienen la oportunidad de aprovechar el peso de la contratacin pblica para fomentar el desarrollo y la aceptacin de la computacin en nube en Europa, sobre la base de tecnologas abiertas y de plataformas seguras. Si se establece un marco claro y protector para la adopcin por el sector pblico, se garantizar que esta tecnologa proporciona un acceso de confianza a los usuarios internacionales y convierte a Europa en un punto neurlgico de la innovacin de los servicios en la nube. Adems, la aceptacin por los compradores pblicos de soluciones de confianza en la nube podra animar a las PYME a adoptarlas tambin. Tambin existe la preocupacin de que la incidencia econmica de la computacin en nube no realice su pleno potencial si la tecnologa no es adoptada tanto por las autoridades pblicas como por las pequeas y medianas empresas (PYME). En ambos casos, la adopcin por ahora es marginal, debido a la dificultad de evaluar los riesgos de la adopcin de la nube. Para contribuir al logro de estos objetivos, por lo tanto, la Comisin Europea pondr en marcha tres medidas especficas sobre la nube: 1) 2) 3) 3.3. Accin clave 1: Abrirse paso a travs de la selva de normas Accin clave 2: Condiciones contractuales seguras y justas Accin clave 3: Crear una Asociacin Europea de Computacin en Nube para impulsar la innovacin y el crecimiento desde el sector pblico. Accin clave 1 Abrirse paso a travs de la selva de normas

El despegue de las actividades en nube se ver favorecido por un mayor uso de las normas, por la certificacin de los servicios en la nube para demostrar que cumplen estas normas y por el refrendo de tales certificados por parte de las autoridades normativas para indicar el cumplimiento de las obligaciones jurdicas.

ES

11

ES

Actualmente, los distintos vendedores estn incentivados para luchar por conseguir una posicin dominante haciendo cautivos a sus clientes, lo que es un obstculo para aplicar enfoques normalizados a todo el sector. A pesar de los numerosos esfuerzos por aumentar la normalizacin, principalmente dirigidos por los proveedores, es posible que las nubes evolucionen de manera desprovista de interoperabilidad, portabilidad de datos y reversibilidad, todos ellos elementos cruciales para evitar que los clientes queden cautivos. Las normas sobre la nube tambin afectarn a partes interesadas fuera del sector de las TIC, en particular a las PYME, a los usuarios del sector pblico y a los consumidores. No es frecuente que estos usuarios puedan evaluar las afirmaciones de los proveedores en relacin con la aplicacin que hacen de las normas, la interoperabilidad de sus nubes o la facilidad con la que los datos pueden trasladarse de un proveedor a otro. Por este motivo es necesario disponer de una certificacin fiable e independiente. Ya se estn tomando medidas de normalizacin y certificacin para la computacin en nube. El Instituto Nacional de Normas y Tecnologa de EE.UU. (National Institute for Standards and Technology, NIST) ha publicado una serie de documentos entre los que figura un conjunto ampliamente aceptado de definiciones. El Instituto Europeo de Normas de Telecomunicacin (ETSI) ha creado un grupo sobre la computacin en nube para analizar las necesidades de normalizacin de la nube y la conformidad con normas de interoperabilidad. Est clara la necesidad de que se den iniciativas para establecer normas adicionales. Sin embargo, ahora la prioridad es desplegar las normas existentes para que aumente la confianza en la computacin en nube mediante paquetes de servicios comparables y ofertas diversas e interoperables. Adems de sealar las normas correspondientes, es necesario disponer de una certificacin de su cumplimiento. Muchos, y ciertamente todas las organizaciones grandes, piden la certificacin de que sus sistemas informticos cumplen los requisitos legales y de auditora, as como de que las aplicaciones y sistemas son interoperables. La Comisin: fomentar las ofertas en nube fiables pidiendo al ETSI que se coordine con los interesados de forma transparente y abierta a fin de elaborar para 2013 un mapa detallado de las normas necesarias (respecto a aspectos como la seguridad, la interoperabilidad, la portabilidad de datos y la reversibilidad); aumentar la confianza en los servicios de computacin en nube mediante el reconocimiento, a nivel de la UE, de las especificaciones tcnicas en el mbito de las tecnologas de la informacin y de la comunicacin para la proteccin de los datos personales de conformidad con el nuevo Reglamento sobre la normalizacin europea21; trabajar con la ayuda de la ENISA y de otros organismos pertinentes para contribuir al desarrollo de sistemas de certificacin voluntarios a escala de la UE en el mbito de la computacin en nube (incluso en lo que respecta a la proteccin de datos) y establecer una lista de tales sistemas para 2014; atender a los desafos medioambientales planteados por una mayor utilizacin de la nube, al acordar con la industria una metrologa armonizada para el

21

Adoptado por la Comisin el 11 de septiembre de 2012, sobre la base de la propuesta de la Comisin, COM(2011) 315, y que entrar en vigor el 1 de enero de 2013.

ES

12

ES

consumo de energa, el consumo de agua y las emisiones de carbono de los servicios en la nube de aqu a 201422. 3.4. Accin clave 2: Condiciones contractuales seguras y justas

Los acuerdos tradicionales de externalizacin en el mbito informtico solan negociarse y referirse al almacenamiento de datos, las instalaciones de tratamiento y los servicios definidos y descritos en detalle desde el principio. Por otro parte, los contratos de computacin en nube crean esencialmente un marco en el que el usuario tiene acceso a capacidades informticas infinitamente modulables y flexibles segn sus necesidades. No obstante, la mayor flexibilidad de la computacin en nube que existe actualmente en comparacin con la externalizacin tradicional suele tener como contrapartida una menor seguridad para el cliente debido a que los contratos con los proveedores de servicios en la nube no son suficientemente especficos ni equilibrados. La complejidad y la incertidumbre del marco jurdico para los proveedores de servicios en la nube hace que estos recurran con frecuencia a contratos o acuerdos de nivel de servicios23 de tipo complejo, con amplias clusulas de exencin de responsabilidad. El recurso a contratos estndar, de tipo lo tomas o lo dejas, podra suponer un ahorro para el proveedor de servicios, pero suele ser indeseable para el usuario, incluido el consumidor final. Tales contratos pueden tambin imponer la eleccin de la legislacin aplicable o bloquear la recuperacin de datos. Incluso las empresas ms grandes tienen poca capacidad de negociacin, y los contratos no suelen contemplar la responsabilidad por la integridad de los datos, la confidencialidad o la continuidad del servicio24. Por lo que se refiere a los usuarios profesionales, el desarrollo de condiciones tipo para los acuerdos de nivel de servicios aplicables a la computacin en nube fue una de las cuestiones ms importantes planteada durante el proceso de consulta. Los acuerdos de nivel de servicios determinan la relacin entre los proveedores de servicios en la nube y los usuarios profesionales y, por tanto, constituyen fundamentalmente la base para que los usuarios de la nube puedan confiar en la capacidad del proveedor para prestar servicios. Por lo que respecta a los consumidores y a las pequeas empresas, la propuesta de Reglamento sobre una normativa comn de compraventa europea25, presentada por la Comisin como una accin destinada a crear confianza en el mundo digital en el marco de la Agenda Digital, aborda muchos de los obstculos derivados de las diferencias entre las normativas nacionales de compraventa y proporciona a las partes contractuales un conjunto uniforme de normas. La propuesta incluye normas adaptadas al suministro de contenidos digitales que cubren algunos aspectos de la computacin en nube26.

22 23

24

25 26

http://www.ict-footprint.eu Un ANS especifica las condiciones tcnicas de la prestacin del servicio, por ejemplo el grado de disponibilidad garantizada expresado en porcentaje. Vase el dictamen del Grupo de Trabajo del Artculo 29 sobre la computacin en nube: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/index_en.htm#h2-1. COM(2011) 635 final. La propuesta de Reglamento relativo a una normativa comn de compraventa europea se aplica a algunos de los contratos para el suministro de contenidos digitales, es decir, los datos producidos y suministrados en formato digital, siguiendo o no las especificaciones del consumidor, incluidos los contenidos videogrficos, sonoros, fotogrficos o escritos; los juegos digitales; los programas informticos; y los contenidos digitales que permitan personalizar equipos o programas informticos

ES

13

ES

Es necesario un trabajo complementario especfico para las cuestiones no reguladas por la normativa comn de compraventa europea a fin de garantizar que otras cuestiones contractuales pertinentes en materia de servicios de computacin en nube puedan ser reguladas tambin mediante una estrategia similar de adopcin de instrumentos facultativos. Este trabajo complementario debe abarcar cuestiones como la conservacin de datos tras la rescisin del contrato, la divulgacin y la integridad de los datos, la localizacin y la transferencia de datos, la responsabilidad directa e indirecta, la propiedad de los datos, la modificacin del servicio por los proveedores de servicios en la nube y la subcontratacin. Aunque la actual legislacin de la UE protege a los usuarios de servicios en la nube, los consumidores suelen desconocer sus derechos a este respecto, en particular la legislacin aplicable y la competencia judicial en materia civil y mercantil, especialmente cuando se trata de cuestiones relacionadas con el Derecho contractual27. En la consulta28 se puso de manifiesto la conveniencia de elaborar clusulas contractuales tipo para resolver esos problemas. Los usuarios industriales y los proveedores de servicios han manifestado la necesidad de disponer de acuerdos de autorregulacin o normalizacin. Por lo que respecta a los contratos con los consumidores y las pequeas empresas, pueden requerirse condiciones contractuales europeas tipo, sobre la base de un instrumento opcional de Derecho contractual, para establecer contratos de servicios en la nube transparentes y justos. La identificacin y difusin de las mejores prcticas en materia de modelos de condiciones contractuales acelerar la aceptacin de la computacin en nube, al aumentar la confianza de los clientes potenciales. La adopcin de medidas adecuadas sobre las clusulas contractuales puede resultar til asimismo en el mbito crucial de la proteccin de datos. Como se ha sealado anteriormente, la propuesta de Reglamento sobre la proteccin de los datos personales garantizar un nivel elevado de proteccin de las personas fsicas al asegurar la continuidad de esa proteccin cuando los datos se transfieran fuera de la UE y del EEE, principalmente mediante clusulas contractuales tipo aplicables a las transferencias internacionales de datos y el establecimiento de las condiciones necesarias para la adopcin de normas vinculantes para las empresas y favorables a la nube. Estos cambios permitirn que las normas de proteccin de datos de la UE tengan en cuenta las realidades geogrficas y tcnicas de la computacin en nube. Para finales de 2013, la Comisin: Elaborar, con las partes interesadas, clusulas contractuales tipo para los acuerdos de nivel de servicios de computacin en nube aplicables a los contratos entre proveedores de servicios en la nube y usuarios profesionales, teniendo en cuenta el acervo de la UE en curso de elaboracin en este mbito.

27

28

existentes (contenidos digitales) que puedan ser almacenados, tratados y reutilizados por el usuario, o a los que este pueda tener acceso, pero excluye los servicios y redes de comunicaciones electrnicas y los recursos y servicios asociados, as como la creacin de nuevos contenidos digitales y la modificacin de los ya existentes. Vanse: el Reglamento (CE) n 593/2008 sobre la ley aplicable a las obligaciones contractuales (Roma I), DO L 177 de 4.7.2008, y el Reglamento (CE) n 44/2001 relativo a la competencia judicial, el reconocimiento y la ejecucin de resoluciones judiciales en materia civil y mercantil, DO L 12 de 16.1.2001. http://ec.europa.eu/information_society/activities/cloudcomputing/docs/ccconsultationfinalreport.pdf.

ES

14

ES

En consonancia con la Comunicacin sobre una normativa comn de compraventa europea29, propondr a los consumidores y a las pequeas empresas condiciones contractuales europeas tipo para las cuestiones que entran dentro del mbito de aplicacin de la normativa comn de compraventa europea propuesta. El objetivo es unificar las principales condiciones contractuales, proporcionando las mejores prcticas en materia de condiciones contractuales para los servicios de computacin en nube en lo que se refiere a los aspectos relacionados con el suministro de contenidos digitales. Encargar a un grupo de expertos creado a tal fin, entre los que se incluirn representantes del sector, que determine, antes de que finalice 2013, condiciones contractuales seguras y justas para los consumidores y las pequeas empresas, sobre la base de un instrumento facultativo similar, para los aspectos relacionados con la nube que no entran dentro del mbito de aplicacin de la normativa comn de compraventa europea. Facilitar la participacin de Europa en el crecimiento mundial de la computacin en nube, revisando las clusulas contractuales tipo aplicables a la transferencia de datos personales a terceros pases y adaptndolas, en caso necesario, a los servicios de computacin en nube e invitando a las autoridades nacionales de proteccin de datos a aprobar las normas corporativas vinculantes para los proveedores de servicios en la nube30. Trabajar con el sector en la definicin de un cdigo de conducta para los proveedores de servicios en la nube, con vistas a una aplicacin uniforme de las normas de proteccin de datos, que pueda presentarse para aprobacin al Grupo de Trabajo del Artculo 29, con el fin de garantizar la seguridad jurdica y la coherencia entre el cdigo de conducta y la legislacin de la UE.

3.5.

Accin clave 3 Promover un liderazgo comn del sector pblico mediante una Asociacin Europea de Computacin en Nube

El sector pblico tiene un papel importante que desempear en la configuracin del mercado de la computacin en nube. En su calidad de mayor comprador de servicios informticos de la UE, puede establecer requisitos estrictos respecto a las caractersticas, prestaciones, seguridad, interoperabilidad y portabilidad de los datos, as como al cumplimiento de los requisitos tcnicos. Tambin puede establecer requisitos para la certificacin. Varios Estados miembros han adoptado iniciativas nacionales, tales como Andromde en Francia, G-Cloud en el Reino Unido y Trusted Cloud en Alemania31. No obstante, dada la fragmentacin del mercado del sector pblico, sus requisitos tienen poca incidencia, la integracin de los servicios es escasa y los ciudadanos no obtienen todas las ventajas que podran conseguir. La puesta en comn de los requisitos del sector pblico podra aportar mayor eficiencia y unos
29

30

31

Comunicacin de la Comisin titulada Una Agenda del Consumidor Europeo para impulsar la confianza y el crecimiento, COM(2012) 225 final. Los dictmenes pertinentes del Grupo de Trabajo del Artculo 29 (vanse: WP 195 y WP 153) servirn de base a un proyecto de la Comisin. Las normas corporativas vinculantes son un medio para permitir las transferencias internacionales legales de datos: regulan con carcter ejecutivo cmo tratan los datos personales las distintas partes de una empresa, independientemente de su localizacin. http://www.economie.gouv.fr/cloud-computing-investissements-d-avenir; http://www.cabinetoffice.gov.uk/sites/default/files/resources/government-cloudstrategy_0.pdf;http://www.trusted-cloud.de/documents/aktionsprogramm-cloud-computing.pdf

ES

15

ES

requisitos sectoriales comunes (por ejemplo, en relacin con la sanidad electrnica, la asistencia social, la vida cotidiana asistida y servicios de administracin electrnica como los de datos abiertos32), reducira los costes y permitira la interoperabilidad. El sector privado tambin se beneficiara de unos servicios de mayor calidad, ms competencia, una normalizacin rpida y una mejor interoperabilidad, as como de oportunidades de mercado para las PYME de alta tecnologa. As pues, la Comisin va a crear este ao una Asociacin Europea de Computacin en Nube (AECN) a fin de proporcionar un marco para iniciativas similares a nivel de los Estados miembros. La AECN agrupar a expertos del sector y a usuarios del sector pblico para trabajar de una manera abierta y totalmente transparente en la elaboracin de requisitos comunes de contratacin pblica en el mbito de la computacin en nube. La Asociacin no pretende crear una infraestructura fsica de computacin en nube, sino garantizar que la oferta comercial en Europa est adaptada a las necesidades europeas, por medio de requisitos de contratacin pblica que sern promovidos por los Estados miembros y las entidades pblicas participantes con vistas a su utilizacin en toda la UE. La AECN tambin ser esencial para evitar la fragmentacin y garantizar que la utilizacin pblica de los servicios de computacin en nube sea interoperable, segura, ms ecolgica y plenamente conforme con la normativa europea, por ejemplo en los mbitos de la proteccin de los datos y la seguridad. Siguiendo las indicaciones de un comit de direccin, la Asociacin reunir a las autoridades pblicas que cooperen y a consorcios industriales para aplicar una medida de contratacin precomercial con objeto de: determinar los requisitos del sector pblico para los servicios en la nube; elaborar especificaciones para la contratacin de TI y obtener aplicaciones de referencia para demostrar la conformidad y las caractersticas33; avanzar hacia la contratacin conjunta de servicios de computacin en nube por los organismos pblicos sobre la base de los nuevos requisitos comunes de los usuarios; crear y ejecutar otras medidas que requieran la coordinacin con los interesados, como se describe en el presente documento.

4.

MEDIDAS POLTICAS SUPLEMENTARIAS

La Comisin aplicar asimismo una serie de medidas de acompaamiento en apoyo de las tres acciones clave. Otras iniciativas, como el acceso de banda ancha, la itinerancia o la apertura de datos, contribuirn tambin a la creacin de un entorno favorable a una adopcin ms rpida de los servicios en la nube, especialmente por parte de los consumidores y las PYME. 4.1. Medidas de estmulo

La Comisin examinar la manera de hacer pleno uso de sus otros instrumentos disponibles, en particular mediante el apoyo a actividades de investigacin y desarrollo, con arreglo a la
32

33

Comunicacin Datos abiertos: Un motor para la innovacin, el crecimiento y la gobernanza transparente, COM(2011) 882 final. Esta medida se financiar en 2013 a travs del Sptimo Programa Marco de Investigacin (7PM); la correspondiente convocatoria de propuestas se public el 9 de julio de 2012.

ES

16

ES

iniciativa Horizonte 2020, centradas en problemas a largo plazo especficos de la computacin en nube, as como mediante la asistencia a la migracin hacia soluciones en nube como, por ejemplo, programas informticos para cambiar a la nube desde los sistemas anteriores, para la gestin de servicios hbridos (que combinen sistemas en nube y de otro tipo) y para evitar que los clientes queden cautivos34. Su intencin es poner en marcha en 2014 infraestructuras de servicios digitales conforme a la propuesta del Mecanismo Conectar Europa35, como servicios pblicos en nube disponibles en cualquier sitio para, por ejemplo, la creacin de empresas en lnea, la contratacin transfronteriza y los servicios de sanidad electrnica, as como el acceso a la informacin del sector pblico. Asimismo, aplicar su propio plan de nube dentro de la estrategia de la Comisin electrnica (eCommission), que incluye un programa de medidas para pasar a la nube servicios pblicos aplicados en virtud de otros programas comunitarios. Por ltimo, adoptar medidas (como estudios, sistemas de tutora y orientacin, sensibilizacin) para fomentar las cibercapacidades y el espritu empresarial digital en relacin con la computacin en nube. 4.2. Dilogo internacional

Sin obstculos tcnicos que detengan los servicios en la nube en las fronteras geogrficas, no solo es necesario aprovechar plenamente las oportunidades del mercado nico digital, sino tambin tener en cuenta la situacin internacional, ms all de la UE, tanto por lo que respecta al marco jurdico (por ejemplo, para la legislacin aplicable) como a las medidas de apoyo al proceso de adopcin. La computacin en nube, nacida con vocacin mundial, pide un refuerzo del dilogo internacional para conseguir una utilizacin transfronteriza que sea segura y sin fisuras. Por ejemplo, todos los dilogos internacionales sobre comercio, aplicacin de la ley, seguridad y ciberdelincuencia tienen necesidad de reflejar plenamente los nuevos retos planteados por la computacin en nube36. Hay ms terceros pases que estn reconociendo la importancia de la computacin en nube. Los Estados Unidos de Amrica, Japn, Canad, Australia y ciertos pases del Sudeste Asitico, como Corea del Sur, Malasia y Singapur, tienen ya o estn elaborando estrategias sobre la computacin en nube. Los ejes principales son asociaciones para fomentar la aceptacin por los organismos pblicos, la promocin de los avances tecnolgicos y de la normalizacin, y el dilogo y la coordinacin internacionales sobre cuestiones jurdicas y tcnicas. As pues, la UE debe profundizar su colaboracin estructurada con los socios internacionales, no solo para compartir experiencias y conseguir un desarrollo tecnolgico conjunto, sino tambin para conseguir unos ajustes jurdicos que promuevan la evolucin ms

34

35 36

Vanse los informes del grupo de expertos en la computacin en nube The Future of cloud computing. Opportunities for European cloud computing beyond 2010: http://cordis.europa.eu/fp7/ict/ssai/docs/cloud-report-final.pdf y Advances in Clouds: http://cordis.europa.eu/fp7/ict/ssai/docs/future-cc-2may-finalreport-experts.pdf Propuesta de Reglamento por el que se establece el Mecanismo Conectar Europa, COM(2011) 665. La Comunicacin COM(2011) 163, sobre la proteccin de infraestructuras crticas de informacin, seala como prioridad conseguir que haya confianza en la nube, e invita a profundizar los debates sobre las mejores estrategias de gobernanza.

ES

17

ES

eficaz y efectiva de la nube37. Esos dilogos se desarrollarn en foros multilaterales, tales como la OMC y la OCDE, para anticipar objetivos comunes para los servicios de computacin en nube e integrar en sus negociaciones sobre libre comercio con la India, Singapur, etc., las cuestiones relacionadas con la computacin en nube. La Comisin aprovechar tambin sus dilogos internacionales en curso con los Estados Unidos, la India, Japn y otros pases, en lo que se refiere, entre otras cosas, a los temas clave relacionados con los servicios en la nube antes indicados, como la proteccin de datos; el acceso a los datos por parte de los rganos policiales y el recurso a acuerdos de asistencia jurdica mutua para evitar que las empresas tengan que enfrentarse a solicitudes contradictorias de las autoridades pblicas; la coordinacin de la seguridad de los datos a escala mundial; la ciberseguridad; la responsabilidad de los proveedores de servicios intermediarios; las normas y requisitos de interoperabilidad, en particular para los servicios pblicos; la aplicacin de la legislacin fiscal a los servicios en la nube; y la cooperacin en materia de investigacin y desarrollo tecnolgico. 5. CONCLUSIN

La computacin en nube abarca una amplia gama de mbitos estratgicos. Deben adoptarse rpidamente las iniciativas polticas en curso, como la reforma de la proteccin de datos y la normativa comn de compraventa europea, que se proponen reducir los obstculos a la aceptacin de la computacin en nube en la UE. Al mismo tiempo, la Comisin va a intervenir activamente en 2013 respecto a las acciones clave indicadas en la presente Comunicacin, especialmente en lo que respecta a las medidas en materia de normalizacin y certificacin para la computacin en nube, el desarrollo de condiciones contractuales seguras y justas y la puesta en marcha de la Asociacin Europea de Computacin en Nube. La Comisin prestar suma atencin a las cuestiones polticas emergentes que puedan afectar al potencial econmico y social de la computacin en nube en mbitos tales como la fiscalidad, la contratacin pblica, la reglamentacin financiera o la ejecucin de las leyes, en aquellos casos en que la naturaleza intrnsecamente transfronteriza de la computacin en nube plantee dudas en cuanto al cumplimiento de las normas y las obligaciones de notificacin. La Comisin presentar a finales de 2013 un informe sobre la evolucin de todo el conjunto de medidas de la presente Estrategia, as como las nuevas iniciativas de propuestas estratgicas y legislativas que puedan ser necesarias. En los dos prximos aos, durante los cuales se definirn y ejecutarn las acciones arriba indicadas, se sentarn las bases para que Europa se convierta en una potencia mundial de la computacin en nube. El avance adecuado en esta fase preparatoria proporcionar una base estable para una fase de despegue rpido, entre 2014 y 2020, durante la cual la utilizacin de las ofertas de servicios de computacin en nube accesibles al pblico podra alcanzar un ndice de crecimiento anual compuesto del 38 % (aproximadamente el doble del ndice que se alcanzara si no se aplicaran las medidas polticas determinantes).

37

Este dilogo se ha iniciado en el marco del dilogo UE-EE.UU. sobre la sociedad de la informacin, el Consejo Euroamericano de Empresarios (European American Business Council) y el dilogo UE-Japn sobre la sociedad de la informacin. Tambin puede examinarse la cuestin de la nube en el Consejo Econmico Transatlntico y en la cooperacin UE-EE.UU. entre PYME.

ES

18

ES

La Comisin invita a los Estados miembros a aprovechar el potencial de la computacin en nube. Los Estados miembros deben desarrollar el uso de la nube por el sector pblico sobre la base de enfoques comunes que mejoren las caractersticas y la confianza, adems de reducir los costes. Ser crucial una participacin activa en la Asociacin Europea de Computacin en Nube y el aprovechamiento de sus resultados. Asimismo, la Comisin invita a las empresas del sector a cooperar estrechamente en el desarrollo y la adopcin de normas comunes y de medidas de interoperabilidad.

ES

19

ES

Cloud Computing related research

Name of project Type of project Web site Short Description Status Responsible Unit Total Cost
4,135,781

Contribution
2,737,266

Cloud4SOA

STREP

http://www.cloud 4soa.eu/

Cloud-TM

STREP

http://www.cloudt m.eu/

Contrail

IP

http://contrailproject.eu/

Open The Cloud4SOA initiative focuses on resolving the semantic interoperability issues that exist in current Clouds platforms and infrastructures and on introducing a user-centric approach for applications which are built upon and deployed using Cloud resources. The vision of Cloud4SOA is to open up the Cloud market to small-medium European PaaS providers and strengthen their market position, and to alleviate the vendor lockin barrier for Cloud developers. Cloud4SOA will address the above challenge by enhancing the Cloud-based application development, deployment and migration by semantically interconnecting heterogeneous Platform as a Service (PaaS) offerings across different providers that share the same technology, and will facilitate the access and lifecycle management for Cloud-based application developers to the PaaS offering that best matches their computational and business needs. Open Cloud-TM aims at defining a novel programming paradigm to facilitate the development and administration of cloud applications. It will develop a Self-Optimizing Distributed Transactional Memory middleware that will spare programmers from the burden of coding for distribution, persistence and faulttolerance, letting them focus on delivering differentiating business value. Further, the Cloud-TM platform aims at minimizing the operational costs of cloud applications, pursuing optimal efficiency via autonomic resource provisioning & pervasive self-tuning schemes. Open Supply of, and demand for computational capacity is elastic. Some companies are are falling short, others have capacity in abundance. More often than not the need or surplus in computational power or storage capacity is temporary. Wouldn't it be wonderful if the surplus of one corporation could (temporarily) alleviate the wantage of the other. A consortium of ten organisations from six European countries started on a collaborative project to enable just that. The Contrail project aims to design, implement, evaluate and promote an open source
1

D3

D3

2,476,560

1,700,000

D3

11,448,809

8,304,110

CumuloNimbo

STREP

http://cumulonim bo.eu

computational cloud wherein users can limitlessly share resources. The Contrail project will run for a period of three years and will show tangible results: 1) Contrail will provide a complete Cloud platform which integrates a full Infrastructure-asa-Service and Platform-as-a-Service offer. 2) Contrail will allow Cloud providers to seamlessly integrate resources from other Clouds with their own infrastructure. 3) Contrail will break the current customer lock-in situation by allowing live application migration from one cloud to another. 4) Contrail will be fully available in open-source. CumuloNimbo will deliver a new generation of cloud Platforms Open as a Service (PaaS) that will provide consistency, availability, and simpler programming abstractions, such as transactions. Current practices in cloud computing sacrifice data consistency for scalability, thus increasing the complexity of building applications on top of such platforms when strong consistency guarantees are necessary. The goal of the FI-WARE project is to advance the global Open competitiveness of the EU economy by introducing an innovative infrastructure for cost-effective creation and delivery of services, providing high Quality-of-Service and security guarantees. FIWARE will deliver an open architecture and implementation of a novel service infrastructure, building upon generic and reusable building blocks, largely developed in earlier research projects. Part of these building blocks are related to Cloud Hosting the fundamental layer which provides the computation, storage and network resources, upon which services are provisioned and managed. I2Web will provide tools to develop inclusive Future Internet service front-ends to address the challenges of ubiquitous/mobile Web, media convergence and user-generated content, in combination with cloud computing and Web 2.0, Social Networking, using User-Centred Design and Design for All (DfA)/Inclusive Design principles. The INDENICA project will provide a development method, infrastructure components and tools that support the efficient derivation of specialized, domain-specific service platforms from general-purpose common infrastructures. INDENICA will combine optimal adaptation of the service platform to domainspecific constraints with easy and fast development. At the same
2

D3

4,716,089

2,987,047

FI-WARE

IP

http://www.fiware.eu/

D3

66,402,911

40,999,000

I2Web

STREP

http://i2web.eu/in dex.html

Open

D3

2,718,598

1,895,750

INDENICA

STREP

http://www.indeni ca.eu/

Open

D3

6,160,560

3,771,545

MOSAIC

STREP

www.mosaicproject.eu

time, the resulting platforms will be interoperable by design. The mOSAIC project aims to develop an open-source platform Open that enables applications to negotiate Cloud services as requested by their users. Using the Cloud ontology, applications will be able to specify their service requirements and communicate them to the platform via the innovative API. The platform will implement a multi-agent brokering mechanism that will search for services matching the applications request, and possibly compose the requested service if no direct hit is found. The platform will facilitate competition between Cloud providers, who, in return, will be able to reach customers they could not reach before. OPTIMIS project will develop an open toolkit and specifications for a dependable Cloud Service Ecosystem that delivers IT services that are adaptable, reliable, auditable and sustainable (ecological and economical). The key goal is to allow organizations to automatically and seamlessly externalize services and applications to trustworthy and auditable cloud providers. This ecosystem will give rise to a strengthened European ICT industry able to meet key societal and economical needs. A significant milestone towards a Dependable Service Economy has been reached with the final publication of results of the recently concluded SLA@SOI research project. Launched in June 2008, this European Commission funded project has been researching, developing and proving tools and techniques that can embed Service Level Agreement (SLA)-aware infrastructures into the service economy. With cloud-based services becoming ever more significant, the opportunity for machine-readable SLAs to solve key challenges for both customers and service providers has become ever more obvious. Rather than have to settle on the nearest offering and support models that providers happen to provide, customers can negotiate personalised SLAs allowing them to purchase the precise service level they require. This negotiation can even be automatic, and span multiple providers. On the provider side, all individual SLAs can be automatically monitored, comprehended and managed, allowing efficiencies previously considered infeasible to be embraced. SRT-15 wants to build an open, scalable and dependable
3

D3

3,705,784

2,915,785

OPTIMIS

IP

www.optimisproject.eu

Open

D3

10,301,332

7,131,090

SLA@SOI

IP

http://sla-atsoi.eu/

Finished D3

15,132,572

9,632,923

SRT-15

STREP

www.srt-15.eu/

Open

D3

4,410,339

2,828,329

VISION Cloud

IP

http://www.vision cloud.eu/

Webinos

IP

http://webinos.or g/

service platform to enable the construction of large-scale distributed services on the Internet with dynamic composition of reusable services deployed in a mix of private and public infrastructures. SRT-15 will solve the public and private cloud compatibility problems, ensuring the interoperability between different service platforms and guaranteeing the privacy of data in public clouds. The primary deliverables of VISION Cloud will be an architecture and a reference implementation of a cloud-based infrastructure, built on open standards and new technologies, to provide a scalable, flexible and dependable framework for optimized delivery of data-intensive storage services. These services are needed to satisfy many day-to-day workflows of companies from large sectors such Health, Telecommunication, Media and general business administration which have to face growing needs of accessing, working with and storing larger and larger data amounts. The webinos project will define and deliver an Open Source Platform and specific components for the Future Internet, which will enable web applications and services to be used and shared consistently and securely over a broad spectrum of converged and connected devices, including mobile, PC, home media (TV) and in-car units. Promoting a "single service for every device" vision, webinos will move the existing baseline from installed applications to services, running consistently across a wide range of connected devices, ensuring that the technologies for describing, negotiating, securing, utilizing device functionalities and adapting to context are fit for purpose.

Open

D3

15,561,126

9,175,000

Open

D3

14,217,692

9,775,000

EuroCloud

STREP

http://cordis.euro pa.eu/fp7/ict/com puting/factsheets /eurocloud.pdf

EuroCloud is focusing on data centres with mobile technologies. It is investigating the viability of building low-power servers based on ARM processor technology. The project is looking into developing advanced low-power server architectures with many ARM cores and integrating 3D DRAM to provide a very dense low power server, and targeting the Mobile Cloud services from Nokias ovi.com, which will serve millions of mobile handsets. EuroCloud targets 10x improvement in cost- and energyefficiency compared to current state-of-the-art servers. This will scale to hundreds of cores in a single server, and make a 1M
4

Open

G3

5,441,536

3,292,000

Release

STREP

http://cordis.euro pa.eu/fp7/ict/com puting/factsheets /release.pdf

IOLanes

STREP

http://cordis.euro pa.eu/fp7/ict/com puting/factsheets /iolanes.pdf

iCargo

Under

core data centre feasible in the future Every eighteen months during the last thirty years has seen the power of the computer that can be built on a silicon chip double this has now come to a halt. Instead, chip manufacturers build multiple computers or cores on each chip: nearly all PCs are now dual or quad core, and the number of cores it is possible to put on each chip is growing exponentially. Building software for these multicore systems requires radically new software development technologies that can exploit the platform. Instead of programming a single core, the cores have to be programmed to work together in a coordinated way, and in a way that scales with the numbers of cores. Many expect 100,000-core platforms to become commonplace, and the best predictions are that core failures on such an architecture will be common, perhaps one an hour. Hence we require a programming model that is not only highly scalable but also reliable. The project will develop the first ever scalable concurrency-oriented programming infrastructure and its associated tool set, and hence aims to reduce development times of multicore solutions by 50% while delivering increased reliability. Data storage technology today faces many challenges, including performance inefficiencies, inadequate dependability and integrity guarantees, limited scalability, loss of confidentiality, poor resource sharing, and increased ownership and management costs. Given the importance of both directattached and networked storage systems for modern datacentric applications and datacentres, it becomes imperative to address these issues. IOLanes examines how multicore CPUs can be used to design next generation persistent I/O architectures. The project addresses overheads and scalability issues over multicore CPUs that will allow I/O performance to scale as well as take advantage of additional compute cycles in future multicores. By improving scaling of the I/O stack on modern architectures, the project will result in significant increase in overall I/O efficiency: IOLanes designs I/O subsystems that will be capable of sustaining one order of magnitude more load per storage node than todays systems, resulting in a 10x reduction in the number of storage nodes in data centres or a 10x increase in the size of the workload for the same number of storage nodes. iCargo aims at advancing and extending the use of ICT to
5

Open

G3

3,418,016

2,400,000

Open

G3

4,260,842

2,718,000

Open

G4

17,142,901

11,300,000

construction

support new logistics services that: (i) synchronize vehicle movements and logistics operations across various modes and actors to lower CO2 emissions, (ii) adapt to changing conditions through dynamic planning methods involving intelligent cargo, vehicle and infrastructure systems and (iii) combine services, resources and information from different stakeholders, taking part in an open freight management ecosystem. To achieve the above targets, iCargo will design and implement a decentralized ICT infrastructure in the cloud that allows real world objects, new planning services including CO2 calculation capabilities and existing systems to co-exist and efficiently co-operate at an affordable cost for logistics stakeholders. iCargo infrastructure will include Intelligent Cargo items to facilitate automated reactive decision-making and to integrate information obtained from on-going execution (all modes) into planning processes to optimize environmental performances, including real-time information about traffic and transport infrastructure conditions. Just started (11/2011)
3,623,613

ADVENTURE

STREP

http://www.fp7adventure.eu/

ADVENTURE aims at simplifying the establishment, Open management, adaptation, and monitoring of dynamic manufacturing processes in virtual factories by building on concepts and methods from the field of Service-oriented Computing. Technologies from the field of Ubiquitous Computing and the Internet of Things, e.g., wireless sensors, will be adopted in order to support the monitoring and governance of processes, i.e., give information about the current status of manufacturing and delivery. Information from sensors and about the status of products will be stored in a cloud-based data federated repository. The BIVEE project (Business Innovation in a Virtual Enterprise Open Environment) aims to develop a conceptual reference framework, a novel management method and a service-oriented ICT platform (called BIVEE) to enable Business Innovation in Virtual Factories and Enterprises. From an implementation point of view, in order to make even more effective the SOA choice, the idea is to have the BIVEE services (platforms services as well as supporting services) hosted on a cloud-based infrastructure. This has many beneficial consequences and among them, given the nature of the BIVEE platforms, the fact
6

D4

2,807,000

BIVEE

STREP

D4

4,268,054

2,989,000

that if particular services are found to be heavily used, then the cloud based approach allows for new copies of those services to be created and executed as required. BUTLER IP The objective of BUTLER is to develop and publish an open Open networked architecture integrated with existing business platforms. The approach is to offer a cloud service with open interfaces that allows, on the one hand, connectivity amongst different technologies interacting with sensors and actuators; and, on the other hand, offer open APIs allowing third parties to develop new or enhanced services in the interactive M2M businesses. BUTLER's Internet-of-Things architecture will be centred at "interoperability by design", achieving syntactic interoperability by leveraging and building upon open standards for data formats, APIs, interfaces and protocols. http://www.ictcalipso.eu/ CALIPSO builds Internet Protocol (IP) connected smart object Open networks, but with novel methods to attain very low power consumption, thereby providing both interoperability and long lifetimes. For the smart city/parking application, the Amazon cloud will be used. ebbits aims to develop architecture, technologies and processes, Open which allow businesses to semantically integrate the Internet of Things into mainstream enterprise systems and support interoperable real-world, on-line end-to-end business applications. It will provide semantic resolution to the Internet of Things and hence present a new bridge between backend enterprise applications, people, services and the physical world, using information generated by tags, sensors, and other devices and performing actions on the real-world. The ebbits platform will be based on cloud enabling software and services, which features goal oriented orchestration and support for semantic interoperability, context awareness, and distributed decision support, including workflow management and business rules processing. ExtremeFactories proposes the conception of an on-the-cloud Open collaborative internet-based platform with semantic capabilities (by means of ontology modelling) that implements a new methodology for the adoption of a systematic innovation process in globally acting networked SMEs. It is based on the design and
7

D4

14,666,520

9,708,000

CALIPSO

STREP

D4

3,566,319

2,330,000

ebbits

STREP

http://www.ebbits -project.eu/

D4

12,022,392

8,387,658

ExtremeFactories

STREP

http://www.extre mefactories.eu/

D4

3,189,117

2,448,343

development of with semantic capabilities. GloNet STREP https://sites.googl GloNet aims at designing, developing, and deploying an agile Open e.com/site/glonet virtual enterprise environment for networks of SMEs involved in project/ highly customized and service-enhanced products through endto-end collaboration with customers and local suppliers (cocreation). GloNet adopts a cloud-based approach for the development of the support environment so that its supporting services can dynamically upgrade without influencing the nodes and stakeholders in the environment. As such the environment stakeholders procure the use of upgraded services, which are always available through the cloud, rather than buying static products which typically need to be installed and maintained by the stakeholders on adequately supporting computing facilities. http://www.ioticore.eu/ iCore initiative addresses two key issues in the context of the Open Internet of Things (IoT), namely how to abstract the technological heterogeneity that derives from the vast amounts of heterogeneous objects, while enhancing reliability and how to consider the views of different users/stakeholders (owners of objects & communication means) for ensuring proper application provision, business integrity and, therefore, maximize exploitation opportunities. The project will address in particular the issue of how to classify Virtual Objects into different clouds and how to generate domain knowledge. The IoT6 project aims at exploiting the potential of IPv6 and Open related standards (6LoWPAN, CORE, COAP, etc.) to overcome current shortcomings and fragmentation of the Internet of Things. Its main challenges and objectives are to research, design and develop a highly scalable IPv6-based ServiceOriented Architecture to achieve interoperability, mobility, cloud computing integration and intelligence distribution among heterogeneous smart things components, applications and services. https://www.iotat-work.eu/ The goal of IoT@Work is to realise the vision of IoT in Open manufacturing environments, where intelligent things (i.e., network devices, tagged materials, robots, and machines) will help increase the overall productivity, system resiliency and efficiency. Bridging the gaps between factory floor and Enterprise & Internet will enable new scenarios, such as vendor8

D4

3,676,391

2,618,000

iCORE

STREP

D4

13,596,984

8,707,000

IoT6

STREP

D4

4,144,648

2,958,000

IoT@Work

STREP

D4

5,890,830

3,524,566

operated cloud services that monitor factory devices to provide maintenance services. IoT@Work will explore Enterprise and cloud security concepts in order to describe a framework capable of dealing with the diversity and the concept of Internet of Things. IoT-A IP http://www.iota.eu/ IoT-As overall technical objective is to create the architectural Open foundations of the Future Internet of Things, allowing seamless integration of heterogeneous IoT technologies into a coherent architecture and their federation with other systems of the Future Internet. Partner Siemens plans to utilize concepts known from peer-to-peer, grid and cloud computing infrastructures like resources and runtime virtualization to provide a powerful, failsafe and scalable service management and execution middleware. Using these techniques the concept of dynamic service groups, i.e. sets of resources capable of executing orchestrations, can be realized. Open The main objectives of MSEE are to establish scientific and methodological foundations for service-oriented virtual factories and enterprises; develop a collaborative industrial model for Manufacturing Innovation Ecosystems; adopt Future Internet architectures and platforms to next generation software applications for virtual factories and enterprises; align Business with IT by collaborative development and delivery platforms; provide service-oriented, collaborative industrial models for European manufacturing Industry. The project will be powered by the cloud computing platform of the ecosystem partners, to supply set of web services for next generation of services business. The objective of NEFFICS is to provide a new software platform Open as a basis for a new innovation driven ecology for networked enterprises, extended on top of an established cloud-based, software-as-a-service business operation platform, combined with an advanced innovation management software platform. http://www.openi otproject.eu OpenIoT is a joint effort of prominent open source contributors Open (of the GSN and AspireRfid projects) towards enabling a new range of open large scale intelligent IoT (internet-of-things) applications according to a cloud computing delivery model. To this end, the project will research and provide an open source
9

D4

18,678,983

11,956,284

MSEE

IP

D4

15,206,520

9,870,000

NEFFICS

STREP

D4

4,146,686

2,897,739

OpenIoT

STREP

D4

4,182,038

2,455,000

middleware framework enabling the dynamic formulation of selfmanaging cloud environments for IoT applications.

CLOUD4all

IP

The digital economy has a growing number of increasingly marginalized individuals. Accessibility technologies are meeting the needs of only some, at high cost, and have difficulties to adapt to many new technologies. An international initiative works on using the Cloud to change this paradigm by building a Global Public Inclusive Infrastructure (GPII or "Raising-the-Floor") that can deliver personalised accessibility to every individual where and when needed, without having to explain. CLOUD4all is developing relevant key components (for user profiling, interface, matching users needs, locate solutions) and will test (with different disabilities groups) and demonstrate the concept on Computer OSs and Browsers; Web pages/Apps; Mobiles; Kiosks/Info-Transaction Machines; Digital Televisions and Smart Homes, using Installed and Virtual Assistive Technologies. Just started (Sept. 2011)

Open

H3

13,107,981

7,583,999

Sim-e-Child

STREP

http://www.sim-echild.org/

VPH-Share

IP

Sim-e-Child is working to develop a grid-enabled platform for large scale simulations in paediatric cardiology, providing a collaborative environment for constructing and validating multiscale and personalized models of a growing heart and vessels.The project is establishing an international cooperation environment by linking the EC funded Health-e-Child project with leading institutions such as the American College of Cardiology, Johns Hopkins University, Technical University of Munich, and Siemens Corporate Research. Sim-e-Child is an extension of the Health-e-Child platform that: >Interconnects the Health-e-Child database with new data from two US multicenter studies; >Enhances and expands the Health-e-Child heart model with existing models of the aorta, aortic valve and mitral valve, and with computational fluid dynamics; >Integrates the Health-eChild Gateway and Case Reasoner with versatile tools for simulation workflow composition and sharing of scientific experiments (SciPort). Simulations are run on the grid. http://vphshare.or VPH-Share will provide essential services, as well as a g/ computational infrastructure, for the sharing of clinical and research data and tools, facilitating the construction and
10

Open

H1

1,792,491

956,008

Open

H1

14,245,299

10,699,995

p-medicine

IP

http://pmedicine.eu/

operation of new VPH workflows, and collaborations between the members of the VPH community. open, modular framework of tools and services on a large personalized data sets, enabling demanding Virtual Physiological Human (VPH) multiscale simulations (in silico oncology) and providing tools for large-scale, privacy-preserving data mining.

Open

H1

18,066,695

13,329,907

GAMES

STREP

http://www.green -datacenters.eu/

FIT4GREEN

STREP

http://www.fit4gre en.eu/

ALL4GREEN

STREP

COOLEMALL

STREP

http://www.coole mall.eu/

GAMES aims at drastically improving the energy efficiency of the data centres while guaranteeing a satisfactory overall performance of the services delivered. The approach tries to combine and integrate the energy consumption measured at the three different levels of business/applications, IT components workload (processors, storage) and building in a real-time and low-level of granularity monitoring framework. FIT4Green aims at contributing to ICT energy reducing efforts by creating an energy-aware layer of plug-ins for data centre automation frameworks, to improve energy efficiency of existing IT solution deployment strategies so as to minimize overall power consumption, by moving computation and services around a federation of IT data centres sites. All4Green aims at enabling data centres, power suppliers and end-users to communicate respectively their expected capacity and demand, so that ICT resources can be better allocated to provide requested services, while saving energy. It will also look at federated data centres to save energy by moving computation and storage across different physical networks, while taking into account the availability of renewable energy sources. The main goal of CoolEmAll is to provide advanced planning and optimisation tools for modular data centre environments. It will provide advanced simulation, visualisation and decision support tools along with blueprints of modular computing building blocks. This will enable to study the impact of changing workloads, management policies, cooling method, and optimize energy efficiency of IT infrastructures based on these building blocks.

Open

H4

4,678,721

3,024,000

Open

H4

4,607,863

3,185,000

Open

H4

4,424,064

2,988,000

Open

H4

3,614,210

2,645,000

POLYSYS

STREP

http://www.ictpolysys.eu/

POLYSYS aims to realize 100Gb/s serial connectivity for rack-to- Open rack and chip-to-chip interconnects. POLYSYS will use electrooptic polymer as an integration platform where 100Gb/s
11

G5

3,919,341

2,560,000

GALACTICO

STREP

http://www.ictgalactico.eu/

PLATON

STREP

http://www.ictplaton.eu/

NAVOLCHI

STREP

FIREFLY

STREP

http://www.fp7firefly.eu/

modulators will be integrated monolithically, whereas InP lasers, detectors and electronics will be integrated hybridly. POLYSYS will furthermore integrate 4x100Gb/s optoelectronic receivers monolithically in InP. POLYSYS will also demonstrate 4x100Gb/s direct data interconnection. GALACTICO aims to squeeze current bulk and costly 100GbE interfaces into silicon-based PICs and provide integrated coherent transmitters and receivers that deliver a massive amount of aggregate bandwidth, by combining InP, GaAs and Si on a common silicon platform. GALACTICO will deliver the following fully functional PICs: 1) 100Gb/s DP-QPSK coherent transmitter and receiver, 2) 512 Gb/s DWDM DP-16QAM coherent transmitter and receiver and 3) 256 Gb/s DP-16QAM transmitter achieving 5.12bit/sec/Hz spectral efficiency. The project will also explore single carrier 320 Gb/s DP-32QAM and DWDM 1.28 Tb/s PLATON will pioneer plasmonics for interconnects. It will employ novel plasmonic switching elements on a silicon motherboard and will develop novel fabrication processes for enabling the merger of plasmonics with silicon nanophotonics and electronics. It will develop miniaturized photonic components including: (a) fast 2x2 thermooptic plasmonic switches, (b) a small-footprint 4x4 thermooptic plasmonics switch, (c) an optically addressable 1x2 plasmonic switch operating at bitrates in excess of 10Gb/s, and (d) a 2x2 and a 4x4 Tb/s optical routing platforms. The NAVOLCHI project explores, develops and demonstrates a novel nano-scale plasmonic chip-to-chip and system-in-package interconnection platform to overcome the bandwidth, foot-print and power consumption limitations of todays electrical and optical interconnect solutions. Key elements developed in this project are monolithically integrated plasmonic lasers, modulators, amplifiers and detectors on a CMOS platform. FIREFLY will make novel polymer waveguide and photonic crystal structures based on highly structured 3D nano-hybrids for optical interconnects. The nano-structures will be filled with new modified polymer compositions having a high refractive index and optical clarity at relevant wavelengths, necessary for waveguides, and with inorganic nanoparticles to prepare photonic crystals, for the manipulation of light for guiding the light in waveguides through sharp horizontal and vertical bends. It will include some material developments and the
12

Open

G5

4,018,219

2,900,000

Open

G5

3,403,174

2,599,816

Open

G5

3,393,437

2,400,000

Open

G5

4,959,706

3,419,215

manufacturing process will be suitable for up-scaling to an industrial process.

SAIL

IP

http://www.sailproject.eu/

SAIL's overall objectives are novel networking technologies towards the Network of the Future. SAIL aims at reducing costs for setting up, running, and combining networks, applications and services. The project has three research strands: Information-Centric Networking, Open Connectivity Services, and Cloud Networking, the latter of
which enables the co-existence of legacy and new networks via virtualisation of resources and selfmanagement, fully integrating networking with cloud computing.

Running

D1

20,667,922

12,440,133

GEYSERS

IP

http://www.gey sers.eu/

TRILOGY

IP

http://www.trilo gy-project.org/

Combining optical network technology with Cloud technology is key when addressing Future Internet/Cloud challenges. Telecom operators are asked to meet strict network requirements of advanced services with high bandwidth demands at reduced costs and are facing an increasing need for providing users with dynamic high-capacity and high-performance core network connectivity services tightly bundled with computing and storage resources. This problem is addressed by the GEYSERS concept which fully integrates high-end IT resources at users' premises with the network services procedures. GEYSERS, amongst others, will specify and implement a novel optical network architecture able to support "Optical Network + Any-IT" resource provisioning seamlessly and efficiently, thus extending the cloud computing concept Infrastructure-as-a-Service (IaaS) to networks. The focus of the project was to develop new solutions for the control architecture of the Internet that remove the known and emerging technical deficiencies while avoiding prejudging commercial and social outcomes for the different players. Amongst others the project developed the Multipath Transport Control Protocol (MTCP) which is currently under standardization by the IETF. While cloud services drive the creation of more and more data centres and sets high demands on data transport within those data centres for a high utilization in order to be profitable, this new protocol naturally gives solutions to these transport challenges. It enables automatic
13

Running

D1

10,429,526

7,035,000

Closed

D1

9,115,722

5,816,339

resilience and load-balancing leading to higher throughput and thus makes data centres simpler, cheaper and better performing.

EGI-InSPIRE

CSA

http://www.egi. eu/projects/egiinspire/

StratusLab

CSA

http://stratuslab .eu/

VENUS-C

CSA

http://www.ven us-c.eu

EDGI

CSA

http://edgiproject.eu/

EGI-InSPIRE project continues the transition to a sustainable pan-European e-Infrastructure started in EGEE-III. It sustains support for Grids of high-performance and high-throughput computing resources, while seeking to integrate new Distributed Computing Infrastructures (DCIs), i.e. Clouds, SuperComputing, Desktop Grids, etc., as they are required by the European user community. It has already established a central coordinating organisation, EGI.eu, and supports the staff throughout Europe necessary to integrate and interoperate individual national grid infrastructures. The project is aimed at service provisioning, networking and research of cloud and virtualization technologies to simplify and optimize the use and operation of existing distributed computing infrastructures (e.g. EGEE/EGI). The project incorporates cloud and virtualization innovation into existing Grid infrastructures by integrating cloud technologies and services within Grid sites; and by enriching existing computing infrastructures with "Infrastructure as a Service" (IaaS) cloud-like delivery paradigms. VENUS-C will develop and deploy a Cloud Computing service for research and industry communities in Europe by offering an industrial-quality service-oriented platform based on virtualisation technologies. VENUS-C aims to facilitate and empower these communities through the easy deployment of end-user services, in order to make e-Infrastructures more widely available across a spectrum of research fields without the complexity of existing grids and high up-front costs EDGI's aim is to deploy desktop grid (DG) and cloud services for EGI user communities that are heavy users of DCIs and require extremely large multi-national e-infrastructure. In order to achieve this goal, different software components will be integrated into Cloud platforms for service provision and as a result EDGI will extend ARC, gLite and Unicore grids with volunteer and institutional DG systems.

Running

F3

72,203,367

25,000,000

Running

F3

3,137,221

2,300,000

Running

F3

8,409,469

4,500,000

Running

F3

2,436,371

2,150,000

14

SIENA

CSA

http://www.sien ainitiative.eu

SIENA contributes to defining a future eInfrastructures roadmap focusing on interoperability and standards, in close collaboration with the EC, Distributed Computing Infrastructures (DCI) projects and Standard Development Organisations (SDOs) to gain an indepth understanding of how distributed computing technology is being developed in this context. The roadmap will define scenarios, identify trends, investigate the innovation and impact sparked by cloud and grid computing, and deliver insight into how standards and the policy framework is defining and shaping current and future development and deployment in Europe and globally.

Running

F3

548,099

410,000

TCLOUDS

IP

http://www.tclo uds-project.eu/

SECFUNET

STREP

http://www.secf unet.eu/

PASSIVE

STREP

http://ictpassive.eu/

TCLOUDS puts its focus on privacy protection in cross-border infrastructures and on ensuring resilience against failures and attacks. TCLOUDS aims to build prototype internet-scale ICT infrastructure which allows virtualised computing, network and storage resources over the Internet to provide scalability and cost-efficiency. It should also demonstrate the applicability of the technologies through prototype infrastructures in energy and healthcare domains. SECFUNET proposes the design of a framework providing secure identification and authentication, secure data transfer, secure virtualized infrastructure, and privacy in virtual network and clouds, exploring techniques such as microcontrollers, resource management, intrusion tolerant algorithms, and cryptographic protocols. The PASSIVE project proposes an improved model of security for virtualised systems and clouds to ensure that: * adequate separation of concerns (e.g. policing, judiciary) can be achieved even in large scale deployments, * threats from co-hosted operating systems are detected and dealt with; * public trust in application providers is maintained even in a hosting environment where the underlying infrastructure is highly dynamic

Running

F5

10,536,129

7,500,000

Running

F5

1,470,076

1,099,350

Running

F5

3,580,140

2,349,982

15

ANIKETOS

IP

http://www.anik etos.eu/

SPACIOS

STREP

http://www.spa cios.eu/

ANIKETOS will support trustworthy and secure composition in service and cloud environments. It will provide methods for analysing, solving, and sharing information on how new threats and vulnerabilities can be mitigated. A platform will be constructed for creating and maintaining secure and trusted composite services. SPACIOS will lay the technological foundations for a new generation of analysers for automated security validation at service provision and consumption time, with the goal of improving the security of the IoS. The project will develop and combine state-of-the-art technologies for penetration testing, security testing, model checking and automatic learning in the IoS.

Running

F5

14,047,486

9,600,000

Running

F5

5,677,084

3,610,000

NOVI

STREP

www.fp7novi.eu

iCity

CIPICTPSP-PB

NOVI research is on the efficient combination of virtualized eInfrastructures towards a Future Internet cloud service. Today resources like networking, storage and processing are in principle managed by separate yet interworking providers. A user ideally expects seamless and secure access to virtual resources distributed across multiple domains. NOVI project is concentrating on methods, information systems and algorithms that will enable services provided by federated infrastructures. NOVI will propose and test resource description data models and abstraction algorithms, incorporating Semantic Web concepts. Predictable and accountable service delivery will be addressed by investigating monitoring and resource brokerage methods in multi-domain virtualized infrastructures. Secure, authenticated access is a key requirement for a service cloud. NOVIs research will be validated by deploying early prototypes on federating resources of virtualization platforms, initially PlanetLab Europe and FEDERICA. The iCity project aims at making a step forward in fostering the co-creation of services of public interest by third parties pushing for their space as services provisioners in Smart Cities' urban spaces. This will be done by bootstrapping the involvement of
16

Running

F4

3,264,400

2,363,999

Running

F4

5,210,472

1,979,980

EPIC

CIPICTPSP-PB

www.epiccities.eu

BONFIRE

IP

www.bonfireproject.eu

open innovation ecosystems such as Living Labs in bringing the users together in the whole co-creation process using a selfcentred methodology. The iCity Platform will be aimed at industrializing the operations and management of the city to offer scalable, secure and robust services to the citizens and companies, and will explore its offering as a Platform-as-a-Service (PaaS) on the Cloud, allowing anyone to build new applications to instantiate services of public interest using the software development kit of the iCity Platform. The EPIC platform will combine the industrial strength of IBM's 'Smart City' vision and cloud computing infrastructure with the knowledge and expertise of leading European Living Labs' such as Apollon partners IBBT Brussels, ISSY-Media and Manchester to ensure development of a European 'innovation ecosystem' that provides an extensive range of opportunities for sustainable, user-driven web-based services for citizens and businesses. EPIC will significantly accelerate the uptake of these new services across Europe. Ultimately, EPIC will combine i) userdriven open innovation, ii) connected smart cities and iii) webbased services. BonFIRE will design, build and operate a multi-site Cloud prototype FIRE facility to support research across applications, services and systems at all stages of the R&D lifecycle, targeting the services research community on Future Internet. Two open calls will help establish a methodology of experimentally driven research. Background The BonFIRE vision is to give researchers in these areas access to a facility that supports large scale multi-disciplinary experimentation of their systems and applications addressing all aspects of research across all layers. BonFIRE will develop and support a framework which allows service-based computing practitioners to experiment with their latest ideas in service orientation and distributed computing. Three usage scenarios have been elaborated: Extended cloud scenario: the extension of current cloud offerings towards a federated facility with heterogeneous virtualized resources and best-effort Internet interconnectivity. Cloud with emulated network implications: a controlled network environment by providing an experimental network emulation platform to service developers, where topology configuration and
17

Running

F4

5,800,005

2,900,000

Running

F4

9,479,925

7,200,000

OFELIA

IP

www.fp7ofelia.eu

resource usage is under full control of the experimental researcher. Extended cloud with complex physical network implications: investigates federation mechanisms for an experimental cloud system that interconnects individual BonFIRE sites with Federica, Open Cirrus and Panlab. The overall goal is to encourage new communities of experimenters to take advantage of the opportunities offered by the FIRE infrastructure to guide the development of the Future Internet from a service-based applications standpoint. The FIRE facility will be demand-driven, open, standards-based and dynamic. It will provide additional functionality to that currently available. It will adopt the principle of "open coordinated federation of testbeds" and will provide innovative usage scenarios. The facility shall be open not only to the researchers selected and funded by BonFIRE through the open calls but also to a wider researcher community in order to encourage the usage and involvement of a significant number of end users. Partially related to cloud computing. The aim of the OFELIA project is to create a unique experimental facility that allows researchers to not only experiment on a test network but to control the network itself precisely and dynamically. To achieve this, the OFELIA facility is based on OpenFlow, a currently emerging networking technology that allows to virtualize and control the network environment through secure and standardized interfaces. In a nutshell, OpenFlow enables experimenters to change the behavior of the network as part of the experiment rather than, if at all, as part of the experiment setup. OFELIA will provide highperformance OpenFlow equipment to enable experiments at scale and to ensure that the facility is based on mature technology. Another strength of OFELIA is its concept of federated or interconnected islands. A set of five islands creates a diverse OpenFlow infrastructure that allows experimentation on multi-layer and multi-technology networks provided by the different islands. The facility will extend all the way from standard Ethernet to optical and wireless transmission and it will also include an emulation wall for scalability tests comprising thousands of nodes. The facility will grow in three phases to, on the one hand provide an early access to the facility (after 6
18

Running

F4

6,153,008

4,449,912

OPENLAB

IP

www.onelab.eu /index.php/proj ects/openlab/o penlabfactsheet.html

months already) and, on the other hand to evolve during the project lifetime, incorporating the feedback of the user community and extending its reach to other test facilities. Two open calls will be published to invite experimenters that bring their use cases and scenarios to the facility creating a feedback loop to extend the OFELIA facility according to the needs of the user community. Partially related to cloud computing Experimentally-driven research is key to success in exploring the possible futures of the Internet. An open, general-purpose, shared experimental facility, both large-scale and sustainable, is essential for European industry and academia to innovate today and assess the performance of their solutions. OpenLab brings together the essential ingredients for such a facility. We extend early prototypes of testbeds, middleware, and measurement tools so as to provide more efficient and flexible support for a diverse set of experimental applications and protocols. The prototypes include a set of demonstrably successful testbeds: PlanetLab Europe, with its 153 partner/user institutions across Europe; the NITOS and w-iLab.t wireless testbeds; two IMS (IP Multimedia Subsystem) telco testbeds for exploring merged media distribution; a green networking testbed; the ETOMIC high precision network measurement testbed; and the HEN emulation testbed. Associated with these testbeds are similarly successful control- and experimental-plane software. OpenLab advances these prototypes with key enhancements in the areas of mobility, wireless, monitoring, domain interconnections, and the integration of new technologies such as OpenFlow. These enhancements will be transparent to existing users of each testbed, while opening up a diversity of new experiments that users can perform, extending from wired and wireless media distribution to distributed and autonomous management of new social interactions and localized services, going far beyond what can be tested on the current Internet. OpenLab results will advance the goal of a unified Future Internet Research and Experimentation (FIRE) facility. In addition, OpenLab can provide models for the Future Internet Public Private Partnership (FI-PPP). Finally, OpenLab will issue open calls to users in industry and academia to submit proposals for innovative experiments using the OpenLab's technologies and testbeds, and will devote one million euros to funding the best of these
19

Running

F4

7,374,312

5,000,000

proposals.

totals

586,282,478

382,925,070

20

Documento

Opinin
75/2012 2 octubre de 2012
Luis de Salvador Carrasco*

CLOUD COMPUTING Y LA ESTRATEGIA ESPAOLA DE SEGURIDAD

Visitar la WEB

Recibir BOLETN ELECTRNICO

CLOUD COMPUTING Y LA ESTRATEGIA ESPAOLA DE SEGURIDAD

Resumen:
Los servicios de Cloud Computing, aquellos en nubes pblicas y de grandes proveedores, implican riesgos que han de ser analizados ms all del mbito individualizado de una empresa, sino de una forma global a la luz de la Estrategia Espaola de Seguridad. El uso de Nubes de operadores que se encuentran fuera de nuestro pas supone aumentar tanto nuestra dependencia tecnolgica, como las amenazas a la confidencialidad y disponibilidad de la informacin. Aunque existe una tendencia a migrar servicios al Cloud con el propsito de un ahorro de recursos a corto plazo, hay que considerar las implicaciones negativas que tiene el que importantes sectores econmicos, y en particular la Administracin Pblica, tengan sus servicios de comunicacin y proceso de datos en manos de terceros sujetos a regulaciones, polticas y autoridades de otros pases.

Abstract:
Cloud Computing services, those implemented on Public Clouds from main providers, derive risks to be analyzed further the scope of a single company, but globally under the Spanish Security Strategy document. The use of Cloud providers located outside our country means to increase our technological dependency, and threats regarding with data confidentiality and availability. Although there is a trend to migrate services to the Cloud, mainly to save budget at short-term, we have to take into account the negative consequences for main economical sectors, and public bodies, to contact communication and data processing services with third parties under foreign regulations, policies and authorities.

Palabras clave: Cloud computing, Estrategia Espaola de Seguridad, Ciberdefensa

Keywords: Cloud computing, Spanish Security Strategy, Cyberdefense

*NOTA: Las ideas contenidas en los Documentos de Opinin son de responsabilidad de sus autores,
sin que reflejen, necesariamente, el pensamiento del IEEE o del Ministerio de Defensa.

Documento de Opinin

75/2012

CLOUD COMPUTING Y LA ESTRATEGIA ESPAOLA DE SEGURIDAD

Luis de Salvador Carrasco

INTRODUCCIN El paradigma de la Computacin en la Nube, el Cloud Computing, se est extendiendo con fuerza a todos los niveles en nuestra sociedad: de la empresa privada a la pblica, del particular en su mvil a los procesos de negocios de la corporacin. La Nube ha ido penetrando de la mano de las aplicaciones orientadas a particulares: correo personal 1, redes sociales, chats, almacenamiento, etc., que se han ido transformando en herramientas colaborativas para empresas e incluso soporte de sus procesos de negocio. Utilizando una agresiva estrategia comercial y poltica2, el Cloud se ha presentando como la nica alternativa posible en la poltica TIC (Tecnologa de la Informacin y las Comunicaciones) del prximo futuro, como un camino inevitable en la implementacin de los sistemas de informacin. Abrazar una solucin de Cloud se racionaliza en funcin del ahorro de costes a corto plazo y las facilidades que ofrece para el acceso a la informacin. Pero ha de ser la evaluacin del riesgo a largo plazo, y no slo el ahorro inmediato, lo que ha de servir de gua para la seleccin de una solucin de Cloud. Es ms, los servicios de Cloud estn concentrados en unos pocos proveedores, pues la obtencin de beneficio se basa en la aplicacin de economas de escala, lo que supone concentrar el riesgo en entidades que no estn fsicamente en Espaa, incluso no lo estn fiscalmente. La materializacin de una amenaza sobre un servidor de Cloud se convertir en una brecha que afectar a un conjunto significativo de empresas o entidades de forma simultnea. Estas amenazas podrn ser ataques sobre los servicios de Cloud, cadas de servicio por problemas tcnicos en el Cloud o en la red, y accesos indebidos a la informacin por los proveedores o por las propias autoridades que controlan los servidores. Por lo tanto, estudiar el riesgo que supone abrazar soluciones de Cloud limitndolo al efecto que tiene para un empresa individual no es razonable, sino que ha de realizarse desde un punto de vista global, estudiando el posible impacto que tiene sobre las infraestructuras y los intereses de nuestro pas, basndose en los principios sealados en la Estrategia Espaola de Seguridad3, y adoptando una posicin crtica ante postulados que persiguen otros intereses4.

1 2

Lase: Gmail, Hotmail, Yahoo Vase lo que se ha llamado el "Cloud First Policy" dibujada en la Federal Cloud Computing Strategy http://www.cio.gov/documents/federal-cloud-computing-strategy.pdf. Su autor Vivek Kundra, antiguo asesor de Obama como Federal Chief Information Officer, es una de las personas ms influyentes en lo que a poltica de Cloud Computing se refiere. Sus esfuerzos estn orientados al impulso de una migracin global de los gobiernos, de los servicios estatales de cualquier pas, a la Nube. Actualmente, asesora a la comisaria Neelie Kroes, vicepresidenta de la Comisin Europea responsable de la Agenda Digital Europea http://ec.europa.eu/information_society/activities/cloudcomputing/index_en.htm. Vivek Kundra (1974) es psiclogo, con un Master en IT, ambos por la universidad de Maryland (la 55 en el ranking US) y desde los 27 aos ostenta responsabilidades polticas. 3 Estrategia Espaola de Seguridad Una responsabilidad de todos http://www.lamoncloa.gob.es/NR/rdonlyres/D0D9A8EB-17D0-45A5-ADFF46A8AF4C2931/0/EstrategiaEspanolaDeSeguridad.pdf 4 Ver nota 2.

Documento de Opinin

75/2012

CLOUD COMPUTING Y LA ESTRATEGIA ESPAOLA DE SEGURIDAD

Luis de Salvador Carrasco

LA SOLUCIN EN LA NUBE Cuando se plantea la opcin Cloud Computing se habla de las grandes ventajas que pueden traer, en particular en su empleo en las Administraciones Pblicas, como podran ser: ahorro de costes, modernizacin, movilidad, ubicuidad de los servicios, nuevas aplicaciones para los clientes/ciudadanos, ms facilidad para el acceso a la informacin, etc. Este discurso obvia que las anteriores ventajas no son exclusivas de los servicios implementados en Cloud. Adems, no se tienen en cuenta que bajo el nombre genrico de Nube se engloban productos que son radicalmente diferentes a la hora de evaluar su impacto en seguridad, tanto en lo relativo a la continuidad de los procesos de empresa como la confidencialidad de su informacin5 6. En un extremo estn las Nubes Privadas, y de entre stas las que se acceden a travs de enlaces dedicados, y que son una evolucin de los tradicionales centros de proceso de datos de una entidad. En el otro extremo estn las que aqu nos ocupan, la Nubes Pblicas de empresas localizadas total o parcialmente fuera de Espaa, que son grandes proveedores de servicios con una posicin dominante en el mercado, y que basan su estrategia de negocio en las economas de escala y en la subcontratacin dinmica con centros distribuidos a lo largo del globo7. Los aspectos que resultan preocupantes en estos tipos de Nubes no son slo la amenaza a la confidencialidad de la informacin, sino la disponibilidad del servicio que ofrecen y la portabilidad de los datos y procesos, es decir, la capacidad de migrar entre proveedores. Asimismo, en relacin a la confidencialidad de los datos, es necesario tener en cuenta tanto el contenido de la comunicacin, como la metainformacin asociada al contenido, en su mayor parte informacin de trfico: localizacin geogrfica de los comunicantes, identidad de los mismos, interlocutores destacados, red de relaciones, informacin sobre los dispositivos conectados, el volumen de informacin transmitida por un actor y el volumen de trfico de la entidad tanto estadsticamente como puntualmente, etc. Esta metainformacin es an ms interesante cuando se toma en consideracin la Nube mvil8.

Riesgos y amenazas en Cloud Computing INTECO http://cert.inteco.es/extfrontinteco/img/File/intecocert/EstudiosInformes/cert_inf_riesgos_y_amenazas_en_cl oud_computing.pdf 6 Cloud Computing. Retos y Oportunidades, ONTSI, Observatorio Nacional de las Telecomunicaciones y del SI, en colaboracin con Deloitte, Mayo 2012. 7 No todas las Nubes pblicas cumplen lo anteriormente sealado, p.e., la solucin de Arsys http://www.arsys.es/cloud-hosting/cloudbuilder-comparativa.html, o cumplen de forma parcial, p.e., http://www.interxion.com/locations/ 8 Un ejemplo de ello ocurre con las redes sociales: We Know Your House' Shows How Many People Reveal Their Home Address On Twitter. Agosto de 2012 http://newrisingmedia.com/all/2012/8/14/we-know-your-houseshows-how-many-people-reveal-their-home-a.html

Documento de Opinin

75/2012

CLOUD COMPUTING Y LA ESTRATEGIA ESPAOLA DE SEGURIDAD

Luis de Salvador Carrasco

RIESGOS GENERADOS POR LA NUBE9 10 Una de las palabras ms repetidas cuando un proveedor presenta una solucin de Cloud es la palabra "seguridad" y cuando se plantea la posibilidad de que se produzca una brecha en dicho sistema la respuesta es "imposible". La experiencia nos demuestra que siempre hay una amenaza que hasta entonces nadie haba planteado, y que se hace real11. Ya ha habido casos en los que la seguridad de la Nube se ha comprometido, y se ha comprometido gravemente12. La implementacin de los procesos de empresas y entidades sobre soluciones de Cloud trasciende a lo que es un problema interno a las mismas, o a una discusin en la que slo se han equilibrar cuestiones tcnicas, logsticas y contables. Al contrario, su extensin y sus implicaciones obligan a que se estudien desde una perspectiva global, desde el punto de vista de los intereses de nuestro pas, y por lo tanto desde la ptica de la Estrategia Espaola de Seguridad, ya que las cuestiones de ciberdefensa ocupan un apartado importante de la EES en relacin a "su proteccin y capacidad de resistencia y recuperacin, y ms preocupante su vulnerabilidad".

DEPENDENCIA TECNOLGICA

La EES muestra su preocupacin por la dependencia externa en sectores estratgicos, y en particular por la dependencia tecnolgica, de forma que una de sus lneas de actuacin es el "Apoyar el desarrollo de empresas privadas nacionales en un sector estratgico como ste, en el que puede ser peligrosa la dependencia de empresas extranjeras" y en particular "reduciendo la dependencia de la tecnologa de seguridad de terceros pases". Las soluciones de Cloud (recordad que al principio del texto nos centramos en las Pblicas de grandes proveedores), suponen descansar en servicios externos, fsica y fiscalmente fuera de Espaa, gran parte de nuestros datos y procesos. El empleo masivo de soluciones Cloud supone dar un paso ms en nuestra dependencia de las redes de comunicaciones, pues aade una adicional: la que supone el propio proveedor de los servicios de Cloud. El que gran parte de los recursos para el proceso de la informacin, y los datos en s mismos, puedan estar fuera de nuestras fronteras va en contra de la afirmacin de la EES que "Debemos asegurar la capacidad de respuesta. Espaa debe disponer de la capacidad de reaccionar" en el marco de un entorno de crisis. La migracin masiva a las soluciones Cloud
9

Cloud Computing Security Risk Assessment, ENISA 2009 http://www.enisa.europa.eu/activities/riskmanagement/files/deliverables/cloud-computing-risk-assessment/at_download/fullReport 10 Top Threats to Cloud Computing v.10 CSA 2010 https://cloudsecurityalliance.org/topthreats/csathreats.v1.0.pdf 11 El caso de robo de material criptogrfico de la empresa RSA comprometi la seguridad, entre otros, de los servicios de Google: McMillan R. RSA warns SecurID customers about hack. IDG News Service 18 de marzo de 2011 http://www.computerworlduk.com/news/security/3265825/rsa-warns-securid-customers-about-hack/ 12 Mah P. Dropbox's multiple security problems, 19 de agosto de 2011 By http://www.fiercecio.com/techwatch/story/dropboxs-multiple-security-problems/2011-08-19. Otro caso: Epsilon Breach Deals Another Blow to Cloud Security, 8 de abril de 2011 http://www.infosecisland.com/blogview/12814-Epsilon-Breach-Deals-Another-Blow-to-Cloud-Security.html

Documento de Opinin

75/2012

CLOUD COMPUTING Y LA ESTRATEGIA ESPAOLA DE SEGURIDAD

Luis de Salvador Carrasco

supone desmantelar una infraestructura material y sobre todo humana: personal con el know-how de la entidad y los procesos tcnicos. Esta infraestructura en caso de necesidad, ser muy difcil de recuperar13.

DISPONIBILIDAD DE DATOS Y SERVICIO

La libre disponibilidad de datos y servicios es uno de los problemas que presenta el actual paradigma Cloud y que mayor dependencia genera al usuario respecto al proveedor. Ninguno de los dos contempla la posibilidad de trasladar, desde la Nube originalmente contratada a otra Nube distinta, tanto los datos como los procesos. Y todo ello con un coste razonable en tiempo y recursos. A esto se le denomina portabilidad y, actualmente, resulta problemtica debido a que los formatos de los datos y las aplicaciones son propietarios de cada Cloud. Sin que se hayan previsto mecanismos para la portabilidad de la informacin y procesos entre plataformas, el cliente se encuentra cautivo ante situaciones como un aumento unilateral del coste de los servicios, una modificacin/suspensin de las condiciones de prestacin de los mismos, un cambio de estrategia empresarial, por absorciones, por el cierre de la compaa o por situaciones de crisis. La gestin de las contingencias relativas a la cada permanente o puntual de los servicios TIC se ha desplazado de los responsables de la empresa al proveedor de Cloud. Y aunque estos ltimos dan la impresin de que sus plataformas ofrecen una cantidad ilimitada de recursos, a travs de la subcontratacin dinmica, esto no totalmente correcto. Igual que las redes de comunicaciones, o de energa, estn dimensionados para ofrecer servicio al mximo nmero de usuarios con los mnimos recursos, en base a una estimacin estadstica de carga. En un momento dado, el tener que soportar sobre una misma red una enorme cantidad de solicitudes, hace a los enlaces de datos susceptibles de sobrecarga, independientemente de que existan clausulas de acuerdo de niveles de servicio (SLA) en los contratos14. Estudios britnicos estiman que la prdida debido a la cada de servicios de Cloud ha tenido un impacto de 45 millones de libras desde 2007, incluso los expertos consideran que esta cifra est calculada a la baja15. Algunos clientes han equilibrado el uso de nubes pblicas con privadas, para limitar el riesgo, aunque esto slo est al alcance de grandes entidades.

13

Este anlisis se realiz en el caso de la migracin de los servicios de la ciudad de Los ngeles al servicio de cloud, concluyndose que: "si la Ciudad decide utilizar estos servicios . ser prohibitivo en coste volver a la actual estructura gestionada por la propia Ciudad". Jansen W. Guidelines on security and privacy in public cloud computing. NIST National Institute of Standards and Technology, diciembre 2011. 14 Una referencia a las recientes cadas de servicio de Google, Twitter, Blackberry. Cuando los gigantes se colapsan: problemas en Twitter y Gmail 31 de julio de 2012 9: http://www.solomarketing.es/cuando-losgigantes-se-colapsan-problemas-en-twitter-y-gmail 15 Essers L. Cloud downtime has cost more than 45 million since 2007 IDG News Service, 12 de junio de 2012 http://www.computerworlduk.com/news/cloud-computing/3364982/cloud-downtime-has-cost-more-than-45million-since-2007/?intcmp=in_article;related.

Documento de Opinin

75/2012

CLOUD COMPUTING Y LA ESTRATEGIA ESPAOLA DE SEGURIDAD

Luis de Salvador Carrasco

SERVICIO CRTICO

La EES contempla "las amenazas y riesgos a la seguridad econmica" y su propsito tambin es "garantizar la capacidad de los servicios crticos econmicos y financieros esenciales para el normal funcionamiento del pas" incluyendo los servicios que proporcionan cohesin al territorio nacional como son transportes16, comunicaciones, energa etc. Es decir, proteger las infraestructuras crticas de "Fenmenos naturales extremos, atentados terroristas o ciberataques, entre otros de las amenazas y riesgos analizados, pueden daar las infraestructuras crticas, suministros y servicios crticos que sustentan nuestra vida y el desenvolvimiento de nuestra sociedad. Debemos proteger y garantizar su normal funcionamiento". Por su propia naturaleza, el hacer uso masivo de los servicios de Cloud proporcionados por unos pocos proveedores supone la concentracin en unos pocos puntos singulares de gran parte de los procesos que realizan entidades (pblicas y privadas) en Espaa. Esto aumenta la probabilidad de que se materialice la amenaza dibujada en la EES de que "un grupo terrorista o un pas enemigo colapsara el trfico en el ciberespacio", que un tercer pas pueda paralizar la actividad de todo un sector, sino de una parte significativa de todos los sectores econmicos17.

ATAQUES EXTERNOS

La cada de los servicios de Cloud puede estar originada por fallos internos del proveedor o por fallos de la red, aunque el hecho de la existencia de Nubes facilita la accin de los hackers ya que no tienen que atender a infinidad de objetivos, sino que pueden alcanzar gran efectividad focalizando sus actuaciones sobre un puado de proveedores. En principio, por qu ha cado el servicio tiene una importancia secundaria, a menos que est sincronizada con otro tipo de evento, circunstancia que s ha alarmado a los propios servidores de Cloud, que han reconocido que son objetivos de ataques respaldados por estados18. La mayor amenaza externa a la que se enfrentan los proveedores de la Nube es un ataque distribuido de denegacin de servicio a nivel de aplicacin, que est orientado a acabar con la disponibilidad de la infraestructura del proveedor de la nube para todos sus clientes, que
16

Microsoft presenta varios casos de xito de implantacin en Cloud de la venta de billetes de Transmediterrnea, los sistemas de Ferrovial o la gestin de paquetes con MRW http://www.microsoft.com/spain/enterprise/soluciones-microsoft/soluciones-de.aspx?tema=cloud-computing. 17 Las operadoras planean demandar a Blackberry por la cada del servicio. Los servicios de mensajera y acceso a internet de Blackberry volvieron a sufrir cortes ayer. Millones de clientes se vieron afectados en Europa, frica, Asia y Latinoamrica. RIM no dio ningn tipo de explicacin sobre los motivos. Las quejas de los usuarios cayeron sobre los operadores, que niegan que la culpa sea suya, y amenazan con posibles demandas por daos y perjuicios contra RIM. Santiago Milln y Mar Jimnez, Madrid 12/10/2011 http://www.cincodias.com/articulo/empresas/operadoras-planean-demandar-blackberry-caidaservicio/20111012cdscdiemp_3/. 18 Security warnings for suspected state-sponsored attacks, Tuesday, June 5, 2012 12:04 PM Posted by Eric Grosse, VP Security Engineering.

Documento de Opinin

75/2012

CLOUD COMPUTING Y LA ESTRATEGIA ESPAOLA DE SEGURIDAD

Luis de Salvador Carrasco

es difcil de combatir con las medidas de seguridad existentes y que se pueden materializar empleando herramientas muy sencillas.

ACCESO A LA NUBE

Uno de los principios de seguridad es que la accesibilidad fsica a la informacin ha de estar restringida a lo estrictamente necesario. Esto quiere decir que, si un dato no es necesario que est accesible a travs de la red19, no se ha de almacenar en un sistema conectado (ya sea a intranet o Internet). Y si hay que transmitirlo entre dos puntos, que el canal sea lo menos accesible posible20. El concepto del Cloud supone exactamente lo contrario. La propia naturaleza del servicio ha de proporcionar acceso a terceros a los recursos de la Nube, la implementacin de una arquitectura multi-tenancy implica que otros ejecutan procesos sobre los mismos sistemas (HW/SW), y el trfico de datos se realiza a travs de redes pblicas. Esto permite mltiples tipos de ataques como los secuestros de sesiones, o la suplantacin de portales21. Adems, muchos proveedores de Cloud proporcionan parte de sus servicios de forma gratuita, sin necesidad de ms identificacin que una direccin de correo electrnico. Esto facilita enormemente el explotar vulnerabilidades del servicio en la Nube por usuarios completamente annimos. Entre las posibles amenazas, est la de utilizar el Cloud para implementar botnets22 que afecten tanto a usuarios de la Nube, como a otros externos23. De esta forma, tanto la informacin como la metainformacin estn altamente expuestas a ataques a la confidencialidad y a la disponibilidad, y por parte de atacantes asimtricos como por actores estatales.

LA NUBES PERSONALES

El uso del Cloud a veces escapa del control de los responsables TIC, ya que es comn que los empleados y directivos de entidades utilicen servicios no corporativos en Nube para resolver sus necesidades de comunicacin, principalmente servicios de Nube mvil. Entre dichas aplicaciones estn los servicios de mensajera (y algo ms) desde WhatsApp a
19

Es ms, cuando un dato no es necesario mejor bloquearlo, es decir, sacarlo de cualquier sistema lo que no implica que se irrecuperable. 20 Un enlace WIFI o inalmbrico siempre es lo ms expuesto, mientras que en el otro extremo de la seguridad tendramos una lnea de fibra dedicada y enterrada. 21 Detectado kit para suplantar la pgina de inicio de Tuenti. Afecta a usuarios que accedan a la pgina web falsa que suplanta a Tuenti e introduzcan su nombre de usuario y contrasea. http://cert.inteco.es/securityAdvice/Actualidad/Avisos_seguridad_no_tecnicos/detectado_kit_suplantar_pagin a_inicio_tuenti_20120813. 22 Constantin L. Cybercriminals Use Zeus Malware to Target Cloud Payroll Services. IDG News 2012, http://www.pcworld.com/businesscenter/article/253505/cybercriminals_use_zeus_malware_to_target_cloud _payroll_services.html. 23 Comazzetto A. BotnetsThe Dark Side of Cloud Computing Sophos 2012, http://www.infosecuritymagazine.com/view/24987/comment-botnets-the-dark-side-of-cloud-computing/.

Documento de Opinin

75/2012

CLOUD COMPUTING Y LA ESTRATEGIA ESPAOLA DE SEGURIDAD

Luis de Salvador Carrasco

GoogleDocs24 o DropBox. Estos usuarios finales no son totalmente conscientes que estn utilizando aplicaciones en Cloud, ni de la cantidad de informacin sensible de su entidad que estn procesando en la Nube fuera de las polticas de la empresa. Las Nubes personales son un agujero de seguridad que permite acceder a los sistemas de la empresa cuando, desde el dispositivo corporativo, el usuario accede a las dos Nubes de forma simultnea, la profesional y la personal.

FALTA DE VISIBILIDAD

No siempre es el usuario final el que toma la iniciativa de usar dichos servicios de mensajera, sino que es la poltica de IT (Tecnologas de la Informacin) de la empresa la que los facilita. A la hora de fijar la poltica y levantar la infraestructura TIC de una empresa, es necesario realizar un anlisis de riesgos, de las posibilidades de fallo y las medidas de seguridad a aplicar de forma integral, es decir, desde el sistema de cableado hasta las aplicaciones corporativas. Al elegir una solucin de Cloud la transparencia que se obtiene del anterior anlisis se pierde, al no tener los responsables TIC visibilidad sobre los procesos en la Nube. Se podra decir que, en estos casos, las entidades utilizan la tctica del avestruz, ya que al no conocer los riesgos que se estn asumiendo, simplemente se estn aceptando situaciones que no se consideraran razonables para la propia infraestructura. Como se ha visto anteriormente, muchos servicios de Cloud se construyen sobre una cadena dinmica de subcontrataciones, en las que es crtico conocer las condiciones de seguridad de cada contratista y, sobre todo, su localizacin fsica. Por lo tanto, el servicio de Cloud ha de poder ser auditable o transparente (en el sentido de la palabra inglesa "accountable") y proporcionar informacin precisa de dnde, cundo, cmo y quin ha almacenado o procesado sus datos. En otro caso, nos encontraremos con un servicio opaco al usuario, en el que ste no tiene opcin alguna de obtener informacin precisa de qu ha ocurrido con sus datos, ni herramientas para auditar el servicio que se le est proporcionando, y en el que su propia informacin escapa a su control.

SOMETIMIENTO A LAS REGULACIONES LOCALES

La localizacin de los proveedores o subcontratistas de la Nube es una cuestin de capital importancia. Aunque se diga que Internet no tiene fronteras, esas fronteras s que existen a la hora de aplicar las regulaciones locales, y por ms que se emplee el concepto de Nube en
24

Bradley T. More than E-mail at Stake in Google Gmail Attack. PCWorld 3 de junio de 2011 http://www.pcworld.com/businesscenter/article/229320/more_than_email_at_stake_in_google_gmail_attack. html

Documento de Opinin

75/2012

CLOUD COMPUTING Y LA ESTRATEGIA ESPAOLA DE SEGURIDAD

Luis de Salvador Carrasco

relacin a distribucin de los datos, el nico que est en la "nube" es el usuario final, los datos estn fsicamente en un sitio muy concreto en cada momento. Como seala la EES, no son slo los factores tecnolgicos los que incrementan las posibilidades de que las ciberamenazas se materialicen, sino tambin los legales. Las regulaciones locales afectan a la prestacin servicio de dos formas. Por un lado, obligan a unas garantas mnimas de seguridad y de confidencialidad a las compaas subcontratistas en la Nube (independientemente de las fijadas por contrato). Por otro lado, habilitan el acceso a la informacin a las autoridades locales, con mayor, menor o ningn control judicial, e imponen unas obligaciones de conservacin de datos25, es decir, de retener la informacin del usuario incluso cuando el usuario cree que ha sido eliminada. No todos los pases ofrecen las misma garantas por ley, algunos muy pocas, y otros, aunque de forma nominal ofrecen unas garantas jurdicas y tcnicas elevadas, tambin disponen de los recursos legales necesarios para saltarse las polticas de seguridad de cualquier proveedor de Cloud26. De todos es conocido que la Patriot Act permite a las autoridades norteamericanas la interceptacin y la inspeccin de cualquier informacin almacenada o procesada en Estados Unidos, o por empresas estadounidenses aunque sus instalaciones estn en cualquier otra parte del mundo. Por ejemplo, Microsoft admiti que ofreca a las Autoridades Federales la informacin almacenada incluso en sus servidores situados en la Unin Europea, sin necesidad de solicitar el consentimiento ni notificarlo a los legtimos dueos de los ficheros, o a las personas afectadas por los datos almacenados. Este tipo de declaraciones tuvieron como consecuencia que la empresa de defensa britnica, BAE Systems, decidiera abandonar sus planes de implementacin27 sobre Microsoft 365 por no tener una garanta de confidencialidad28. La intervencin de una autoridad puede ir ms all de un ataque a la confidencialidad, puede implicar directamente un ataque a la disponibilidad de los datos, como fue el caso de la intervencin de Megaupload. Para lo que nos ocupa, no era importante si la actuacin del FBI persegua un fin lcito o no, lo importante es que caus un perjuicio directo a un conjunto de usuarios espaoles a los que se dej sin servicio y sin capacidad alguna de reaccin29.

Vijayan J. DOJ seeks mandatory data retention requirement for ISPs 25 de enero de 2011 http://www.computerworld.com/s/article/9206379/DOJ_seeks_mandatory_data_retention_requirement_for_ ISPs 26 Messmer E. Security experts say US government may have back door into RSA SecurID. Network World US. 23 de marzo de 2011. http://www.computerworlduk.com/news/security/3266653/security-experts-say-usgovernment-may-have-back-door-into-rsa-securid/?intcmp=rel_articles;scrty;link_2 27 Mandalia R. BAE Systems Abandons Microsoft Cloud Plans Citing Patriot Act. 8 diciembre de 2011 http://www.itproportal.com/2011/12/08/bae-systems-abandons-microsoft-cloud-plans-citing-patriot-act/ 28 Hay que tener en cuenta, que aunque no se utilicen los servicios de Cloud para manejar informacin clasificada, slo con conocer correos, viajes y reuniones ya es suficiente para hacerse una idea de qu es lo que est pasando. 29 Sanz J. EEUU ignora al Gobierno de Espaa en relacin a la posible recuperacin de ficheros de Megaupload, 19 de marzo 2012, http://www.adslzone.net/article8200-eeuu-ignora-al-gobierno-de-espana-en-relacion-a-laposible-recuperacion-de-ficheros-de-megaupload.html

25

Documento de Opinin

75/2012

CLOUD COMPUTING Y LA ESTRATEGIA ESPAOLA DE SEGURIDAD

Luis de Salvador Carrasco

RESPONSABILIDAD

Debido a lo ocurrido con Megaupload, desde el sector de la PYME se ha aconsejado leer cuidadosamente los trminos de servicio de proveedores de Cloud como DropBox o Box.com30. La EES destaca el papel del sector privado en la seguridad, ya que muchas empresas son propietarias o gestoras de servicios e infraestructuras crticas y, por lo tanto, tienen la responsabilidad de proteger aquellas reas que son de su competencia. No pueden existir garantas en la prestacin de un servicio de Nube sin que la relacin entre cliente y proveedor quede reflejada en un contrato. Este ha de incorporar en sus clausulas los trminos en los se fijan las responsabilidades, tanto a la hora de prestar el servicio, como a la hora de hacer frente a las consecuencias de la ejecucin (o la mala ejecucin) de los mismos31 y, sobre todo, que quede claramente fijada que la propiedad de los datos contina en manos del contratante en cualquier caso. En la mayora de los casos lo que se oferta son unas clausulas contractuales cerradas, (SLA o Service Level Agreement), en las que el proveedor de Cloud fija las condiciones con un contrato tipo igual para todos sus clientes, sin que el usuario tenga ninguna opcin para negociar sus trminos y, en general, obviando/rechazando cualquier responsabilidad o sujecin a las regulaciones nacionales. Este ltimo caso es el ms comn, sobre todo cuando se encuentra el cliente en una situacin de desequilibrio ante un gran proveedor.

PROTECCIN DE LA CONFIDENCIALIDAD DE LA INFORMACIN

El poder de las autoridades para la intervencin de sistemas de informacin y la falta de unas garantas contractuales efectivas, como se ha sealado en los dos anteriores apartados, incrementan los riesgos de sufrir ataques sistemticos a la confidencialidad de los datos almacenados en los servicios de Cloud. Hay que tener en cuenta que tcnicas como cifrado, empaquetado, etc., ponen dificultades al acceso al contenido de la comunicacin si estn correctamente implementadas, aunque no lo hacen imposible32. Y, en cualquier caso, esto no impide el acceso a la metainformacin de trfico. Detrs de todo ello, se encuentra la amenaza del espionaje, especialmente econmico, otra de las preocupaciones sealadas en la EES en cuanto a "su impacto potencial es cada vez mayor por su capacidad de daar el sistema econmico y afectar al bienestar de los ciudadanos". La confidencialidad de los datos ha sido considerada siempre un aspecto clave en la seguridad de la informacin y cuya garanta se ve ms amenazada a mayor posibilidad de acceso a las bases de datos. Si el acceso a informacin sensible a travs de la red interna de
de Juana R. Qu implica el cierre de Megaupload para las pymes. 7 de febrero de 2012 http://www.muypymes.com/2012/02/07/que-implica-el-cierre-de-megaupload-para-las-pymes 31 Como lo expresa el trmino ingls "liability" 32 El robo de credenciales de acceso online, un problema cada vez mayor. Europa Press, 21 de julio de 2012 http://www.europapress.es/portaltic/internet/noticia-robo-credenciales-acceso-online-problema-cada-vezmayor-20120721100008.html
30

Documento de Opinin

75/2012

10

CLOUD COMPUTING Y LA ESTRATEGIA ESPAOLA DE SEGURIDAD

Luis de Salvador Carrasco

la entidad es un riesgo, mucho mayor cuando ese acceso se puede realizar desde redes externas, cul ser el nivel de riesgo que se est asumiendo cuando los datos ni siquiera estn en la propia entidad, sino al contrario, es la entidad la que tiene que acceder a ellos. Aunque existen iniciativas para la autorregulacin en el tema de seguridad en Cloud, como la CSA33 , as como de las certificaciones de seguridad, tipo ISO 2700134 que obtienen los proveedores, esto no compensa la falta de transparencia y "accountability" de los mismos y obliga a confiar en la honestidad de dichos proveedores35. Desde cualquier punto de vista, este nivel de riesgo resulta inaceptable. Pongamos el caso de la e-Sanidad sobre la Nube, uno de los escenarios para los que se recomienda el uso de Cloud, y el riesgo que puede suponer el compromiso de los historiales clnicos como elemento de presin poltico o econmico36. La confidencialidad del contenido est a la merced, en gran medida, de los proveedores del servicio, y su vulneracin puede ser debida a la falta de honestidad de los gestores de servicio37, sus obligaciones ante autoridades locales, ataques de intrusos o simplemente errores. Ms aun, las garantas que ofrece el proveedor estn sujetas a cambios, muchas veces unilaterales, de las condiciones del servicio. Un caso notorio es el caso de Skype, que presuma de emplear un cifrado "imposible de romper", y tras la adquisicin por Microsoft, ha sufrido "mejoras tcnicas" que permiten que tanto las conversaciones como el servicio de chat sean monitorizados a voluntad de la compaa38. Relacionado tambin con la responsabilidad, es necesario tener garantas sobre los periodos de conservacin de datos en el proveedor de Cloud una vez que la relacin se ha extinguido. Ms complejo es obtener garantas sobre la limpieza de los sistemas del proveedor, o lo que es lo mismo, la garanta de que cuando se borra una informacin en la Nube, esta no queda de forma residual en los soportes del proveedor y accesible a los ataques de un tercero (habitual en el caso de ficheros temporales de informacin descifrada)39. CONCLUSIONES La utilizacin masiva de servicios de Cloud basados en nubes pblicas de grandes proveedores y alojados en terceros pases, genera problemas de dependencia y riesgos que van en contra de la filosofa de la Estrategia Espaola de Seguridad.
33 34

Cloud Security Alliance CSA https://cloudsecurityalliance.org Nguyen A. Google Apps receives ISO 27001 security certification Computerworld UK 28 Mayo 2012 http://www.computerworlduk.com/news/security/3360345/under-embargo-google-apps-receives-iso-27001security-certification/ 35 Acusan a Facebook de mentir sobre la verificacin (de seguridad) de aplicaciones. La red social recibi miles de dlares para supervisarlas y no lo hizo, segn la Comisin Federal del Comercio de EE.UU. ABC http://www.abc.es/20120814/medios-redes/abci-facebook-seguridad-aplicaciones-201208140849.html 36 El robo de la identidad digital de un periodista expone los riesgos de la nube ABC 9 de agosto de 2012 http://www.abc.es/20120807/tecnologia/abci-roban-identidad-digital-periodista-201208071413.html 37 El "hacker" de la red de venta de datos se adjudica el Centro de Ciberseguridad. El Pas, 30 de julio de 2012. 38 Polmicos cambios en la privacidad de Skype, ABC tecnologa, 23 de julio de 2012 39 Kissel R. et al. Guidelines for Media Sanitization, Recommendations of the National Institute of Standards and Technology, NIST Special Publication 800-88 September 2006

Documento de Opinin

75/2012

11

CLOUD COMPUTING Y LA ESTRATEGIA ESPAOLA DE SEGURIDAD

Luis de Salvador Carrasco

La amenaza que supone la utilizacin sin control de dichos servicios puede proceder tanto de grupos ms o menos incontrolados, como de acciones realizadas por agentes estatales de los pases en los que se alojen los servicios con el propsito de obtencin de informacin o bloqueo de la misma como elemento de fuerza en situaciones de crisis. No se fundamenta justificar la decisin de la migracin a la Nube, incluso la migracin de "slo" los servicios de correo, basndose en el ahorro de costes a corto plazo o como una solucin fcil en poca de crisis. Lo que procede es racionalizar mejor los servicios disponibles. De lo contrario, se estar desmantelando una infraestructura tcnica, y sobre todo humana, que en caso de necesidad, ser muy difcil de recuperar. Esto no supone renunciar a la utilizacin de la tecnologa Cloud, pero siempre con ciertas limitaciones, entre ellas la utilizacin de Nubes Privadas40 para la Administracin Pblica41, desalentar el uso de oligopolios de Cloud que no se someten a la regulacin nacional y la potenciacin de proveedores de Cloud pblicos que estn localizados fsicamente en Espaa. Esta ltima iniciativa se enmarca dentro de las lneas estratgicas de accin que el EES seala como prioritarias, dentro del aspecto de la ciberdefensa, como es el "apoyar el desarrollo de empresas privadas nacionales en un sector estratgico como ste, en el que puede ser peligrosa la dependencia de empresas extranjeras". Tanto en entidades pblicas como privadas es importante regular la utilizacin de "nubes personales" en paralelo con los servicios de comunicacin y proceso corporativos. Ya existe un movimiento en determinadas compaas para bloquear el uso indiscriminado por parte de los empleados de estos servicios42, y es necesario aplicar dicha poltica para evitar filtraciones de informacin. La contratacin de servicios de Cloud no puede suponer una delegacin de las obligaciones de gobernanza de los sistemas de informacin. Cada entidad ha de realizar un anlisis crtico de su modelo de seguridad en relacin a cmo se adapta el Cloud al mismo, qu informacin no puede estar en el Cloud (si es que puede estar alguna), estimar los riesgos a largo plazo en relacin a la confidencialidad, disponibilidad y portabilidad de la informacin y disponer de planes de contingencia para prever el fallo, puntual o permanente, del proveedor. Como seala la EES, "hay que concienciar a las Administraciones Pblicas, empresas y ciudadanos sobre los riesgos, mejorar la cooperacin nacional e internacional y elaborar mapas de riesgos y catlogos de expertos, recursos y buenas prcticas", en particular, " desarrollar el Esquema Nacional de Seguridad reforzar su aplicacin y realizar auditoras que verifiquen la seguridad de los sistemas de la Administracin". Actualmente est en elaboracin la Agenda Digital Espaola y la nueva Estrategia de Ciberseguridad por lo que

40

Recordad que una Nube Privada no significa que el proveedor sea una empresa privada, sino que el proveedor es la misma entidad, o una subcontrata particular para implementar de forma exclusiva sus servicios. 41 Siempre hay excepciones en funcin del tipo de datos, como es la implementacin de la gestin de la Unidad de Arbolado Urbano del Ayuntamiento de Madrid que se ha implementado sobre Windows Azure 42 Savvas A. Most firms block BYOS in the cloud, Computerworld UK, 17 de julio de 2012 http://www.computerworlduk.com/news/cloud-computing/3370488/most-firms-block-byos-in-cloud/

Documento de Opinin

75/2012

12

CLOUD COMPUTING Y LA ESTRATEGIA ESPAOLA DE SEGURIDAD

Luis de Salvador Carrasco

sera de gran inters que aparecieran indicaciones concretas, en particular para el caso de las Cloud "personales" tanto en ellas como en el Esquema Nacional de Seguridad 43. Finalmente, es importante analizar el fenmeno Cloud Computing con la perspectiva del impacto que han tenido en crisis anteriores una excesiva dependencia (energtica o econmica), los problemas originados por el abuso y la dependencia de las redes sociales, el acceso a datos por parte de autoridades de otros pases o las recientes cadas de servicios desde Blackberry a Google.

Luis de Salvador Carrasco* Profesor Informtica en la UEM

*NOTA: Las ideas contenidas en los Documentos de Opinin son de responsabilidad de sus autores,
sin que reflejen, necesariamente, el pensamiento del IEEE o del Ministerio de Defensa.

43

Como la realizada por el gobierno USA en el documento Federal Cloud Computing Strategy, ya referenciado, aunque sus conclusiones son opuestas a las aqu presentadas por razones obvias.

Documento de Opinin

75/2012

13