Carlos Pimenta
Especialista principal de la División de Gestión Fiscal del BID
Fuente: Banco Interamericano de Desarrollo
Es cada vez mayor el uso de servicios en la nube por las organizaciones, principalmente las del sector privado, entre las cuales ya más del 80% usan este tipo de servicio, pero todavía no es tan común en el sector público, principalmente entre los países de América Latina y el Caribe (ALC). Si bien en lo general y en el largo plazo los costos son mucho menores con el uso de los servicios en la nube, el costo no es el único factor para analizarse, hay aspectos estratégicos muy importantes a ser considerado en la definición de una política pública de contratación de servicios en la nube en el sector público.
Los servicios de nube pueden ser contratados para almacenamiento y procesamiento de datos, o para el desarrollo y operación de aplicaciones y otros recursos de Tecnología de la Información (TI) y son caracterizados por un amplio acceso a Internet y la agrupación de recursos, con la posibilidad de múltiples usuarios con recursos asignados dinámicamente, autoservicio bajo demanda y medido, con flexibilidad, elasticidad y precio basado en el consumo, lo que genera economías de escala y menores costos.
Los servicios en la nube no son siempre un paraíso en el cielo
El uso de servicios en la nube no es una solución para todos los problemas de TI. Hay que tener buena capacidad para contratar estos servicios bajo un análisis de riesgo, considerando aspectos estratégicos tales como portabilidad de los datos y sistemas, ciberseguridad, ubicación de los datos y jurisdicción legal, eventuales retrasos de Pago, manejo de desastres y gestión del cambio.
Portabilidad de los datos y sistemas. Esto es fundamental para evitar el “vendor lock-in” y reducir la dependencia hacia los proveedores contratados, priorizando soluciones de código abierto y no propietarias e incluyendo en el contrato previsiones sobre mercado cambiante y de nuevas tecnologías.
Es clave definir en el contrato los niveles de seguridad requeridos por tipo de dato o sistema. También deben estar bien clasificados antes del contrato, y definir cómo es el control de usuarios y qué pasa en caso de acceso no autorizado a datos sensibles, y cuáles serían las multas para resarcir eventuales pérdidas.
Ubicación de los datos y jurisdicción legal. Es importante un análisis jurídico sobre el uso de proveedores externos que están bajo tribunales extranjeros, y que suelen ser mucho más baratos debido la escala, y mitigar con buenos contratos y uso de contingencia local.
Retrasos de pago del sector público al proveedor. Es crucial mitigarlos buscando tener recursos presupuestarios bien cuantificados e identificados, además de tener un plan de mitigación con el uso de nube hibrida y un protocolo de recuperación de datos.
Manejo de desastres. Es recomendable tener datos replicados en múltiples infraestructuras, además de un protocolo de recuperación de datos.
Gestión de cambio. Es necesario identificar ganadores y perdedores con el uso de servicios en la Nube, ya que habrá que contratar más abogados para los contratos y menos expertos operativos en tecnología, y para manejar la resistencia al cambio hay que conocer cuáles serán los impactos en sus recursos humanos y adelantarse con medidas de mitigación y adaptación.
Estrategias de implementación
En la experiencia internacional, países tales como Reino Unido y Estados Unidos adoptaron una política de “Nube Primero” (Cloud First) en la cual las entidades públicas deben considerar los costos, beneficios, ventajas y desventajas de cada alternativa, sea con uso o no de la nube, antes de comprar hardware, software y otros servicios de TI. En el caso del Reino Unido hay buenos ejemplos de uso de una plataforma de compras de servicios de nube (digital marketplace) como una guía de compras y de modelos de servicios. En Estados Unidos están cambiando para una política de “Nube Inteligente” (Cloud Smart), para considerar más allá de los costos, todas las otras variables estratégicas mencionadas anteriormente.
En el caso de España se identifican muchos avances en la interoperabilidad entre los sistemas y la Nube, en Estonia una mayor integración de todos los servicios públicos, en Corea del Sur hay una Nube privada centralizada (G Cloud) de amplia cobertura y con contrataciones de proveedores privados, y en Israel un alto nivel de seguridad de los datos.
En todos estos países las políticas de uso de la nube en el sector público empezaron con el establecimiento de políticas amplias de transformación digital, en una estrategia gradual, que llevó más de diez años para presentar resultados. En lo general empezaron con redes privadas de uso de la nube para después ampliar con la contratación de proveedores en redes públicas, usando nubes híbridas.
La experiencia en América Latina
En los países de América Latina y el Caribe el uso de nube por el sector público todavía no es tan amplio como en los países más desarrollados. Si bien hay países avanzando, como por ejemplo Argentina, Brasil, Uruguay y Chile.
En Argentina se adoptó una política de “Cloud First” en el Decálogo de TI, además de una Ley de Protección de Datos Personales y Estándares Tecnológicos para la Administración Pública. Tienen un Datacenter público, ARSAT, que es la Empresa Argentina de Soluciones Satelitales Sociedad Anónima, una empresa de telecomunicaciones de propiedad del estado que brinda servicios de procesamiento de datos únicamente a organismos del sector público; y una amplia red de conectividad de fibra óptica al interior del país, (REFEFO). Sin embargo, todavía no son muchos los avances en uso de Nube, con alrededor de cinco agencias nacionales, de un total de más de 40, utilizando servicios de Nube. Adicionalmente, los grandes proveedores internacionales tienen poca o ninguna infraestructura local, y la regulación es todavía incompleta pues no existe una norma sobre los datos fuera del país; y otras consideraciones sobre el control de datos, su seguridad, privacidad y confidencialidad resultan en lo general en barreras autoimpuestas.
En Brasil las iniciativas de uso de la nube por el sector público están más concentradas en el Gobierno Federal, donde todavía hay más de 130 Datacenters no integrados. Existen grandes proveedores estatales de TI, tales como el SERPRO, DATAPREV, Telebras, Empresas Públicas de procesamiento de datos de los estados, entre otros; que mayormente operan nubes privadas. Es el país en la región con mayor presencia de los grandes proveedores privados, tales como Microsoft Azure, Amazon Web Services (AWS), Google Cloud e IBM, algunos ya operando centros de datos en Brasil. Sin embargo, todavía hay varias barreras al uso de nube, tales como la resistencia cultural, muchos Datacenters públicos por amortizar sus costos de inversión, una Ley que obliga guardar los datos en el territorio nacional, alta carga tributaria, y restricciones presupuestarias para garantir los pagos de los servicios contratados, entre otras.
En Uruguay hay una Plan de Gobierno Digital 2020 y la Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento (AGESIC) que promueven el uso de la nube. Sin embargo, el único proveedor certificado por la AGESIC es ANTEL, una empresa estatal de telefonía que cuenta con los dos centros de cómputos más grandes del país. ANTEL es la única opción a los organismos públicos comparado con la alternativa de tener centros de datos propios. Adicionalmente, los datos del estado son considerados estratégicos y no pueden ser transferidos hacia fuera del país. Los principales proveedores privados de Nube tales como Google, Microsoft, y Amazon no tienen capacidad de procesamiento en territorio uruguayo. Algunas barreras para un uso más intenso de nube en el sector público sería la falta de recursos presupuestarios para TI, insuficiente personal capacitado, resistencia cultural, restricciones legales para datos fuera del país, y la limitada diversidad de proveedores.
En Chile hay una estrategia de gobierno digital del 2019 y fueron adoptadas políticas y estándares para la interoperabilidad, ciberseguridad, identidad digital (clave única), política de compras tecnológicas, política “open source first”, y política de incentivo al uso de la nube. El uso de sistemas en la nube por el sector público (SaaS) aumentó en 6 veces entre 2014 y 2019. Varios proveedores internacionales tienen previsto implantar centros de cómputo en territorio chileno de forma asociada con proveedores locales, tales como Google, Huawei, Microsoft, Oracle y Entel. Sin embargo, todavía persisten barreras tales como uso de vehículos de contratación pública (ofertados por ChileCompra pero poco usados), resistencia a migrar los datos (barreras culturales se toman como legales), déficit de perfiles de recursos humanos calificados, inexistencia de regulación sobre datos fuera del país, preocupación con portabilidad y vendor lock-in, entre otras.
En este contexto durante el mes de noviembre de 2019 el Banco Interamericano de Desarrollo (BID) y co-organizado con el Fondo Monetario Internacional y el Servicio de Información de Finanzas Públicas de Corea llevarán a cabo una conferencia desde Washington D.C. para discutir los Sistemas de Información y Administración Financiera (SIAF), las nuevas tecnologías emergentes y la experiencia coreana con la participación de más de veinte países de América Latina y el Caribe. Además, se discutirá el uso de servicios de computación en la Nube para el sector público y los resultados preliminares de un próximo estudio del BID liderado por la Vicepresidencia de Países del Cono Sur y las divisiones de Gestión Fiscal y Servicios para Servir al Ciudadano.
Costos, beneficios y otras consideraciones estratégicas
En un estudio del BID sobre costos de Nube en cinco países del cono sur, fueron simulados costos bajo algunas premisas y queda claro de que en lo general los costos son menores con el uso de Nube, sin embargo, depende del marco regulatorio en cada país, del tipo de los servicios (conforme mayor la complexidad del nivel de servicios mayor el ahorro), del despliegue, del mercado de proveedores, de la ubicación de los datos, si es del nivel Municipal, si hay proveedores públicos de nube, entre otros aspectos.
Adicionalmente, el costo no es el único factor para considerarse, hay aspectos estratégicos muy importantes tales como nivel de dependencia hacia los proveedores, sean públicos o privados, la portabilidad de los datos y sistemas, la ciberseguridad, la facilidad para integrar servicios, el rendimiento de los aplicativos, los efectos en el mercado de proveedores, entre otros.
Para poder aprovechar los servicios de Nube es necesario enfrentar algunas barreras, tales como limitaciones normativas o regulación ausente, modelos de contratación de TI no adecuados, recursos humanos no calificados, resistencia cultural y política, baja conectividad, preocupación con el law enforcement sobre datos en otras jurisdicciones, entre otras.
Los beneficios están bien identificados, tales como la reducción de costos, mayor escalabilidad y elasticidad, alto rendimiento, seguridad y portabilidad de los datos y aplicaciones, además de promover la integración de fuentes de información dispersas en diferentes organismos en forma de silos. Sin embargo, los riesgos igual deben ser bien administrados, con una buena portabilidad de los datos para evitar “vendor lock-in” y la dependencia hacia uno o pocos proveedores. El estudio del BID, Oportunidades tecnológicas y recomendaciones para la modernización de los SIAF en ALC (Pimenta y Seco, 2019) se destaca este tema de la nube.
De esta forma, parece mucho más recomendable una política de “Nube Inteligente” (Cloud Smart) que una de “Nube Primero” (Cloud First), siempre considerando estratégicamente las varias alternativas de costos y de calidad de los servicios en cada país, pero bajo las condiciones regulatorias, oferta de los proveedores y capacidad del sector público para administrar este tipo de contrataciones. Una de las opciones de estrategias a considerarse sería una eventual concentración e integración de los centros de cómputos existentes en un gobierno y posterior migración gradual hacia un modelo de nube híbrida.
De cara al futuro el sector público en ALC deberá prepararse para poder contratar y usar bien los servicios en la nube, y poder beneficiarse de estos costos menores y mejor calidad y seguridad de servicios de TI. Es clave para aprovechar este nuevo contexto contar con el personal de distintos perfiles y mayor capacidad para contratar servicios, y alcanzar una estrategia más eficiente para las inversiones en TI, mejorar la seguridad y brindar servicios de calidad a los ciudadanos.