El director de la Cátedra Telefónica-@unizar de Ciberseguridad (@DIIS_UZ), Fernando Tricas, pone en valor que es "una ley oportuna a la par que necesaria" y destaca que Unizar "ya ha empezado su camino formativo en materias tecnológicas".

🗣️#AudienciasLegislativas pic.twitter.com/k2F3Q5YUBR

— Cortes de Aragón (@cortes_aragon) July 28, 2022

Desde el Gobierno de Aragón se está promoviendo una ley para regular el uso de las tecnologías en la nube. En Proceso participativo. Anteproyecto de Ley de medidas para la implantación y desarrollo en Aragón de tecnologías en la nube (Tecnologías Cloud) se pueden ver algunos de los pasos previos y el proyecto de ley.

Dentro del proceso han dado audiencia a una serie de asociaciones, organizaciones e instituciones y pidieron su opinión a nuestro departamento. Me pidieron que lo preparara yo y lo comparto aquí por si es de utilidad. Se hizo con poco tiempo (nos avisaron un par de semanas antes de la intervención), así que no ha habido una toma de opinión del Departamento como tal, aunque sí se ha comentado con algunas personas. Disponíamos de 8 minutos, que tampoco dan mucho de sí para entrar en grandes debates ni muchos matices.

La comparecencia se puede ver en vídeo en Comisión de Ciencia, Universidad y Sociedad del Conocimiento/Audiencias legislativas (la intervención está al final, pero todas las aportaciones son interesantes):

El texto que leí:

Comparecencia de Fernando Tricas García en representación del Departamento de Informática e Ingeniería de Sistemas de la Universidad de Zaragoza relativa al proceso de audiencias legislativas del Proyecto de Ley de medidas para la implantación y desarrollo en Aragón de tecnologías en la nube (tecnología Cloud)

Buenos días, desde el Departamento de Informática e Ingeniería de Sistemas de la Universidad de Zaragoza estamos agradecidos de que las la Comisión de Ciencia, Universidad y Sociedad del Conocimiento cuente con nosotros en relación con la tramitación del Proyecto de Ley de medidas para la implantación y desarrollo en Aragón de tecnologías en la nube (tecnología Cloud)

Sirva esta comparecencia para ponernos a su disposición para los proyectos que consideren oportunos en el futuro.

Empezaré recordando como al principio de la pandemia muchas organizaciones y empresas nos encontramos sin poder acudir a la oficina, pero con la obligación de continuar con nuestra tarea; podemos decir que gracias a la nube esto fue posible. Probablemente, con recursos propios hubiera sido muy difícil; no sólo eso, los proveedores dieron la talla y nos ayudaron en momentos muy complicados. Alguien tendrá que hacer el debido reconocimiento en algún momento. Todo ello a lo largo del territorio, independientemente de los recursos locales concretos, siempre que las infraestructuras de comunicaciones lo permitían.

El 23 de febrero de 2021 el experto estadounidense Bruce Schneier escribía un texto titulado (traducción propia): “¿Por qué era tan vulnerable Solarwinds a un ataque? Es la economía, estúpido” (Why Was SolarWinds So Vulnerable to a Hack?) que aúna algunos temas que nos pueden interesar aquí: la ciberseguridad, los aspectos económicos (no olvidemos que la informática es un medio para conseguir los objetivos de las empresas y las organizaciones) y cómo podemos enfrentarnos a la informatización como sociedad.

Cuando hablamos de ciberseguridad, existe una importante asimetría informativa: abreviando mucho, nos decía que los compradores no siempre tienen la capacidad para juzgar adecuadamente los productos informáticos ni las prácticas de las empresas proveedoras. Existe, además, un problema de incentivos, puesto que el mercado anima a las empresas a tomar decisiones en su propio interés. La conclusión era que la única forma de forzar a las empresas a proporcionar seguridad y protección es mediante la intervención del gobierno, a través de una combinación de leyes y regulaciones.

Los gobiernos deben estar al tanto para aprovechar las ventajas socioeconómicas que aportan nuevos servicios informáticos así como garantizar la protección y acceso de la ciudadanía. En este sentido, una ley como la que se está discutiendo es oportuna a la par que necesaria.

También es oportuna por el carácter prescriptivo de las regulaciones: probablemente las empresas y organizaciones que carecen de los recursos necesarios para tomar algunas decisiones tecnológicas, o que son más conservadoras, adquieran la confianza necesaria al existir una regulación en la que fijarse.

Como hecho notable, la ley plantea la existencia de la calificación como Solución Cloud Certificada: este podría ser uno de los instrumentos que proporcionen seguridad y garantías a las posibles personas usuarias.

Comentaremos a continuación algunos aspectos de la ley.

Echamos de menos, aunque probablemente no corresponda a la ley, la recomendación de acudir a una diversidad de proveedores. De hecho, en el artículo 10, ‘Condiciones de uso de las tecnologías Cloud.’ se alude directamente a la homogeneidad, que parece contrapuesta a la diversidad, tan valiosa desde muchos puntos de vista, también en tecnología. Por falta de tiempo no lo comentaré, pero recomiendo buscar el texto sobre la monocultura informática de Dan Geer (sobre el tema: Warning: Microsoft ‘Monoculture’ ) y los problemas que estaba causando alrededor del año 2004. Por cierto, esa monocultura era tan exagerada en aquel momento que Geer fue despedido de su empresa como resultado de sus afirmaciones.

En los temas relacionados con la informática se observa con frecuencia el denominado efecto Mateo: «el rico se hace más rico y el pobre se hace más pobre» que produce una cierta tendencia a la concentración de servicios en pocos proveedores; estos pueden sentir la tentación de sacar partido de esta acumulación. La ley alude a la portabilidad de soluciones para evitar estos problemas, pero ya hemos visto en el pasado (por ejemplo, con los sistemas operativos) que esas tendencias son muy difíciles de contrarrestar.

En el artículo 13, apartado e, se habla de la seguridad desde el diseño. Es agradable ver ese tipo de recomendaciones, que llevamos cerca de 20 años haciendo desde nuestros ámbitos de influencia. Tal vez habría que añadir que se haga siempre basado en los análisis de riesgos. Es cierto que se alude al Esquema Nacional de Seguridad y el Reglamento General de Protección de Datos que ya incorporan estas ideas, pero tal vez valga la pena recomendarlo aquí también. La seguridad perfecta no existe, y los recursos infinitos para tratar de alcanzarla tampoco. Muchas veces, ni siquiera tiene sentido prestar atención a todos los riesgos.

En el apartado IV de la ‘Exposición de motivos’ y en el artículo 21, ‘Requisitos’, apartado b, parte 2, se indica: ‘Estar en posesión de todas las certificaciones de cumplimiento de requisitos vigentes en materia de seguridad de la información, seguridad para los servicios Cloud, la protección de identificación personal en nubes públicas, y las que se determinen en cada momento.’ La última frase parece concretar un poco la exigencia pero, a priori, hacer referencia ‘todas las certificaciones de cumplimiento …’ sin concretar ninguna legislación ni marco de referencia podría ser considerado como muy exigente.

Sobre el artículo 22, ‘Procedimiento’, se dice: ‘La valoración técnica para el otorgamiento de la calificación se efectuará por una comisión técnica de evaluación …’ sin aclarar si esta valoración técnica será un informe positivo/negativo, o si existirá alguna rúbrica o instrumento similar. Tampoco si sería necesario algún tipo de acuerdo de la comisión a la hora de emitirlo (mayoría, unanimidad, …) o la posibilidad de otras particularidades, ni si la valoración es vinculante o no. Finalmente, notar que la comisión tiene un número mínimo par de integrantes

En el artículo 24, ‘Validez’ referido a la certificación se habla de dos años; nos preguntamos aquí si no será un proceso demasiado intensivo y debería pensarse en periodos más largos con la capacidad por parte de los gestores de limitarla o cancelarla en casos de incumplimiento, tal y como está previsto en el artículo 27. Esos dos años de validez y los tres meses de tiempo disponible para otorgar la calificación a un proveedor puede algo pasar más del 10% del tiempo pendiente de calificación. Finalmente, y como riesgo externo, conocemos la celeridad en añadir legislación en algunas ocasiones relativa a los procesos administrativos y nos preguntamos si no tendría sentido indicar que la certificación lleve implícita la adaptación a los cambios legislativos que puedan suceder durante el periodo de validez. Las leyes hay que cumplirlas siempre, y seguro que los proveedores lo harán, pero tal vez convendría recordarlo en los requisitos.

Sobre el artículo 26, ‘Obligaciones’ se indica, en el apartado d, ‘Identificar y notificar a Aragonesa de Servicios Telemáticos aquellas brechas de seguridad de la información que afecten a los datos alojados o que constituyan un riesgo para los derechos y libertades de las personas.’. Puesto que la ley se aplica al sector público autonómico, tiene sentido lo que se dice. Pero cuando esta ley tenga efecto en que otras administraciones y las empresas utilicen estos servicios, convendría aclarar el alcance y los interesados en esas notificaciones. De manera similar podríamos referirnos al apartado e y el f.

Parecen muy oportunas las medidas de los artículos 32, y 33, ‘Medidas de impulso relacionadas con la capacitación profesional.’ y ‘Medidas de impulso relacionadas con la formación reglada.’ así como el artículo 31, ‘Medidas de impulso y fomento dirigidas al sector privado.’ La Universidad de Zaragoza ya ha empezado su camino formativo (más allá de la formación reglada) en las materias relacionadas con la nube. No las detallo por la limitación de tiempo, pero estaremos encantados de compartirlas con ustedes. Se echa de menos, sin embargo, en el artículo 34, ‘Medidas relacionadas con el fomento de la confianza digital.’ la divulgación del conocimiento: no se trata de formación, pero sí de informar y concienciar a la ciudadanía sobre las soluciones, generando ese clima de confianza al que alude el título. Parece un artículo más orientado al acceso de la información en sí y tal vez sería conveniente completarlo proporcionando información sobre las tecnologías que permiten el acceso a esa información, para las personas que puedan estar interesadas.

No se detallan mucho los posibles conflictos (ya sabemos que hay leyes) técnicos y tecnológicos (interoperabilidad, protocolos, federación,...). Muchas veces la batalla por las formas de acceso se esconde detrás de la tecnología. También los judiciales y administrativos (ámbito, cuando algunas de las empresas van a ser transnacionales, consecuencias, …). Estos últimos, probablemente, serán discutidos por otras personas intervinientes.

Termino con un par de comentarios sobre el lenguaje.

Primero, un comentario menor sobre la definición de API, creo que sería Application Programming Interface (en singular).

Segundo, el uso de la palabra ‘cloud’ se hace de manera amplia a lo largo de todo el documento y parece correcto incluirlo puesto que se trata de un estándar de facto a nivel mundial. No obstante, y dado que la palabra nube es un buen equivalente para referirse a lo mismo, tal vez tendría sentido tratar de evitar el anglicismo cuando sea posible. Por ejemplo, en la Comisión para las Tecnologías Cloud que se define en el artículo 39, podría utilizarse la denominación Comisión para las Tecnologías en la Nube o similar.

Seguramente en los debates alrededor de esta ley se ha hablado de la soberanía tecnológica. Esta soberanía necesita recursos, personal técnico, compromisos y decisiones. Ojalá esta ley ayude a que el tejido industrial relacionado con la nube crezca y se desarrolle y las licitaciones del futuro puedan adjudicarse a empresas locales que encuentren el caldo de cultivo adecuado al amparo de esta ley. A lo mejor, basadas en soluciones desarrolladas o con contribuciones desde Aragón.

Muchas gracias, quedo a su disposición.

Zaragoza, 28 de julio de 2022. Fernando Tricas García

Fue un honor representar a nuestro Departamento y tratar de contribuir a que nuestros representantes tengan más información y opinioones sobre estos temas.

Casualmente, hace unos días veía el vídeo (también de Bruce Schneier) sobre The Story of the Internet and How it Broke Bad: A Call For Public-Interest Technologists donde nos recordaba a los tecnólogos que tenemos que intervenir en los temas de los políticos. Altamente recomendable e inspiradora.

Una buena forma de despedirnos hasta después de las vacaciones.

Ha tenido un pequeño reflejo en prensa:

Un experto de Unizar cree “oportuna y necesaria” la Ley de Tecnología Cloud

Un experto de Unizar cree “oportuna y necesaria” la Ley de Tecnología Cloud

Un experto de Unizar cree “oportuna y necesaria” la Ley de Tecnología Cloud