La nube como riesgo y como oportunidad

Esta semana tuvimos ocasión de escuchar en la Universidad de Oviedo a reconocidos expertos en materia de contratación pública electrónica. Se trataba de un curso de formación organizado por la Gerencia para responsables de la administración universitaria. Francisco Javier García, funcionario de la Universidad de Castilla la Mancha, terminó el programa abordando la situación actual de la e-Administración, tras una lenta evolución de sus crecientes niveles da madurez.

La realidad es que la nueva Administración ha alterado sustancialmente nuestra metodología del control interno de los procesos administrativos y tecnológicos, de las revisiones y de las auditorías. Antonio Minguillón lo suele describir magistralmente en sus intervenciones. Siempre nos deja con la duda de lo poco que hacemos para que el acceso de los nuevos funcionarios públicos, en cualquier escala, reconozca la realidad de esa transformación y, por tanto, si las habilidades digitales deben prevalecer sobre el conocimiento del derecho administrativo. Hace unos años ya titulamos en este blog “La contratación no es labor para viejos”, al modo de aquel oscarizado film.

“Hoy, ya no podemos concebir la contratación sin su intima unión con la vertiente tecnológica”.

El ponente dedicó la parte final de su exposición a insistir en la necesidad  de incluir la cultura de la ciberseguridad en todos los niveles de las organizaciones y a hablar de la protección de la información en su conjunto, como decisivo área de riesgo actual.

Javier García es autor de una obra en descarga libre que, en solo 20 páginas, pormenoriza los requisitos técnicos y legales que deben cumplir las que denomina AICPE (Aplicaciones Informáticas de Contratación Pública) desde los referidos a equipos (hardware) hasta las integraciones necesarias para el óptimo funcionamiento de tales aplicaciones, pasando por algunos aspectos de la propia licitación de estos contratos, a fin de evitar el denominado “secuestro tecnológico” de los adjudicatarios sobre el poder adjudicador.

Javier terminó explicando de manera sencilla la emergente tecnología BLOCKCHAIN, así como los retos y oportunidades que su utilización puede representar para el futuro de la universidad y del resto de administraciones, debiéndose reclutar y formar a los empleados públicos orientado a su conocimiento, para así aprovechar todo su potencial en beneficio de los fines públicos y la eficiencia del gasto.

¿Secuestro digital?

Hace unos años, la Cámara de Comptos de Navarra ya había alertado sobre la descapitalización que suponía para el sector público la creciente externalización de las tareas informáticas, en todas sus vertientes. No sólo ante la necesidad de controlar los riesgos que incorpora la interposición de esos proveedores en los procesos administrativos, sino la seguridad del propio almacenamiento o computación por los proveedores de cloud, entendido como la integración “en la nube” del software, hardware e infraestructura de Internet. El grado máximo del riesgo de secuestro tecnológico.

Sin ir más lejos en el tiempo, durante el último mes, los grandes auditores públicos mundiales, la GAO nortemericana y la NAO británica, han hecho pública su enorme preocupación por esta área.

La Government Accountability Office (GAO) y la nube

La GAO reconoce oficialmente que las agencias federales de EEUU desde el año 2010 han clausurado 6.250 Data centers y calculan por ello un ahorro 2.700 millones de dólares. Sin embargo, continúa designando la seguridad de la información como un área de alto riesgo en todo el gobierno federal y está siendo objeto de gran cantidad de informes. No se ha librado ni el mismísimo Servicio Secreto que también fue objeto de análisis por los auditores. Menudo marrón.

Una perla: la preocupación por el asunto llega a la propia GAO que cambió la denominación de los equipos encargado de estas auditorías, antes denominados “Tecnologías de la información” (IT) y ahora “Tecnologías de la información y ciberseguridad” (ITC).

La National Audit Office (NAO) y su guías.

La política digital del gobierno británico apoya sin cortapisas el cambio a la nube y su uso. Los servicios contratados están aumentando rápidamente tanto en el sector público como en el privado.  Sin embargo, reconoce que algunas organizaciones más tradicionales pueden carecer de la capacidad y la experiencia para seleccionar el producto adecuado para sus necesidades, implementarlo de manera segura y administrarlo de manera efectiva.

Este uso de la nube conlleva mayores desafíos que el simple almacenamiento de datos en ella. Por eso la NAO acaba de divulgar una Guía para los comités de auditoría. Hace unos meses publicó Guía de buenas prácticas de transformación para los comités de auditoría así como una guía que proporciona una lista de verificación sobre cuestiones y problemas de riesgos en ciberseguridad.

En definitiva, estamos en una zona en permanente evolución, que nos trae la cara y la cruz de toda innovación. Ciber-riesgos  y eficiencia por la hiperconectividad de las organizaciones.

3 comentarios en “La nube como riesgo y como oportunidad

  1. Antonio Minguillón

    Siempre me sorprende lo oportuno de los temas que propones en tus entradas!!
    Efectivamente la “nube” es un “trending topic” en el mundo de la gestión pública. En una tendencia imparable cada vez más servicios se gestionan de esa forma, que es transparente para el usuario. Muchos de los ayuntamientos gestionan sus tributos a través de nubes privadas por ejemplo. Y la gestión de expedientes de contratación se hace en muchos casos a través de nubes pública (la PCSP) o privadas.
    Esto tiene implicaciones para el auditor público? Muchas.
    La Comisión Técnica de los OCEX está preparando una guía para auditorías financieras y de cumplimiento en entornos cloud, para ayudar en esos casos.

    Le gusta a 1 persona

  2. Muchas gracias por la referencia Antonio.
    Efectivamente la computación pública en nube supone riesgos y oportunidades, así como la implementación de las nuevas tecnologías al servicio del ciudadano. Pero para ello necesitamos personal formado, motivado y con un conocimiento mínimo de la tecnología que subyace en las actuaciones realizadas (contratación pública incluida).

    Me gusta

  3. Pingback: La respuesta está en la nube – Fiscalizacion.es

Gracias por comentar con el fin de mejorar

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.