Camino recorrido para la adopción de Nube en Gobierno


La Oficina Nacional de Tecnologías de la Información (ONTI) inició su estrategia para la implementación de una “cloud first policy” en Argentina a través de un relevamiento de las experiencias de los países sajones, Europa y Latinoamérica, lo que permitió validar las mejores prácticas y determinar qué posicionamiento tomar para hacer una política de nube para proyecto de tecnología en general, desde la propia definición hasta la puesta en producción y mantenimiento.

Ver Antecedentes para la implementación de AM de Nube en Gobierno

El resultado de estos relevamientos más el conocimiento de la situación y desafíos de infraestructura TIC de gobierno obtenido por auditorías realizadas durante el año 2016-7 y la intervención con opinión técnica en todos los proyectos TIC de la APN se formula un posicionamiento concreto a través de la publicación del Decálogo Tecnológico de la ONTI (DTO) con la Disposición ONTI 2/2018 del 13 de agosto de 2018.

El DTO es un compendio de lineamientos, mandatos y criterios a seguir en el desarrollo de todo proyecto o solución TIC en gobierno de forma que aseguren la utilidad, eficiencia y sustentabilidad de los mismos.

Este decálogo en el punto #3 se refiere al uso de la nube en gobierno y expresa su posicionamiento de Nube primero a través de cuatro principios:

  1. La nube es la mejor forma para desarrollar infraestructura para un gobierno.
  2. Todas las nubes son válidas: nube pública, nube privada y nube híbrida. Sin embargo, Argentina entiende que la nube híbrida es la mejor solución combinada y se pueden aprovechar ventajas de ambos escenarios.
  3. Los organismos son responsables de la nube que decidan adoptar, de su migración e implementación; ya que cada organismo es responsable de sus presupuestos, datos y procesos y de donde ubicar los datos.
  4. Los proveedores de nube para servicios de gobierno deben estar calificados.

En un primer momento se pensó que la clasificación de los datos podría ser un inicio para la implementación de nube y la decisión respecto a qué tipo de nube utilizar (pública, privada o híbrida), sin embargo, esto fue descartado debido a que el estado de madurez en las organizaciones para hacer el abordaje de clasificar los datos iba a convertirse en un impedimento en sí mismo para comenzar la implementación. Sin embargo, la ISO 27000 está internalizada a través de una disposición anterior de esta oficina nacional (Disposición ONTI 1/2015) donde se recomienda la clasificación de los datos como una buena práctica para la mejor gobernanza de los mismos por parte de cada entidad responsable.

Poder poner en pleno ejercicio estos criterios requería también el poder realizar la contratación de servicios de nube por parte de los Organismos de una manera práctica y ágil que permita capitalizar las ventajas que ofrece esta solución de infraestructura en ámbitos de gobierno. En este sentido, ONTI realiza un trabajo con la ONC (Oficina Nacional de Contrataciones) para identificar el mejor mecanismo para que organismos de gobierno puedan adquirir Nube ; identificación que recayó en que el proceso de contratación de Acuerdo Marco.

El Acuerdo Marco permite tomar ventaja de que sean elegibles varios proveedores (siempre que cumplan con los requisitos técnico más antecedentes requeridos y que sus precios estén dentro del rango de dispersión propuesto ); también admite contratación sin cantidades mínimas y en tantas instancias como sea requerido durante su vigencia. Es un mecanismo muy ágil donde los organismos demoran días en vez de meses para la contratación de recursos publicados y tampoco obliga contrataciones mínimas por parte del gobierno.

El siguiente paso fue la elaboración de las especificaciones técnicas para identificar todas las características de los productos y servicios que debía ofrecerse, pero también reunir todos los requisitos que los proveedores de nube participantes debían calificar y reunir para que puedan prestar servicio a las entidades de gobierno. Para ello se comenzó a trabajar con los proveedores de nube (PSN) en conocer sus productos y entender cómo ofrecían y garantizaban los aspectos relevantes mandatorios a cumplir en su oferta.

En esta instancia -y dada las características del mecanismo de contratación que exige comparar productos y servicios de los distintos oferentes participantes- se toma la decisión de establecer un catálogo de productos requeridos a un conjunto específico de servicios de IaaS y PaaS.

De esta forma, El acuerdo marco establece los parámetros para la competencia, incluye 21 productos o servicios de nube (que con alternativas consideradas se extiende a más de 100) además de la inclusión de 7 categorías de servicios profesionales y prevé la extensión de otros productos o servicios no incluidos en el catálogo principal a través de proyectos específicos de innovación.

Cabe destacar que la inclusión de los servicios profesionales para el despliegue de servicios de cómputo en la nube que incluye las siete categorías mencionadas resultó ser un agregado relevante en este proceso porque es muy importante y trascendente que los organismos de gobierno dispongan de servicios profesionales con los “skills” y experiencias que muy rara vez estará disponible en su equipo en los primeros momentos. Estos servicios son para el diseño, la implementación, la operación, migración, capacitación, auditorias de seguridad e innovación y pueden ser adquiridos con las mismas ventajas y simplicidad que indicamos con el proceso de Acuerdo Marco.

El proceso de armado del acuerdo marco demandó varios meses de trabajo ya que no solo se incluyeron las especificaciones técnicas de cada uno de los servicios/productos, sino también los requisitos de competencia requeridos a los PSN y sus partners o socios (SPSN) , como los son la oferta de tres locaciones de datos (dos en el continente americano y una en Europa), adhesión a la ley de protección de datos de Argentina y regulación conexa y certificaciones (ISO 27001, 27017, 27018 y otras opciones), además de requisitos de seguridad, de existencia de representatividad y soporte técnico de entre PSN y SPSN entre otros.

Las especificaciones técnicas también prevén el cumplimiento de libre concurrencia de proveedores evitando “vendor LockIn” permitiendo total movilidad entre proveedores o incluso entre partners de mismo o diferente proveedor. El Acuerdo Marco es la primera fase de un camino de adopción de la Nube ; seguramente será mejorado y perfeccionado con versiones futuras. Es clave también un gran trabajo para la difusión y promoción de forma que las entidades de gobierno desarrollen su adopción de la nube en sus productos y servicios.

Respecto a educación y entrenamiento, está previsto realizar entrenamiento a todas las entidades de la administración pública nacional con un enfoque técnico, administrativo y legal sobre cómo utilizar el acuerdo marco. Se considera también la utilización del INAP (Instituto Nacional de la Administración Pública) para la capacitación permanente de agentes y funcionarios.

Estas capacitaciones deben abarcar con debida profundidad la protección de datos y la transferencia internacional de datos Que ayude a los actores a desmitificar y actuar con confianza en la explotación del recurso de la Nube sin temores y aprovechando todas las ventajas que ofrece.

Las comunidades de práctica que se vienen desarrollando desde ONTI tanto para el uso de nuevas tecnologías en productos y servicios de gobierno como para el desarrollo de software público son aceleradores importantísimos en la adopción de la Nube en Gobierno. Referirse al Código de Buenas Prácticas para el desarrollo de Software Público donde en el punto #2 direcciona el uso de nube para facilitar esta actividad.

Si bien es necesario que respecto a la construcción de los presupuestos los organismos comienzan a transitar el camino de asignar más opex que capex al presupuesto de TI, la capacitación e información de los organismos resulta indispensable. Aun así, los presupuestos actuales no han sido un inhibidor sustancial para la adquisición de nube.

Respecto del plan de migración, si bien cada organismo en gobierno tiene autonomía y administra su propio presupuesto resultará muy conveniente disponer de un organismo encargado de la gobernanza y con la competencia en la decisión presupuestaria para el éxito de un plan de migración. Una entidad con la competencia necesaria podría ser un gran aliado en la implementación de grandes proyectos tecnológicos que implementa el país en la nube y en el desarrollo de software, que implicaría a su vez sustanciales ahorros para el país.