La computación en nube en las administraciones tributarias (ii)
II) Específicos de instituciones públicas
a) Cuestiones legales y de regulaciones
Los proveedores de servicios en nube ubican sus centros de datos en locales geográficos ventajosos para ellos. En su mayoría los contratantes de estos servicios no se importan con la localización, desde que entreguen la calidad de servicio convenida. Sin embargo, para una administración tributaria y otras instituciones públicas, la ubicación de sus datos puede ser relevante, debido a restricciones legales de su país o reglamentos de accesibilidad y divulgación de datos de otros países (donde los datos pueden estar ubicados). Un ejemplo seria el “Patriot Act”, de los Estados Unidos, que puede permitir el acceso de autoridades locales a datos allí almacenados. Nubes especializadas en gobierno, que cumplen con las restricciones legales del país, o exigencia de centros de datos locales son soluciones consideradas para este problema.
b) Inversión X gasto operativo
El manejo económico tradicional de los servicios informáticos apunta hacia un perfil CAPEX (Capital Expenditure, gastos de capital), relacionado principalmente con la adquisición de equipos, software e instalaciones. En términos económicos, la decisión de implementar servicios en nube redirecciona los gastos de la institución a un perfil OPEX (Operational Expenditure, gastos operativos), por el cual las instituciones pagan de acuerdo a los datos almacenados, procesados y facilidades de escalabilidad, con foco en el gasto periódico con los contratos. Es decir, reduce la inversión y crece el gasto operativo.
Las administraciones tributarias sin autonomía financiera, principalmente, para asegurar la continuidad de los servicios en nube debe proteger estos contratos de cortes presupuestarios eventuales, que por lo general son enfocados en el presupuesto operativo.
c) Financiación de los programas de modernización
Los programas de modernización de administraciones fiscales, financiados por organismos internacionales, en sus reglamentos operativos direccionan el componente de TI básicamente para inversiones en equipos e infraestructuras informáticas. Gastos operativos, como computación en nube, no son admitidos para financiamiento por estos programas, aunque puedan ser considerados como contrapartida.
Este modelo influye en las decisiones de los ejecutores delos programas, que ven este financiamiento como oportunidad impar de inversión en equipos e infraestructuras informáticas propias, aunque considerando los aspectos negativos tales como costos de mantenimiento y obsolescencia rápida de los equipos. Estos montantes por lo general representan un porcentual elevado del valor total del financiamiento. En las consideraciones para la toma de decisión, se debe evaluar si estos recursos podrían ser mejor utilizados en otras necesidades importantes de la institución.
d) Costo y disponibilidad de servicio fiable
En muchos países todavía no existen proveedores fiables y con porte suficiente para atender los requisitos operativos de grandes instituciones públicas. En ciertos casos, los valores cobrados por los proveedores muchas veces desestimulan el uso de estos servicios[1].
Tendencias y prácticas
I) México – La nube híbrida[2] del Servicio de Administración Tributaria – SAT
El SAT utiliza servicios en nube desde 2012, con el proveedor Azure, especialmente para recibir distintos tipos de declaraciones y trámites del contribuyente, mejorando la operatividad y ahorrando un 20% del costo estimado de inversión[3]. Esta iniciativa se insiere en la Estrategia de Gobierno Digital de México[4].
En 2017 el SAT lanzó una licitación para ampliar sus operaciones en la nube, con el proyecto denominado SENHA (Servicios de Nube Híbrida Administrada). El proyecto abarca todo el Servicio de Administración Tributaria, incluyendo servicios internos y externos (contribuyentes, PACs[5], terceros), operando en los tres Centros de Datos del SAT (Ciudad de México, Querétaro y Aguascalientes) y en los Centros de Datos del proveedor para los servicios de nube pública. En diciembre el contrato fue asignado a la empresa T-Systems, que deberá relacionarse con distintos proveedores de TIC existentes en el SAT para consecución del servicio. Entre los principales objetivos del proyecto está disponer de una plataforma con neutralidad tecnológica que permita escalar de manera dinámica la infraestructura informática para una adecuada operación de las aplicaciones del SAT y para soportar los picos de demanda de los contribuyentes; necesidad de proteger la inversión realizada por el SAT, para esto el proyecto deberá aprovechar y utilizar los recursos existentes de procesamiento, almacenamiento y comunicaciones[6]. De acuerdo a las bases de la licitación, se busca la transición progresiva de los servicios tecnológicos del SAT, de manera que la institución focalice al diseño y la construcción de aplicaciones de software o servicios de tecnologías de la información que habiliten las diferentes funciones de negocio del SAT, al tiempo que los servicios de cómputo se consuman de forma integrada en un modelo tipo nube.
La gobernación del proyecto se hará por dos grupos: Junta de Gobierno de Alto Nivel (decisiones estratégicas junto al proveedor, riesgos extremos, resolución de confitos); Gobierno del Contrato SENHA (grupo de soporte y apoyo que integra cuatro procesos: alineación y organización, construcción e implementación, entrega y soporte, monitoreo y evaluación).
Una característica de esta licitación es que el proyecto resultante no será financiado por el presupuesto de egresos, pero si por un fideicomiso del SAT que recibe pagos por trámites aduaneros[7].
II) Reino Unido (HMRC)
En 2013, el Reino Unido definió una política de “primero, nube” (Cloud First) para sus iniciativas de TI. Por esta política las instituciones gubernamentales deben considerar soluciones en nube antes de buscar alternativas. Además, debe optar por el uso de nubes públicas, en vez de modelos híbridos, privados o comunitarios. También estimula que las instituciones utilicen modelos SaaS (Software-as-a-Service), especialmente para funciones de gestión institucional y back-end. Existen guías para las instituciones evaluaren las mejores alternativas, tales como el “Guidance – Public Sector Use of the Public Cloud”[8]. El documento sostiene que es factible que instituciones públicas coloquen datos altamente personales y sensibles en nube, conforme ya lo hicieron algunos departamentos del gobierno. Justifica que los proveedores de nubes tienen presupuestos significativos para mantener, ajustar y asegurar su infraestructura, mitigando algunos riesgos que desafían las instituciones gubernamentales. La decisión debe ser tomada con base en un análisis de riesgos, en especial considerando los 14 principios del documento “Implementando los principios de seguridad en la nube”, del Centro Nacional de Seguridad Cibernética[9].
Asimismo, el HMRC sigue la política gubernamental y hasta julio de 2017 ya tenía 60% de su parque informático en la nube, destacándose los sistemas SAP. El HMRC está ampliando este porcentaje y afirma que los aspectos de seguridad y disponibilidad fueron mejorados, y que logra operar servicios entre distintos proveedores de nube de modo a optimizar la calidad y los costos[10].
En 2017 HMRC decidió migrar algunos de sus servicios que estaban en un proveedor de nube nacional (Datacentred) para la nube AWS de la multinacional Amazon[11]. La decisión trajo discusiones en los periódicos sobre el uso de servicios internacionales para aplicaciones sensibles, pero HMRC argumentó que la misma fue basada en criterios técnicos de análisis de riesgo, resiliencia y en la provisión de mejores servicios.
III) Estados Unidos (IRS)
En 2010 el Gobierno de los Estados Unidos publicó un documento estratégico denominado “25 Point Implementation Plan to Reform Federal Technology Management”, con los objetivos principales de obtener eficiencia operativa y gestionar de modo efectivo programas de TI de larga escala. El tercero punto orienta las agencias del gobierno a buscar una política de Cloud First (primero, nube), con base en la utilización de tecnologías en nube comerciales (cuando esto sea posible), lanzar nubes privadas de gobierno y utilizar nubes regionales con estados y gobiernos locales, cuando apropiado[12]. Asimismo, el IRS (Internal Revenue Service) definió una estrategia para acoplarse a la política establecida, que consiste en mover el almacenamiento de datos y aplicaciones hacia una nube privada, federal, mientras utiliza nubes públicas – tales como Amazon, IBM u Oracle – para fines de desarrollo.
El IRS divulgó en 2016 el documento “Publication 1075”, que determina las condiciones para proteger la confidencialidad de las informaciones tributarias federales (FTI), por medio de políticas, prácticas, controles y salvaguardias que deben ser cumplidas por agencias, agentes y contratistas que operen estas informaciones[13]. Algunos proveedores de servicios de nube, como Azure y AWS GovCloud(US)[14] indican que están en conformidad con las directivas contenidas en este documento[15].
Por otro lado, el IRS planea adquirir servicios en nube para los productos Microsoft, en la modalidad SaaS[16]. Los principales productos de interés son Office, Project, SharePoint, Exchange.
Comentarios finales
La tendencia de utilización de computación en nube es una realidad, y se estima que 80% de las empresas de mediano a grande porte tengan servicios en nube en la modalidad SaaS[17]. Conforme mencionado en este documento, algunos gobiernos ya adoptaran como política la computación en nube como opción prioritaria para sus servicios de TI y sus servicios tributarios proyectan acoplarse a esta política.
Por otro lado se observa que, en el mercado de servicios en nube, son básicamente los gigantes globales que pueden atender a las grandes necesidades de disponibilidad, seguridad y elasticidad en la demanda exigida por grandes instituciones, como las administraciones tributarias. La buena noticia es que estos proveedores se están estableciendo en varios países, muchas veces asociándose a empresas locales.
La práctica muestra que las administraciones tributarias son tradicionalmente conservadoras y desconfiadas cuanto a ambientes externos de TI. En consecuencia, los riesgos y desafíos aquí señalados deben ser muy bien apreciados en un posible proceso evaluación y de toma de decisión.
[1] El “corazón” del modelo económico para los servicios en nube es compartir recursos. Si existe solamente un cliente con grandes necesidades para el servicio, el mismo pagará por todo y se caracterizaría más como un outsourcing.
[2] Una nube hibrida permite el escalonamiento y aprovisionamiento continuo de recursos de TIC sin depender solamente de infraestructura propia.
[3] https://www.vcon.mx/2017/02/09/el-sat-en-la-nube/
[4] https://www.gob.mx/mexicodigital/
[5] Un Proveedor Autorizado de Certificación (PAC) es una instancia autorizada por el SAT para generar, procesar y certificar los comprobantes fiscales digitales. Las obligaciones que tienen son la de validar los requisitos de la factura, asignar folios fiscales e incorporar el sello digital del SAT.
[6] http://www.sat.gob.mx/ProyectosSAT/SENHA/Paginas/default.aspx
[7] https://tinyurl.com/ybxx9nby Periódico Reforma de 02/01/2018
[8] https://www.gov.uk/guidance/public-sector-use-of-the-public-cloud
[9] https://www.ncsc.gov.uk/guidance/implementing-cloud-security-principles
[10] https://hmrcdigital.blog.gov.uk/2017/07/13/a-new-era-bold-plans-and-innovation/
[11] Desde 2016 Amazon AWS tiene un centro de datos en Londres.
[12] https://www.actiac.org/system/files/25%20Point%20Implementation%20Plan%20to%20Reform%20Federal%20IT.pdf
[13] https://www.irs.gov/pub/irs-pdf/p1075.pdf
[14] Servicio en nube orientado a las agencias gubernamentales de los Estados Unidos, siguiendo reglas establecidas por el ITAR/US.
[15] https://aws.amazon.com/compliance/irs-1075/
[16] http://blog.executivebiz.com/2017/09/irs-seeks-potential-saas-cloud-application-sources/
[17] https://iccwbo.org/media-wall/news-speeches/real-time-controls-changing-trade-know/
2,784 total views, 3 views today