Acuerdo de aprobación de la Política cloud del sector público de Aragón

Adoptado por el Gobierno de Aragón, el día 16 de abril de 2024, Acuerdo por el que se aprueba la Política cloud del sector público de la Comunidad Autónoma de Aragón, se procede a la publicación del mismo en el “Boletín Oficial de Aragón”, de conformidad con el apartado segundo del citado Acuerdo.

Zaragoza, 11 de junio de 2024.

El Consejero de Hacienda y Administración Pública, ROBERTO BERMÚDEZ DE CASTRO MUR

Las Cortes de Aragón, a propuesta del Gobierno de Aragón, aprobaron la Ley 7/2023, de 23 de febrero, de medidas para la implantación y desarrollo en Aragón de tecnologías en la nube (tecnologías cloud).

Su promulgación es consecuencia del convencimiento del Gobierno de Aragón de que la tecnología cloud se ha convertido en la piedra angular para la transformación digital de las organizaciones, tanto en el ámbito empresarial, como en el de las administraciones públicas, y de la necesidad del establecimiento de una política que favorezca la implantación y desarrollo de las tecnologías cloud en la Administración de la Comunidad Autónoma de Aragón y en el resto de Administraciones Públicas.

La Política cloud del sector público de la Comunidad Autónoma de Aragón, conforme a lo establecido en el artículo 5 de la Ley 7/2023, de 23 de febrero, de medidas para la implantación y desarrollo en Aragón de tecnologías en la nube (tecnologías cloud), constituirá el marco de uso de las tecnologías cloud, definiendo la estrategia en la citada materia y la evolución de los servicios que se presten conforme a lo dispuesto en los artículos de la misma.

Esta política será de aplicación a todo el sector público autonómico, excepto a las universidades públicas integradas en el Sistema Universitario de Aragón. A su vez, esta política se aplicará a todos los empleados, proveedores y terceros que gestionen servicios de nube de los cuales sea titular el sector público autonómico. Por otra parte, las universidades públicas integradas en el Sistema Universitario de Aragón y las entidades que integran la Administración local aragonesa podrán adherirse a la Política cloud de acuerdo con lo previsto en el artículo 18 de la referida Ley 7/2023, de 23 de febrero.

Se alinea con la Estrategia Europea del Dato y busca mejorar la eficiencia, reducir costes y promover la innovación. Se hace hincapié en la soberanía digital, garantizando la protección de datos, el control de infraestructura y software, la libertad de expresión y la independencia tecnológica, con un enfoque en estándares abiertos y análisis coste/beneficio. Tal y como se define el artículo 3 de la Ley Cloud, la Política cloud se refiere a la estrategia a seguir por una organización, en este caso el Gobierno de Aragón, para la adopción de las tecnologías en la nube y que abarca distintos ámbitos con el objetivo de asegurar la confidencialidad, la integridad, la disponibilidad de los servicios y los datos que usan las tecnologías en la nube.

Los principios y objetivos de la Política cloud incluyen avanzar hacia la soberanía digital y operativa, mantener la neutralidad tecnológica, garantizar la ciberseguridad y protección de datos, así como promover la capacitación digital y el uso de estándares interoperables.

El modelo cloud prioriza el uso de servicios en la nube, con un enfoque en la nube híbrida y la consolidación de centros de datos. Se promueve el despliegue de aplicaciones en la nube como primera opción, junto con la creación de un catálogo de servicios en constante crecimiento.

La Política cloud se basa en un modelo híbrido que combina recursos locales con servicios en la nube pública, eligiendo la opción más adecuada para resolver los problemas tecnológicos. Se establecen tres tipos de servicio: cloud público, cloud híbrido y cloud privado, cada uno apto para diferentes necesidades y cargas de trabajo.

La evaluación de las soluciones para migrar al cloud se realiza de manera rigurosa, considerando aspectos legales como el RGPD, la localización de datos en la UE y la normativa administrativa. Se enfatiza la importancia de la seguridad y calidad, con medidas como análisis de riesgos, certificaciones ISO, cifrado de datos y gestión de incidentes de seguridad.

Además, se exige transparencia por parte de los proveedores y se establecen garantías para proteger la privacidad y seguridad de los datos, cumpliendo con las regulaciones de protección de datos.

En resumen, la Política cloud se basa en la selección cuidadosa de servicios, el cumplimiento de regulaciones y normativas, y la implementación de medidas de seguridad robustas para garantizar la protección y confidencialidad de los datos de la Administración Pública.

De conformidad con lo establecido en el artículo 5 de la Ley 7/2023, de 23 de febrero, de medidas para la implantación y desarrollo en Aragón de tecnologías en la nube (tecnologías cloud) a propuesta de Aragonesa de Servicios Telemáticos se propone para su aprobación “La Política cloud del sector público autonómico”.

Por todo lo anteriormente expuesto, a propuesta del Consejero de Hacienda y Administración Pública, previa deliberación del Gobierno de Aragón en su reunión del día 16 de abril de 2024, se adopta el siguiente ACUERDO:

Primero. 

Aprobar la Política cloud del sector público autonómico.

Segundo. 

Este Acuerdo se publicará en el “Boletín Oficial de Aragón”.

Tercero. 

Dar traslado del presente acuerdo al Departamento de Hacienda y Administración Pública y a la Entidad de Derecho Público Aragonesa de Servicios Telemáticos.

1. 
Introducción

Desde finales del siglo pasado y, sobre todo, desde el inicio del siglo XXI, estamos ante un momento de profundas transformaciones tecnológicas de alcance mundial. Son cambios que están afectando a los modos tradicionales de vivir de las personas, a sus formas de trabajar o de disfrutar del tiempo libre y al modo de relacionarse y comunicarse con los demás. Lo hemos llamado sociedad de la información.

La sociedad de la información no es un término para referirnos a una realidad que afectará sólo a unos pocos, a los que forman parte de eso que se llama la nueva economía. La sociedad de la información se nos presenta, en primer lugar, como un conjunto de oportunidades para hacer mejor, con más calidad, lo que ya estábamos haciendo, y para plantearnos, además, nuevos horizontes y metas que antes considerábamos sencillamente inalcanzables e imposibles. Por eso nadie debe quedar atrás en ese esfuerzo colectivo y ésa es, al mismo tiempo, la gran tarea que hay que abordar desde todos los ámbitos que integran la sociedad actual.

La sociedad española ha progresado de una manera extraordinaria en los últimos veinticinco años y lo ha hecho gracias al despliegue de una serie de valores y, ello, no ha sido precisamente una casualidad. Esos valores, los que proclama nuestra Constitución, es decir, la libertad, la justicia, la igualdad y el pluralismo, son, exactamente, los valores que la sociedad de la información contribuye a reforzar.

La sociedad de la información es una revolución comparable, incluso de efectos superiores, a otras sucedidas en la historia de la humanidad, como pudo suceder con la aparición de la imprenta y la máquina de vapor o la propia revolución industrial del siglo XIX. Pero hay un elemento diferencial importante: aquellas revoluciones, como por ejemplo la industrial, necesitaban de materias primas y de fuentes de energía, ambos elementos finitos y agotables en el tiempo. Sin embargo, el principio de la sociedad de la información es que cuanta más información se usa y se comparte, más información y conocimiento se produce. Es decir que estamos ante un proceso de transformación digital sin límites.

Sin duda, este proceso de transformación digital es, actualmente, una de las palancas principales de innovación tecnológica, desarrollo empresarial, modernización económica y progreso social. En efecto, la integración de las nuevas tecnologías digitales en los diferentes sectores económicos, acelerada como consecuencia de la pandemia de la COVID-19, está transformando las bases de la estructura económica global, con importantes implicaciones geopolíticas y sobre el propio ordenamiento económico y el contrato social vigente en Europa desde mediados del siglo XX.

Sus efectos, también se dejan notar claramente a nivel individual, donde hemos podido comprobar que el presente y el futuro del empleo, del comercio, de los contactos interpersonales, de la formación, de nuestra propia salud, e incluso del ocio, son y serán más digitales.

En relación a la Administración de la Comunidad Autónoma de Aragón, se puede afirmar que la misma no es ajena a las transformaciones sociales derivadas de la sociedad de la información. Por una parte, el tejido empresarial y organizaciones profesionales y, por otra, los ciudadanos, comienzan a exigir a la administración pública las mismas facilidades de servicio que se encuentran en otros ámbitos de la vida. La TRANSICIÓN A LA ADMINISTRACIÓN DIGITAL se plantea pues como uno de los retos más importantes en la historia de las administraciones públicas.

Este intenso cambio tecnológico representa un reto importante, pero también una oportunidad para nuestra comunidad autónoma, que es necesario abordar con una orientación estratégica, como base para lograr un proceso de transición ordenado que reduzca los riesgos y asegure que los cambios tengan un impacto económico y social positivo y duradero.

Resulta evidente que el tránsito a un entorno electrónico debe ir acompañado de cambios funcionales y organizativos, sobre todo, en organizaciones como la administración pública, donde todavía, existe una función hondamente arraigada en la realidad física de aquello que ha de ser conservado y custodiado, y ello en el seno de una tradición archivística que desde su origen en el siglo XVI ha estado exclusivamente abrazada a la física del papel.

Tanto desde la administración pública, como desde los diferentes poderes públicos, debemos saber abordar los retos que estas tecnologías nos plantean con el convencimiento de que la sociedad de la información llegará, aunque no hagamos nada.

Sin embargo, solamente si estamos preparados, si asumimos estos retos, si lideramos el cambio, la sociedad a la que servimos, nuestro país o nuestra Comunidad Autónoma, tendrán garantías de viabilidad futura en un marco cada vez más globalizado, cada vez más competitivo.

2. 
Tecnologías de computación en la nube.

Cada una de las revoluciones sociales de la humanidad ha sido testigo de una innovación tecnológica espectacular que generó grandes disrupciones, ya que las industrias tradicionales fueron reemplazadas y los trabajos tradicionales dieron lugar a nuevas ocupaciones. Pero todas ellos se vieron acompañados de cambios económicos que mejoraron el nivel de vida de millones de personas en la mayor parte del mundo.

En un momento en el que el cambio y la disrupción son una certeza, cada vez es más urgente encontrar las respuestas correctas a las preguntas sobre cuál es la mejor manera de aprovechar las oportunidades y beneficios de un futuro en el que los robots y la automatización adquirirán un especial protagonismo y evitar las amenazas y trastornos de una sociedad asediada por una vigilancia invasiva por la recogida incontrolada de información personal.

En la actualidad, la computación en la nube se está configurando como una de las principales tecnologías clave de la transformación actual de la sociedad. Al permitir la recogida, almacenamiento y análisis de datos a una escala, velocidad y profundidad sin precedentes, la nube posibilita encontrar correlaciones que solían ser demasiado pequeñas como para ser detectadas y permite discernir el funcionamiento interno de sistemas que eran demasiados complicados de comprender. Y, sobre la base de computación en la nube y de capacidades analíticas avanzadas, se están presenciando rápidos avances en los ámbitos de la inteligencia artificial, la robótica, la genómica, las ciencias de los materiales, el BIG-DATA, la Internet de las cosas (IOT), la ciberseguridad y muchas más áreas.

Lo anterior junto con los dispositivos móviles que nos conectan a informaciones y a otras personas en cualquier momento y desde cualquier lugar, significa que las oportunidades para reinventar cómo operan las empresas y cómo se conectan con los clientes, gestionan el trabajo, se abastecen de bienes y organizan las cadenas de suministro son básicamente infinitas.

Es un proceso que ya está en marcha. Han surgido nuevas empresas innovadoras que, apoyadas en la nube, están causando disrupción reinventando sectores económicos enteros con una perspectiva centrada en el consumidor.

La pandemia dejó muy clara su importancia y provocó que muchas organizaciones, tanto públicas, como privadas, de sectores muy diversos y que hasta ese momento no se habían planteado iniciar ningún cambio en su infraestructura tecnológica, tuvieran que acelerar su camino hacia la nube de forma precipitada para continuar con su actividad y reducir así el impacto en su cuenta de resultados. Dos años después, los directivos ya no se centran en valorar si es necesario o no utilizar estos servicios, sino cuál es la mejor solución para atender sus necesidades.

En este contexto, las Cortes de Aragón, a propuesta del Gobierno de Aragón, aprobaron la LEY 7/2023, de 23 de febrero, de medidas para la implantación y desarrollo en Aragón de tecnologías en la nube (tecnologías cloud).

Su promulgación es consecuencia del convencimiento del Gobierno de Aragón de que la tecnología cloud se ha convertido en la piedra angular para la transformación digital de las organizaciones, tanto en el ámbito empresarial, como en el de las administraciones públicas, y de la necesidad del establecimiento de una política que favorezca la implantación y desarrollo de las tecnologías cloud en la Administración de la Comunidad Autónoma de Aragón y en el resto de AAPP.

3. 
Objeto

En este documento se define la Política cloud del sector público de la Comunidad Autónoma de Aragón, la cual, conforme a lo establecido en el artículo 5 de la LEY 7/2023, de 23 de febrero, de medidas para la implantación y desarrollo en Aragón de tecnologías en la nube (tecnologías cloud), constituirá el marco de uso de las tecnologías cloud, definiendo la estrategia en la citada materia y la evolución de los servicios que se presten conforme a lo dispuesto en los artículos de la misma.

Tal y como se define el artículo 3 de la Ley Cloud, la Política cloud se refiere a la estrategia a seguir por una organización, en este caso el Gobierno de Aragón, para la adopción de las tecnologías en la nube y que abarca distintos ámbitos con el objetivo de asegurar la confidencialidad, la integridad, la disponibilidad de los servicios y los datos que usan las tecnologías en la nube.

El Gobierno de Aragón ha aprobado la Política cloud del sector público autonómico previa propuesta de Aragonesa de Servicios Telemáticos (AST).

4. 
Ámbito de aplicación

La Política cloud se aplicará a todo el sector público autonómico, excepto a las universidades públicas integradas en el Sistema Universitario de Aragón.

Esta política se aplicará a todos los empleados, proveedores y terceros que gestionen servicios de nube de los cuales sea titular el sector público autonómico.

Las universidades públicas integradas en el Sistema Universitario de Aragón y las entidades que integran la Administración local aragonesa podrán adherirse a la Política Cloud de acuerdo con lo previsto en el artículo 18 de la referida Ley 7/2023.

5. 
Principios y objetivos

Los principios que rigen esta Política cloud son los que se establecen en el artículo 7 de la Ley Cloud, que son los siguientes:

a) Avanzar hacia la soberanía digital, manteniendo el control sobre la codificación y el acceso a los datos.

b) Avanzar hacia la soberanía operativa, dando visibilidad a la Administración pública sobre las operaciones que se desarrollen en la nube.

c) Avanzar hacia la soberanía del software. Esto significa poder ejecutar las cargas de trabajo sin depender del software de un proveedor.

d) Mantener la neutralidad tecnológica de la Administración pública.

e) Garantizar la capacitación y la alfabetización digital de la sociedad.

Igualmente, en el punto 2 del mismo artículo, se establecen los objetivos de la Política cloud, que son los siguientes:

a) Construir un ecosistema de aplicaciones y servicios reutilizables.

b) Fomentar la resiliencia en los servicios públicos digitales.

c) Potenciar la ciberseguridad.

d) Garantizar la adecuada protección de los datos de carácter personal.

e) Homogeneizar los diseños y las soluciones.

f) Definir un marco del uso de los datos.

g) Evitar las soluciones cautivas de un único proveedor.

h) Impulsar el uso de soluciones de código abierto y estándares interoperables.

Igualmente, esta Política cloud hace suyos los principios establecidos en el anteproyecto del decreto de servicios a la ciudadanía de Aragón, entre los que se encuentran la orientación a la ciudadanía, que conlleva la concreción y el respeto e impulso de los derechos, como el libre acceso a la información pública.

Otros principios, como la accesibilidad, la claridad, la usabilidad, la proactividad, la minimización de requerimientos formales y la apertura tecnológica, tienen como finalidad principal que los servicios sean plenamente aprovechados por todas las personas. Igualmente, se pretende la mejora de la eficiencia de la Administración mediante la simplificación, interoperabilidad y reutilización de los sistemas de información.

6. 
Modelo cloud

Esta política tiene como objetivo priorizar el aprovisionamiento de servicios basados en tecnologías en la nube por las Administraciones públicas.

Se trata de una iniciativa que establece sinergias para redundar en una mejor prestación de los servicios y una mayor soberanía tecnológica.

La política cloud se estructura en 4 líneas de acción:

1) La adopción de una infraestructura de "NUBE HÍBRIDA", entendiéndola como un entorno de computación en el que se combinan servicios y recursos de la nube pública y de la nube privada como si fuera una sola infraestructura e, incluso, en su caso, con la nube de otras Administraciones públicas.

2) La consolidación de los centros de proceso de datos (CPD) de la Comunidad

Autónoma de Aragón en un número menor de centros con mejores prestaciones, reduciendo costes operativos (económicos y medioambientales) y maximizando la agilidad de las operaciones TIC y potenciando la participación en iniciativas en el marco de la Unión Europea.

3) El despliegue de aplicaciones conforme a un esquema denominado “primero en nube” (en inglés, "cloud first"). Tal y como define el artículo 7.3 de la Ley.

Profundizando en su significado, es una estrategia donde se deben evaluar, ante una necesidad, en primer lugar, soluciones en la nube frente a otras soluciones tecnológicas tradicionales, optando por la más adecuada para la prestación de los servicios.

Este paradigma no significa que todo vaya a la nube, significa que, cuando se aborda un proyecto o una inversión que necesita su componente tecnológico, el enfoque predeterminado es utilizar la nube pública, pero si una vez evaluado el proyecto o por su naturaleza, el enfoque debe ser diferente, este paradigma no lo proscribe. Primero en nube también significa que debemos considerar la nube pública como la primera opción para cualquier nueva tecnología o iniciativa con componente tecnológico 4) La disposición de un catálogo de servicios creciente, con la incorporación de aplicaciones que den respuesta a las necesidades comunes de las Administraciones públicas con soluciones del tipo software como servicio (Saas).

Además, en línea con la Estrategia Europea del Dato, se pondrán en marcha grandes "data lakes", espacios comunes de datos seguros, que ayudarán al impulso de la innovación empresarial en los principales sectores productivos estratégicos, como el de la salud, el turístico, el industrial o el comercial.

El anuncio de la puesta en marcha de esta estrategia de servicios en la nube de la Administración pública atiende a la necesidad de cambiar el paradigma en la presentación de servicios públicos de forma que se contemple una mayor flexibilidad, agilidad y adaptabilidad, tal y como demanda la sociedad de hoy.

También se justifica por la necesidad de acometer innovaciones impulsadas por el valor de los datos, la Inteligencia Artificial, el Internet de las cosas (Internet of Things) o las nuevas redes de comunicaciones 5G/6G, tal como se destaca en la declaración "Towards a new generation Cloud for Europe", que los 27 Estados miembros de la UE firmaron el 15 de octubre de 2020.

La adaptación de este paradigma se basa en los beneficios que ofrece la nube, como la escalabilidad, la flexibilidad, la disponibilidad y la seguridad, entre otros. Además, la nube permite una mayor eficiencia en el uso de recursos y una reducción en los costes de infraestructura, así como el acceso a otro tipo de tecnologías disruptivas desde el propio entorno.

Igualmente, con este criterio se pretende mejorar la eficiencia y reducir los costes en la implementación y gestión de servicios y aplicaciones de tecnologías de la información.

Del mismo modo y como ya establece la Ley, el modelo cloud a desarrollar, será el denominado “cloud híbrido”, modelo que combina infraestructura local (o cloud privada) con la cloud pública, En un entorno de cloud híbrido, algunas aplicaciones y datos se ejecutan en una nube pública, mientras que otras se ejecutan en una nube privada. Esto permitirá al sector público de la Comunidad Autónoma de Aragón, aprovechar las ventajas de ambas opciones, como la escalabilidad y la flexibilidad de la nube pública, así como el control y la dirección tecnológica de la nube privada, que permitirá avanzar hacia la soberanía digital, tal y como los principios que deben regir esta política.

La soberanía digital en el ámbito que nos ocupa, es un concepto que se refiere al derecho de un país, organización o individuo a tener el control sobre sus datos, información y tecnologías digitales. En otras palabras, se trata de la capacidad del sector público de Aragón para tomar sus propias decisiones en cuanto a la gestión, protección y uso de sus datos y las tecnologías digitales, independientemente de donde residan sus datos y de las tecnologías subyacentes utilizadas para su gestión y uso.

Así, esta política cloud hace suyos aspectos como:

1. Protección de datos: la soberanía digital implica el derecho a proteger los datos personales y corporativos y garantizar su privacidad y seguridad, garantizando en todo momento el aseguramiento de los mismos, el cumplimiento del reglamento de protección de datos y cualquier otra normativa que sea de obligado cumplimiento. Del mismo modo, será de obligado cumplimiento, el encriptado de los datos almacenados en la nube y la posesión de las claves de encriptado por personal público.

2. Control de infraestructura: esto implica tener el control de la infraestructura tecnológica que se utiliza para almacenar y procesar datos. Se entiende como el control de la propiedad lógica de las soluciones que se implementen.

3. Control de software: la soberanía digital, entendida en este caso como soberanía del software, también implica tener el control sobre el software y sistemas utilizados para gestionar y procesar datos. No obstante, en este punto no se puede dejar de ser conscientes del ecosistema tecnológico actual y la limitada capacidad de elección de ciertos componentes tecnológicos, por lo que una estricta observancia de un precepto como el que se indica, limitaría en demasía las opciones y las capacidades tecnológicas que se pudieran desplegar en un momento determinado, no siendo realista una limitación en este aspecto.

4. Libertad de expresión: la soberanía digital también protege la libertad de expresión y la libre circulación de información en línea, respetando en todo momento las normativas de protección de datos y las de transparencia.

5. Independencia tecnológica: la soberanía digital también promueve la independencia tecnológica de un país u organización, permitiéndoles desarrollar y utilizar sus propias tecnologías y herramientas digitales. Esta política cloud, se basa en la utilización de estándares abiertos en todas aquellas soluciones que lo permitan y en las que el análisis coste/beneficio de la solución a implantar así lo indique. No obstante, tal y como se indicaba anteriormente, la interdependencia global en materia tecnológica, no aconseja ni permite un proteccionismo tecnológico, ya que no existen a día de hoy las capacidades necesarias desarrolladas por entidades tecnológicas europeas, siendo imprescindible optar por tecnologías de terceros países a la Unión Europea.

7. 
Ventajas y tipos de tecnologías cloud

La adopción de tecnologías cloud aporta tanto a la Administración como a la sociedad, una serie de ventajas que permiten el máximo aprovechamiento de los recursos disponibles. Entre otros podríamos indicar:

• Ahorro de tiempo y costes en la implantación de sistemas y servicios.

• Mejora de la productividad general de la Administración.

• Mayor sostenibilidad y menor impacto en el medio ambiente (disminución del consumo energético).

• Alta disponibilidad y agilidad en la ampliación de los servicios ofrecidos por la Administración.

• Accesibilidad y movilidad.

• Eliminación de duplicidades y redundancias • Compartición de recursos y estandarización común.

• Prestación de servicios y recursos a otras organizaciones.

Los servicios Cloud proporcionan una clara ventaja competitiva.

• Aportan flexibilidad con un escalado de los recursos disponibles adaptado a las necesidades del servicio en cada momento.

• Eficiencia, ya que los servicios son provistos con los recursos necesarios en cada momento, lo que genera un coste efectivo ajustado.

• Trabajo optimizado, permitiendo centrarse a las organizaciones en los servicios de más valor añadido.

• Menor coste de acceso a tecnologías innovadoras.

• Colaboración entre equipos. La ubicuidad del acceso hace que los recursos puedan estar dispersos pero con una relación continua entre los equipos de trabajo, permitiendo la posibilidad de desarrollo en cualquier punto del territorio.

• Minimización de riesgos y aumento de la Ciberseguridad.

Esta política cloud, cubre las diferentes modalidades de servicios de nube, como la infraestructura como servicio (IaaS), plataforma como servicio (PaaS) y software como servicio (SaaS), y cómo integrarlos con las aplicaciones y sistemas existentes de la organización. Si bien, ante una necesidad concreta, se priorizarán las soluciones SaaS, para lo cual se realizará el correspondiente análisis de riesgos en el que se evalúen y minimicen los mismos tal y como se establece en la Ley Cloud. Este paradigma es conocido como “comprar antes de construir”, en terminología inglesa “SaaS first”.

Aunque la política fija una orientación hacía un modelo híbrido priorizando la adopción de la tecnología en modalidad servicio, no se desestima que para ciertas cargas sea necesaria una aproximación más cercana al mundo tradicional como es el caso de los modelos IaaS o PaaS (infraestructura o plataforma).

AST dispondrá para las cargas que sean necesarias de un proveedor principal de IaaS + PaaS, pero se podrán aprobar opciones adicionales específicas para escenarios cuando una necesidad no pueda ser cubierta por el proveedor principal o resulte más indicado otro proveedor. Esto facilitará el desarrollo enfocado de las capacidades de nube tanto para AST como para el resto del personal TIC del Gobierno de Aragón, al tiempo que permite abordar necesidades excepcionales.

La política cloud no deja de lado el objetivo garantizar la integridad, la confidencialidad y la disponibilidad de los datos almacenados en la nube, y reducir los riesgos de seguridad asociados con su uso, por tanto, para garantizar la selección de proveedores de nube confiables, se apoyará en la Solución Certificada Cloud de Aragón que permitirá, de manera sencilla, garantizar estos aspectos.

8. 
Usos de las tecnologías cloud y criterios de aplicación.

Tal y como se ha indicado anteriormente, el modelo elegido en la Ley Cloud y especificado en esta política es un modelo híbrido, donde se utilicen aquellos recursos que de manera más adecuada y óptima resuelvan los problemas tecnológicos que se presenten.

Los tipos de servicio previstos para cada modalidad de cloud son:

Cloud público.

Propiedad de un proveedor de servicios cloud, que lo administra y ofrece sus servicios a través de Internet. Susceptible de alojar servicios como:

● Plataformas Web.

● Big Data – IOT – Inteligencia Artificial.

● Entornos de aplicaciones con alta demanda o estacionales.

● Colaboración y mensajería.

● Data Analytics – Datos no confidenciales.

● Servicio de escritorios virtualizados (VDI).

● Servicio de disaster recovery.

Cloud híbrido.

Combina infraestructura local (o cloud privada) con cloud públicas, con el beneficio de las ventajas de ambas. Susceptible de alojar servicios como:

• Data Analytics – Datos confidenciales.

• Sistemas con accesos frecuentes a fuentes de datos internas.

• Entornos colaborativos protegidos.

Cloud privado.

Recursos informáticos que utiliza exclusivamente la Administración ubicada físicamente en el centro de datos local u hospedada por un proveedor de servicios externo.

• Sistemas Legacy.

• Sistemas especializados.

• Fuentes de información sensibles.

No obstante todo lo anterior, la determinación de la modalidad cloud en los casos de datos confidenciales, sensibles o especialmente protegidos estará ligada a los resultados del correspondiente análisis de riesgos o de la evaluación de impacto de protección de datos (EIPD), cuando proceda.

9. 
Proceso de evaluación

Cada solución que se plantee desarrollar o migrar al cloud, deberá ser analizada para determinar su conveniencia de ubicación. Este análisis producirá un inventario de cargas que permita disponer de un mapa de servicios y determinará si el sistema de información correspondiente puede ser migrado tal cual o debe someterse a un proceso de refactorización, readaptación o simplemente es preferible optar por otra solución más adecuada. En lo posible, el proceso de evaluación se automatizará para facilitar su análisis y acelerar el mismo.

Dentro de ese proceso de evaluación, es necesario verificar el cumplimiento de requisitos legales que pueda tener una solución concreta, entre otros o de manera preponderante:

● Reglamento General de Protección de Datos (RGPD) y Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales: los servicios Cloud deben cumplir totalmente con los requerimientos indicados en este reglamento. Aunque el RGPD no exige que los datos deban permanecer en territorio de la UE y es el responsable del tratamiento de los datos el que debe informar al interesado de las posibles transferencias internacionales de datos fuera de la UE para que se adopten las medidas jurídicas apropiadas, esta política incide en la obligatoriedad de que los datos estén dentro del territorio de la UE.

● En consecuencia, el proveedor del servicio de hospedaje en la nube estará localizado dentro de la Unión Europea. Esta condición afecta a la localización de cada uno de los recursos que emplea para implementar el servicio, de forma directa o subcontratada. Y hay que enfatizar que hay que tener en cuenta la localización de todos los recursos pues, por la misma naturaleza del servicio de cloud, los datos pueden estar en cualquier momento en cualquier sitio, pero los derechos y obligaciones relativos a dichos datos han de garantizarse siempre.

Los países de la Unión Europea ofrecen garantías suficientes y no se considera legalmente que exista una transferencia internacional de datos.

En particular, debe tenerse muy presente que autoridades competentes de terceros países en los que se traten datos personales en el marco de los servicios de cloud computing podrían solicitar y acceder a la información de la que las Administraciones públicas son responsables, en algunos casos, sin que se le informe de esta circunstancia.

Por ello, el prestador de servicios de cloud computing realizará una declaración firmada sobre si existe esta posibilidad en alguno de los países donde se vayan a tratar los datos. No se admitirán servicios en las que exista posibilidad de acceso a los datos por la autoridad de terceros países.

● Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas y Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, así como su desarrollo autonómico en la Ley 5/2021, de 29 de junio, de Organización y Régimen Jurídico del Sector Público Autonómico de Aragón.

● Marco normativo del Esquema Nacional de Seguridad y del Esquema Nacional de Interoperabilidad: ambas normas recogen disposiciones relativas a los estándares y procedimientos aplicables en materia de seguridad e interoperabilidad en la Administración Públicas.

● Contemplará también lo dispuesto en el Real Decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones En materia de seguridad y calidad, se deberán tener en cuenta los siguientes aspectos:

● Análisis y gestión de riesgos. Los nuevos desarrollos, así como la migración de servicios y aplicaciones, a entornos de Cloud debe ser objeto de un análisis de riesgos que, en función de la sensibilidad de los datos y el nivel de amenazas, determine, en primer lugar, la conveniencia de esta solución y, en caso afirmativo, los controles y salvaguardas que deben implantarse para mitigar los riesgos hasta un nivel que pueda ser considerado aceptable

● Profesionalidad. Conlleva la necesidad de que, en cualquier modalidad de prestación de servicios en Cloud, la seguridad esté atendida, revisada y auditada por personal cualificado. Al respecto se solicitará que el Cloud esté certificado según las normativas ISO aplicables.

● Protección de la información almacenada y en tránsito. Debido a la especial sensibilidad de los datos tratados por las Administraciones Publicas, la aplicación de técnicas robustas de cifrado tanto a los datos en tránsito como a los datos almacenados constituye una medida necesaria para garantizar su confidencialidad. Asimismo, el contrato de prestación de servicios en Cloud debe contemplar la realización de copias de respaldo de la información de forma que se garantice la plena disponibilidad e integridad de los datos almacenados.

● Incidentes de seguridad y continuidad de la actividad. La adopción de modelos de servicio basados en Cloud debe contemplar una adecuada gestión de las incidencias de seguridad y mecanismos que garanticen la continuidad de las operaciones en caso de catástrofes o incidentes severos.

● Auditoría de la seguridad. La contratación de servicios de Cloud exige garantizar la realización de las auditorias de seguridad ordinarias y extraordinarias previstas según el Esquema Nacional de Seguridad.

● La solución ofertada, en su globalidad, deberá tener, como mínimo, un compromiso de disponibilidad de un 99,9%.

● Conforme a lo establecido en el artículo 22 de la Ley Cloud el proveedor de los servicios de hospedaje en la nube deberá disponer, al menos, de tres zonas de disponibilidad diferenciadas para prestar estos servicios en territorio de la Unión Europea.

● En este sentido, con el fin de facilitar la hipotética portabilidad futura del sistema, el mismo estará basado en infraestructura como código. Además, se seguirá la política de etiquetado que establezca la entidad pública AST.

● La resiliencia multirregional del servicio de hospedaje podrá automatizar el proceso de redirigir a los usuarios a una región secundaria cuando la región primaria de hospedaje sea inaccesible debido a eventos disruptivos, sin pedirle a los usuarios que cambien los códigos de registro. Con la resiliencia multirregional, se pueden usar nombres de dominio completo (FQDN) como códigos de registro para los usuarios. Cuando el servicio no se encuentre disponible en la región principal, puede redirigir a los usuarios a los servicios en la región secundaria según sus políticas de conmutación por error del sistema de nombres de dominio (DNS) para el FQDN.

● Evaluación de Impacto sobre la Protección de Datos (EIPD). Asimismo, los responsables de tratamiento deberán realizar una Evaluación de Impacto sobre la Protección de Datos (EIPD) con carácter previo a la puesta en marcha de aquellos tratamientos para los que sea probable que conlleven un alto riesgo para los derechos y libertades de los interesados. En particular, se requerirá́ la realización de una EIPD cuando el tratamiento conlleve la elaboración de perfiles sobre los cuales se tomen decisiones con efectos jurídicos, se traten datos sensibles a gran escala o se realice una observación sistemática a gran escala de una zona de acceso público.

● El servicio de hospedaje cumplirá los requisitos establecidos en el artículo 22 de la Ley Cloud. Así, este servicio estará certificado conforme al Esquema Nacional de Seguridad para categoría ALTA (Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad) o la norma ISO/IEC 27017 Controles de Seguridad para Servicios Cloud. Certificación vigente a la fecha de publicación de la correspondiente licitación.

● Las empresas que actúen como integradores de las diferentes tecnologías y serán responsables de los servicios de implantación, operación y soporte técnico, deberán disponer, como mínimo de certificación ENS categoría MEDIA.

● En relación al control de la localización de los datos de un usuario, el servicio de cloud será auditable o transparente (en el sentido de la palabra inglesa accountable). El órgano de contratación podrá reclamar información precisa de dónde, cuándo y quién ha almacenado o procesado sus datos (dentro de los recursos propios del proveedor o de la cadena de subcontrataciones), y en qué condiciones de seguridad se ha producido.

● Se dispondrán de los medios que garanticen la no utilización, manipulación o tratamiento mediante minería de datos o algoritmos de los datos alojados en la cloud, ni por parte del proveedor ni por parte de terceros.

Se incorporarán las garantías a las que obliga el artículo 28 del Reglamento General de Protección de Datos (RGPD).

El adjudicatario y, en su caso, el prestador de servicios de Cloud Computing asumen el compromiso de facilitar información, en particular sobre los mecanismos que garantizan el cumplimiento de las obligaciones derivadas de la normativa de protección de datos, para poder considerarlo como un proveedor transparente, como se establece en el art. 28.3 letra h): “pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable”, así como en el párrafo final del mismo artículo "el encargado informará inmediatamente al responsable si, en su opinión, una instrucción infringe el presente Reglamento u otras disposiciones en materia de protección de datos de la Unión o de los Estados miembros”.

En ningún caso, los datos de la organización se enviarán, ni se almacenarán, en los dispositivos de usuarios finales. Además, se podrá administrar qué dispositivos cliente pueden obtener acceso a sus servicios en función de la dirección IP, el tipo de dispositivo cliente o mediante el uso de certificados digitales.

10. 
Fases de implantación en los diversos ámbitos del sector público autonómico

La Política Cloud entrará en vigor tras su publicación en el Boletín Oficial de Aragón.

En el momento de su entrada en vigor la citada política se aplicará a todo el sector público autonómico, excepto a las universidades públicas integradas en el Sistema Universitario de Aragón que podrán adherirse a ella en los términos establecidos en la ley cloud.

11. 
Órganos y organismos responsables

La ley dispone de ciertos mecanismos para lograr con la presente política la coordinación, la gestión y la excelencia operativa.

● AST, en desarrollo de sus competencias recogidas en la ley de creación de la entidad y en la ley cloud, será la encargada de definir el modelo operativo en nube adaptado a las necesidades del Gobierno de Aragón.

● Centro de excelencia en tecnologías en la nube (CCoE). Órgano de apoyo operativo y de gestión de AST con las siguientes funciones:

o Facilitar la adopción de la nube a través del modelo operativo definido por AST.

o Orientar en el uso de los estándares y herramientas definidos.

o Promover la innovación y el testeo de nuevas soluciones.

o Asegurar el cumplimiento de los protocolos y mejores prácticas de seguridad definidos.

● Comisión para las tecnologías cloud con las funciones atribuidas en el artículo 41 de la Ley Cloud que permitirán coordinar actuaciones, su seguimiento, evaluación y comunicación a todo el sector público autonómico.

12. 
Medidas de difusión y efectividad

Conforme a lo dispuesto en el artículo 12 de la Ley Cloud, la entidad Aragonesa de Servicios Telemáticos realizará labores de difusión y asesoramiento del modelo tecnológico definido y establecerá mecanismos de uso del mismo que respondan a las necesidades detectadas en todo el sector público autonómico.

Para asegurar la correcta difusión de las soluciones se dispondrá de un espacio web dentro del portal del gobierno de Aragón donde se podrán a disposición el inventario de soluciones, las arquitecturas de referencia, soluciones, API, servicios reutilizables, así como aquellas instrucciones técnicas que sean de aplicación.

Desde el punto de vista de los servicios, es necesario tener en cuenta los objetivos que se esperan lograr con el desarrollo y migración de aplicaciones, y un conjunto de criterios funcionales que permitan priorizar y asociar estrategias sobre el Mapa de servicios como son:

● Alineamiento tecnológico: Desde el punto de vista tecnológico, es necesario conocer el Mapa de Servicios y su situación, además de disponer de un conjunto de criterios tecnológicos que permitan establecer la estrategia sobre los mismos. A partir de una primera visión de la estrategia, identificando las acciones más adecuadas, es necesario realizar un análisis exhaustivo aplicando un mayor detalle en cómo será la ejecución, complementando con variables de convivencia, arquitectura de referencia y riesgos.

● Cultura: Como parte de la Gestión del Cambio, los equipos de trabajo tendrán que utilizar nuevas tecnologías y modelos de trabajo, por lo que la estrategia debe tener en cuenta cómo se van a alinear las capacidades y conocimientos de los equipos con las necesidades según se ejecuta el desarrollo o la migración de aplicaciones. Este alineamiento se formalizará en las medidas necesarias para la gestión del cambio de forma que los equipos dispongan de las capacidades correspondientes en el momento en que sea necesario utilizarlas.

● Procesos: Desde la estrategia debe planificarse la definición de los procesos, con orientación hacia la automatización de actividades y aprovechar los beneficios de la integración y entrega continua. Los procesos deben definirse para favorecer la velocidad y continuidad del negocio, logrando la escalabilidad y mantenimiento de los sistemas con mayor valor y mismo esfuerzo.

Se trabajará desde AST con los departamentos y organismos del Gobierno de Aragón para desarrollar políticas responsables al objeto de reducir el uso de tecnologías en nube no regladas, conocidas como tecnologías en la sombra, al objeto de minimizar los riesgos asociados a la misma.

Las tecnologías en nube, permiten a las distintas unidades y servicios, comportarse más libremente en términos de adopción de soluciones tecnológicas, no obstante, éstas deben estar debidamente capacitadas para hacerlo de manera que no incurran en ineficiencias, duplicidades, soluciones ya desplegadas o no se evalúen correctamente los riesgos. Los informes de viabilidad serán el instrumento que permita el control de la adecuada aplicación de la política cloud.

Para asegurar la calidad de los servicios cloud se usarán los instrumentos que prevé la ley y otros que esta política enuncia.

1. La Solución Cloud Certificada de Aragón (SCCA) va a permitir evaluar las opciones de proveedores de nube y realizar una evaluación exhaustiva y seleccionar aquellos que cumplan con los requisitos de seguridad, confiabilidad y rendimiento que se establezcan por AST. Evaluar la capacidad de los proveedores para satisfacer nuestras necesidades actuales y futuras.

2. Inventario de aplicaciones y servicios: Identificar las aplicaciones que son candidatas para la migración a la nube, basadas en su criticidad para el negocio, los requisitos de rendimiento y los costos asociados. Realizar un análisis coste beneficio para determinar qué aplicaciones son las más adecuadas para migrar a la nube, así como un análisis de riesgo asociado. Esta evaluación se realizará dentro del plan de adaptación de las infraestructuras informáticas.

3. Implementación de una arquitectura de nube híbrida adecuada: Desarrollar una arquitectura de nube que se adapte a nuestras necesidades de rendimiento, seguridad y escalabilidad de los servicios del Gobierno de Aragón. Todas las cargas deberán integrarse en la landing zone que AST gestiona y que permite, entre otros, incluir servicios de monitoreo, seguridad y gestión de identidades y accesos para garantizar la seguridad y la disponibilidad de los datos.

4. Desarrollo de nuevas aplicaciones basadas en la nube: Identificar oportunidades para desarrollar nuevas aplicaciones basadas en la nube que puedan impulsar la innovación y mejorar la eficiencia en la organización. Se considerará el uso de plataformas como servicio (PaaS) para acelerar el desarrollo y reducir los costes, en detrimento de otras soluciones solo basadas en infraestructura como servicio (Iaas).

5. Capacitación del personal: Proporcionar capacitación y educación al personal sobre los servicios de nube, su uso y su impacto en la organización. Desarrollar políticas y procedimientos claros para el uso de los servicios de nube en la organización.

6. Evaluación continuamente el rendimiento: Evaluar regularmente el rendimiento de los servicios de nube y su impacto en la organización. Realizar ajustes y mejoras según sea necesario para garantizar la efectividad de la estrategia de nube.

7. Gestión del cambio cultural: La adopción de una estrategia cloud puede ser un cambio cultural importante para una organización, por lo que es necesario gestionar este cambio adecuadamente. El centro de excelencia en tecnologías cloud ayudará a este fin. Del mismo modo, la comisión para las tecnologías cloud prevista en la ley cloud, permitirá la discusión y el enriquecimiento mutuo al respecto de la adopción de la nube, la comunicación clara sobre la importancia de la estrategia y los beneficios que se esperan, y la participación de todos los departamentos y niveles de la organización.

8. Evaluación y mitigación de los riesgos de seguridad: La seguridad de los datos es una preocupación clave al adoptar una estrategia cloud. Es importante evaluar los riesgos de seguridad y tomar medidas para mitigarlos, como implementar controles de acceso adecuados, cifrar los datos en tránsito y en reposo, y garantizar la continuidad del negocio en caso de una interrupción del servicio en la nube. El órgano interno de AST, AST-CERT, será parte esencial en este punto.

9. Implementación de un modelo de gestión de costes: La adopción de servicios de nube puede aumentar la complejidad de la gestión de costes, por lo que es importante implementar un modelo de gestión de costes claro y efectivo. Esto podría incluir el uso de herramientas de monitoreo y análisis de costes, la implementación de políticas de uso de nube y la asignación de costes a los departamentos correspondientes, haciendo foco en la transparencia.

10. Aseguramiento de la conformidad con las regulaciones: Las regulaciones y estándares cloud pueden afectar la adopción de la estrategia cloud. Es importante asegurar que los proveedores de servicios cloud seleccionados cumplan con los estándares necesarios y de que se implementen controles adecuados conforme a las regulaciones aplicables. El sello SCCA facilita estas acciones.

11. Consideración de la migración a la nube híbrida: La migración a la nube híbrida, tal y como establece esta política, es la opción elegida para mantener algunas aplicaciones o datos en los centros de datos propios del Gobierno de Aragón. Esto puede proporcionar beneficios de nube mientras se mantiene el control de los datos más críticos para el negocio.

12. Evaluación continua de la política: La adopción de una política cloud es un proceso continuo y en constante evolución. Es importante evaluar continuamente la estrategia y realizar ajustes según sea necesario para garantizar que siga siendo efectiva y alineada con los objetivos y metas de la organización. Esto puede incluir la evaluación de nuevos proveedores de nube, la identificación de nuevas aplicaciones para migrar a la nube y la implementación de nuevas tecnologías para mejorar el rendimiento y la eficiencia.

Operativamente se establecen los siguientes requisitos:

1. Evaluación de riesgos. Se realizará, una evaluación de riesgos para determinar el nivel de seguridad requerido para una solución concreta y se establecerán medidas de seguridad apropiadas. Conforme al ENS la evaluación de riesgos debe incluir la identificación de los activos críticos y de los posibles riesgos asociados al uso de la nube. A partir de esta evaluación, se establecerán medidas de seguridad apropiadas, como el cifrado de datos, la autenticación de dos factores o la segmentación de redes. Es importante que la evaluación de riesgos sea un proceso continuo y que se actualice periódicamente para adaptarse a los cambios en el entorno de la nube y a las amenazas emergentes. Los requisitos de seguridad vienen marcados en el artículo 22, que podrán ser adaptados, según el estado del arte en cada convocatoria.

2. El acceso a los servicios de nube, en los casos necesarios, se gestionará mediante una autenticación de dos factores o el mecanismo de seguridad más fiable en cada momento.

3. El acceso a los servicios de nube debe estar restringido a aquellos empleados o servicios que tengan una necesidad legítima de acceso. Se establecerán controles de acceso basados en roles y permisos para garantizar que los empleados y las aplicaciones solo tengan acceso a los recursos de nube necesarios.

4. Cifrado de Datos: Se utilizará cifrado de datos para proteger la confidencialidad de la información almacenada en la nube. Se requiere el cifrado de datos tanto en reposo (almacenados en la nube) como en tránsito (durante la transferencia de datos entre la organización y el proveedor de nube). AST gestionará las claves de cifrado para garantizar que solo las personas autorizadas puedan acceder a la información cifrada.

5. Infraestructura como código: Se requiere que todos los servicios a desplegar, sean en infraestructura como código. La infraestructura como código (IaaC) es un enfoque para la gestión de infraestructura de tecnología de la información que consiste en escribir código para describir y configurar la infraestructura de manera automatizada, en lugar de configurarla manualmente. En otras palabras, la infraestructura es tratada como si fuera una aplicación, y se utiliza código para describirla y definirla, de manera que se pueda versionar, probar y automatizar su despliegue y mantenimiento. En la práctica, esto significa que los administradores de sistemas y los desarrolladores pueden definir y configurar toda la infraestructura de la empresa utilizando lenguajes de programación y herramientas de automatización. Estos lenguajes serán de alto nivel e independientes del proveedor hyperescalar al objeto de garantizar la portabilidad de soluciones, con las necesarias adaptaciones. En estos momentos, se utiliza la herramienta Terraform, por lo que los scripts a proporcionar serán implementados con esta herramienta.

Las ventajas de la infraestructura como código son varias:

● Gestión eficiente de la infraestructura en base a la automatización de procesos de configuración y mantenimiento.

● Gestión de la configuración a través de herramientas de control de versiones.

● Creación de infraestructura de manera consistente y escalable.

6. Política de Etiquetado: Todos los activos a desplegar, deberán ser etiquetados conforme a la política que establezca AST. Una política de etiquetado cloud es un conjunto de reglas que establecen cómo deben ser etiquetados los recursos en la nube de una empresa.

En general, una política de etiquetado cloud establece los siguientes elementos:

● Las etiquetas (metadatos) que se deben aplicar a los recursos en la nube.

● El formato de las etiquetas para asegurar que sean consistentes en todos los recursos y sistemas.

● Cuándo deben aplicarse las etiquetas (al crear un recurso, al modificarlo o al eliminarlo).

● Los procedimientos y las herramientas que se deben utilizar para aplicar las etiquetas de manera consistente y eficiente.

● Cómo se deben gestionar las etiquetas a lo largo del ciclo de vida de los recursos.

● La política de etiquetado nos permitirá categorizar y organizar los recursos de manera eficiente. Las etiquetas se utilizarán también para el control del coste de los recursos, establecer políticas de seguridad y cumplimiento, y para automatizar tareas como la copia de seguridad, la replicación y la recuperación de desastres. Además, las etiquetas serán utilizadas por las herramientas de automatización para identificar y tomar acciones sobre recursos específicos en función de sus etiquetas, lo que permite una administración más automatizada y eficiente de la infraestructura en la nube.

7. Respaldo de datos: Se realizarán copias de seguridad de los datos almacenados en la nube de forma regular y se comprobará periódicamente su integridad.

8. Supervisión y auditoría: Se implementarán medidas de supervisión y auditoría para detectar y responder a posibles amenazas de seguridad en la nube.

Se utilizarán herramientas de monitoreo y registro de eventos para recopilar información sobre el uso de los servicios de nube, la actividad de los usuarios y las posibles amenazas de seguridad.

La realización de auditorías periódicas permitirá evaluar el cumplimiento de la política de nube e identificar posibles mejoras en la seguridad.

9. Capacitación y Concientización: Se proporcionará capacitación y concientización sobre la seguridad en la nube a todos los empleados del sector público autonómico, para garantizar que los empleados comprendan los riesgos de seguridad asociados al uso de la nube y las medidas de seguridad que deben implementarse para proteger la información de la organización.

Será necesario proporcionar capacitación inicial y periódica sobre la política cloud y las mejores prácticas de seguridad en la nube.

10. Actualizaciones y Parches: Se implementarán actualizaciones y parches de seguridad de forma periódica en los servicios de nube utilizados por la organización.

Los servicios de nube utilizados en el sector público autonómico estarán protegidos contra posibles vulnerabilidades y amenazas de seguridad.

11. Cumplimiento Legal y Regulatorio: Se establecerán los controles precisos que aseguren el cumplimiento las leyes y regulaciones aplicables en relación al almacenamiento y procesamiento de datos, tanto en la nube pública como privada.

12. Evaluación y Mejora Continua: La política de nube será evaluada y mejorada de forma continua para garantizar que se mantenga actualizada y efectiva en relación a las nuevas amenazas y vulnerabilidades de seguridad en la nube. Se realizarán evaluaciones periódicas de la política de nube, al menos cada dos años, para identificar posibles áreas de mejora.

13. 
El reto de la gestión del talento

Las estrategias del Gobierno de Aragón pretenden remodelar transversalmente nuestra economía basada en el conocimiento. La educación y la adquisición de nuevas habilidades están en su núcleo, adaptando nuestros programas actuales a nuevos desafíos, metodologías y habilidades.

La apuesta decidida del Gobierno de Aragón por el Cloud requiere inequívocamente de profesionales debidamente cualificados en diferentes ámbitos.

El reto de la gestión del talento en relación con las tecnologías en la nube es una cuestión relevante en la actualidad, ya que la adopción de la nube ha transformado significativamente la forma en que las organizaciones operan y brindan servicios. Los principales retos:

1. Escasez de personal con las capacidades necesarias: La adopción y el uso efectivo de las tecnologías en la nube requieren de personal con habilidades específicas en la gestión de infraestructuras y servicios en la nube. Sin embargo, existe una escasez de profesionales con experiencia en estas áreas, lo que dificulta contar con el talento adecuado, ya sea tanto por parte del personal del Gobierno de Aragón como de los proveedores que en un determinado momento puedan prestar servicio.

2. Actualización de habilidades: La naturaleza evolutiva de las tecnologías en la nube implica que los profesionales deben mantenerse actualizados y adquirir constantemente nuevas habilidades. Las organizaciones enfrentan el desafío de asegurar que su personal tenga la capacitación y formación necesaria para aprovechar al máximo las tecnologías en la nube y mantenerse al día con las últimas tendencias.

3. Competencia por el talento: La demanda de profesionales con habilidades en tecnologías en la nube es alta, lo que ha generado una competencia intensa entre las organizaciones para atraer y retener a este talento. Esto puede resultar en una inflación salarial y dificultades para las empresas más pequeñas o con recursos limitados para competir en el mercado laboral.

4. Cultura y cambio organizacional: La adopción de tecnologías en la nube no solo implica cambios técnicos, sino también cambios culturales y organizativos. Las organizaciones deben fomentar una cultura de innovación y adaptabilidad, y capacitar a sus empleados para que se sientan cómodos trabajando con herramientas y enfoques basados en la nube. Esto puede requerir un cambio en la mentalidad y una inversión en programas de capacitación y cambio organizacional.

5. Gestión de equipos virtuales: Las tecnologías en la nube permiten el trabajo remoto y la colaboración en equipos distribuidos. Sin embargo, esto también presenta desafíos en la gestión de equipos virtuales, ya que se requiere una comunicación efectiva, coordinación y establecimiento de metas claras para garantizar un rendimiento óptimo. Los responsables deben adaptar sus habilidades de gestión para supervisar y motivar a los equipos de manera efectiva en este entorno.

En general, el reto de la gestión del talento en relación con las tecnologías en la nube radica en encontrar y retener profesionales con habilidades relevantes, mantenerse al día con los avances tecnológicos, fomentar una cultura de adaptabilidad y gestionar eficazmente equipos virtuales.

La implantación de la política cloud, permitirá invertir en programas de formación, desarrollo y actualización del talento, así como en la creación de un entorno de trabajo que promueva la innovación y la colaboración en las tecnologías en nube.

El Gobierno de Aragón con sus medios técnicos TIC, a través de los mecanismos existentes, impulsará y generará itinerarios formativos en estas tecnologías para lograr profesionales formados y especialistas en las diferentes tecnologías que el Cloud requiere, tal y como se articula en el artículo 12. Medidas de apoyo al uso de infraestructuras y servicios de las tecnologías cloud.

14. 
Mecanismos de evaluación de la implantación

Toda política debe fijar unas metas, para poder comprobar su adecuada adopción y su adecuación los objetivos previstos. Para la política actual, se fijan las siguientes metas como marco referencial:

● Evaluar el 100% de los servicios y soluciones para definir el tipo de nube en el que se alojarán durante el primer año de aplicación de la política cloud.

● Construir el inventario y mapa de servicios de las soluciones disponibles.

● Migrar el 75% de los servicios y soluciones susceptibles de migración al cloud en los próximos 2 años.

● Reducir los costes de infraestructura en un 15 % mediante la adopción de servicios de nube, en los 3 primeros años.

● Mejorar la disponibilidad de las soluciones migradas en su integridad a la nube a un 99,9 %, mediante la implementación de una arquitectura de nube adecuada.

● Desarrollar nuevas aplicaciones basadas en la nube que impulsen la innovación en la organización, dedicando al menos el 20% del esfuerzo de desarrollo a soluciones cloud native.

● Mejorar la colaboración y la eficiencia en el trabajo mediante el uso de servicios de colaboración, logrando que al menos un 80% de los empleados públicos utilicen soluciones de colaboración basadas en tecnologías en la nube.

La implementación de esta estrategia cloud permitirá al Gobierno de Aragón mejorar la eficiencia, reducir los costes y mejorar la disponibilidad y el rendimiento de sus aplicaciones. También le permitirá impulsar la innovación y la colaboración en la organización mediante el uso de servicios de nube.

15. 
Inventario de servicios cloud del sector público autonómico

En la actualidad, los servicios alojados en la nube son los siguientes:

1. Plataforma de Gobernanza de datos del Gobierno de Aragón

La plataforma de Gobierno del Dato es el servicio más importante que se provee desde nube pública.

Hace uso de la misma la aplicación MiA, “Mi Aragón”, que es la carpeta ciudadana de Aragón. Está en constante crecimiento e incorporación de datos.

2. Servicio ARAGON-HOY

El servicio ARAGON-HOY es un portal la Dirección de Comunicación para la información al ciudadano y a la prensa de las acciones del Gobierno.

Los datos ahí alojados, al ser públicos, no presentan ninguna criticidad en cuanto a confidencialidad se refiere.

3. Servicio de virtualización de escritorios teletrabajo.

El servicio de virtualización de escritorios permite el acceso a un PC o Escritorio determinado del Gobierno de Aragón desde cualquier ubicación y dispositivo.

Existen varios tipos distintos según la configuración que en su momento se determinó, STANDARD, INAEM, AGRICULTURA.

El servicio no aloja datos, ya que es una pasarela para los empleados públicos que permite el acceso a un escritorio ‘tipo’ desde cualquier ubicación.

4. Servicio de virtualización de escritorios VDI de Justicia.

El servicio de virtualización de escritorios permite el acceso a un PC o Escritorio virtualizado desde cualquier ubicación y dispositivo. Existen varios tipos según perfil del usuario. Se usa indistintamente para el trabajo en oficina o en teletrabajo.

5. Servicios auxiliares de la Landing Zone.

Los servicios que permiten la operatividad de la Landing Zone (Control de la organización, auditoria, securización, etc.) no almacenan datos personales.

16. 
Medidas para mejorar la alfabetización digital

Para mejorar la alfabetización digital en el entorno de las tecnologías en la nube se realizarán las siguientes medidas:

1. Programas de formación: En colaboración con el Instituto Aragonés de

Administración Pública, se implementarán programas de formación y capacitación en alfabetización digital que se centren específicamente en las tecnologías en la nube. Estos programas formativos se adaptarán según las necesidades de cada grupo objetivo.

2. Acceso a recursos formativos: Se facilitará el acceso a recursos formativos relacionados con la alfabetización digital y las tecnologías en la nube, poniendo a disposición acciones de autoformación y itinerarios para el auto aprendizaje, como pueden ser tutoriales en línea, videos explicativos, guías paso a paso y documentos informativos que ayuden a las personas a comprender y utilizar eficientemente los servicios en la nube.

3. Fomentar el uso de servicios en la nube: Se promoverá el uso de servicios en la nube en entornos educativos, empresariales y en el sector público, poniendo a disposición capacidades, asistencia técnica especializada y campañas de sensibilización sobre los beneficios y las mejores prácticas del uso de la nube.

4. Desarrollo de habilidades prácticas: Se utilizarán las migraciones, pruebas de concepto y nuevas puestas en producción de servicios construidos sobre tecnologías en la nube, para enfatizar la adquisición de habilidades prácticas en el uso de tecnologías en la nube.

5. Colaboración y trabajo en equipo: Se promoverá la colaboración y el trabajo en equipo utilizando herramientas y servicios en la nube, como compartir y editar documentos en tiempo real, organizar tareas y proyectos, y comunicarse de manera efectiva a través de plataformas de colaboración en línea.

6. Sensibilización sobre la seguridad: en el marco del plan formativo y de concienciación: Se educará sobre las prácticas de seguridad en la nube y cómo promover la conciencia de los posibles riesgos y amenazas.

7. Actualización y adaptación continua: Dado que las tecnologías en la nube están en constante evolución, es esencial fomentar la actualización y adaptación continua de las habilidades digitales. Esto implica la organización de talleres, cursos y eventos que permitan a las personas mantenerse al día con las últimas tendencias y avances en el campo de la nube.

8. Se fomentará dentro de los foros TIC de AST, para el personal TIC del Gobierno de Aragón, la presencia de contenidos relacionados con las tecnologías en nube que permita conocer las iniciativas o actuaciones realizadas en este campo en cualquier ámbito del sector público.

Estas medidas ayudarán a mejorar la alfabetización digital en relación con las tecnologías en la nube, permitiendo a las personas aprovechar al máximo los beneficios que ofrece este entorno tecnológico y mejorar su capacidad para trabajar y colaborar de manera efectiva.