Productos Propios vs. Servicios en la Nube
Para muchas agencias de violencia doméstica y agresión sexual es difícil decidir si deben comprar o guardar su propio equipo y software o utilizar servicios y productos basados en la nube (o hacer una combinación de los dos). Hay consideraciones importantes que las agencias necesitan tener en cuenta al tomar decisiones, las más importantes incluyen la privacidad y seguridad de sobrevivientes y la obligación de confidencialidad de la agencia.
Servicios y Productos Basados en la Nube
Los productos basados en la nube pueden incluir los servicios de almacenamiento de datos, como Dropbox, Google Drive, iDrive, Microsoft OneDrive; las bases de datos en la nube, como Client Track, Social Solutions, o Apricot; herramientas de comunicación basadas en la nube, como Gmail, Basecamp, o Google Chat; o productos para oficinas basados en la nube, como Google Docs o Microsoft 365.
Ventajas
Precio: En la mayoría de los casos, los servicios basados en la nube pueden costar menos que comprar su propio servidor, una base de datos y software. Dependiendo del tipo de servicio de la nube, las agencias pueden utilizarlo gratis, pagar una tarifa descontada para organizaciones sin fines de lucro o sólo pagar por lo que necesiten. Esta flexibilidad puede ser útil para agencias con presupuestos limitados.
Mantenimiento: Con los servicios basados en la nube, la compañía de la nube tiene la responsabilidad de mantener y actualizar el equipo y el servicio.
Seguridad: Por lo general, las compañías de la nube tendrán seguridad básica para proteger los datos que almacenan. El nivel de seguridad será diferente dependiendo del tipo de servicio; puede que algunos servicios tengan más seguridad que otros. Pero, incluso las compañías grandes de la nube han sido víctimas de brechas y hacks.
Adaptabilidad y Flexibilidad: Dependiendo del servicio, es posible que una agencia pueda aumentar o reducir el tamaño del almacenamiento, el número de usuarios o añadir o quitar opciones según las necesidades de la agencia.
Desventajas
Todos los productos basados en la nube almacenarán los datos creados por la agencia y la mayoría también tiene acceso a esa información. Esto puede ser muy problemático, particularmente cuando una agencia quiere almacenar datos confidenciales, como la información sobre sobrevivientes. Las agencias tienen que evaluar la seguridad del servicio, cómo podría compartir datos, intencionalmente o no, y el nivel de control que la agencia realmente tiene sobre sus proprios datos.
Acceso:
Puesto que se almacenan los datos de la agencia en un servidor de un tercero, es posible que la compañía tenga acceso a esos datos. Puede que muchos proveedores digan que no se permite que sus empleados/as tengan acceso a los datos de clientes pero eso no significa que no es posible hacerlo. Puede que este acceso sea necesario como parte de sus prácticas de negocios o para el mantenimiento. De todos modos, la habilidad de una compañía de la nube de tener acceso a la información personalmente identificable de sobrevivientes sería una violación de las leyes federales de confidencialidad. Algunos proveedores de la nube, como EmpowerDB, ofrecen lo que se llama “Zero Knowledge Encryption,” (o "encriptación sin ningún conocimiento"), que significa que el proveedor no tiene ningún conocimiento de, ni acceso a, los datos de la agencia. Con sistemas sin ningún conocimiento, la agencia retiene todo el control sobre los datos porque retiene la clave del cifrado.
Incluso cuando no tengan acceso a los datos mismos, puede que algunas compañías recopilen algún tipo de información, por ejemplo al monitorear el uso de los datos, las cuentas de usuarios y las direcciones de IP y es posible que compartan esa información con socios y otras partes, como anunciantes. Las agencias que piensan utilizar los servicios de la nube de un tercero necesitan hacer preguntas y saber todas las maneras diferentes de que los servicios de la nube podrían tener acceso a sus datos.
También hay que manejar el acceso desde la agencia. Una de las características de los servicios de la nube es la habilidad de tener acceso a los datos desde cualquier lugar, con tal de que el/la usuario/a tenga acceso al internet. Esto también es una de sus principales desventajas. Cuánto más acceso hay a los datos, más vulnerables podrían ser esos datos, y más oportunidades hay para divulgar esos datos. Las agencias necesitarán desarrollar políticas y mejores prácticas sobre la seguridad de sus aparatos, la seguridad con el acceso a la red de wi-fi y si el personal puede tener acceso a esos servicios de la nube desde sus aparatos personales (algo que no se recomienda).
Otra desventaja de los productos basados en la nube es que dependen del internet para tener acceso a los datos o al servicio. Si hay un corte de luz o fallo tecnológico – para la agencia o la compañía –la agencia no tendría acceso a su información.
Divulgaciones de Datos: La mayoría de los servicios de la nube divulgarán los datos de sus clientes bajos ciertas circunstancias, por ejemplo al responder a una orden de búsqueda o una citación. Las agencias deben revisar los términos de uso y las políticas de privacidad y seguridad de la compañía para aprender exactamente cuándo la compañía divulgará sus datos y bajo qué circunstancias. Si la compañía revelara información con una citación que la agencia sólo divulgaría con una orden judicial, es un problema grave. Como ya se mencionó antes, si la compañía ya puede ver los datos para poder compartirlos, esto sería un problema porque sería una violación de las obligaciones federales de confidencialidad.
Las agencias también deben saber lo que sucedería con sus datos si la compañía se cerrara o si fusionara con o fuera adquirida por otra compañía. ¿Se avisará a la agencia y le dará una oportunidad de recuperar sus datos? Las agencias deben clarificar el proceso de cómo recuperarían sus datos y cuánto tiempo tendrían para hacerlo.
Seguridad: Aunque la mayoría de los servicios de la nube tendrá algún tipo de seguridad, no son inmunes a las brechas ni a los fallos de seguridad. Las agencias deben saber si se les avisarán si hay una brecha que afecta sus datos y qué pasos la compañía está tomando para abordar la brecha.
Además, puede que muchos servicios basados en la nube digan que su servicio está "cifrado", pero esto puede significar cosas diferentes. La mayoría del tiempo la encriptación ocurre sólo durante el proceso de comunicación: cuando el/la cliente/a entra en la cuenta y accede a los servicios de la nube. Es posible que la encriptación no cifre los datos mientras está en los servidores de la compañía (cuando descansen), y absolutamente no incluye encriptación desde la agencia. Las agencias todavía tendrán que asegurarse de que sus aparatos y su acceso al internet sean seguros.
Políticas sobre la Retención y la Destrucción: Uno de los beneficios de los servicios de la nube es que automáticamente crean copias de seguridad para evitar pérdidas. Pero, eso también significa que los datos de una agencia podrían estar en múltiples lugares y accesibles incluso después de que la agencia los "borre". Las agencias deben hacer preguntas sobre cómo la compañía maneja la retención y la destrucción de datos.
Limitaciones para la Customización: Muchos servicios de la nube venden un producto específico y las agencias no pueden personalizar el producto para cumplir sus necesidades. Incluso si la customización está disponible, frecuentemente es limitada. Si las agencias buscan características muy específicas o tienen necesidades únicas, es posible que los servicios basados en la nube no cumplan esas necesidades.
Equipo y Software Propios
El equipo y el software propios pueden incluir un servidor dedicado, software de email para la agencia como Microsoft Outlook, o software para la oficina como Microsoft Office.
Ventajas
Control: Por la mayor parte, si la agencia tiene su propio equipo y software, tiene todo el control sobre los datos, desde la determinación de quién tiene acceso hasta cuándo se borran los datos.
Flexibilidad: Las agencias pueden hacer cambios rápidamente sin tener que esperar a una compañía externa. También es posible que tengan más flexibilidad sobre la customización de ciertas opciones.
Confidencialidad y Privacidad: Puesto que todo está en el local, la agencia puede determinar quién tiene acceso, cuándo se puede divulgar información y cómo ajustar las políticas de seguridad y privacidad según lo que está haciendo.
Desventajas
Personal: Puesto que todo está ubicado en el local, las agencias tendrán que contratar a personal de IT o a un/a asesor/a de IT para mantener y actualizar el equipo y el software.
Costo: Es posible que comprar y mantener el equipo y el software cueste mucho más que utilizar servicios basados en la nube.
Seguridad: Las agencias todavía tienen que asegurarse de que tengan políticas para abordar la seguridad, incluyendo software de seguridad y políticas sobre los niveles de acceso, las contraseñas de usuarios/as y directrices sobre la retención y la destrucción de datos.
Factor de Decisión – ¿Qué Tipo de Datos Se Almacenan?
Aunque hay muchos factores que considerar, como el costo, la facilidad del uso, las opciones de seguridad y privacidad, las necesidades de gerencia a largo plazo y si tiene la adaptabilidad y las funciones que la agencia necesite, primero las agencias necesitan considerar si el servicio de la nube le da a la agencia la habilidad de mantener privacidad y seguridad sobre sus datos. Esto es particularmente importante para programas de violencia doméstica y agresión sexual que tienen que cumplir con las obligaciones federales de confidencialidad.
Puede que los servicios basados en la nube no sean la mejor opción si las agencias van a utilizar, crear, almacenar o comunicar información personal sobre sobrevivientes de violencia doméstica, agresión sexual o acecho. Incluso si el servicio basado en la nube no comparte ninguna información, si hay una posibilidad de que se pueda ver los datos (por ejemplo, durante el mantenimiento regular), podría violar las obligaciones federales de confidencialidad de la agencia si utiliza a sabiendas un sistema que permite que otras personas tengan acceso a los datos de sobrevivientes. Puede que utilizar servicios basados en la nube para datos que no son de sobrevivientes y utilizar sistemas propios para datos confidenciales y/o que podrían identificar a sobrevivientes sea la mejor combinación.