Cuando un organismo del sector público evalúa una plataforma de escritorios virtuales, la lista de finalistas suele reducirse a los nombres más conocidos, que se puntúan en función de las características de seguridad, el rendimiento y el precio. Hay una cuestión que rara vez se incluye en la matriz de evaluación, y es precisamente la que, sin hacer ruido, puede prevalecer sobre todas las demás:
¿A quién se le puede obligar, en última instancia, a acceder a tus datos?
No se trata de dónde se almacenan los datos, sino de a quién se le puede obligar a entregarlos.
El riesgo que entraña la Ley CLOUD y que se oculta tras una implementación “conforme a la normativa”
La mayoría de los equipos de TI de la administración pública tienen bien controlados los requisitos de residencia de datos. Los datos permanecen en el país, en una infraestructura autorizada, cifrados y sometidos a auditorías. Sobre el papel, cumplen con la normativa.
Aquí radica el problema. Varios de los principales proveedores de escritorios virtuales y DaaS están sujetos a la jurisdicción de EE. UU. En virtud de la Ley CLOUD de EE. UU., un proveedor sujeto a dicha jurisdicción puede verse obligado a entregar los datos que obren en su poder, custodia o control en respuesta a una solicitud judicial estadounidense, incluso cuando dichos datos estén almacenados fuera de Estados Unidos. El hecho de que un proveedor aloje los datos de su organismo en un centro de datos local no elimina necesariamente ese riesgo, ya que la obligación recae sobre el proveedor, no sobre la ubicación del servidor.
Para una empresa comercial, esto suele ser un riesgo aceptable. Para un organismo público, o cualquier organización sujeta a obligaciones de soberanía, puede suponer un motivo de exclusión, y con frecuencia no sale a la luz hasta una fase avanzada del proceso de contratación, si es que llega a salir. Una plataforma puede cumplir todos los requisitos de una lista de verificación de residencia y, aun así, permitir que un gobierno extranjero acceda a los datos del organismo a través del proveedor.
Por lo tanto, la cuestión de la soberanía no es “¿dónde se almacenarán nuestros datos?”, sino “¿está nuestro proveedor sujeto a una legislación extranjera que pueda obligarle a revelar información?”. Si la respuesta es afirmativa, los controles de residencia son una medida parcial, no completa.
¿Qué es lo que realmente diferencia a las plataformas de VDI en materia de soberanía y seguridad?
Una vez que te planteas la pregunta adecuada, hay una serie de factores que son los que realmente marcan la diferencia entre unas plataformas y otras a la hora de utilizarlas en el sector público.
Competencia del proveedor.
Este es el factor diferenciador que la mayoría de las evaluaciones pasan por alto. Un proveedor que se encuentre fuera de la jurisdicción de EE. UU. no está sujeto a la Ley CLOUD en primer lugar. Inuvika tiene su sede en Canadá y no está sujeta a dicha ley. En el caso de las implementaciones locales, Inuvika OVD Enterprise no recopila ningún dato de los clientes, lo que reduce considerablemente esta exposición específica a la Ley CLOUD; cuando se opta por un servicio gestionado, este se presta a través de socios de alojamiento locales independientes, en lugar de una única nube global.
Dónde se almacenan físicamente los datos durante una sesión.
Centralizar los datos en el centro de datos, donde nunca residen en el terminal, supone una mejora estructural en materia de seguridad con respecto a los ordenadores de sobremesa tradicionales. La plataforma debe, por diseño, mantener los datos fuera del dispositivo.
Arquitectura y superficie de ataque.
Los entornos Windows siguen siendo un objetivo principal del ransomware, por lo que reducir la dependencia de Windows en el plano de control de la VDI puede disminuir la exposición a las vías de ataque habituales específicas de Windows. Una plataforma basada en Linux puede reducir la exposición a las vulnerabilidades habituales específicas de Windows y a las dependencias de los parches antes incluso de realizar cualquier configuración. Inuvika OVD Enterprise está desarrollado sobre Linux. A esto hay que añadir un modelo «Zero Trust», autenticación multifactorial integrada y cifrado de extremo a extremo como características nativas, en lugar de complementos de pago.
Control de terminales.
Un sistema operativo de cliente ligero con configuración restringida, como ResoluteOS de Inuvika, reduce la superficie de ataque de los terminales y, como ventaja adicional, convierte el hardware obsoleto en clientes ligeros seguros, lo que prolonga su vida útil en lugar de obligar a renovarlo.
Las agencias que aplican la discriminación por costes pueden defenderse
La soberanía y la seguridad determinan si una plataforma es viable. El coste determina si supera el escrutinio público, y el modelo de concesión de licencias es el aspecto en el que las plataformas difieren más.
Las licencias por usuario designado implican que se paga por cada cuenta definida, independientemente de si está en uso o no. Las licencias por usuarios simultáneos implican que solo se paga por los usuarios que están conectados al mismo tiempo. En entornos del sector público con turnos o de carácter estacional, esto puede suponer una fracción del número total de usuarios designados. Una plataforma basada en Linux también evita la acumulación de licencias de Windows Server y SQL Server. Las agencias que se pasan a Inuvika OVD Enterprise informan de reducciones en el coste total de propiedad de hasta un 60 % en comparación con las plataformas heredadas, y las licencias concurrentes son mucho más fáciles de justificar en un presupuesto público que un modelo por puesto que se adapta al organigrama.
El papel de Inuvika
Inuvika OVD Enterprise se ha diseñado en torno a la combinación que el sector público realmente necesita: un proveedor fuera de la jurisdicción de EE. UU. que no esté sujeto a la ley CLOUD Act, una arquitectura «Zero Trust» basada en Linux, flexibilidad de hipervisor y nube sin dependencia de un único proveedor, y un modelo de licencias por usuarios simultáneos que resista el escrutinio presupuestario.
Para los compradores del sector público, lo más importante son las pruebas, y la pregunta clave es qué tipo de pruebas. Varios municipios alemanes han optado por Inuvika OVD Enterprise, entre ellos las ciudades de Núremberg, Sulzbach, Stadthagen y Diez. El hecho de que un gobierno preocupado por la soberanía elija esta plataforma es la prueba más directa de que el argumento anterior se sostiene en la práctica de la contratación pública, y no solo sobre el papel.
Inuvika también supera, en términos más generales, exigentes evaluaciones de seguridad y de entrega de aplicaciones. La NASA evaluó múltiples alternativas antes de elegir a Inuvika para proporcionar aplicaciones de Windows y Linux a sus usuarios. Esto pone de manifiesto la solidez de la evaluación más que la soberanía en concreto; una agencia aún tiene que cerciorarse por separado de la jurisdicción, que es precisamente la razón por la que la pregunta que figura al principio de este artículo ocupa el primer lugar.
Si tu agencia está elaborando sus criterios de evaluación, la cuestión de la soberanía debe figurar en la parte superior de la matriz, no en las notas a pie de página. Descubre cómo se compara Inuvika OVD Enterprise como un plataforma VDI soberana y segura, o empezar una prueba gratuita para ver cuánto se podría ahorrar con las licencias concurrentes.
Preguntas frecuentes
¿Cumple la residencia de datos con los requisitos de soberanía del Gobierno?
No. La residencia se refiere al lugar donde se almacenan los datos. La soberanía, por su parte, se refiere a quién puede acceder legalmente a ellos u obligar al proveedor a revelarlos. Una implementación que cumpla con los requisitos de residencia puede quedar expuesta si el proveedor está sujeto a una legislación extranjera.
¿Está Inuvika sujeta a la ley CLOUD de EE. UU.?
Inuvika tiene su sede en Canadá y no está sujeta a la jurisdicción de EE. UU., por lo que no está sujeta a la Ley CLOUD. En el caso de las implementaciones locales, Inuvika OVD Enterprise no recopila datos de los clientes.
¿Cómo reduce el modelo de licencias concurrentes el coste de la VDI para el sector público?
Las licencias por usuarios simultáneos consisten en pagar únicamente por el número máximo de usuarios conectados al mismo tiempo, en lugar de por cada usuario designado. En entornos del sector público con turnos, de temporada o a tiempo parcial, ese número puede suponer solo una fracción de la plantilla designada, lo que resulta más fácil de justificar en un presupuesto público.

