Publicado por David Howard
Vicepresidente Corporativo y Abogado General Adjunto

El pasado viernes por la tarde, supe que se había abierto al público un lote de documentos judiciales que revelaban un hecho particularmente asombroso: el Departamento de Justicia de Estados Unidos había rechazado la declaración de Google respecto a que Google Apps for Government (el paquete basado en la nube de Google para clientes gubernamentales) se había certificado conforme al Federal Information Security Management Act (Ley Federal de Seguridad de la Información, o FISMA). Dada la cantidad de veces que Google ha anunciado esa declaración, éste no es un suceso insignificante.

¿Cómo ocurrió todo esto? El año pasado, el Departamento del Interior seleccionó las ofertas de Microsoft para su nuevo sistema de correo electrónico basado en la nube. En octubre, Google respondió entablando una demanda en contra del Gobierno. Como resultado, el trabajo de los ingenieros y los profesionales en TI se vio interrumpido, por lo menos temporalmente, debido al proceso de presentación de declaraciones de los abogados. Eso representó demoras importantes para el Departamento del Interior, que estaba intentando ahorrar millones de dólares y actualizar sus servicios de correo electrónico para sus 88,000 empleados. Google anunció su demanda con una proclamación de apoyo a la “competencia abierta”, y luego promovió agresivamente los beneficios de seguridad de Google Apps for Government. Google presentó una moción para un mandato preliminar donde decía tres veces al tribunal, en un solo documento (vea las páginas 18, 29 y 37), que Google Apps for Government estaba certificado conforme a la FISMA.

Google ha repetido esa declaración en muchas otras partes. De hecho, durante varios meses y apenas esta mañana, el sitio web de Google afirma: “Google Apps for Government – ahora con certificación FISMA”. Y por si eso fuera poco, Google va más lejos en otra página web y afirma: "Google Apps for Government está certificado y acreditado de conformidad con el Federal Information Security Management Act (FISMA)".

Soy el primero en aceptar que la certificación de FISMA es importante. La Ley crea un proceso para que las agencias federales acrediten y certifiquen la seguridad de los sistemas de manejo de información como el correo electrónico, de modo que la certificación de FISMA sugiere que una solución en particular ha demostrado cumplir con un nivel adecuado de seguridad para una necesidad específica.

Así que imaginen mi sorpresa el viernes por la tarde cuando, después de cierto retraso, algunos de los documentos judiciales se abrieron al público, por lo menos una parte de ellos. Ahí, ante los ojos de todos, estaba la declaración del Departamento de Justicia que contradecía a Google en una de sus declaraciones básicas sobre FISMA. El acta de los documentos judiciales (en la página 13) leía: “El 16 de diciembre de 2010, el abogado del Gobierno supo que, no obstante las representaciones de Google ante el público en general, su abogado, la Oficina de Auditoría General (GAO) y este tribunal, Google Apps for Government de Google no cuenta con la certificación de FISMA”.

Por lo visto, esta revelación fue tan sorprendente para los abogados del Departamento de Justicia como para mí. El acta del Departamento de Justicia afirma: “Contactamos de inmediato a los abogados de Google, compartimos esa información y notificamos a los abogados que comunicaríamos este asunto al Tribunal”.

El Departamento de Justicia reconoce que la Administración de Servicios Generales (GSA) había certificado en julio pasado una oferta diferente de Google, Google Apps Premier, para su propio uso conforme a FISMA. Tal y como lo explica el acta del Departamento de Justicia: “No obstante, Google pretende ofrecer Google Apps for Government como una versión más limitada de su producto y actualmente se encuentra en el proceso de concluir su aplicación para recibir la certificación de FISMA para su Google Apps for Government”. Por si acaso quedará duda sobre esta situación, el acta agrega: “Para ser claros, en opinión de la GSA, que es la agencia que certificó Google Apps Premier de Google, Google no cuenta con certificación de FISMA para Google Apps for Government”. Estas declaraciones están respaldadas por cinco anexos al acta sobre este tema, de los cuales dos, desafortunadamente, continúan cerrados en esta etapa del procedimiento legal.

Mientras leía todo esto el viernes, mi primera reacción fue que quizá algo positivo podría resultar de la demanda de Google. Durante meses, varias personas han estado solicitando detalles sobre la certificación FISMA de Google. Para decirlo de manera benévola, debido a la falta de disposición de Google por resolver las dudas, los hechos siguen siendo poco claros. Pero gracias a la demanda, parece que finalmente estamos comenzando a obtener algunas respuestas.

Conforme meditaba más acerca de este tema, mi segunda reacción fue preguntarme qué estaría pensando Google al continuar afirmando que Google Apps for Government tiene certificación de FISMA. No pretendo obtener todas las respuestas y reconozco que siempre hay dos versiones de la misma historia. ¿Pero cuál es la otra versión de ésta?

Google no puede pensar que la certificación de FISMA para Google Apps Premier cubre también Google Apps for Government. Si ese fuera el caso, ¿por qué Google, según los anexos al acta del Departamento de Justicia, decidió presentar una solicitud independiente ante la FISMA para Google Apps for Government?

Tampoco parece probable que Google crea que dos ofertas sean tan similares que sus diferencias simplemente no importen a la gente. Después de todo, si los hechos son tan veraces, ¿por qué insistir en contar una historia de ficción? Google podría fácilmente haber explicado que recibió la certificación para Google Apps Premier y que estaba en el proceso de buscar la certificación para Google Apps for Government. En lugar de eso, Google ha seguido declarando que Google Apps for Government tiene su propia certificación de FISMA.

¿Entonces por qué dijo Google a los gobiernos y al público que Google Apps for Government estaba certificado por FISMA incluso antes de que hubiera presentado la solicitud para esa certificación? Tendremos que esperar a que Google nos responda, pero hay algo que considero innegable: cuando se trata de seguridad, los hechos sí importan. Tal y como lo señaló el Departamento de Justicia en su acta, la primera certificación FISMA de Google para Google Apps Premier sólo aplica para la configuración de la infraestructura y las necesidades de seguridad de la Administración de Servicios Generales. Como lo menciona el Departamento de Justicia en su acta (página 10), el Departamento del Interior concluyó que “tenía una baja tolerancia al riesgo” dada “su responsabilidad de manejar información confidencial como datos sobre el fideicomiso indio e información policiaca”. A Google quizá no le agrade la estrategia del Departamento del Interior, pero ciertamente parece razonable.

Mientras esperamos a que Google cuente su versión de la historia, tal vez sea tiempo de hacer otra pregunta: ¿no debía Google haber ya publicado una corrección en su sitio web? El Departamento de Justicia ha concluido en forma contundente que Google Apps for Government no cuenta con certificación de FISMA.

La competencia abierta debiera abarcar una competencia legítima. Es momento de que Google deje de mentir a los gobiernos.