Inicio A fondo La soberanía en cloud

La soberanía en cloud

Redefinir la estrategia de adopción en la nube

Por

20 marzo, 2023

19787

La soberanía y las dependencias de terceros que la nube puede generar forzarán a las organizaciones a reevaluar su estrategia de adopción de cloud. En adelante será necesario que se concentren en aspectos como estos o en la estrategia de salida, los cuales, hasta ahora, no han sido prioritarios.

La cada vez mayor adopción de la nube pública ha mostrado beneficios ampliamente conocidos, tales como la escalabilidad, la flexibilidad o el acceso a la innovación. Sin embargo, existe una creciente preocupación respecto a la soberanía y las dependencias de terceros que la nube puede generar. Dichas dependencias se pueden agrupar, fundamentalmente, en dos ámbitos: geopolítico y regulatorio.

En cuanto al primero, los eventos geopolíticos recientes han puesto de manifiesto los riesgos asociados a la falta de soberanía; además, las crisis globales han mostrado cuánto se depende de determinados países a la hora de proveerse de productos o materiales clave. Todo lo anterior ha hecho evidente la necesidad de desarrollar estrategias para mejorar la resiliencia de la cadena de suministro. Así, la autonomía estratégica se ha convertido en una prioridad absoluta para la Unión Europea (UE) debido a las tensiones comerciales con China y Estados Unidos.

Por otro lado, el contexto regulatorio en el que operan las organizaciones es una de las principales palancas para la soberanía cloud. La protección de los datos se ha convertido en uno de los focos de los reguladores y puede que requiera un mayor control.

En este sentido, existen tres riesgos clave en el ámbito regulatorio:

En primer lugar, las regulaciones locales de protección de datos pueden imponer a las organizaciones un mayor control sobre los datos confidenciales de los usuarios.
En segundo lugar, en virtud de la CLOUD Act, Estados Unidos puede solicitar a las organizaciones datos almacenados en regiones fuera de sus fronteras.
Por último, estas deben contemplar el riesgo de que las regulaciones locales no permitan el uso de infraestructura de nube pública extranjera en el futuro.

Soberanía del dato

La UE lidera globalmente esta preocupación, aunque no le pertenece en exclusiva ya que otras regiones muestran un interés similar. Desde el punto de vista de la industria, los ámbitos sometidos a un mayor impacto son el sector público y la defensa. Sin embargo, otros sectores críticos, como el sanitario, financiero o energético, están empezando a mostrar interés por este ámbito.

A falta de una definición formal y consensuada globalmente, la soberanía puede tomar muchas formas e implicaciones en función de a quién se le pregunte. Podemos decir que la soberanía en la nube es la capacidad de una organización que utiliza servicios en la nube para ejercer un control autónomo sobre la propiedad y el uso de los datos, así como sobre el acceso a ellos; dicho de otro modo: se trata de controlar el flujo de datos y ejercer la elección sobre la infraestructura que se utiliza para procesarlos.

El concepto de soberanía obligará a que las organizaciones reevalúen sus estrategias de adopción de la nube

La soberanía del dato ha sido el principal punto de atención cuando hablamos sobre soberanía en la nube. Su principal objetivo es garantizar la seguridad e integridad de los datos de la organización, y constituye la capa más importante para cumplir con los distintos reguladores. Se puede definir como la capacidad de una organización para mantener el control sobre sus datos, incluido dónde y cómo se almacenan, cómo se protegen y procesan, y quién tiene acceso a ellos.

Las organizaciones solo pueden lograr la soberanía total de los datos si son sus propietarias. En su defecto, deben apoyarse en acuerdos y contratos con terceros, lo que limita el grado de soberanía que pueden alcanzar.

Los esfuerzos en este ámbito se han centrado en garantizar el control y la trazabilidad de los datos, adecuar los grados de seguridad al nivel de sensibilidad y confidencialidad, y almacenar los datos cumpliendo con la regulación en materia de privacidad.

Mantener el control

Sin embargo, el concepto de soberanía en la nube se está empezando a ver de una forma más amplia, desde el punto de vista tecnológico, lo cual afecta a otras capas, como, por ejemplo, la de software. Esta se refiere a la capacidad de una organización para ejecutar un software o soluciones independientemente de la estrategia de producto de un fabricante. Dicha capacidad incluye controlar el código fuente, los procesos de desarrollo y las actualizaciones, así como la capacidad de cambiar entre proveedores de plataformas.

De hecho, el interés por las soluciones de código abierto está aumentando, puesto que pueden ejecutarse en plataformas diferentes; se evita así depender de terceros.

Desde el punto de vista de la capa de infraestructura y comunicaciones, base de la soberanía para el resto de las capas, es relevante fijarse en la cadena de suministro, tal y como se ha visto en los ámbitos del 5G y los semiconductores.

Por último, la soberanía operacional se enfoca en brindar a las organizaciones visibilidad y control sobre las operaciones de sus proveedores. Esto ayuda a evitar el acceso no autorizado a sus datos a través de la supervisión y el control de los servicios de TI, así como mediante los elementos de configuración necesarios para operar servicios en la nube de forma segura y eficaz, alineados con las políticas de soberanía.

En este sentido, Francia y Alemania están liderando en Europa la respuesta a esta preocupación. Existen iniciativas recientes que plantean una nube soberana nacional, a través de alianzas entre proveedores de nube americanos con proveedores nacionales.

La soberanía del dato ha sido el principal punto de atención cuando hablamos sobre soberanía en la nube

Dichas alianzas garantizan que la infraestructura y los datos estén ubicados en Europa, física y lógicamente separados del proveedor de nube americano, el cual aporta sus capacidades de innovación. De este modo, el proveedor nacional es quien tiene la posesión sobre los activos y la capacidad para operarlos.

Los proveedores de nube, por su parte, han hecho un esfuerzo al ofrecer sus funcionalidades de tal modo que cumplan con la regulación en torno al dato. Fruto de ese esfuerzo son servicios como, por ejemplo, el de encriptación externa.

Gestión de riesgos

La soberanía en la nube también está relacionada con la gestión de riesgos y su mitigación. Aumentar la soberanía tiene consecuencias, como el incremento del coste o la necesidad de renunciar a algunas funcionalidades. Los métodos más básicos y adoptados son los que limitan la ubicación de los datos o el acceso a ellos.

En el siguiente nivel encontramos el escenario que asegura que se cumpla la regulación regional o local. Al incrementar el coste y las capacidades se plantean escenarios que incorporan la autonomía de las operaciones a nivel de plataforma de datos europea o la posibilidad de desconectarse por completo de los proveedores de nube para lograr el más alto nivel de soberanía.

En síntesis, el concepto de soberanía obligará a que las organizaciones reevalúen sus estrategias de adopción de la nube, algo que deberán hacer prestando atención a aspectos como la estrategia de salida o las dependencias con terceros, los cuales, hasta ahora, no han sido prioritarios.

Aplicación práctica de la ética en los proyectos de inteligencia artificial

Minería de procesos inteligente

En busca de una IA confiable

Estrategias data-centric

Justificar el cambio a SAP S/4HANA

Minería de procesos basada en objetos

El metaverso industrial

Modelos multicloud e hybrid cloud

Hablamos sobre automatización del middleware

Sam Altman, CEO de Open AI

“La digitalización de las pymes no tiene por qué ser compleja”

HP DaaS+ Hybrid: experiencia de usuario, seguridad y sostenibilidad

Datos interconectados

Digitalización del área financiera

IAG a nivel empresarial

El cine y la IA

Soberanía del dato

Mantener el control

Gestión de riesgos

ÚLTIMAS NOTICIAS

Esri: datos y contexto geoespacial

Gobierno y la resiliencia en la nube

IA: invertir para obtener valor

KYC (know your customer) e identidad digital

LO MÁS LEÍDO

Acabar con el cibercrimen

Encriptación homomórfica

Garantizar la identidad del usuario

Protegido: Administración y seguridad en kubernetes

CATEGORÍAS POPULARES