A medida que los datos y las nubes se regionalizan, la urgencia por adaptarse a una era digital cada vez más localizada sube. Los CIOs no pueden esperar más tiempo a la hora de afrontar la soberanía digital.
El movimiento por la soberanía digital está cobrando impulso. A nivel global, se están aprobando leyes en diferentes regiones que exigen la residencia o el procesamiento local de los datos. Se puede tomar como ejemplo la iniciativa europea Gaia-X sobre la nube soberana, o la serie de leyes cada vez más comunes sobre datos hiperlocales, como el RGPD de la UE, la Ley DPDP de la India, las normas provinciales canadienses, la CCPA de California y muchas otras.
Aunque la soberanía de los datos lleva años gestándose, su importancia ha aumentado recientemente, exigiendo que se le preste atención desde el cloud y desde todos los entornos digitales. “Observo un notable aumento de la urgencia en torno a la soberanía digital, y es imposible ignorarla”, afirma Doug Gilbert, director de informática y director de datos de Sutherland Global.
La combinación de los crecientes problemas geopolíticos y de un clima posglobalización que es favorable a la gobernanza está llevando a muchos CIO a explorar arquitecturas independientes en cuestiones geográficas y a reexaminar las nubes privadas locales, de coubicación o nacionales. También está empujando a los hiperescaladores y a las plataformas enterprise a introducir nuevas ofertas y configuraciones complejas para cumplir con las leyes locales.
A pesar de la creciente concienciación, muchos CIO todavía están evaluando el panorama y cómo responder. “No hay muchas guías”, afirma Tim Crawford, asesor estratégico de CIO y analista del sector. “Pero no se debe adoptar un enfoque pasivo. Sé consciente, sé diligente y sigue adelante”.
“Observo un notable aumento de la urgencia en torno a la soberanía digital, y es imposible ignorarla”
Doug Gilbert
Por lo tanto, este es el momento de actuar. Para los CIO globales, la respuesta consiste en evaluar cómo afecta la soberanía digital a su organización en la actualidad y, a continuación, trazar un plan para preparar su estrategia de cara al futuro y evitar una mayor fragmentación.
Las tensiones globales impulsan respuestas soberanas.
Smit Shanker, director de informática global de Xebia, destaca las tensiones geopolíticas, la inestabilidad global y los problemas comerciales que alimentan la creciente preocupación por la soberanía digital. “Sin duda, se ha convertido en un tema extremadamente importante que hay que plantearse y resolver”, apunta.
Aunque la IA acapara la atención, Shanker advierte que no se debe pasar por alto las estrategias digitales fundamentales. “Estar preparado para la IA y utilizarla para diferenciarse también significa tener el control de los activos digitales, y ahí es donde la soberanía cobra una importancia fundamental”, añade.
Para otros CIOs, el creciente interés por la soberanía digital viene impulsado por aumento de las expectativas en control y transparencia, y por el tratamiento de los datos como un activo estratégico. “Las organizaciones quieren saber dónde se encuentran sus datos, quién puede acceder a ellos y cómo se protegen”, afirma Mike Blandina, director de informática de la empresa de almacenamiento de datos en la nube Snowflake. “Como CIOs, nuestra función es ayudar a las empresas a afrontar estos cambios sin sacrificar la innovación”, afirma.
Las multas son otra preocupación, ya que el coste del incumplimiento es cada vez mayor, afirma Rich Murr, director de clientes e información del proveedor de software ERP Epicor. “Las leyes y normativas sobre datos específicas de cada región llevan varios años en vigor, pero cada vez más jurisdicciones están estableciendo sus propias normas”, afirma. Para Murr, la creciente complejidad aumenta la urgencia de actuar.
Gilbert, de Sutherland Global, también considera que las sanciones por incumplimiento son un elemento motivador, pero otorga la misma importancia a otros factores. “Las dinámicas geopolíticas, como las tensiones tecnológicas entre Estados Unidos y China, están empujando a los países a ejercer un mayor control sobre sus ecosistemas de datos”, afirma.
La creciente preocupación pública por la privacidad y los implacables ciberataques también refuerzan la necesidad de resiliencia. “Ha quedado claro por qué teníamos que dar prioridad a nuestra respuesta en materia de soberanía digital para proteger los datos y la reputación”, añade Gilbert.
La soberanía digital comienza a remodelar las operaciones
Las diferentes leyes sobre soberanía de datos ejercen presión sobre las operaciones de las empresas globales. “China es motivo de especial preocupación, ya que exige la capacidad de inspeccionar y evaluar las infraestructuras”, afirma Scott Wheeler, socio de Asperitas Consulting. Estas leyes exponen a las organizaciones a multas cuantiosas, que a menudo exigen duplicar la infraestructura en el país y realizar auditorías adicionales de los datos personales.
Eamonn O’Neill, director tecnológico de Lemongrass, que ayuda a las empresas a ejecutar SAP en el cloud, también ha observado un aumento del interés por las nubes alternativas. Y no se trata solo del cumplimiento normativo: las empresas también se sienten atraídas por la mayor resiliencia y seguridad que ofrece el cloud soberano en comparación con los hiperescaladores tradicionales.
Para contrarrestarlo, los hiperescaladores están introduciendo cloud soberano propio. “Están realizando un seguimiento activo de los marcos de control localizados que se están publicando en diferentes regiones, zonas geográficas y jurisdicciones para asegurarse de que pueden cumplirlos”, afirma O’Neill. “Se trata claramente de un ciclo de innovación impulsado por la demanda de los clientes, y vemos que está creciendo rápidamente”. Para O’Neill, la automatización es la clave para hacerlo posible de una manera flexible y adaptable.
Es mejor planificar ahora que reaccionar más tarde.
En respuesta a esta vorágine de factores, muchas organizaciones están tomando ya medidas. “Hemos dejado atrás de forma decisiva la mentalidad de esperar y ver qué pasa, y estamos remodelando activamente nuestras estrategias”, afirma Gilbert. “El punto de inflexión ha sido doble: los plazos reglamentarios inminentes y la necesidad imperiosa de preservar la confianza de las partes interesadas”, indica. Para el equipo de Gilbert, esto ha supuesto auditar los flujos de datos, alinearse con los mandatos regionales e invertir en nuevas estrategias de infraestructura.
Las organizaciones que actuaron pronto ahora están cosechando los frutos. “Empezamos a invertir pronto, mucho antes de los recientes cambios políticos”, afirma Blandina, y para Snowflake esto implicó invertir en infraestructura localizada y asociarse con proveedores cloud para cumplir los requisitos regionales de residencia de datos, privacidad y cumplimiento normativo. “Planificar el cambio, en lugar de reaccionar ante él, es la única forma de estar preparados para afrontar la disrupción”, señala.
“Planificar el cambio, en lugar de reaccionar ante él, es la única forma de estar preparados para afrontar la disrupción”
Mike Blandina
Otros expertos también coinciden en que un enfoque proactivo es clave para preparar la organización para el futuro y reducir el riesgo. “Como empresa global que está sujeta a la jurisdicción de muchos organismos reguladores, el cumplimiento normativo y la prevención de riesgos son cuestiones que debemos abordar de forma proactiva”, afirma Murr, de Epicor. “En la mayoría de los casos, esperar a ver qué pasa no es una opción viable”, indica.
Aun así, algunos CIOs están evaluando el panorama y recopilando información para orientar las decisiones prácticas. “Nos encontramos en la fase de evaluaciones y valoraciones activas”, afirma Shanker, de Xebia. “Los requisitos que impulsan estas implementaciones aún no están completamente definidos, lo que significa que debemos volver a lo básico para garantizar que nuestras soluciones sean modulares, escalables, seguras y locales, según lo determinen las regulaciones del mercado y regionales”.
Cómo los CIO están liderando las adaptaciones
El auge de la soberanía digital y las leyes regionales sobre datos ya está transformando las estrategias operativas, de datos y de cloud en las empresas globales. Para afrontarlo, los CIO globales están liderando diversas iniciativas, entre las que se incluyen la repatriación de cargas de trabajo, el despliegue de zonas de nube soberanas o regionales, la implementación de centros de datos periféricos y la intensificación del control y la auditoría de datos.
“Estas regulaciones han alterado fundamentalmente nuestro panorama operativo”, afirma Gilbert. “Países como los Emiratos Árabes Unidos, con estrictas leyes de residencia de datos, nos han obligado a reevaluar dónde almacenamos la información confidencial”. Sutherland Global utiliza centros de datos localizados de los principales proveedores de cloud, también conocidos como cloud soberanas. Además, han reforzado el control de acceso para cumplir con las restricciones de transferencia transfronteriza, todo lo cual tiene un coste, aunque necesario.
Xebia, por su parte, está explorando una reforma más profunda a través de una infraestructura de datos de diseño propio e independiente de la región. “Nos dimos cuenta de que desarrollar estas capacidades nos posiciona mejor que tener que apresurarnos a hacerlo luego, cuando los requisitos se conviertan en mandatos no negociables”, afirma Shanker. “Desde el punto de vista operativo, estamos invirtiendo en la formación del equipo en materia de residencia de datos, gestión de claves de cifrado y prácticas de DevOps que cumplan con la soberanía”, explica.
Otra estrategia es la de crear sistemas que funcionen en todas las jurisdicciones. “A menudo, las empresas estadounidenses que operan a nivel internacional adoptan prácticas similares al RGPD en todo el mundo”, afirma Wheeler, de Asperitas. Aunque este enfoque suele ser más económico que gestionar operaciones diferentes en cada país, sigue aumentando los costes generales, añade.
Los CIOs de los proveedores de plataformas son los que se enfrentan a la mayor carga operativa. Blandina explica que la soberanía digital ha llevado a Snowflake a implementar nuevas regiones cloud, controles de límites regionales y desarrollos dentro de la propia región en mercados soberanos. “La clave es crear arquitecturas de datos seguras que sean lo suficientemente flexibles como para cumplir los requisitos locales, pero que sigan permitiendo una escala global”, afirma. “La soberanía no tiene por qué ser un obstáculo, sino que puede ser un catalizador para crear estrategias de datos más sólidas y preparadas para el futuro”, asegura.
La plataforma, responsable de la compliance
¿Quién asume la responsabilidad de la compliance en materia de soberanía digital: las plataformas cloud o las empresas que las utilizan? La mayoría de las empresas esperan que los proveedores de servicios cloud implementen controles específicos para cada región con el fin de cumplir con los requisitos normativos. Por ejemplo, la localización de datos como servicio es una solución emergente de servicios en la nube.
“Llevamos muchos años aprovechando las soluciones SaaS y recurrimos a estos mismos proveedores para garantizar que cumplimos con los requisitos de soberanía digital en todo el mundo”, afirma Murr. “Al igual que muchas evoluciones tecnológicas, creo que esto acabará convirtiéndose en una oferta de algo como servicio bastante fácil de aprovechar”.
Descargar la carga del cumplimiento normativo en las plataformas también permite adoptar el enfoque de quedarse con lo mejor. “Cuentan con la infraestructura y la experiencia necesarias para ofrecer soluciones de soberanía digital, y con una enorme oportunidad para monetizar esta oferta”, añade.
Pero a los usuarios finales les cuesta seguir el ritmo, afirma Crawford, ya que es demasiado complicado convertirse en un experto en todos los requisitos normativos. En su lugar, confiarán en los proveedores para que incorporen la compliance en las herramientas. Las empresas más cercanas al mercado del business data están en la mejor posición para hacerlo, añade. Dado su dominio en el comercio mundial, tiene sentido que SAP, por ejemplo, supervise los datos transaccionales. Del mismo modo, IBM podría gestionar los sistemas de las grandes empresas, los datos de los clientes de Salesforce y los datos de los empleados de ServiceNow o Workday.
Shanker, de Xebia, está de acuerdo en que la responsabilidad de crear servicios y opciones que cumplan con la normativa soberana recae en los proveedores de plataformas, como los proveedores de CRM y ERP. Sin embargo, cree que las empresas siguen siendo responsables de las decisiones arquitectónicas y de la gobernanza de los datos y las operaciones.
Otras de las fuentes también consideran que el papel está en cierto modo dividido. “Creo que el cumplimiento normativo funciona mejor cuando es una responsabilidad compartida”, afirma Blandina. Si bien los proveedores de plataformas deben tomar la iniciativa en la creación de una infraestructura segura y diseñada para cumplir con la normativa, así como en la abstracción de la complejidad, los usuarios finales deben gobernar activamente la forma en que se implementan las herramientas. 2El resultado es una postura de cumplimiento más sólida y resistente”, añade.
Una guía para los CIO
Los CIOS globales, en particular los de empresas con sede en Estados Unidos, se enfrentan a un entorno normativo global cada vez más fragmentado. Esta realidad podría remodelar el ecosistema de proveedores de tecnología, abriendo espacio para la innovación y la aparición de nuevos líderes, predice Shanker. “Vale la pena mirar más allá de las conexiones y alianzas tradicionales”, afirma.
En este panorama volátil, las empresas deben ser proactivas, no reactivas, para prepararse para nuevos cambios normativos. Esto significa satisfacer las necesidades de los clientes en sus jurisdicciones específicas y sus necesidades normativas, y elegir plataformas que ofrezcan estas capacidades de forma predeterminada.
“Hay que aprovecharse de los proveedores de SaaS que han incorporado soluciones de soberanía digital en sus plataformas”, aconseja Murr, y Blandina añade que las empresas globales deben dar prioridad a la inversión en plataformas y conexiones que ofrezcan configuración, transparencia y cumplimiento normativo desde el diseño. En su caso, considera que esto significa diseñar para la opcionalidad utilizando arquitecturas modulares y preparadas para el cumplimiento normativo. “Los entornos normativos seguirán evolucionando y los requisitos de soberanía digital solo se volverán más matizados”, afirma Blandina.
Las organizaciones también necesitan contar con un sistema de supervisión para saber cuándo se produce un incumplimiento normativo. “Existen requisitos legales que establecen que, si se produce un incumplimiento, el reloj empieza a correr en el momento en que se produce y se debe notificar a los afectados”, afirma Crawford. “El problema es que, si no se cuenta con un sistema de gobernanza, es posible que ni siquiera se sepa [que ha pasado]”, indica.
“Es probable que el futuro traiga consigo requisitos más estrictos de localización de datos, una mayor fragmentación normativa y la expectativa de un mayor control sobre los activos digitales”
Smit Shanker
El cloud ya no es sin fronteras
En Estados Unidos, 20 estados han promulgado ya leyes integrales de privacidad de datos. Y con el aumento de las regulaciones de datos específicas de cada país, nos dirigimos hacia un mundo cada vez más desglobalizado y compartimentado. Esta tendencia refleja la incertidumbre nacional y geopolítica, la mayor preocupación por la privacidad y la importancia intrínseca de los datos digitales para la sociedad en general.
“La soberanía digital solo cobrará más importancia a medida que los datos adquieran mayor relevancia en la política económica, la seguridad nacional y la innovación”, afirma Blandina. “Creo que solo estamos aún empezando a ver cómo se manifiestan las necesidades de soberanía, y las empresas y plataformas que están innovando en este ámbito estarán en la mejor posición para el futuro”.
Si bien en las últimas dos décadas el cloud computing sin restricciones sustituyó a los sistemas locales, ahora la balanza se inclina hacia la gobernanza. “Es probable que el futuro traiga consigo requisitos más estrictos de localización de datos, una mayor fragmentación normativa y la expectativa de un mayor control sobre los activos digitales”, afirma Shanker. “Por lo tanto, la TI empresarial debe evolucionar desde un enfoque centrado en la eficiencia hacia uno resiliente en materia de soberanía, dando prioridad a la opcionalidad sin perder las ventajas de la estandarización y la eficiencia. Este será el nuevo reto”.
Para la mayoría de CIOs a nivel mundial, los riesgos del incumplimiento normativo se han vuelto demasiado grandes como para no darles prioridad. Más allá de las multas, la exclusión del mercado y el daño a la reputación pueden acarrear graves consecuencias para la empresa. La soberanía adoptará diferentes formas en cada región, lo que requerirá una respuesta meticulosa. Esta combinación de estos factores significa que es hora de actuar.
“Hay que ser mucho más minucioso y sofisticado con las arquitecturas de las aplicaciones y los modelos de gobernanza de datos”, afirma Crawford. Aunque la IA generativa podría ofrecer algún tipo de apoyo, lo específico de las normativas de datos y su constante evolución hacen que una IA no determinista sea una apuesta arriesgada. Por tanto, se precisa agilidad y una capacidad para adaptarse a las nuevas leyes al mismo tiempo que aparecen. Como dice Crawford: “Súbase, abróchese el cinturón y agárrese fuerte”.
