Durante años, “irse a la nube” se entendió como mover infraestructura. En 2026, muchas organizaciones han aprendido que el verdadero reto no es dónde se ejecuta una máquina virtual o un contenedor, sino quién controla el riesgo: el coste, la continuidad, el cumplimiento y la capacidad de cambiar cuando el negocio lo exige.
En este contexto, se ve una tendencia clara: empresas medianas‑grandes buscan más control. A veces es un retorno a entornos privados; otras, un modelo hosted/private dentro de un proveedor cloud que les permite mantener el consumo como servicio, pero con más aislamiento, trazabilidad y cercanía operacional. Lo relevante no es si lo etiquetan como “público” o “privado”, sino si el modelo responde de forma medible a tres preguntas: ¿puedo operar con tranquilidad?, ¿puedo auditar sin fricción?, ¿y puedo salir si lo necesito?
La diferencia entre “tengo controles” y “estoy protegido” está en la operación: capacidad de monitorizar, detectar, responder y aprender. NIS2 refuerza este enfoque al exigir medidas de gestión de riesgos y al establecer obligaciones de reporting y cooperación ante incidentes
RAÚL IZQUIERDO, ALHAMBRA IT
Además, Europa está empujando el mercado hacia una nube más gobernable. NIS2 establece un marco legal común para elevar el nivel de ciberseguridad en la UE, con mayor alcance, reglas más claras y herramientas de supervisión más fuertes, e introduce medidas de gestión del riesgo y requisitos de notificación de incidentes. En paralelo, el Data Act aplica desde el 12 de septiembre de 2025 e incluye medidas para aumentar la competencia en el mercado cloud europeo; entre ellas, un capítulo para facilitar el switching entre proveedores de servicios de procesamiento de datos, con requisitos mínimos para contratos cloud y medidas para interoperabilidad. En la práctica, estas fuerzas empujan a un mismo punto: pasar de “estar en cloud” a tener control sobre seguridad, continuidad, cumplimiento y capacidad de cambio.
Hay seis criterios para elegir un cloud enterprise que no se limite a ser un hosting:
Índice de temas
Soberanía y auditabilidad (sin fricción)
Para muchas organizaciones, que la operación y los datos estén bajo un marco claro de jurisdicción y control es un requisito de partida. En la práctica, esto se traduce en trazabilidad, transparencia operacional y una relación que soporte auditorías de forma natural, con evidencias y colaboración cuando el cliente lo necesita.
Ciberseguridad operable (no seguridad “de catálogo”)
La diferencia entre “tengo controles” y “estoy protegido” está en la operación: capacidad de monitorizar, detectar, responder y aprender. NIS2 refuerza este enfoque al exigir medidas de gestión de riesgos y al establecer obligaciones de reporting y cooperación ante incidentes. Para el cliente, el resultado buscado es simple: menos puntos ciegos, menos improvisación y más capacidad de demostrar qué ha pasado, qué se ha hecho y qué queda mitigado.
Resiliencia real (no solo “alta disponibilidad”)
La continuidad no se resuelve con un SLA genérico, sino con diseño, replicación cuando aplica y un plan probado. Cuando esto está bien planteado, el cliente deja de “inventar el DR” en cada proyecto y pasa a apoyarse en mecanismos repetibles, con objetivos de recuperación claros (RPO/RTO) y pruebas periódicas.
Operación gestionada y un equipo cercano al negocio
El mejor cloud no es el que “te da una consola”, sino el que reduce carga operativa y sorpresas: supervisión, soporte en evoluciones y un equipo estable que entiende la criticidad y los picos del negocio. Esa continuidad del equipo es, muchas veces, la diferencia entre reaccionar y anticiparse, y entre vivir cada auditoría como un esfuerzo excepcional o como un proceso controlado.
Onboarding y migración de principio a fin (con seguridad desde el día 1)
Migrar desde on‑prem o desde un hyperscaler no es copiar máquinas: requiere plan, ventanas, pruebas, validación y coordinación con el negocio. Pero, además, requiere rediseñar cómo se opera la carga: políticas, segmentación, backup, logging y trazabilidad. Cuando el proveedor se responsabiliza del proceso de principio a fin, baja el riesgo, se acortan plazos y se evita que la migración sea una suma de tareas inconexas.
Modernización e híbrido orientados a valor (para que el cloud sea plataforma, no gasto)
Muchas organizaciones quieren seguir consumiendo ciertos PaaS/IaaS de hyperscalers (analítica, IA, servicios gestionados), pero mantener el núcleo de negocio en un entorno más controlado. Un modelo híbrido bien diseñado permite “usar lo mejor de cada mundo” sin duplicar gobierno ni seguridad.
Y aquí hay un punto clave: la nube tiende a perder eficiencia económica cuando se usa como “hosting premium” para cargas legacy; se incurre en consumo sobredimensionado y en operación manual, y cada nueva exigencia obliga a añadir capas y excepciones alrededor de aplicaciones que no fueron diseñadas para este modelo. Modernizar hacia patrones cloud‑native por fases es lo que convierte la nube en productividad: automatización, escalado real, observabilidad y seguridad incorporada en el diseño.
Portabilidad y salida (“exit‑ready”) como capacidad, no como promesa
Si el cliente decide terminar o cambiar, el proveedor debe colaborar y facilitar el proceso. Esto cobra más importancia con el capítulo de switching del Data Act, que busca que el cambio entre proveedores sea rápido y suave, sin pérdida de datos o funcionalidad, y que se eliminen obstáculos como procedimientos largos, falta de interoperabilidad o barreras económicas. En la práctica, “exit‑ready” no es solo exportar datos: es planificar formatos, procedimientos, responsabilidades y seguridad durante la transición (borrado, retención, trazabilidad), para que la salida sea viable sin aumentar el riesgo.
En definitiva, la madurez cloud se mide en operabilidad: observabilidad, continuidad probada, seguridad integrada en operación y un plan de salida ejecutable.
