A pesar de que su origen se remonta a 2018 con el RGPD, la soberanía de datos ha pasado desapercibida durante muchos años. Ahora, a medida que el entorno de datos, el panorama regulatorio e incluso el clima geopolítico se vuelven más complejos, la soberanía ofrece una forma de compartimentar y bloquear al menos algunos de estos riesgos.
Aunque muchas organizaciones ya han reconocido el matiz que esto implica con respecto a la compleja red de leyes a las que están sujetos sus datos (y cómo esto varía dependiendo no solo del tipo de datos, sino también de la fase donde se encuentran en su ciclo vital), la implementación aún está en sus primeras etapas. Cabe mencionar que también lo está el conocimiento general de la soberanía de datos.
Esto es comprensible: los vínculos entre la soberanía de datos y la gestión de datos pueden ser confusos. Esto a menudo complica a las organizaciones integrarla en la planificación operativa y de riesgos, mientras equilibran sus necesidades de control y cumplimiento. Es una tarea compleja, pero esencial si las organizaciones desean abordar sus necesidades de soberanía de datos sin comprometer las medidas existentes de seguridad y resiliencia. Si bien es una ecuación difícil de resolver, no es imposible.
Índice de temas
Datos aquí, allá y en todas partes
Antes de que las organizaciones puedan empezar a desarrollar una estrategia de soberanía verdaderamente resiliente, necesitan controlar sus datos. Esto no es tarea fácil, dado que solo en 2024 se crearon, capturaron, copiaron y consumieron 149 zettabytes de datos. Teniendo en cuenta que solo el 19% de las empresas de la UE utilizaron IA este año (según la Unión Europea), podemos empezar a imaginar cuánto más podría crecer esa cifra.
En 2024 se crearon, capturaron, copiaron y consumieron 149 zettabytes de datos. Teniendo en cuenta que solo el 19% de las empresas de la UE utilizaron IA este año (según la Unión Europea), podemos empezar a imaginar cuánto más podría crecer esa cifra
Desarrollar la resiliencia de todos esos datos es mucho más que simplemente instalar cortafuegos. Se trata de mantener la continuidad del negocio mediante copias de seguridad robustas, una portabilidad de datos ágil y una gobernanza rigurosa del ciclo de vida de los datos. Sin embargo, con la soberanía de los datos, las organizaciones suelen entrar en pánico e implementar restricciones que bien podrían satisfacer las necesidades de cumplimiento normativo, pero a costa de su portabilidad y seguridad.
Porque, aunque la resiliencia de los datos suele asociarse con las copias de seguridad, la recuperación y la continuidad, también depende de su portabilidad. Es necesario poder transferir los datos fácilmente a ubicaciones alternativas para implementar medidas de seguridad si se requiere, pero si se bloquean excesivamente debido a medidas de soberanía de datos mal planificadas, pronto se convierte en un desafío.
Así que, como destacan las próximas normativas como la Ley de Datos de la UE y la Ley de IA de la UE, con nuevas estipulaciones de soberanía para los flujos de datos de IA, la soberanía no se limita a confinar los datos en una solución local. Una estrategia de soberanía de datos resiliente tiene en cuenta estas limitaciones regulatorias y las equilibra con la resiliencia, la tolerancia al riesgo y las necesidades operativas específicas de cada organización a lo largo de todo el ciclo de vida de los datos. Pero, ¿cómo?
No existe una solución única para la soberanía de datos
La soberanía de datos es, como ya hemos establecido, compleja y variada. Pero, afortunadamente, existe un amplio espectro de soluciones para elegir si las organizaciones buscan ese delicado equilibrio entre control, coste y agilidad.
En aquellos casos empresariales en los que es esencial un control extremo tanto sobre la ubicación como sobre la soberanía de los datos, las soluciones locales ofrecen las opciones más sólidas, ya que los datos permanecen totalmente bajo el control de la organización. Sin embargo, estas soluciones suelen suponer un compromiso en materia de seguridad, ya que la portabilidad de los datos se ve a menudo gravemente afectada. En el extremo opuesto del espectro de control, las organizaciones pueden optar por soluciones de nube soberana, es decir, entornos de cloud computing alojados por proveedores.
Si bien estas soluciones pueden ser adecuadas para organizaciones con necesidades de cumplimiento de la soberanía de los datos ligeramente menos restrictivas, esta opción hace que las organizaciones dependan de sus proveedores para garantizar que sus datos permanezcan dentro de las fronteras geográficas a las que están sujetos.
Existen soluciones híbridas para aquellas organizaciones que buscan un punto intermedio entre ambos y personalizar mejor sus soluciones según las necesidades de su contexto específico. Estas combinan la descarga de la gestión mediante entornos en la nube, mientras permiten a las empresas mantener el máximo nivel de control. Muchos de estos proveedores de soluciones se especializan en regiones específicas, satisfaciendo las necesidades regionales de residencia de datos.
Sin embargo, comprender las opciones es solo el primer paso. Para desarrollar una estrategia de soberanía de datos que funcione con sus soluciones de resiliencia, las organizaciones necesitan equilibrar sus necesidades de control individual, coste y agilidad. Para algunos, las instalaciones locales pueden ser demasiado restrictivas y costosas. Para otras con necesidades de cumplimiento particularmente críticas, podría ser la mejor opción. En cualquier caso, antes de elegir una solución, primero debes conocer las necesidades específicas de tu empresa.
De la cuna (de los datos) a la tumba (de los datos)
Una estrategia resiliente de soberanía de datos debe abarcar todo el ciclo de vida de los datos, considerando las variaciones en su contexto a lo largo del proceso. Cada etapa, desde la creación, la recopilación, la adquisición, el almacenamiento, el procesamiento, el intercambio y hasta la eliminación, conlleva sus propias preocupaciones en materia de seguridad y soberanía.
Para esas primeras etapas de creación y recopilación, la seguridad y la soberanía deben considerar la documentación de captura y propiedad, manteniendo la recopilación legal y el cumplimiento de las estrictas normas de almacenamiento establecidas por el RGPD. Este almacenamiento debe contar con un cifrado robusto, control de acceso y auditabilidad para satisfacer no solo las necesidades de soberanía, sino también las de seguridad. A medida que avanza hacia la etapa de procesamiento, dicha auditabilidad sigue siendo esencial, con la monitorización continua que exigen las regulaciones de soberanía para fines de uso legal y cumplimiento jurisdiccional.
Gestionar exhaustivamente este ciclo vital de los datos se vuelve cada vez más crucial para las empresas, ya que la IA impulsa un crecimiento rápido y continuo de los datos, lo que podría provocar aumentos exponenciales de costes si las organizaciones no implementan estos procesos ahora. Estos también proporcionan un contexto de datos esencial, lo que permite a las empresas comprender plenamente su valor a medida que entienden mejor la ubicación, los flujos y el acceso, cruciales para generar valor adicional, pero también para fundamentar una estrategia eficaz de soberanía y seguridad de los datos.
Demasiadas empresas aún gestionan sus datos de forma reactiva, limitándose a eliminarlos cuando alcanzan los límites de almacenamiento, sin tener en cuenta lo que están eliminando. Comprender el contexto de los datos previene esto, permitiendo a las organizaciones desarrollar proactivamente estrategias que se alinean con los objetivos empresariales y los requisitos normativos.
Una estrategia de datos madura que incorpora tanto seguridad como soberanía, tiene todo esto en cuenta, equilibrando la tolerancia al riesgo de una organización con las posibles amenazas, oportunidades y retorno de la inversión para optimizar las medidas de resiliencia.
