En la actualidad, donde el dato se ha convertido en el recurso más valioso para las organizaciones, la transformación digital no es una opción, sino una exigencia estratégica. Durante el encuentro “Executive Lunch: DATA EVOLUTION 2025. Transformación digital, cloud y ciberseguridad”, organizado por Computing, se pusieron sobre la mesa aspectos relacionados con los desafíos y oportunidades en torno a una estrategia del dato, basada en la gobernanza y en la seguridad.
Este encuentro, con la colaboración de Evolutio e IBM, reunió a destacados profesionales del ámbito tecnológico para debatir cuestiones clave que van desde el rol central de los datos en la estrategia empresarial, hasta los retos de la ciberseguridad en entornos multicloud, pasando por la interacción entre regulación y decisiones de protección digital, y cómo la seguridad puede convertirse en acelerador o freno de la innovación.
Índice de temas
Isdefe, una gobernanza del dato desde cero
ISDEFE cuenta con una plantilla de aproximadamente 2.000 personas. Aunque no maneja directamente datos de los ciudadanos, sí tiene acceso a información crítica en los programas que desarrolla. “En ese contexto, la organización ha puesto en marcha un modelo de gobernanza del dato desde cero, montando oficinas del dato en múltiples proyectos para controlar todo el ciclo de vida de la información, desde su creación hasta su eliminación”, detalla Ildefonso Vera, director de Innovación, Procesos y Transformación Digital de Isdefe (Ingeniería de Sistemas para la Defensa de España, empresa pública que conforma la ingeniería del Ministerio de Defensa y cuya presidenta es la Secretaria de Estado de Defensa).
Actualmente, trabajan en un catálogo de datos (“gran inventario de datos”) y en la organización de una gobernanza del dato estructurada que permita gestionar el ciclo completo. En cuanto a la seguridad, ISDEFE ha implantado el Esquema Nacional de Seguridad (ENS) y se encuentra tramitando licitaciones para lograr una doble acreditación, tanto para entornos críticos como para niveles bajos o no clasificados.
Sobre la inteligencia artificial, la organización no adopta una postura escéptica, pero reconoce que el dato aún no es completamente limpio ni fácilmente explotable. “No es un dato estructurado que se pueda meter en un algoritmo de una forma rápida. En muchas empresas se observa una falta de madurez en el tratamiento del dato”, concluyó Vera.
La Seguridad Social maneja datos críticos de los ciudadanos
La falta de madurez no es el caso de la Gerencia de Informática de la Seguridad Social, como ratificó Augusto Ortega Solano, Head of Data Center Operations, debido a la criticidad de los datos que maneja la institución.
A grandes rasgos, resumió Ortega su labor en dos tipos de prestaciones: “Las prestaciones sanitarias asistenciales para trabajadores que han sufrido algún tipo de accidente, ya sea común o laboral, y las prestaciones económicas en casos donde sea necesario aliviar la presión económica del trabajador que cumpla determinados requisitos”.
Subrayó la sensibilidad de los datos que manejan, al tratarse tanto de información clínica como económica. “Hablamos de datos de salud, como historiales médicos, y también de datos económicos y personales de los trabajadores a los que prestamos servicio”, señaló.
En cuanto al enfoque tecnológico de la entidad, destacó que su modelo es “muy maduro, con una gestión del dato bastante consolidada en términos de gobernanza y alineado con un enfoque data-driven”. Mencionó además que, estratégicamente, decidieron no migrar sus sistemas a la nube: “No nos hemos ido a la nube. Siempre hemos sido muy partidarios de utilizar tecnología propia y construir nuestros sistemas de negocio a medida”, explicó. Y añadió con cierto matiz crítico: “Pensaba que el software a medida era cosa del pasado, pero veo que aún sigue presente. Todo tiene ventajas e inconvenientes”.
Sobre la autonomía tecnológica, destacó que “tener un modelo de datos muy integrado y bajo control propio nos da muchísima soberanía”. En cuanto al uso de los datos, explicó que “aplicamos los datos fundamentalmente a la gestión, respondiendo con nuestros cuadros de mando y modelos de bienestar social a situaciones como las que surgieron durante la pandemia, donde hubo que reaccionar rápido para analizar datos sociodemográficos y laborales”.
Finalmente, abordó uno de los principales retos del entorno clínico: la calidad del dato. Según indicó, “es muy difícil obtener datos clínicos normalizados. No todos los médicos introducen la información del mismo modo, y no todo se puede normalizar”. En ese sentido, concluyó que “si se quiere avanzar en nuevos casos de uso, especialmente en el ámbito del dato clínico, es imprescindible trabajar en la calidad del dato”.
Ahumados Domínguez, en fase de transformación digital
De muy diferente naturaleza es la firma Ahumados Domínguez, de origen familiar, adquirida por una multinacional y que ha atravesado su propia transformación interna, como relató Carlos González de la Gándara, director de Sistemas de Información.
Durante los últimos siete años, comentó, se ha llevado a cabo una profunda transformación digital: “El área de informática tenía un papel muy secundario, pero empezamos a medir y automatizar procesos a través de diferentes herramientas”. Esa evolución ha permitido integrar todo en un entorno digital moderno: “Lo que hemos hecho ha sido integrar todos los procesos en la nube. Ahora mismo usamos un ERP de Microsoft en modalidad SaaS, por lo que no tenemos ninguna base de datos bloqueada. Todo está completamente centralizado en la nube”.
En cuanto a la seguridad de los datos, aseguró que se utiliza el ecosistema de herramientas de Microsoft: “Tenemos todos los datos estructurados e identificados por niveles de acceso, de modo que ningún operario puede visualizar información que no le corresponda”. Añadió que la protección se gestiona también geográficamente: “Las operaciones de seguridad se realizan en distintos data centers del mundo y siempre tenemos disponible la última versión del dato, hasta el minuto anterior al momento que queramos recuperar”.
Puso como ejemplo un posible ataque de ransomware: “Si mañana, cosa improbable o imposible, entra un cryptolocker y me bloquea una base de datos, puedo recuperar la base de datos tal y como estaba un minuto antes de que el ataque tuviera efecto”.
En relación con el uso de inteligencia artificial, explicó que “la utilizamos principalmente para programación, donde ya nos está ayudando bastante, y estamos empezando a aplicarla en las áreas de marketing y ventas”. En concreto, señaló que “cada vez más empleados están adoptando Copilot de Microsoft para gestionar sus procesos de venta”.
Datos fiables y gobernados para el Servicio Madrileño de Salud
El Servicio Madrileño de Salud como refirió José Carlos Estevez Muñoz, de la Dirección Técnica de Sistemas de Información, trabaja con proveedores de servicios, entre ellos Microsoft, y ya está empleando la inteligencia artificial en el ámbito sanitario. “Tenemos campos muy importantes donde desarrollar tecnología para la toma de decisiones; la medicina predictiva se va a basar en proyectos de IA”, afirmó.
Explicó que actualmente están optando por “productos maduros en el mercado”, sobre todo en el área de la imagen médica, que calificó como “muy avanzada”. No obstante, manifestó su intención de ir más allá: “Queremos avanzar hacia otros proyectos. Necesitamos herramientas: esto es un producto sanitario, una herramienta de primera necesidad”.
En ese sentido, subrayó que “la Unión Europea exige soluciones que todavía no existen en IA, lo que requiere invertir y orientar claramente el desarrollo hacia productos aplicados a la sanidad”. Añadió que es fundamental “desarrollar algoritmos propios” y que “la imagen médica y la toma de decisiones son herramientas muy potentes. La IA permite obtener evidencia médica en segundos”.
Uno de los pilares de esta transformación, insistió, es la seguridad y el dato. “El uso primario de la información debe estar protegido, y debe ser accesible tanto para el ciudadano como para los profesionales, en el marco de la comunidad europea”.
Por ello, abogó por una interoperabilidad y la protección, haciendo hincapié en que “por razones de seguridad, hay que invertir mucho en este ámbito”. Finalmente, recalcó que “el dato debe ser compartido a nivel europeo, y hay que empezar ya, porque los plazos se van a cumplir”.
La Sanidad Madrileña apuesta por la centralización del dato
Ángel Luis Sánchez, jefe de servicio de apoyo a la planificación tecnológica de la Dirección General de Salud Digital de la Comunidad de Madrid, compartió la evolución tecnológica del SERMAS (del que formó parte), destacando su complejidad organizativa y la responsabilidad sobre las TIC de 37 hospitales, cientos de centros de salud y servicios como SUMMA 112.
Explicó que su infraestructura tecnológica no nació centralizada como en otras administraciones, sino desperdigada, lo que llevó a años de trabajo para unificar todos los datos sanitarios en CPD centrales. En la actualidad, el 97 % de los datos están consolidados en dos data centers activos y un tercero de respaldo. Esta infraestructura, afirmó, ha permitido mejorar la seguridad y la autonomía de gestión, especialmente destacada durante la pandemia de COVID-19, cuando el uso de su cloud privado, implantado en 2017, permitió a los hospitales generar servicios sin intermediación.
Sánchez señaló que el volumen y la sensibilidad del dato sanitario, incluidos los datos genómicos, requieren un enfoque muy riguroso. Por ello, fueron pioneros en crear una oficina de seguridad y destacó su experiencia como CISO durante la pandemia: “No quería serlo, pero me tocó. Y el trabajo en protección de datos no paraba”.
Así mismo, abordó el uso creciente de inteligencia artificial, no solo en ciberseguridad —“todos los productos actuales la incorporan”—, sino también en la codificación de notas médicas, permitiendo estructurar datos valiosos que los sanitarios no tienen capacidad de sistematizar en su jornada habitual. Aun así, alertó de los riesgos: “También los atacantes usan IA, y ese es el verdadero problema”.
Por último, defendió la necesidad de fortalecer la gobernanza del dato, asegurando que además de oficinas de datos, es esencial avanzar en metodologías comunes, codificación, y control sobre el acceso, especialmente en un entorno como el sanitario donde también intervienen docencia e investigación. “Hay que formar, supervisar y enseñar al personal a manejar estos datos con responsabilidad. Hoy es más fácil que nunca subirlos a la nube, y hay que tener mucho cuidado”.
Tribunal de Cuentas: “Sin buen gobierno del dato, la IA es solo una promesa”
Carlos Maza, director de Digitalización y Tecnologías del Tribunal de Cuentas explicó que su institución utiliza software completamente a medida, debido a que cada país tiene su propio marco constitucional y normativo, lo que impide soluciones tecnológicas comunes. “Tenemos todo absolutamente a medida, incluso las herramientas de fiscalización y de jurisdicción contable”, señaló.
Describió una infraestructura tecnológica híbrida, basada en dos nubes públicas y un CPD propio, pero matizó que existe una fuerte cultura interna de mantener el dato en local, especialmente por la sensibilidad de la información judicial y fiscal. “El dato entra desde la nube, pero se procesa dentro. Hay un cierto nivel de confidencialidad que debemos preservar”, explicó.
Mostró preocupación por el protagonismo excesivo de la inteligencia artificial: “El dato está siendo eclipsado por la IA, especialmente la generativa. Todo el foco está puesto en ella, pero se está descuidando lo esencial”. En su opinión, debe primar primero el gobierno del dato, con estrategias de unificación y normalización de bases para su explotación analítica, a través de business intelligence, antes de aplicar modelos de IA.
También destacó la dificultad organizativa en torno a la titularidad y compartición de datos públicos entre comunidades autónomas, cámaras de cuentas y el Estado: “Nadie sabe con claridad de quién es el dato”. Para él, el verdadero reto no es tecnológico, sino organizativo y estratégico: “Hay tecnología de sobra, lo que falta es una coordinación clara y participación del negocio”.
Fraternidad: Mejorar los datos para mejorar las decesiones de negocio
Luis Martínez del Pino, director del Departamento de Seguridad de Sistemas de Información en Fraternidad, considera que el nivel alcanzado por su organización con respecto a la protección de datos es muy alto.
El aseguramiento de los datos en general y de los datos sensibles en particular es imprescindible en cualquier organización, más aún, en una de misión crítica. “Ello implica el diseño y despliegue de políticas de encriptación, protección, respaldo, disponibilidad y acceso a la información, en función de su naturaleza”, explicó.
Y como ya comentó anteriormente: “Las certificaciones relacionadas con la seguridad de la información con las que contamos (ISO 27001 Y ENS), están sujetas a auditorías externas periódicas, y establecen unos cimientos muy sólidos para garantizar un nivel muy alto de protección de la información durante toda su cadena de valor, aplicando medidas de protección especiales cuando la misma tiene carácter sensible”.
Del Pino está convencido de la necesidad de una gobernanza del dato y de la existencia de herramientas para este cometido. Con relación a la inteligencia artificial, el experto comentó: “Dos de los usos con mayor retorno de la IA en el corto plazo, es por un lado la mejora de la calidad de los datos y por otro, ayudar al profesional a tomar mejores decisiones en base a las mejores prácticas de cada sector”.
Y es que según la opinión de los asistentes de la mesa, el buen dato es la base de una IA eficiente. ¿Estaremos levantando la casa por el tejado? Una inteligencia artificial que se nutre de datos que no está limpios, es en suma como un coche elegante con mal combustible, como definió en tono ingenioso Idelfonso Vera de ISDEFE.
La estrategia de protección de datos de Evolutio se basa en cuatro pilares: Visibilidad total del dato, protección y control, monitorización y respuesta, y cumplimiento con herramientas que permiten cumplir con la normativa
RICARDO SANZ, DIRECTOR DE CIBERSEGURIDAD DE EVOLUTIO
Se requiere una estrategia integral de protección de datos que abarque la seguridad, disponibilidad y control de acceso, adaptándose a entornos híbridos y cumpliendo con normativas como el RGPD
EMILIO ANDRÉS, DATA SECURITY TECHNICAL SPECIALIST DE IBM
