Índice de temas
Soberanía digital de las organizaciones
La soberanía digital se ha convertido en un tema de creciente interés para las organizaciones europeas. Varios factores que convergen están haciendo que sea cada vez más relevante. Desde la inestabilidad geopolítica, alimentada por las sanciones y las guerras comerciales, hasta la mayor dependencia de infraestructuras críticas dominadas por pocos actores y la necesidad de proteger los datos y la autonomía tecnológica.
Es tal la inquietud, que una coalición de cerca de 100 organizaciones ha instado a los dirigentes de la Comisión Europea a crear un fondo específico para fomentar la independencia tecnológica. En una misiva conjunta dirigida a la presidenta Ursula von der Leyen y a la comisaria Digital, Henna Virkkunen, el grupo de empresas ha defendido la necesidad de inversiones estratégicas en infraestructura de origen nacional para disminuir la dependencia de los gigantes tecnológicos extracomunitarios.
Y como si fuera poco vivir en un contexto de inestabilidad, se ha observado que los proveedores de servicios en la nube, aparentemente neutrales, pueden convertirse en un pasivo. Este año, un importante hyperscaler cortó el acceso al correo electrónico de la Corte Penal Internacional a raíz de presiones políticas. Una muestra de que las obligaciones del proveedor pueden, en ocasiones, anteponerse a las necesidades del cliente.
Además de las preocupaciones geopolíticas, la presión regulatoria también está aumentando, con normativas como la Ley de Resiliencia Operativa Digital (DORA, por sus siglas en inglés) y NIS2 en Europa que exigen a las instituciones financieras y a los proveedores de infraestructuras críticas garantizar la resiliencia operativa.
Si bien las sanciones contra Alfa Bank se han implementado en un contexto diferente, este caso muestra una diferencia fundamental en lo que concierne a la soberanía: que una organización cumpla con la ley no garantiza su autonomía
JULIO GUIJARRO, RED HAT
Si bien es cierto que la dinámica geopolítica ha puesto la soberanía digital en el punto de mira, sería un error pensar que se trata de un nuevo desafío, ya que en esencia la soberanía digital trata de resiliencia y autonomía. Las organizaciones deben demostrar que pueden operar de forma independiente, incluso cuando los cambios políticos globales o las decisiones de los proveedores interrumpen sus operaciones.
El cumplimiento de la ley no garantiza la autonomía
En abril de 2022, el Amsterdam Trade Bank (ATB), una institución neerlandesa financieramente estable, se vio forzada a la quiebra. Esto no se debió a una mala gestión o insolvencia, sino a las sanciones impuestas a su empresa matriz rusa, Alfa Bank.
Cuando Estados Unidos, la Unión Europea y Reino Unido dictaron sanciones contra entidades rusas en la primavera de 2022, el efecto dominó fue catastrófico para el ATB. A pesar de que el ATB cumplía plenamente con las leyes neerlandesas y de la UE, los proveedores de servicios, siendo respetuosos con las mismas leyes y sanciones, se vieron obligados a rescindir abruptamente servicios críticos en la nube, incluyendo el correo electrónico y las operaciones bancarias centrales. Sin acceso a espacios de trabajo basados en la nube y suites de software empresarial, el ATB perdió la capacidad de comunicarse internamente o con los clientes, lo que llevó a su repentino colapso.
Si bien las sanciones contra Alfa Bank se han implementado en un contexto diferente, este caso muestra una diferencia fundamental en lo que concierne a la soberanía: que una organización cumpla con la ley no garantiza su autonomía. Incluso las organizaciones legalmente soberanas pueden fracasar si carecen de resiliencia operativa. La dependencia total del ATB de sus proveedores de servicios lo dejó indefenso cuando estos retiraron el soporte, una clara advertencia contra la dependencia de un proveedor.
Mientras que la «soberanía digital» se refiere al control impuesto por el gobierno, como el GDPR o las leyes de localización de datos, la «autonomía digital» se refiere a la capacidad de una organización para operar de forma independiente, independientemente de si las interrupciones se originan a nivel geopolítico o de proveedor. Esta distinción ha sido definida oficialmente en los Países Bajos por el gobierno neerlandés.
El ATB, aunque era soberano (regulado por la legislación neerlandesa), carecía de autonomía. Por ello, cuando sus proveedores de servicios en la nube interrumpieron el servicio, no disponía de un plan de contingencia. Y, desde luego, el caso del ATB no es el único. En Australia, otro importante hyperscaler eliminó por error la cuenta online del fondo de pensiones UniSuper. Afortunadamente para UniSuper y sus quinientos mil miembros, habían tenido la previsión de contar con una copia de seguridad externa.
Resiliencia técnica e independencia, claves para una verdadera autonomía
Para evitar correr la misma suerte que el ATB, las organizaciones deben adoptar medidas proactivas que refuercen la resiliencia de su tecnología y sistemas. En primer lugar, es fundamental que eliminen, los puntos únicos de fallo, es decir cualquier componente o parte de un sistema que, si falla, provoca que todo el sistema deje de funcionar. Esto se consigue adoptando estrategias de múltiples nubes o de nube híbrida, que pueden incluir soluciones servidores locales, reduciendo así la dependencia de un único proveedor.
Las soluciones de código abierto facilitan la portabilidad entre distintos entornos, lo que ayuda a las empresas a evitar la dependencia de un único ecosistema de proveedor. Además, estas soluciones proporcionan a los clientes la flexibilidad, privacidad y portabilidad necesarias para adaptarse a futuras regulaciones y exigencias de soberanía.
Adicionalmente, tecnologías específicas como la Computación Confidencial hacen posible seguir utilizando las actuales inversiones en tecnologías de la nube mientras protege los datos de operaciones de terceros. El software de código abierto, al ser un método neutral y descentralizado para el desarrollo de software, garantiza el acceso y la transparencia. No depende de un único proveedor, sino que se apoya en la comunidad descentralizada como su verdadero soporte.
Las organizaciones además deben tener el control sobre su estrategia de salida para asegurar una migración fluida de datos y aplicaciones en caso de que los proveedores cambien sus políticas o se enfrenten a restricciones geopolíticas. Por último, deberían invertir en resiliencia impulsada por la comunidad, que puede proporcionar una red de seguridad adicional. La base de datos CVE, piedra angular de la ciberseguridad global, estuvo a punto de colapsar tras los recortes de financiación de EE. UU., consiguiendo salvarse gracias a la colaboración internacional. Este suceso demuestra la necesidad de contar con soluciones descentralizadas y, a la vez, la importancia de seguir innovando mientras se protege la colaboración y las contribuciones a nivel mundial. La innovación es un proceso costoso, y si una organización se limita a ser solo consumidora, corre el riesgo de perderse avances significativos y mejoras de seguridad.
Si bien la autonomía digital es necesaria, también debemos proteger la colaboración y la innovación globales, situando a las comunidades de código abierto en el centro. El código abierto proporciona transparencia y control del código, al mismo tiempo que acelera la innovación, lo que lo convierte en una inversión estratégica clave para el desarrollo de talento local y soberano.
Las organizaciones no pueden permitirse el lujo de adoptar una postura pasiva a la hora de definir su futuro digital. Las leyes de soberanía evolucionarán, pero la resiliencia es permanente. La soberanía digital no es solo una obligación regulatoria, sino un imperativo estratégico para la supervivencia. Los casos del ATB y UniSuper demuestran que el cumplimiento legal por sí solo es insuficiente, y que la verdadera autonomía requiere resiliencia técnica e independencia de los proveedores.
