NTT DATA: “La soberanía digital es la clave para la independencia y la seguridad”
Entrevistamos a Manuel Vidal Lozano, Cloud Security Leader de NTT DATA, que nos ofrece detalles interesantes sobre todo lo concerniente a las soberanía digital que las organizaciones deben poner en marcha.
La soberanía digital implica que tanto los estados como las organizaciones puedan gestionar sus activos tecnológicos de manera segura e independiente. Para NTT Data, este concepto no solo abarca la independencia tecnológica, sino también aspectos normativos, operativos y humanos.
Europa se enfrenta a desafíos por su dependencia de proveedores extranjeros y la falta de inversión en tecnología básica, lo que dificulta una soberanía plena a corto plazo. Las empresas deben proteger sus datos y diversificar sus proveedores para minimizar riesgos, mientras los estados deben regular y proteger los activos digitales. La computación en la nube es un factor crucial en esta discusión, requiriendo prácticas de cifrado y control de claves para garantizar autonomía.
De todo ello y más nos habla en esta entrevista Manuel Vidal Lozano, Cloud Security Leader de NTT DATA:
-¿Cómo definiría el concepto de soberanía digital en el contexto actual?
Para una multinacional tecnológica como NTT DATA, con clientes de los sectores público y privado, la soberanía digital tiene que ver con la capacidad de integrar y gestionar de forma segura e independiente de terceros países, los activos tecnológicos y digitales que se utilizan en una organización. Todo ello se debe conseguir minimizando los riesgos asociados a todo tipo de agentes externos, que pueden comprometer el funcionamiento digital de la organización.
La soberanía digital tiene un componente a nivel del estado (o región como la UE) en el que se opera y otro a nivel organizativo; los estados tienen sus responsabilidades y las organizaciones privadas otras distintas.
Los estados europeos deberían haber fomentado el desarrollo de tecnologías básicas, pero ahora es tarde. Hoy, deben regular y proteger los activos digitales y los datos que se generan y procesan en su territorio, así como a las personas que los gestionan. Debemos estar todos de acuerdo en que el esfuerzo normativo de la UE, siendo necesario, llega tarde y es insuficiente.
Una organización privada debe hacer lo mismo que los estados en los ámbitos operacional y técnico: proteger los datos propios y los activos digitales, así como los datos de los terceros (clientes, proveedores, socios, …) que gestionan en sus procesos de negocio. También debe seleccionar cuidadosamente a las personas que los gestionan.
Adicionalmente, un estado (o la UE en nuestro caso) debería promover la creación de alternativas tecnológicas para sus organizaciones y empresas; mientras que las empresas deben evitar generar dependencia tecnológica de un conjunto muy reducido de proveedores que podría ostentar demasiado poder.
-¿Es solo un tema técnico o tiene implicaciones más amplias?
La soberanía digital tiene el componente de independencia tecnológica, pero también cuenta con más implicaciones. Aunque se está poniendo mucho foco en el ámbito geográfico, hay otras dimensiones relevantes.
Existen al menos cuatro ejes, el normativo (Estrategia Digital Europea, Ley de Mercados Digitales, Ley de Servicios Digitales, Reglamento General de Protección de Datos), que debe definir un contexto legal común; el tecnológico, con la independencia de tecnologías de terceros países; el de los procesos, la definición de procesos de gestión que minimicen el riesgo de comprometer los datos (en reposo y en movimiento) y el de las personas, ya que el factor humano sigue siendo extremadamente relevante.
En EE. UU. se pone mucho foco en la soberanía tecnológica y en Europa se pone más foco en lo normativo porque la “batalla de la independencia tecnológica” se ha dado por perdida. En el caso de la Comisión Europea, el “Itinerario hacia la Década Digital” fue una iniciativa en la buena dirección, pero llagaba tarde.
Para alcanzar la independencia tecnológica europea harían falta más de 100.000 millones de euros de inversión y más de 10 años, suponiendo posible el acceso al talento inexistente en Europa. La dotación económica de la Ley Europea de Chips es totalmente insuficiente y el objetivo de producción para 2030 inalcanzable. Sin embargo, el objetivo de digitalización del sector público si parece factible.
-¿Qué antecedentes recientes han marcado la evolución de la soberanía digital?
Hay muchos factores que están incidiendo en una mayor relevancia de la soberanía digital. En primer lugar, la adopción masiva de lo digital por organismos públicos, empresas y personas. Casi todo es digital y las organizaciones no dan tanta relevancia a los activos físicos.
En segundo lugar, el mayor valor adquirido por las capacidades de análisis de grandes volúmenes de datos ha incrementado el interés por ellos. En tercer lugar, las amenazas provenientes de las tensiones geoestratégicas crecientes. En cuarto lugar, la observación global de nuestra gran dependencia tecnológica durante la pandemia fue un aviso para la sociedad. En quinto lugar, el crecimiento exponencial de las brechas de datos en las organizaciones. Por último, la irrupción de la Inteligencia Artificial y las capacidades de ésta para procesar ingentes cantidades de información.
-¿Podemos considerarla una nueva idea o tiene raíces más profundas?
No es nueva, es una evolución de la conjunción de la soberanía tecnológica y soberanía del dato hacia el concepto más amplio de “soberanía digital”.
EE. UU. tiene mucho foco en la independencia tecnológica desde hace décadas. En nuestro ámbito, hace más de treinta años que Europa ha observado una dependencia tecnológica creciente, y los estados se han planteado una dependencia creciente de EE. UU. y algunos países asiáticos.
Con la irrupción de Internet en el año 2000 y el uso masivo de redes de comunicaciones de datos entre continentes y regiones creció rápidamente la preocupación sobre la seguridad (confidencialidad, integridad y disponibilidad) de los datos en tránsito. La adopción de la cloud en la última década, que implicó primero la externalización del almacenamiento y procesamiento de los datos, se puso de manifiesto la necesidad de garantizar la soberanía del dato. No debemos olvidar que el código fuente de las aplicaciones está más expuesto que nunca. Todos estos antecedentes llevan a que Europa se plantee la soberanía digital plena cuando ya no es posible.
-¿Por qué la soberanía digital se ha convertido en una prioridad estratégica para las empresas?
Muchas grandes empresas son ahora más conscientes que sus programas y sus datos, internos y de terceros, y otros activos digitales son de interés para otras organizaciones e incluso para otros estados. Estas empresas están sujetas a regulaciones geográficas y sectoriales y además adquieren el compromiso con sus clientes y proveedores de custodiar sus datos y toda aquella información relativa a la relación comercial entre las partes.
Estas mismas empresas se han dado cuenta que la dependencia de pocos suministradores de tecnología concentra el riesgo en cinco o seis, que además no tienen competidores reales equivalentes en algunos productos o servicios.
Por último, las grandes organizaciones quieren saber la procedencia de las personas que gestionan las plataformas tecnológicas en las que se procesan sus datos. Sus activos digitales tienen valor para organizaciones públicas y privadas de todos los países.
-¿A qué riesgos se enfrentan si no la gestionan correctamente?
El mayor riesgo es la propia supervivencia de la organización, su capacidad para seguir entregando los productos o servicios a sus clientes si sus activos digitales son comprometidos.
Hay otros riesgos muy específicos, como que otros países u organizaciones accedan a su propiedad intelectual, perdiendo sus ventajas competitivas. Que los suministradores de las tecnologías establezcan precios abusivos al no existir alternativas reales. Que incumplan los marcos regulatorios a los que están sujetos por su ubicación geográfica o por su sector. Que individuos no identificados, con intereses espurios, gestionen sus plataformas tecnológicas.
-¿Cuáles son las principales amenazas a las que se enfrentan las organizaciones si no cumplen con los estándares de soberanía digital?
La principal amenaza es perder el control de la información que se está obligado a custodiar. Esa pérdida de control sobre lo digital puede representar la pérdida de confianza de accionistas, clientes y proveedores.
Otra amenaza relevante es el no ser capaces de innovar a un ritmo propio, y depender de que un tercero permita el uso de nuevas tecnologías base.
Por otro lado, están las amenazas de ciberseguridad, que la próxima década se verán amplificadas como consecuencia de la irrupción de la IA y la computación cuántica.
-¿Se trata sólo de seguridad o hay otros factores en juego? No se trata sólo de seguridad, de hecho, esta es una consecuencia de las demás. La enorme dependencia tecnológica de los fabricantes de microprocesadores, memorias, discos, … hace que todas las empresas sepan que dependen de la estabilidad geopolítica y económica de los países donde operan.
Un terremoto en cualquiera de estos países puede provocar el colapso de la cadena de suministro durante meses. Una guerra podría interrumpirla durante años o indefinidamente. El factor humano y la escasez de mano de obra cualificada se podría volver contra algunos países en las próximas décadas.
-Implementar soberanía digital no es una tarea sencilla. ¿Qué desafíos enfrentan las empresas en este proceso y cómo pueden superarlo?
La soberanía digital completa en Europa no es posible ahora ni en el medio plazo, para ningún estado ni para ninguna organización privada. Por lo tanto, en Europa el proceso de implementación debe consistir, en primer lugar, en identificar el grado de soberanía viable y gestionarlo para que crezca o se mantenga en niveles aceptables.
Los principales desafíos están relacionados con el origen exterior de la tecnología (hardware y software), con la capacidad de mantener la seguridad de los programas, datos (y metadatos) en todo su ciclo de vida y con gestionar la fidelidad de los empleados que tienen accesos privilegiados a las plataformas tecnológicas.
Para superarlos deben definir una estrategia y ejecutarla escrupulosamente. Además del CEO, hay otros directivos que deben estar obligatoriamente involucrados, como son el CFO, CIO, COO y CISO.
-¿Qué papel juega la computación en la nube en la soberanía digital?
Es precisamente la adopción masiva de la nube la ha despertado la sensibilidad de estados, organizaciones y personas respecto a la soberanía digital, lo que le hace jugar un papel clave.
Desde que AWS empezara a prestar servicios IaaS y PaaS en 2009, las organizaciones empezaron a externalizar la ubicación de datos y programas en algo que se denominó la nube. Pero fue hace una década, cuando despegó la adopción masiva de la nube por parte de las organizaciones privadas, cuando los estados europeos se dieron cuenta que los datos de sus empresas eran procesados y almacenados fuera de sus fronteras, en plataformas gestionadas por personas de nacionalidades desconocidas.
Hasta 2019 no se lanza una iniciativa relevante en Europa, Gaia-X (Home – Gaia-X: A Federated Secure Data Infrastructure), con al menos cinco años de retraso se empieza a abordar una necesidad europea y en mi opinión de manera incompleta.
-¿Representa una ventaja o un obstáculo para lograr la autonomía en la gestión de los datos?
Está claro que sacar las fuentes, programas y datos de los centros de datos propios a la nube, representa un desafío. Para ello, os grandes proveedores de nube (IaaS, PaaS y SaaS) como AWS proporcionan mecanismos adecuados para lograr una autonomía razonable en la gestión segura del contenido.
Nuestra recomendación, desde hace años, es que todos los datos privados en la nube, y on-premises, estén cifrados con algoritmos seguros. Además, para datos sensibles, las claves de cifrado deberían ser gestionadas exclusivamente por la propia organización. Si un proveedor de nube no facilita estos mecanismos no debe ser ni siquiera considerado.
-En el caso de una gran organización, ¿cuál debería ser la estrategia para abordar la soberanía digital? ¿Qué aspectos clave debe considerar?
Una gran organización debe ser capaz de identificar los ejes principales de soberanía digital para su actividad o negocio:
El de las personas es el principal, una gran empresa debe verificar permanentemente que las personas con accesos privilegiados a la tecnología, los programas y a los datos (metadatos) no tienen intereses contrarios a los de la propia organización. Este proceso de verificación es complejo porque esos permisos de gestión residen algunas veces en personal externo (proveedores de servicios y subcontratados de estos).
El de la independencia tecnológica está fuera del alcance de todas las organizaciones, pues ninguna es capaz de desarrollar (diseñar y fabricar) toda la tecnología necesaria internamente. En este eje se debe trabajar en no depender de ningún proveedor único de tecnología, una labor que depende del CTO de la compañía.
La protección de los datos, por su parte, es una tarea de toda la organización, con responsabilidad última en el CEO.
La selección de proveedores es una actividad crucial, posiblemente la más importante de todas, siendo recomendable escoger aquellos que, como AWS, tienen más experiencia y capacidad de garantizar una gestión de la soberanía digital.
-¿Existen diferencias significativas en cómo una pequeña o mediana empresa debe enfrentar la soberanía digital en comparación con una corporación multinacional?
Lo habitual es que una PYME se vea obligada a asesorarse más con terceros. Una PYME no tecnológica no suele contratar servicios sofisticados de IaaS/PaaS y sus posibilidades de equivocación en la contratación, implementación y gestión son prácticamente inexistentes.
La capacidad de selección y elección de tecnologías de una PYME es muy inferior a la de una gran empresa. Una PYME no dispone de un CIO, un CTO… que hagan la prospección de proveedores de cloud, tecnologías y socios en los servicios profesionales. Una PYME debe dejarse asesorar por expertos para minimizar el riesgo. Invertir en un socio que ayude a seleccionar proveedores adecuados, tendrá un retorno asegurado.
-¿Afecta la soberanía digital de manera equitativa a organismos públicos y empresas privadas? ¿Qué desafíos específicos enfrenta cada sector?
En términos de soberanía digital, los ciudadanos europeos somos más exigentes con nuestros organismos públicos que con las empresas a las que adquirimos productos y servicios. Siempre depende del tipo de organismo y del tipo de empresa, aunque hay ciertos paralelismos. En la soberanía de los datos, un ministerio de Hacienda puede tener desafíos similares a los de una gran entidad financiera o un ministerio de Sanidad similares a los de una gran aseguradora de salud.
En referencia a las personas, tradicionalmente el sector público ha tenido una rotación muy inferior al privado, por lo que el riesgo en este sentido debería ser inferior. Por el contrario, los ministerios pueden despertar el interés de otros estados con lo que la vigilancia es crucial.
-Desde la perspectiva de NTT DATA, ¿cómo ayudan a sus clientes a gestionar y fortalecer su soberanía digital? ¿Qué prácticas destacan en este proceso?
NTT DATA ayuda a sus clientes desde las fases más tempranas de selección y adopción de las nuevas tecnologías (cloud, IoT, IA, …) hasta su operación.
El conocimiento de todo el ciclo de vida de los servicios TIC, definición de procesos de negocio, análisis, diseño, programación, despliegue, gestión, operación… nos permite conocer muy bien las organizaciones y los flujos de los datos e información. Este conocimiento lo utilizamos para incrementar la soberanía digital de nuestros clientes.
Tenemos equipos capaces de diseñar plataformas cloud seguras, equipos capaces de velar por la soberanía del dato o el nivel de soberanía digital de un servicio cloud de un cliente. Para aquellos que sólo quieren una evaluación externa de su nivel de consecución de soberanía digital, les prestamos este servicio de forma muy especializada.
En materia de cloud, trabajamos exclusivamente con proveedores que nos permiten dar a los clientes la seguridad que necesitan. Tanto es así, que hemos sido galardonados con cuatro diferentes certificaciones de AWS:
- AWS Level 1 MSSP Consulting Competency
- AWS Digital Sovereignty Services Competency
- AWS Security Consulting Competency
- AWS Authority to Operate
-¿Cuáles son las principales recomendaciones de NTT DATA para que las organizaciones, independientemente de su tamaño, puedan garantizar su soberanía digital de manera efectiva?
El primer paso debe ser la definición de una estrategia clara de soberanía digital, en la que se identifiquen fortalezas y debilidades, así como objetivos viables.
El segundo paso es seleccionar un equipo multidisciplinar, compuesto por directivos, ejecutivos, empleados y externos que definan un programa viable a corto y medio plazo. Ese programa deberá incluir una asesoría inicial para determinar el punto de partida y criterios de selección de proveedores.
El tercer paso, implementar todas las medidas incluidas en el programa, formando y concienciando a los profesionales afectados.
Por último, se debe repetir esa asesoría inicial para medir el grado de avance conseguido y corregir el plan original si fuera necesario. Es importante que la estrategia sea revisada cada dos años. Pensamos que la rápida evolución de las plataformas tecnológicas no permitirá alcanzar los objetivos de forma total ni mucho menos definitiva.