El rol de la nube soberana europea frente a las regiones de datos locales visto por un CIO
Proveedores de nube como AWS, Microsoft o Google han anunciado el lanzamiento de nubes soberanas europeas con el foco puesto en sectores altamente regulados. Ahondamos en su propuesta de valor para la administración, la sanidad o la banca.
Se cuentan por pares las organizaciones que han decidido emprender su particular viaje a la nube. En la actualidad, son muchas las compañías que apuestan por migrar al cloud con el firme propósito de reducir riesgos, gestionar costes, potenciar el rendimiento del negocio y mejorar su agilidad. De esta forma trasladan las cargas de trabajo del centro local de la propia empresa a un centro de datos gestionado por un proveedor de nube. La iniciativa, que parte de un afán de mejora y búsqueda por adelgazar las facturas informáticas, ampliar funcionalidades, acceder regularmente a nuevas innovaciones tecnológicas y lograr una escalabilidad casi ilimitada, también presenta riesgos. Entre ellos destacan la obligada dependencia de un proveedor, un menor control sobre la infraestructura subyacente y amenazas de seguridad como la exposición externa de datos o los accesos no autorizados. Unos peligros que cobran una relevancia superior al tratarse de empresas que desarrollan su actividad en sectores críticos como la administración pública, la sanidad o la banca.
Conscientes de ello, los proveedores en la nube han apostado por robustecer su cartera de soluciones cloud con un abanico de posibilidades con las que aspiran a adaptarse a las necesidades de sus clientes. Desde el impulso de regiones cloud con diverso alcance –local, regional- hasta la disponibilidad de diferentes modalidades –nube pública, nube privada, nube híbrida, multicloud-. Así, en un contexto en el que la gobernabilidad del dato, el cumplimiento normativo y la eficiencia operativa juegan un papel fundamental para las empresas, discernir qué opción es la más adecuada para cada cual puede suponer un auténtico quebradero de cabeza. Y es que si los principales proveedores cloud ya habían inaugurado centros de datos locales para satisfacer las necesidades de los sectores más restrictivos, ¿qué sentido tiene anunciar el lanzamiento de las bautizadas como nubes soberanas europeas? ¿Cuál es su valor diferencial? ¿Qué aspectos motivarían que un CIO se decantase por una u otra opción?
Sobre estas y otras cuestiones arrojan algo de luz Carlos Maza, director de Digitalización y Tecnologías de la Información del Tribunal de Cuentas; José Borja Tomé, director del departamento de Informática Tributaria en la Agencia Estatal de Administración Tributaria; Juan Luis Cruz, CIO en el Hospital Universitario 12 de Octubre; y José Luis Campuzano, head of Data & Cloud Services y Hosting en Nationale-Nederlanden. Así han hablado para CIO España.
Administración Pública
El Tribunal de Cuentas, arranca Maza, es una institución pública altamente regulada, pues le compete la fiscalización de las cuentas de todo el sector público y, eventualmente, su enjuiciamiento. En su caso, dice, dado que están sujetos al derecho público, “las nubes soberanas son la única opción que nos planteamos”. Esto, prosigue, se debe a que están diseñadas y creadas para ofrecer una seguridad y acceso a los datos que cumplen con la normativa pública y los requisitos propios en materia de privacidad, acceso y control de los datos. Una formulación que se sigue desde Europa: “Así lo refleja la iniciativa Década Digital 2023 de la UE, donde se establece el objetivo de pasar del actual 34% al 75% del uso de servicio en la nube”. Una meta únicamente alcanzable a través de “la armonización de la legislación europea y el impulso de nubes soberanas”.
Para Tomé, la nube no es un concepto “estático”, “ha ido evolucionando en su implantación”. Conforme han mejorado las tecnologías empleadas y se han desarrollado nuevos casos de uso, “han aflorado nuevas necesidades que las versiones iniciales de nube no cubrían de una manera completa o eficiente”. En este sentido, asegura, “el nacimiento de las nubes soberanas europeas parece un paso natural en la propia evolución de las regiones locales al permitir a los proveedores ofrecer adicionalmente las ventajas que aporta el concepto de nube soberana para su empleo por parte de las organizaciones enmarcadas en sectores fuertemente regulados”.
El factor diferencial entre la propuesta local y la nube soberana europea radica en la “oferta de servicios”. El director de Digitalización y Tecnologías de la Información del Tribunal de Cuentas defiende que, “ante la consolidación de tecnologías emergentes, lo que está condicionando dónde ubicar los servicios TIC es la oferta de categorías de productos tales como serverless, aplicaciones móviles o soluciones paquetizadas de inteligencia artificial, machine leearning…”. Para el responsable de la Agencia Tributaria es importante, además, “que las ofertas de nube soberana europea se beneficien de las mismas ventajas que las nubes locales más avanzadas como la baja latencia o la alta disponibilidad, y que estén alineadas con ellas en la rápida incorporación de nuevos servicios innovadores”. Igualmente, incide, “los costes de las alternativas de nubes soberanas deberán tender a ser equivalentes para que no supongan un hándicap para aquellas organizaciones que se ven obligadas a elegirlas porque, de lo contrario, optarán por continuar manteniendo infraestructuras on premise o de nubes privadas”.
Al ser preguntados acerca de los retos que supone la implementación de la nube soberana en su sector, Maza y Tomé coinciden. Por un lado, destacan la capacidad de adaptación a los requisitos legales y formales de la normativa pública; por otro, resaltan la flexibilidad en la ejecución del contrato. “Los contratos de nubes son, por naturaleza, a largo plazo, por lo que el distribuidor debe tener la suficiente flexibilidad para adaptar la ejecución a los imprevistos que pueden surgir de tipo funcional o de volumetría”.
Sanidad
Al igual que ocurre en la administración pública, avanza el CIO del Hospital 12 de Octubre, el sector sanitario es un ámbito altamente regulado y sensible que gestiona datos personales relativos a la salud de las personas y que, por tanto, debe procurar la máxima protección a los mismos. En este contexto, comenta, “la promesa de las nubes soberanas permite incrementar la confianza en el proveedor de servicios cloud al establecer claramente los roles y las capacidades de las partes, y ceñirse a la regulación legal del país del cliente”. Al hablar sobre el valor diferencial de las nubes soberanas europeas frente a las regiones locales, Cruz apuesta por “simplificar las cosas”.
“Las regiones locales cloud tratan de acercar la nube pública a los CPD [centros de procesamiento de datos] y las nubes soberanas tratan de llevar a la nube los CPD locales”. A su entender, las nubes en regiones locales ofrecen distintas ventajas, incrementando las prestaciones técnicas, como la citada latencia. “Pero realmente son nubes públicas, integradas en la infraestructura global del proveedor y con procedimientos operativos y funcionalidades comunes cuya mera cercanía, per se, no es suficiente para tener un grado de confianza equivalente al que tenemos en nuestras propias infraestructuras locales”, explica. Las nubes soberanas, por su parte, “dan una vuelta más de tuerca” al proceso para abordar las barreras que han impedido históricamente que las administraciones públicas en general, y sanitarias en particular, den el salto a la nube. “Podríamos decir que permiten ‘nubetizar’ el CPD local con unas condiciones equivalentes o incluso superiores de control y seguridad”.
En su caso concreto [sanidad pública], revela Cruz, “el concepto de nube soberana se ajusta mucho mejor a las necesidades que tenemos, especialmente en esquemas híbridos para combinar cargas on premise y cloud según su naturaleza y criticidad, y multicloud para reducir la dependencia de proveedores únicos”. Subraya además la necesidad de “una apuesta clara por parte de los órganos directivos de las administraciones de nuestro entorno, como la que ha realizado la Consejería de Digitalización de la Comunidad de Madrid, para facilitar que las instituciones públicas demos el paso de licitar sistemas que contemplen estos esquemas de nube soberana de forma nativa y de realizar proyectos de migración selectiva de servicios actualmente on premise”. Por otro lado llama a los proveedores a “clarificar y simplificar las condiciones, trabajar conjuntamente en casos de uso de alto valor añadido en el entorno sanitario y facilitar propuestas cuyo retorno económico sea fácilmente demostrable para la administración”.
Banca y finanzas
Campuzano es el encargado de despejar las incógnitas para el sector financiero. En líneas generales, asegura, las ventajas que proporciona el lanzamiento de las apodadas nubes soberanas europeas son “evidentes”. En primer lugar, cita, “destaca la protección del cumplimiento normativo y regulatorio, ya que estos servicios están diseñados para obedecer a las normas locales y regionales, algo crucial para sectores como la banca”.
Siguiendo esta misma línea, y con el objetivo de cumplir el propósito de brindar el mejor servicio y experiencia al cliente, “se debe tener muy en cuenta que estos desarrollos favorecen la mejora de la soberanía de datos”. Esto implica que, al almacenar y procesar datos dentro de las fronteras geográficas, organizaciones como el Nationale-Nederlanden pueden “garantizar” que los datos de carácter más sensible se ajusten a la normativa y permanezcan dentro de los límites establecidos. Además, incide el portavoz de la entidad bancaria, “no hay que olvidar su contribución en la minimización del riesgo en las interrupciones del servicio”; y es que contar con infraestructuras localizadas reduce “problemas geopolíticos y de otra índole que puedan afectar a proveedores globales”.
El valor añadido que conceden, insiste, “es que estos servicios refuerzan la privacidad y la protección, punto clave en la relación de confianza con el cliente”. Pero además, dice, impulsan la innovación regional mediante el desarrollo tecnológico. “Conlleva el apoyo de proveedores locales y potencia la economía digital europea, así como el desarrollo de la llamada culture engineer”. Así, a la hora de tomar una decisión y decantarse por una modalidad establecida, Nationale-Nederlanden actúa bajo una misma premisa: “Poner al cliente en el centro y pensar en la mejor propuesta en base a sus necesidades”. Determinan por tanto las ventajas y desventajas operativas y analizan el coste-beneficio. “Desde el plano de negocio hay que considerar la rentabilidad y tener en cuenta no solo los costes directos, sino también los beneficios a largo plazo en términos de confianza del cliente y estabilidad operativa”.
En cuanto a retos en la implementación, Campuzano habla de los desafíos a la hora de integrar la propuesta cloud con los sistemas existentes. “La integración de cualquier tipo de nube con sistemas legacy es un requisito indispensable que requiere de una planificación cuidadosa y, probablemente, de una transformación de los propios sistemas”. Otro desafío “clave” radica en lograr el equilibrio entre la adopción de tecnologías innovadoras y asegurar que estas cumplan con los altos estándares de seguridad a los que están sujetos. “Históricamente ha sido una lucha para los profesionales de nuestro sector”.
