Buscar
 Newsletter
Revista IT Digital Magazine
IT Digital Magazine Última edición Descárgatela

Diseñar la autonomía: el significado real de la soberanía de datos

  • Opinión
Michael-Cade_Veeam_CTO

Por Michael Cade, Global Field CTO & Technologist, Veeam

Aunque es un término que lleva tiempo tiempo rondando, 2026 promete ser el año de la soberanía de datos. En Europa en particular, las organizaciones se preparan cada vez más para pasar de las palabras a los hechos. Se ha hablado mucho sobre los factores que impulsan la soberanía de los datos, y los pros y contras que debes evaluar a la hora de decidir si adoptar la soberanía de datos es adecuado para tu negocio.

Modelo de Madurez de Resiliencia de Datos de Veeam (DRMM) Solicitar test

⇒ Desarrollo de una estrategia de recuperación de datos ciberresiliente Leer

⇒ Ciberresiliencia. ¿Es su empresa ciberresiliente o está sobreconfiada? (Intervención de Veeam en Foro IT Digital Security) Ver

Pero más allá de esto, ¿cómo es realmente una estrategia de soberanía de datos?

Entender tus datos

Resulta evidente, pero el primer obstáculo con el que se topan muchas organizaciones, en cualquier estrategia de datos (resiliencia, nube híbrida, normativa, etc.), es no comprender sus datos desde el principio. En resumen, no se puede controlar ni proteger algo que no se comprende. Es necesario saber qué se tiene y dónde se almacena. Sin embargo, esto es cada vez más difícil. El 60 % de los encuestados de un estudio reciente realizado por Veeam sobre las tendencias de este año reveló una menor visibilidad de la ubicación de sus datos debido al crecimiento de los entornos multicloud y SaaS.

Inteligencia de datos, contexto de datos, visibilidad de datos, llámalo como quieras. El primer paso de una estrategia de soberanía debe ser identificar y clasificar tus datos. Debes establecer qué tienes, dónde se almacenan y su grado de confidencialidad en toda la organización. Una vez que tengas esto, puedes comenzar a mapear el linaje de datos entre sistemas, nubes y países. Un entorno soberano maduro necesitará un registro transparente de los flujos y cambios de datos en toda la compañía.

Estos pasos te darán la visibilidad y el contexto necesarios. El siguiente paso es implementar los controles. En otras palabras, establecer una gobernanza de datos con roles y responsabilidades claras para su gestión. Esta base te dará la claridad y la estructura necesarias para tomar decisiones informadas y desarrollar una estrategia de soberanía continua y resiliente. Sin esto, estarás trabajando a ciegas.

Mirarlo desde todos los ángulos

Una vez que tengas la visibilidad necesaria, podrás empezar a pensar en tu estrategia de soberanía de datos. Esto puede volverse complejo, independientemente del tamaño de tu organización. Por eso, vale la pena analizarlo desde diferentes perspectivas.

La primera es, como era de esperar, la perspectiva de los datos. Aquí es donde debemos considerar las diferentes normas de residencia de datos, el flujo de información transfronterizo y los controles de acceso. En esencia, estamos tomando toda la información recopilada en el paso anterior y aplicándola en el contexto de la soberanía: ¿Dónde se encuentran nuestros datos? ¿Hacia dónde pueden moverse? ¿Quién puede descifrarlos?

A continuación, el enfoque legal. Aquí es donde debemos examinar los contratos y las condiciones de servicio y la exposición al riesgo ante órdenes judiciales o solicitudes gubernamentales extranjeras. El objetivo es comprender “las capacidades de desconexión” de tu proveedor y las posibles restricciones legales. Irónicamente, quizás no deberías intentar hacerlo de forma aislada. Tu equipo legal debería participar, pero tus partners y proveedores deberían poder responder preguntas y ayudarte a resolver cualquier duda.

La siguiente es la perspectiva operativa. Se trata de abordar las realidades cotidianas de la administración y la resiliencia. Esto incluye procesos de soporte y procedimientos de emergencia, como la respuesta a ciberincidentes. Básicamente, debes preguntarte: "¿podemos mantenernos operativos y soberanos, incluso en situaciones de crisis?"

Finalmente, es necesario analizar todo desde una perspectiva más técnica. Aquí es donde deben considerarse aspectos como la portabilidad de datos y la gestión financiera de la nube (FinOps). ¿A qué datos se puede acceder, migrar o extraer sin quedar técnica o financieramente bloqueado?

La ventaja: el uso de las cuatro perspectivas proporciona una visión de 360º del riesgo y el control, creando una estrategia de soberanía de datos más completa, práctica y defendible.

Elige tu modelo

Una vez que hayas examinado la soberanía desde todos los ángulos y tengas una buena visión de los riesgos y controles, la pregunta final sería: ¿dónde la alojamos? A pesar de lo que algunos puedan pensar, la soberanía no es una solución única para todos, y aún existen varias opciones disponibles para las organizaciones. La clave está en preguntarse: ¿hasta qué punto queremos implicarnos y, en consecuencia, hasta qué punto podemos permitirnos hacerlo?

Se trata de encontrar el equilibrio entre control, coste y gastos operativos. Como con la mayoría de las decisiones en la nube, se trata de analizar y seleccionar el modelo que mejor se adapte a tu tolerancia al riesgo y capacidades.

El modelo "más soberano" es autogestionado en su totalidad. Cuando la organización es la propietaria y opera su entorno completo (ya sea en nubes locales o privadas), naturalmente tiene plena autoridad sobre la ubicación y el control. Sin embargo, esto supone una desventaja: sin equipos cualificados, puede conllevar una gran carga operativa y el riesgo de una configuración incorrecta. Uno de los defensores más conocidos de este modelo es la empresa alemana Lidl, que posee y opera una de las nubes más grandes de Alemania precisamente por esta razón.

En un nivel inferior se encuentra el modelo de partners localizados, es decir, trabajar con proveedores de nube o servicios gestionados a nivel regional o nacional. Si bien esto ofrece a las organizaciones algo menos de flexibilidad que el enfoque autogestionado, también implica una menor gestión diaria de la infraestructura, a la vez que se mantiene la residencia de los datos y el cumplimiento normativo local.

Finalmente, existe el modelo de "nube reforzada". Este permite seguir utilizando hiperescaladores globales, a la vez que mitiga algunos de los riesgos de la soberanía. Esto se puede lograr mediante controles por capas, como la protección de terceros, el cifrado Bring Your Own Key y una sólida portabilidad de datos para evitar la dependencia de un único proveedor. Por supuesto, la desventaja aquí es un menor control absoluto, pero aún puede proporcionar cierta libertad estratégica y resiliencia ante cambios regulatorios o geopolíticos.

Como cualquier estrategia de nube o datos, lo importante con la soberanía de datos es evaluarla constantemente. No es una actividad de una sola vez, por lo que tu estrategia tampoco debería serlo. A medida que la tecnología, el panorama de proveedores e incluso la geopolítica cambian, las condiciones sobre las que se construyó la estrategia original también cambiarán. Dado que estas decisiones siempre son un acto de equilibrio, en algún momento el equilibrio puede cambiar hasta el punto de que ya no tengan sentido. Observamos que esto sucedió con las decisiones sobre la nube tras la pandemia. La lección: seguir evaluando y adaptándose, porque la decisión correcta hoy puede no ser la correcta mañana.

 

 

TAGS

CONTENIDO RECOMENDADO