Guillem Alsina Gonzàlez
Históricamente, la ubicación física de los servidores dictaba las políticas de control de la información corporativa, pero la evolución normativa y tecnológica ha transformado este paradigma. La entrada en vigor de normativas europeas de protección de la privacidad estableció que la información debe gestionarse con altos estándares independientemente del lugar donde se almacene. Actualmente, un conjunto de datos alojado en territorio nacional incumple los requisitos de soberanía si una entidad de propiedad extranjera tiene acceso al mismo y, por el contrario, la información almacenada en el extranjero puede cumplir con estas exigencias si se somete a normas estrictas de confidencialidad, disponibilidad y portabilidad.
Para comprender cómo navegan los directores de tecnología en este entorno distribuido, el rotativo Mobile World Live ha realizado una investigación entrevistando a más de doscientos responsables mundiales de seguridad y sistemas de información, que ha desembocado en el documento Data sovereignty in an AI and cloud-centric world: A briefing document for CTOs. Mobile World Live es el órgano de comunicación oficial de la GSMA, que publica noticias de la industria tecnológica con especial énfasis en el mundo de la movilidad.
El uso de herramientas de aprendizaje automático y análisis avanzado se ha consolidado como una prioridad de negocio para las empresas de telecomunicaciones, y la gran mayoría de las organizaciones considera que estas tecnologías son estratégicas para mejorar la seguridad de sus redes, hasta el punto de que una quinta parte de los encuestados califica esta tarea como urgente frente a una minoría que le resta importancia. Estas herramientas permiten a los analistas de sistemas gestionar enormes volúmenes de eventos y priorizar alertas de la manera más eficiente para hacer frente a la escasez generalizada de personal cualificado.
Sin embargo, y a pesar de esta urgencia técnica, el ritmo de implementación real es lento, con una gran parte de las empresas todavía en fase de pruebas o sin haber adoptado estas tecnologías. Esta demora se explica por la complejidad intrínseca de proteger la información en entornos informáticos híbridos, la falta de interoperabilidad de los distintos productos y la propia incertidumbre económica.
Al rediseñar los flujos de trabajo para integrar estas nuevas capacidades algorítmicas, los responsables técnicos advierten que diversos servicios en la nube se verán profundamente afectados; las bases de datos gestionadas representan el área de mayor impacto para un 41% de los profesionales, seguidas de los propios servicios algorítmicos gestionados, la gestión de claves y las funciones sin servidor.
Cuando se utilizan estas infraestructuras públicas, el principal obstáculo que frena los proyectos de seguridad algorítmica es el riesgo asociado a la soberanía y la privacidad de los datos, mencionado por un 62% de los directivos. A este gran desafío se le suman las dificultades cotidianas para compartir información de manera segura, el cumplimiento legal, y el temor a la filtración o robo de la propiedad intelectual.
Frente a la creencia errónea de algunos directivos que confían ciegamente en las herramientas predeterminadas de los proveedores de la nube, la industria técnica está recurriendo a la denominada computación confidencial, una arquitectura que protege la información mientras está en uso mediante su aislamiento en un entorno de ejecución de confianza basado en hardware, independientemente de la empresa proveedora o la ubicación geográfica. Fabricantes de semiconductores desarrollan estas raíces de confianza a nivel de aplicación y de máquina virtual, mientras que distintas firmas de software complementan la infraestructura con sistemas de cifrado adaptados a la era poscuántica.
En este contexto, la verdadera soberanía exige que la información permanezca oculta a terceros, que esté siempre accesible para el propietario y que pueda trasladarse libremente entre distintas plataformas de almacenamiento. La conclusión del documento de Mobile World Live es que, conscientes de esta ineludible necesidad técnica, la inmensa mayoría de los líderes de seguridad prevén utilizar la computación confidencial durante el próximo año para consolidar el control de sus activos en la nube y en el perímetro físico de sus redes.
