Ajustando el dial de la soberanía: innovación, elección y el futuro de la nube

Jai Haridas, Vicepresidente y Gerente General, Sovereign Cloud | Google Cloud

Jai es un líder tecnológico experimentado con más de 28 años en la industria, especializado en computación en la nube y en la construcción de sistemas distribuidos escalables durante los últimos 18 años. Su experiencia abarca áreas como el almacenamiento, la computación, las bases de datos, la fiabilidad, el cumplimiento normativo y la seguridad. Jai cuenta con una trayectoria consolidada en el crecimiento y la dirección exitosa de equipos de alto rendimiento en organizaciones de renombre, tales como Microsoft, Meta y Google. Desde su incorporación a Google en 2016, Jai ha desempeñado el cargo de Vicepresidente y Gerente General de Plataformas Reguladas y Soberanas. En esta función, lidera los productos de Límites de Datos (Data Boundary) y Nube Dedicada (Dedicated Cloud) de Google Cloud, un punto de intersección estratégico entre la Nube, la Infraestructura de Confianza y los servicios Core. Asimismo, es responsable de garantizar que Google Cloud Platform (GCP) se alinee con las normativas globales y encabeza los Servicios de Infraestructura de Confianza, incluyendo la Computación Confidencial (Confidential Compute) junto con los sistemas de gestión de claves y secretos.

Soberanía e innovación

¿Cómo definiría la soberanía? ¿Qué está impulsando un interés creciente?

En esencia, la soberanía digital consiste en equilibrar el acceso a la innovación tecnológica dentro de un determinado conjunto de restricciones, y en determinar cómo innovar dentro de esos límites. La definición no es estática: lo que el mercado considera «soberano» cambia con el tiempo y varía según la geografía, el sector y el caso de uso.

La única constante es la necesidad de innovar. En la era de la IA, las organizaciones deben innovar continuamente para mantenerse competitivas, pero también necesitan cumplir con los requisitos de soberanía. Esto está generando una creciente demanda de soluciones que permitan lograr ambos objetivos simultáneamente. Lo que está en juego en el plano económico confiere a esta cuestión un carácter tangible. Diversos estudios indican que Europa prevé un crecimiento económico de aproximadamente 1,2 billones de euros, y se espera que la mayor parte de ese crecimiento provenga de la IA. Sin embargo, los enfoques excesivamente restrictivos —centrados exclusivamente en la soberanía— podrían reducir esa cifra a cerca de dos tercios. Esta es una de las razones por las que el tema ha trascendido el ámbito de los equipos de computación en la nube para integrarse en la agenda general de las organizaciones.

Tres factores específicos están impulsando esta transición hacia la agenda general. El primero es el deseo de autonomía de cada nación, particularmente en lo que respecta a las infraestructuras críticas: energía, finanzas y salud. Estas naciones aspiran a que dichos sistemas sean autónomos y resilientes; resilientes tanto frente a desastres naturales como a aquellos provocados por el ser humano.

El segundo factor radica en que las empresas han adoptado un enfoque de adquisición que prioriza el riesgo, en contraposición al enfoque centrado en el coste que solía predominar anteriormente. Dentro de este marco de priorización del riesgo, las organizaciones analizan la seguridad, la resiliencia y la dependencia del proveedor (vendor lock-in) como categorías de riesgo diferenciadas.

El tercer factor remite directamente al imperativo de la innovación. Toda empresa es consciente de que no puede depender exclusivamente de la innovación interna. Necesariamente debe establecer dependencias con empresas externas, y algunas de estas empresas se encuentran fuera de su propio país. Los marcos de soberanía constituyen el mecanismo mediante el cual gestionan los riesgos inherentes a dichas dependencias externas. No obstante, el mayor riesgo de todos reside precisamente en no establecer esas dependencias, ya que, de no hacerlo, se renuncia a la innovación.

“La soberanía digital consiste en equilibrar el acceso a la innovación tecnológica dentro de un determinado conjunto de restricciones, y en determinar cómo innovar dentro de dichas restricciones.”

Existe la opinión generalizada de que la regulación frena la innovación. ¿Cree que este planteamiento se sostiene cuando se trata de la soberanía?

Creo que la supuesta disyuntiva entre soberanía e innovación es una falsa elección. Si se opta únicamente por la soberanía, se deja de innovar; si se opta únicamente por la innovación, se pierden la seguridad y el control. Cualquiera de los dos extremos puede poner en riesgo al negocio.

Las organizaciones deberían poder elegir el nivel de soberanía que requiere su caso de uso y, aun así, seguir innovando. Por eso ponemos la IA a disposición en todas nuestras opciones de soberanía —desde la nube pública hasta entornos dedicados o totalmente aislados (air-gapped)—, para que los clientes puedan mantener la portabilidad y avanzar con agilidad. La clave reside en distinguir los requisitos de las concesiones. Cifrar los datos para una carga de trabajo sujeta a la normativa HIPAA no es una concesión; es un requisito. La concesión consistiría en cumplir dicho requisito, pero perder a cambio el acceso a la IA.

Hemos visto cómo esto se materializa en la práctica. Una agencia gubernamental de los EE. UU. deseaba adoptar la IA en una etapa temprana, pero no lograba obtener GPU de su proveedor tradicional de servicios de nube para el sector público. Con GCP [Google Cloud Platform], pudieron ejecutar cargas de trabajo de nivel IL5 bajo el marco FedRAMP en regiones de nube pública acreditadas y con capacidad suficiente, manteniendo los controles de cumplimiento normativo sin tener que renunciar a la IA.

En Francia, una compañía de seguros ya operaba en la nube pública con controles locales. Cuando desarrollamos un entorno dedicado conforme a la certificación SecNumCloud, el proceso de diseño e implementación tomó aproximadamente tres años. Sin embargo, cuando el cliente finalmente realizó la migración, la experiencia resultó tan fluida que, en tono de broma, comentaron: «¿Por qué tardaron tres años solo para cambiar el nombre del DNS?». Para nosotros, aquello fue un auténtico elogio, ya que el trabajo implicó trasladar toda una maquinaria operativa y lograr que funcionara correctamente dentro de un entorno con restricciones específicas y conforme a la normativa SecNumCloud. No obstante, desde la perspectiva del cliente, la migración transcurrió con tal fluidez que daba la impresión de que nada hubiera cambiado. Esa portabilidad representa el poder de elegir.

En última instancia, esta es una propuesta de «suma» (esto y aquello), y no de «exclusión» (esto o aquello). Con frecuencia, los clientes utilizan múltiples modelos de implementación en función de la clasificación de sus datos, lo que les permite portar una misma aplicación a través de distintos entornos, preservando así la libertad de elección, el control y la innovación.

“Las organizaciones deberían poder elegir el nivel de soberanía que requiere su caso de uso y, aun así, innovar.”

¿Se trata la soberanía de cumplimiento, o puede ser un diferenciador competitivo?

Se trata de un cambio importante de perspectiva. La soberanía suele comenzar como una cuestión de cumplimiento normativo, pero rápidamente puede convertirse en un factor diferenciador competitivo, ya que, en esencia, gira en torno al control operativo y la capacidad de supervivencia.

Tomemos como ejemplo a SecNumCloud. Originalmente lo desarrollamos para Francia, pero ahora observamos que las instituciones financieras europeas lo solicitan incluso cuando ninguna normativa las obliga a ello. Lo que están adquiriendo es resiliencia. Algunos bancos están diseñando su estrategia de respaldo en torno a una configuración soberana: continúan operando en la nube pública, pero si surge algún incidente, conmutan la carga de trabajo a una instancia de SecNumCloud. En ese entorno, Google no tiene acceso; ninguna empresa estadounidense tiene acceso; nadie puede «pulsar un botón», modificar una cuenta ni desconectar nada. Esto otorga a las organizaciones un control operativo total, un aspecto que las instituciones financieras serias han comenzado a valorar con independencia de los mandatos regulatorios.

Asimismo, estamos observando que empresas ajenas a los sectores regulados consideran la nube soberana como una ventaja competitiva y en materia de privacidad. No la abordan como una carga asociada al cumplimiento normativo, sino que reconocen la posibilidad de innovar con mucha mayor rapidez mediante el uso interno de capacidades de nube soberana, sin necesidad de tener que construir ellas mismas una plataforma paralela. Y las empresas estadounidenses muestran tanto interés en este aspecto como cualquier organización europea.

En última instancia, las preguntas a las que da respuesta la nube soberana son las mismas que todo directivo de alto nivel (CXO) debe afrontar ante su consejo de administración: ¿Cuál es su plan de recuperación ante desastres y de continuidad del negocio? ¿Quién tiene acceso a los datos? ¿Existe riesgo de exfiltración de datos? ¿Cuáles son los controles establecidos y cómo se garantiza su cumplimiento? El término «soberanía» es tan solo una etiqueta; la necesidad subyacente es universal y estratégica.

“Las empresas fuera de las industrias reguladas están considerando la nube soberana como una ventaja competitiva y de privacidad.”

Operativización de la soberanía digital

Cuando mantiene conversaciones con clientes sobre la arquitectura de nube soberana, ¿gira la discusión principalmente en torno a los controles técnicos o a la gobernanza operativa?

La respuesta honesta es: ambas cosas; sin embargo, el rumbo de la conversación ha cambiado de manera significativa.

Los clientes más sofisticados —aquellos que comprenden a fondo los marcos jurídicos y que, además, han experimentado las deficiencias de las soluciones que se basaban exclusivamente en controles legales— solicitan ahora, de forma explícita, controles técnicos. Han sido testigos de lo que ocurre cuando se construye una solución soberana basándose enteramente en mecanismos contractuales y legales, sin contar con la aplicación técnica subyacente, y no desean volver a encontrarse en esa situación.

Existe, asimismo, un principio más amplio en juego: la seguridad y la soberanía son las dos caras de una misma moneda. No es posible tener una sin la otra. Y dado que la seguridad ya no es una mera cuestión de legalidad, las preguntas que los clientes plantean en torno a ella los conducen, de manera natural, hacia el ámbito de los controles técnicos. Exigen controles auditables. Ya no basta con que afirmemos que un control existe; debemos demostrar que opera de forma continua, que es objeto de una supervisión activa y que mantiene su condición de auditable.

A medida que los clientes trascienden el concepto de soberanía de los datos para adentrarse en los terrenos de la soberanía operativa, la capacidad de supervivencia y la resiliencia, se ven también en la necesidad de abordar la dimensión jurídica. SecNumCloud, por ejemplo, contempla más de 300 controles técnicos. No he encontrado en ninguna otra parte del mundo un marco normativo más riguroso. Esa exhaustividad —tanto en el plano técnico como en el jurídico— es precisamente lo que lo convierte en un auténtico referente.

En la práctica totalidad de los casos, los clientes han llegado a la conclusión de que precisan controles técnicos, ya sea a través de conversaciones centradas en la seguridad o mediante la experiencia directa de aquello frente a lo cual no pudieron protegerlos las soluciones basadas exclusivamente en controles legales.

“La seguridad y la soberanía son las dos caras de la misma moneda. No se puede tener una sin la otra.”

¿Qué tan fundamentales son las alianzas para ofrecer una nube soberana a escala?

Existe una razón fundamental por la cual las organizaciones buscan la soberanía en primer lugar, y una razón paralela por la que confían más en las entidades locales que en una empresa cuya matriz es, en última instancia, una corporación estadounidense. Podemos establecer operaciones locales, entidades jurídicas locales y compromisos locales; sin embargo, persiste el hecho de quién es la empresa matriz. Las alianzas con entidades locales de confianza son la forma en que abordamos ese déficit de confianza de manera genuina y estructural.

En Francia, nos asociamos con Thales para la nube dedicada y la oferta SecNumCloud, y hemos extendido esa colaboración también a la nube aislada (air-gapped). Más allá de Francia, nos hemos asociado con Proximus y otras entidades. Nuestro enfoque prioriza siempre las alianzas.

Estas alianzas son beneficiosas para ambas partes. Nuestros socios aportan perspectivas sobre el mercado local, los riesgos locales y las expectativas de los clientes locales; perspectivas que nosotros, desde nuestra posición como empresa con sede en EE. UU., simplemente no poseemos. La combinación de estas dos perspectivas da como resultado una solución mucho más sólida de la que cualquiera de las partes podría ofrecer por sí sola, y en la que los clientes locales pueden depositar una confianza mucho más profunda.

La alianza con Thales posee, además, una dimensión operativa muy específica. En lo que respecta a nuestra nube dedicada, las actualizaciones no se quedan rezagadas con respecto a nuestra nube comercial. Operamos con un ciclo de implementación de cinco días. Cuando se lanzan las actualizaciones, las enviamos primero a un entorno de cuarentena donde Thales ejecuta sus propias pruebas para validar el software y verificar que no existan puertas traseras ni vulnerabilidades. Thales goza de total autonomía dentro de dicho entorno. Solo después de que ellos validan y aprueban la actualización, esta puede implementarse en la nube dedicada. Esto significa que aplicamos los parches en la nube dedicada al mismo ritmo que en nuestra nube comercial, pero incorporando un paso de validación independiente por parte de un tercero, tal como exigen nuestros clientes que requieren soberanía.

Los clientes desean tener acceso a los modelos de IA más recientes, pero también necesitan mantener su soberanía. ¿Cómo prevé que se desarrolle esta tensión?

El ritmo de cambio en la IA hace que esto sea urgente. Solo en los últimos seis meses, la clasificación de los modelos ha cambiado en múltiples ocasiones. Seis meses en el ámbito de la IA equivalen a siete años caninos. Si usted se encuentra en un entorno soberano que lleva un retraso de seis meses en innovación de IA, se habrá perdido múltiples cambios generacionales en cuanto a capacidades. He visto empresas que, por no utilizar la IA, se quedan rezagadas tan rápidamente que ni siquiera llegan a revisar sus tareas pendientes, mientras que sus competidores ya están lanzando nuevas funcionalidades al mercado.

Para los clientes que deben elegir entre distintos entornos soberanos, la primera pregunta debería ser siempre la seguridad: ¿qué entorno o solución ofrece el nivel de seguridad más robusto para su carga de trabajo específica? A partir de ahí, pueden analizar en detalle sus requisitos de soberanía: ¿dónde se procesan los datos? ¿Qué datos salen de la jurisdicción? ¿Quién tiene acceso a ellos? ¿Pueden ser objeto de exfiltración? ¿Pueden cifrarse? ¿Es posible utilizar sistemas externos de gestión de claves para mantener el cifrado del lado del cliente sin dejar de beneficiarse de los servicios en la nube? Y, por último, ¿es factible utilizar entornos en la nube con aislamiento físico (air-gapped) para procesar datos de alta clasificación sin renunciar al acceso a las capacidades de IA?

Este último punto es crucial. Contamos con clientes que ejecutan cargas de trabajo de IA en entornos con aislamiento físico. Al optar por este tipo de aislamiento, no están sacrificando en absoluto las capacidades de IA. La elección del modelo de implementación viene determinada por la clasificación de los datos y por el caso de uso específico, y no por una disyuntiva forzada entre seguridad e innovación.

En lo que respecta específicamente a la cuestión de la dependencia de modelos (model lock-in), si evitar la dependencia de un proveedor (vendor lock-in) es un requisito indispensable, existen modelos de código abierto a su disposición. Los clientes pueden utilizar estos modelos —desde Gemma hasta una gama cada vez más amplia de otras opciones de código abierto— sin quedar atados al ecosistema tecnológico propietario de un único proveedor. Hoy en día, muchos clientes ejecutan simultáneamente múltiples modelos en segundo plano, combinando soluciones de código abierto con soluciones propietarias en función de la carga de trabajo.

La pregunta que los clientes deberían plantearse es la siguiente: ¿qué proveedor me ofrece la flexibilidad necesaria para acceder a las capacidades de IA sin comprometer mis requisitos de soberanía? Y, ¿qué proveedor ha integrado la soberanía en los cimientos mismos de su arquitectura, en lugar de añadirla como una capa superficial superpuesta?

Seis meses en IA son como siete años perrunos.

La visión de los CXO sobre la soberanía

¿Cuáles son las preguntas clave que un CXO debería formular al evaluar una solución de nube soberana?

Muchos directivos (CXOs) se han resignado a creer que la soberanía limita necesariamente su capacidad de innovar. Considero que esa es una falsa disyuntiva, además de perjudicial. La soberanía se está convirtiendo en un requisito fundamental. Las condiciones geopolíticas cambian más rápido que nunca, y las organizaciones necesitan las soluciones de nube soberana más flexibles disponibles en el mercado. La cuestión no es si buscar la soberanía, sino cómo lograrlo sin sacrificar la posición competitiva ni la capacidad de innovación.

Teniendo en cuenta este planteamiento, a continuación presento los cuatro aspectos en los que, a mi juicio, debería centrarse cualquier directivo.

En primer lugar, evalúe qué proveedor logra el mejor equilibrio entre soberanía, seguridad e innovación de manera conjunta; no priorizando uno sobre los otros, sino los tres simultáneamente. Esa es la pregunta que deberían formular a cada proveedor durante el proceso de evaluación. No acepte ninguna compensación o renuncia como algo inevitable.

En segundo lugar, analice detenidamente el riesgo de dependencia del proveedor (vendor lock-in) y no limite dicha evaluación únicamente al software. Las empresas que han afrontado migraciones complejas comprenden que la dependencia no se reduce a elegir entre utilizar SQL Server o Spanner; también se manifiesta a través de los mecanismos de licenciamiento, y la dependencia en este ámbito puede resultar tan restrictiva como la dependencia tecnológica.

En tercer lugar, profundice en el conocimiento de su propio negocio y de su base de clientes antes de seleccionar un proveedor. ¿Quiénes son sus clientes? ¿Qué clasificaciones de datos se aplican a sus diversas cargas de trabajo? Si una misma aplicación debe dar servicio tanto a clientes del sector comercial como a organismos gubernamentales, no debería verse obligado a construir tres pilas tecnológicas (stacks) independientes. Lo que debería preguntarse es qué proveedor le permite operar con una única pila tecnológica que ofrezca la portabilidad suficiente para funcionar indistintamente en entornos de nube pública, nube dedicada y entornos soberanos, cumpliendo al mismo tiempo con los requisitos específicos de cada uno.

En cuarto lugar, distinga entre los requisitos de soberanía debidamente ponderados y lo que denomino «soberanía emocional». Las decisiones impulsadas por el miedo o la emotividad —en lugar de basarse en un análisis de riesgos riguroso y específico para cada caso de uso— tienden a imponer restricciones excesivas a las organizaciones, empujándolas hacia soluciones excesivamente restrictivas y comprometiendo innecesariamente su capacidad de innovación. La disciplina de evaluar los casos de uso, las clasificaciones de datos y los riesgos reales antes de elegir una solución es lo que distingue a las organizaciones que aciertan en este ámbito de aquellas que no lo logran.

“Muchos CXO se han resignado a la creencia de que la soberanía limita necesariamente su capacidad de innovar.”

¿Cuáles son los mayores conceptos erróneos que encuentra entre los CXO en lo que respecta a la nube soberana?

Surgen constantemente dos conceptos erróneos.

El primer punto se refiere a la complejidad de la migración. Cuando las organizaciones han desarrollado aplicaciones en la nube pública y necesitan trasladarse a un entorno de nube dedicado, la suposición casi invariable es que esto requerirá una reestructuración masiva: reescribir la pila tecnológica, replantear la arquitectura y asumir un coste y un tiempo considerables.

La segunda idea errónea —y la más extendida— es que la soberanía es una preocupación exclusivamente europea. Esto ha cambiado de manera fundamental. Las empresas estadounidenses están tan interesadas en la nube soberana como cualquier organización europea. En esencia, la nube soberana gira en torno a los controles de seguridad: controlar la exfiltración de datos, gestionar quién tiene acceso a ellos y garantizar la continuidad del negocio, así como la recuperación ante desastres. Estas son las cuestiones habituales que todo directivo (CXO) ya debe responder ante su consejo de administración, independientemente de su ubicación geográfica. La nube soberana constituye un enfoque riguroso y estructurado para dar respuesta a dichas cuestiones. El hecho de enmarcarla como un asunto de regulación europea oscurece la realidad de que las preocupaciones subyacentes son, en realidad, universales.

Las empresas estadounidenses están tan interesadas en la nube soberana como cualquier organización europea.

El futuro de la nube soberana

Con la vista puesta a cinco años, ¿cómo ve evolucionar la nube soberana?

La soberanía se convertirá en un requisito fundamental, integrado en cada centro de datos y en cada implementación. El entorno geopolítico está cambiando más rápido que nunca. Las organizaciones necesitan la arquitectura de nube soberana más flexible disponible, y la necesitan como cimiento, no como un complemento.

Más concretamente, creo que la soberanía evolucionará de ser una opción de producto discreta a convertirse en algo más parecido a un selector o un dial. Hoy en día, si un cliente desea cumplir con el nivel de conformidad SecNumCloud, debe migrar a una instancia de nube dedicada. Esto supone un cambio arquitectónico de gran envergadura. Lo que a mí me gustaría ver —y hacia donde creo que se dirige la industria— es un modelo en el que la soberanía sea un parámetro continuamente ajustable. El cliente lo ajustaría al nivel mínimo que satisfaga sus requisitos actuales. Cambia el panorama geopolítico. Se modifica una normativa. Ocurre un incidente de riesgo. Entonces, el cliente eleva el nivel de ajuste. Debería ser tan sencillo como eso. El potencial de este tipo de control soberano dinámico sería verdaderamente transformador. Aún no hemos llegado a ese punto. Hoy por hoy, las organizaciones eligen, esencialmente, una franja: nube pública, nube dedicada o aislamiento total (air gap). Sin embargo, la trayectoria apunta hacia algo mucho más fluido.

Si tuvieras una varita mágica, ¿qué cambiarías del enfoque actual sobre la soberanía?

Si tuviera una varita mágica, construiría un sistema en el que los niveles de soberanía y seguridad fueran dinámicamente ajustables en función de la clasificación de los datos y las condiciones de riesgo, sin exigir a los clientes que reconstruyan o migren sus aplicaciones. Esto resulta muy difícil de lograr, tanto para el cliente —en la forma en que construye sus aplicaciones— como para el proveedor de la nube —en la forma en que se diseña la infraestructura subyacente—. Pero ese es el destino al que yo apuntaría.

Lo segundo que cambiaría es la claridad normativa. Hoy en día, muchos clientes no se ven paralizados por la existencia de un exceso de regulaciones, sino por aquellas que resultan indefinidas o propensas a sufrir cambios. No saben hacia qué objetivo deben orientar sus desarrollos; desconocen qué exigirá la próxima normativa. Esa incertidumbre resulta verdaderamente costosa a la hora de tomar decisiones arquitectónicas a largo plazo. Si pudiera dotar a cada jurisdicción de un marco regulatorio claro, bien definido y estable en materia de soberanía digital, las organizaciones podrían tomar decisiones arquitectónicas con total confianza y construir orientándose hacia un objetivo conocido. Eso aceleraría el mercado en su conjunto.

“Muchos clientes hoy en día no se ven paralizados por el exceso de regulaciones, sino por aquellas que son indefinidas o propensas a cambiar.”