La decisión del gobierno del Reino Unido de designar los centros de datos como infraestructura nacional crítica (CNI) en septiembre de 2024 señaló su ambición de construir una economía digital que sea segura y globalmente competitiva.
Pero detrás de los titulares sobre la protección contra el crimen cibernético y los apagados se encuentran una realidad más complicada: un sector que lidia con la incertidumbre política, la dependencia de los gigantes de las nubes extranjeros y una agenda de soberanía de datos que parece cada vez más comprometida.
En una publicación de blog, el analista principal de Forrester, Tracy Woo, escribió: “Nuevos requisitos de soberanía como SecnumCloud, Cloud de Confiance de Francia y el Catálogo de controles de cumplimiento de la computación en la nube (C5) de Alemania, junto con el impulso para mantener los datos en el país, han creado un impulso más amplio para nubes privadas y soberanas “.
Pero la promesa de “infraestructura protegida” suena hueca cuando los hiperscalers admiten abiertamente que no pueden garantizar que los datos del gobierno del Reino Unido almacenados en servicios en la nube como Microsoft 365 y Azure permanecerán dentro de las fronteras nacionales.
Woo señala que los países de la Unión Europea (UE) y Asia-Pacífico (APAC) han intentado aprovechar más a los proveedores de nubes con sede en Estados Unidos, crear nubes soberanas o dejar cargas de trabajo en el centro.
En el Reino Unido, el escrutinio regulatorio está exponiendo el frágil estado de la independencia digital del Reino Unido. Al observar el enfoque del Reino Unido para la soberanía de los datos, el bufete de abogados Kennedys Law describe el proyecto de ley de uso y acceso de datos (DUA), que se publicó en octubre de 2024, como “un enfoque más flexible basado en el riesgo para transferencias de datos internacionales”.
Kennedys señala que la nueva prueba requiere que los estándares de protección de datos en la jurisdicción de destino no deben ser materialmente más bajos que los del Reino Unido. Según Kennedys, este estándar es menos rígido que el requisito de “equivalencia esencial” de la UE, pero plantea preguntas sobre cómo se interpretará en la práctica “materialmente más bajo”.
Comprensiblemente, con la dependencia del gobierno de las herramientas de productividad basadas en la nube, las preocupaciones sobre el cumplimiento de las leyes de protección de datos del Reino Unido se han intensificado.
La Autoridad de Competencia y Mercados (CMA) ahora está investigando las prácticas del mercado de la nube que podrían encerrar a los clientes en proveedores extranjeros. Se espera un informe provisional a principios de 2025, preparando el escenario para posibles reformas regulatorias destinadas a impulsar la soberanía de los datos y frenar las prácticas monopolísticas.
Remodelación de la soberanía de datos
Esto no es antes de tiempo para Mark Boost, CEO de Civo, un especialista de alojamiento en la nube con sede en el Reino Unido. “La incapacidad de garantizar que los datos permanezcan dentro de las fronteras del Reino Unido subrayan los riesgos de depender de los hiperscalers”, advierte Boost. “Si mantenemos subcontratación de la infraestructura de datos crítico, corremos el riesgo de perder más que solo el control técnico, perdemos la independencia nacional”.
La revisión de la CMA podría remodelar el futuro digital del país, potencialmente exigir una mayor transparencia y requerir garantías de almacenamiento de datos del Reino Unido de los proveedores globales de la nube. Esto es algo de lo que Boost ha estado hablando por algún tiempo.
“La transparencia no se trata solo de dónde se almacenan los datos, se trata de cómo los centros de datos se alimentan, mantienen y aseguran”, dice. Su argumento destaca la conexión esencial entre la soberanía de los datos y la claridad operativa, instando a los proveedores a adoptar medidas de responsabilidad más claras.
La incapacidad de garantizar que los datos permanezcan dentro de las fronteras del Reino Unido subrayan los riesgos de depender de los hiperscalers. Si mantenemos la subcontratación de la infraestructura de datos críticas, corremos el riesgo de perder más que solo control técnico, perdemos la independencia nacional
Mark Boost, Civo
A pesar de estos desafíos en torno a la transparencia, la industria del centro de datos del Reino Unido ha visto signos prometedores, particularmente en la inversión regional. El reciente anuncio del gobierno de un proyecto de centavo de datos de £ 250 millones en Salford muestra cómo la cooperación del gobierno local y la inversión dirigida pueden impulsar el crecimiento. Pero tales proyectos siguen siendo excepciones en lugar de la regla.
Luisa Cardani, directora de centros de datos de Techuk y autora del informe Fundaciones para el futuro: cómo los centros de datos pueden sobrealimentar el crecimiento económico del Reino Unidoadvierte que sin una declaración de política nacional (NPS), el sector del centro de datos corre el riesgo de fragmentarse. Las autoridades de planificación locales carecen de la experiencia y los recursos para aprobar proyectos de manera eficiente, creando cuellos de botella que podrían retrasar los desarrollos críticos de infraestructura durante años.
“La industria quiere trabajar con la gente local y las autoridades, pero falta una clara orientación de planificación nacional”, dice Cardani. “Sin una estrategia coherente, estamos atrapados en un ciclo de decisiones fragmentadas e inercia regulatoria”.
La inclusión propuesta de centros de datos bajo el régimen de proyectos de infraestructura significativos (NSIP) a nivel nacional podría agilizar el proceso de aprobación, asegurando la toma de decisiones más rápida. Sin embargo, esto sigue siendo, al menos por el momento, más una aspiración. En realidad, la inversión permanecerá estancada hasta que el Reino Unido desarrolle un enfoque nacional coherente que equilibre los intereses públicos y privados al tiempo que racionaliza el proceso de aprobación del proyecto.
La soberanía de los datos y los requisitos de seguridad son fundamentales para esto, y en gran medida serán fuerzas del mercado las que determinan la forma y el tamaño de la industria del centro de datos del Reino Unido. En este frente, Alvin Nguyen, analista senior de Forrester, dice que las empresas deben reconocer los diferentes perfiles de riesgo planteados por los centros de datos locales y operados por hiperscaleros.
“Debe esperarse que los hiperscalers tengan más ancho de banda, más escalabilidad y más redundancia que sus homólogos más localizados, pero tener centros de datos clasificados como críticos para la infraestructura del Reino Unido puede ayudar a mitigar algunos riesgos de seguridad, pero no todos,”, dice.
Complejidad de mantener datos dentro de las fronteras nacionales
Nguyen también cuestiona si los debates de soberanía de datos podrían simplificarse demasiado en algunos casos.
“Con la seguridad de los datos, se trata de cuáles son los requisitos de la organización para determinar si ir o no a un hiperscaler o un centro de datos local”, dice. “Con la soberanía, eso es un poco diferente. Si hay componentes de las leyes de soberanía para restringir el acceso o el uso de datos fuera de los centros de datos locales, los hiperscalers deberán asegurarse de que las barandillas estén en su lugar ”.
Los comentarios de Nguyen subrayan la complejidad de la gestión de datos confidenciales en entornos híbridos. En lugar de centrarse únicamente en si elegir un proveedor local o global, las empresas deberían considerar la gestión de cargas de trabajo en entornos de nube híbridos de manera más estratégica.
“Muchas organizaciones encontrarán una combinación de centros de datos y nubes que tienen más sentido … el perfil de riesgo de cada uno es diferente y esa combinación de riesgo al combinar los centros de datos y los centros de datos se puede optimizar para ellos”, dice.
Los riesgos de seguridad asociados con la soberanía de los datos son multifacéticos, que se extienden mucho más allá de las simples preocupaciones de almacenamiento de datos. Para las empresas en sectores regulados, particularmente los servicios financieros, las apuestas son inmensas.
Cuando está en la instalación es la única opción
Jon Cosson, jefe de TI y director de seguridad de la información de la firma de gestión de patrimonio JM Finn, subraya los peligros potenciales cuando las empresas asumen que el uso de un gran proveedor de la nube garantiza automáticamente la seguridad.
“Es absolutamente imperativo que sepas dónde están tus datos y cómo asegurarlos”, advierte. “No creerías cuántas empresas todavía confían en alguien más”.
El problema se ve agravado por la complejidad jurisdiccional de los servicios globales en la nube. Cuando los datos confidenciales cruzan las fronteras, puede estar bajo múltiples regímenes regulatorios, planteando preguntas sobre el acceso legal y la extralimitación del gobierno. Esta preocupación ha sido amplificada por una legislación como la Ley de Cloud de los Estados Unidos.
En 2019, el entonces Secretario del Interior, Priti Patel, firmó un acuerdo de la Ley de la Nube de los Estados Unidos que cubre el Reino Unido e Irlanda del Norte, en el que los gobiernos de los Estados Unidos y el Reino Unido acordaron proporcionar acceso oportuno a los datos electrónicos para fines autorizados de aplicación de la ley. La Ley de la Nube podría obligar a los hiperscalers con sede en los Estados Unidos a proporcionar datos almacenados en el extranjero a las autoridades estadounidenses, sin pasar por las leyes locales.
“Quiero saber exactamente a dónde van mis datos, cómo están encriptados y qué tan rápido puedo salir si es necesario”, dice Cosson, lo que refleja una preocupación de la industria más amplia de que las rutas de datos opacos y las garantías contractuales limitadas pueden exponer a las empresas a riesgos significativos de cumplimiento.
“Usamos la nube cuando tenemos que hacerlo, pero aún ejecutamos los sistemas clave en las instalaciones para el control”, agrega Cosson. Este enfoque es típico de las empresas que manejan datos financieros confidenciales. Hay una falta de confianza con las organizaciones que no están preparadas para tomar promesas de “almacenamiento seguro en la nube” al pie de la letra.
Si bien Cosson reconoce que la adopción en la nube es inevitable para algunos servicios, como Microsoft 365, subraya el papel duradero de la infraestructura local para las empresas que requieren un control absoluto sobre los datos confidenciales. Esto, por supuesto, plantea un problema adicional de cómo administrar los entornos de datos híbridos de manera segura y eficiente.
Según Cosson, compañías como Nutanix juegan un papel fundamental aquí, lo que permite a las organizaciones administrar las cargas de trabajo en los entornos de la nube y local mientras mantienen el control de datos. Los servicios de infraestructura de Nutanix están diseñados para abordar las preocupaciones de soberanía, dice, al garantizar que las empresas tengan políticas claras de gestión de datos y sigan cumpliendo con las regulaciones locales.
Necesitamos esfuerzos coordinados entre el gobierno, la industria y las autoridades locales para construir un ecosistema resistente al centro de datos. Esto significa responsabilidad compartida, marcos de políticas más claros e incentivos tanto para hiperscalers como para proveedores del Reino Unido
Luisa Cardani, Techuk
“Los próximos cinco años serán decisivos”, dice el impulso de Civo. “Si la transparencia se convierte en un requisito legal, veremos que las empresas exigen más a los proveedores, no solo sobre dónde residen los datos, sino también cómo se gestiona y alimenta la infraestructura”.
Cardani de Techuk cree que las asociaciones público-privadas jugarán un papel crucial aquí. “Necesitamos esfuerzos coordinados entre el gobierno, la industria y las autoridades locales para construir un ecosistema resistente al centro de datos”, dice ella. “Esto significa responsabilidad compartida, marcos de políticas más claros e incentivos tanto para hiperscalers como para proveedores del Reino Unido”.
Boost y Cardani están de acuerdo en que el equilibrio de poder entre los hiperscalers y los operadores locales puede cambiar, particularmente si las políticas futuras exigen la localización de datos o prohíben las transferencias de datos transfronterizos sin garantías explícitas. La soberanía por diseño, donde la infraestructura está construida para cumplir con el cumplimiento local desde el principio, podría convertirse en el nuevo estándar.
Adheriéndose a los estándares actuales
Hasta ese momento, las organizaciones deben determinar cómo pueden cumplir con los estándares existentes. Cardani argumenta que la adherencia a los estándares debe estar respaldada por políticas nacionales que permitan informes transparentes y estructuras claras de responsabilidad.
En la práctica, esto significa hacer cumplir auditorías obligatorias, certificaciones de residencia de datos y puntos de referencia de seguridad adaptados a marcos legales específicos del Reino Unido. Sin estas medidas, las empresas corren el riesgo de caer en brechas de cumplimiento que podrían exponerlas a violaciones de datos, multas y disputas legales.
Marcos como ISO 27001 para la gestión de seguridad de la información, Reglamento general de protección de datos (GDPR) para la industria de la privacidad de datos y la industria de la tarjeta de pago estándar de seguridad de datos (PCI DSS) para la seguridad de los pagos Establecer expectativas operativas claras. Sin embargo, estos estándares son solo parte de la ecuación, ya que las regulaciones en evolución enfatizan cada vez más la soberanía de los datos y la seguridad por diseño.
Asegurar que los centros de datos cumplan con tales marcos mientras ofrecen garantías de soberanía se ha convertido en un desafío apremiante. Los hiperscalers que operan en múltiples jurisdicciones complican las auditorías y las verificaciones de cumplimiento debido a diferentes obligaciones legales y reglas de transferencia de datos.
La introducción de la investigación de la CMA se necesita urgentemente, aunque solo sea para proporcionar cierta claridad sobre lo que, para la mayoría de los compradores, se ha convertido en un tema confuso.
Para los líderes de TI, la conclusión crítica es que la responsabilidad no puede ser subcontratada. La seguridad, el cumplimiento y la soberanía deben gestionarse activamente a través de evaluaciones de riesgos, auditorías de cumplimiento y estrategias de múltiples ofertas.
Y a medida que evoluciona la infraestructura digital del Reino Unido, solo las empresas que se mantienen por delante de la regulación y la transparencia de la demanda de sus proveedores podrán navegar por las incertidumbres.
En ese puntaje, la industria del centro de datos del Reino Unido se encuentra en una encrucijada, pero con claridad de política, inversión local y transparencia de la industria, tiene el potencial de convertirse en un líder digital global en este espacio.
Se trata de confianza y de todos los que juegan por el mismo, justo …
