• Las decisiones sobre cloud trascienden lo tecnológico y se sitúan en el ámbito del riesgo, la gobernanza y la estrategia empresarial.

• Desde ISMS Forum y el capítulo español del Cloud Security Alliance se impulsa un marco práctico para acelerar la adopción de modelos de soberanía cloud en España.

Félix Gallego, Head of Security Architecture de ING y miembro del Comité Operativo del Cloud Security Alliance (CSA- España) y José Manuel Rivera, CISO de Iberia Cards y miembro del Comité Operativo del Cloud Security Alliance (CSA), capítulo España impulsado por ISMS Forum, abordan los principales retos que plantea la implementación de la nube en el entorno empresarial.

El análisis se aleja del plano teórico o estrictamente regulatorio y se centra en los frenos reales a los que se enfrentan las organizaciones: barreras técnicas, limitaciones organizativas y, especialmente, los desafíos asociados al gobierno del dato. Ambos coinciden en situar el foco en la alta dirección, donde, como subraya Gallego, se están desplazando las decisiones clave. La adopción de modelos cloud y la gestión de la soberanía digital “no son puramente tecnológicas”, sino que responden a variables estratégicas, de riesgo y de negocio.

La evolución del concepto de soberanía en la nube refleja este cambio de paradigma. Tal y como explica Gallego, lo que durante años fue un debate “teórico, casi filosófico”, ha pasado a convertirse en un requisito operativo con impacto directo en contratos y arquitectura. En el plano técnico, recuerda, estas conversaciones se reducían a latencia o zonas de disponibilidad; hoy el nivel de exigencia es distinto. “Ahora el CTO te pregunta si el proveedor pasa el corte en el Cloud Sovereignty Framework de la Comisión Europea”.

Este desplazamiento hacia el plano estratégico no se ha producido de forma abstracta. Rivera lo vincula directamente a su materialización en escenarios reales: “gran parte de las discusiones que han conseguido que el concepto llegue a los comités de dirección han sido los casos prácticos en los que se ha vulnerado”. Esta evidencia ha elevado la probabilidad de ocurrencia en las matrices de riesgo. A ello se suma lo que define como una “jurisprudencia” de facto: situaciones en las que determinados Estados han ejercido control sobre proveedores cloud, demostrando que el riesgo es tangible.

En este contexto, la evaluación de la soberanía digital exige un enfoque estructurado. Gallego plantea una aproximación en tres niveles. El primero consiste en mapear las dependencias reales: “quién gestiona las claves de cifrado, dónde se procesan los logs o bajo qué ley responde el soporte”. El segundo, contrastar ese mapa con el sistema que la Comisión Europea ha consolidado operativamente entre finales de 2024 y 2025.

El tercer elemento introduce una lógica de estrés operativo: “esto lo aprendí en proyectos con banca española”, señala, al recomendar realizar un dependency stress test: “¿qué pasa si mañana el gobierno de Estados Unidos activa el CLOUD Act contra este proveedor? ¿Puedes seguir operando? ¿Cuánto tiempo tienes para reaccionar?”.

Rivera completa este enfoque incorporando la dimensión de gestión del riesgo. A su juicio, resulta clave “catalogar, evaluar y asignar un apetito de riesgo al cloud” y entender su impacto en la soberanía. En este ámbito, apunta, el uso del Cloud Sovereignty Framework permite evitar duplicidades y aporta coherencia metodológica entre organizaciones.

Elemento estratégico

La soberanía en la nubeha dejado de ser un concepto abstracto para convertirse en un elemento estructural dentro de la estrategia empresarial. Desde la experiencia de Gallego, el cambio no reside en la tecnología, sino en el contexto: la pandemia evidenció la dependencia de infraestructuras críticas; el entorno geopolítico (guerra en Ucrania, conflicto en Oriente Medio o determinadas decisiones políticas internacionales) ha intensificado el debate sobre jurisdicción digital; y la presión normativa: GDPR, NIS2, DORA, Data Act,  ha incorporado a las áreas legales y de cumplimiento en las decisiones cloud.

En organizaciones maduras, observa un cambio relevante: la soberanía deja de gestionarse como una cláusula contractual y pasa a integrarse desde el diseño. “Ya no es una cláusula; es un requisito que condiciona la elección del proveedor, el modelo de cifrado, la gestión de identidades y hasta el modelo de red”. Frente a ello, advierte que muchas organizaciones medianas siguen operando bajo un enfoque anterior, confiando en adendas contractuales como mecanismo suficiente de cobertura.

Desde una perspectiva complementaria, Rivera identifica un incremento en el uso o la planificación de software libre, especialmente en entornos IaaS y PaaS, lo que permite avanzar hacia arquitecturas más agnósticas y con mayor capacidad de migración.

La implicación de la alta dirección

El debate sobre soberanía cloud ha escalado al nivel de los comités de dirección. Sin embargo, persiste, según Gallego, un error de base: tratarlo como un problema técnico. “La soberanía no es un problema del CTO o del CISO”, sino una decisión de riesgo estratégico con tres dimensiones.

La primera es el riesgo regulatorio y legal: “¿bajo qué jurisdicción se gestionan los datos críticos? ¿Qué pasa si hay un conflicto legal extraterritorial?”. La segunda, el riesgo de dependencia: “una migración técnica puede durar dos años; una migración forzada por un cambio geopolítico o una sanción puede destruir la continuidad del negocio”. Y la tercera, el riesgo reputacional y de negocio: en sectores como banca, salud o administración, perder el control efectivo de los datos puede costar más que cualquier brecha de seguridad.

Rivera amplía este enfoque introduciendo el riesgo de pérdida de control operativo. La soberanía, desde su punto de vista, no se limita a dónde residen los datos, sino a quién controla realmente la operación de la infraestructura. Si las capacidades críticas dependen exclusivamente del proveedor, la organización puede encontrarse en una situación en la que, incluso teniendo los datos localizados en una región concreta, no dispone de control efectivo sobre la infraestructura que los soporta.

A ello añade el riesgo de concentración tecnológica sistémica. El mercado global de cloud está altamente concentrado en unos pocos proveedores hiperescaladores. Esta concentración genera eficiencias técnicas, pero también introduce un riesgo estructural.

Un indicador claro de madurez organizativa, apunta Gallego, es la incorporación de la soberanía cloud en los registros de riesgos corporativos junto al riesgo de ciberataque. Rivera coincide en que el debate ha evolucionado desde la localización del dato hacia el control efectivo de la infraestructura digital.

El papel de los niveles SEAL

En este contexto, los niveles SEAL se consolidan como un marco operativo relevante. Gallego los define como “la herramienta más práctica que ha producido el marco europeo”, aunque advierte de un error frecuente: tratarlos como un certificado estático. “Es un estado dinámico que requiere monitorización”.

Rivera subraya que su principal aportación es trasladar la soberanía desde el plano abstracto a un criterio de arquitectura y gestión de riesgos, permitiendo comparar proveedores de forma estructurada e introducir una lógica de segmentación alineada con el apetito de riesgo de la organización.

Desde una perspectiva práctica, el uso de SEAL implica definir qué nivel mínimo exige cada categoría de dato o servicio, incorporarlo en los procesos de contratación, donde la Comisión Europea ya lo contempla como criterio de adjudicación, y revisarlo periódicamente, dado que los proveedores pueden modificar sus estructuras o acuerdos. “Un nivel 3 hoy puede ser un 1 mañana si el proveedor es adquirido por un actor no europeo”, advierte.

Aspectos clave de la soberanía en la nube

En el transcurso de la conversación, ambos expertos profundizan en las distintas dimensiones que configuran la soberanía en la nube (soberanía de datos, operativa, técnica y legal, así como la distinción entre nube soberana y tradicional), abordando su implicación práctica desde una perspectiva aplicada.

Desde su experiencia, Gallego estructura estas dimensiones de forma clara. La soberanía de datos implica el control efectivo sobre dónde residen los datos, quién accede a ellos, bajo qué legislación se rigen y con qué mecanismos de cifrado se protegen. “El mínimo innegociable es que las claves criptográficas estén bajo control propio o de un tercero europeo de confianza”. En caso contrario, “si el proveedor gestiona las claves, no tienes soberanía de datos, por mucho que el contrato diga lo contrario”.

La soberanía operativa se refiere a la capacidad real de operar, migrar o recuperar servicios sin dependencia crítica del proveedor. Esto exige documentación completa de la arquitectura, acceso a los datos en formatos portables y un runbook de salida probado. “He visto organizaciones que tardaron 18 meses en salir de un proveedor porque nadie había documentado las dependencias internas”.

La soberanía técnica se apoya en el uso de estándares abiertos, APIs interoperables y la ausencia de dependencias propietarias críticas. “¿Cuánto código de tu aplicación solo funciona en este proveedor? Cada línea es una deuda de soberanía técnica”.

Por último, la soberanía legal y jurisdiccional implica que el servicio esté sujeto exclusivamente a legislación europea y que no existan mecanismos por los que una ley extranjera pueda exigir acceso a los datos, como el CLOUD Act o FISA 702. Esto requiere un análisis jurídico real, más allá de la redacción contractual.

Rivera incorpora otras capas operativas. En soberanía de identidad y accesos, destaca que el control efectivo depende de quién gestiona los sistemas de identidad. “Si el proveedor mantiene privilegios administrativos o puede escalar permisos, la organización no tiene control pleno”. El mínimo exigible pasa por un modelo bajo control del cliente, con privilegios delimitados y auditables.

En cuanto a la cadena de suministro tecnológica, subraya la necesidad de visibilidad sobre subprocesadores y dependencias indirectas fuera de la jurisdicción europea. Sin esta información, la organización no puede evaluar su exposición legal o geopolítica.

Finalmente, introduce la dimensión de resiliencia y continuidad: la soberanía también se mide por la capacidad de mantener la operación si el proveedor deja de estar disponible o si es necesario finalizar el contrato. Esto implica estrategias de portabilidad real, entornos multicloud o híbridos y pruebas periódicas.

Adopción de modelos soberanos

La adopción de modelos soberanos tiene impacto directo en el coste. Gallego señala que el sobrecoste de una arquitectura soberana bien implementada frente a una sin restricciones oscila entre un 15% y un 40% del TCO, en función del nivel SEAL y del punto de partida tecnológico.

Este coste se distribuye en tres áreas: infraestructura, donde los proveedores europeos aún no alcanzan la escala de los hiperescaladores; operaciones con mayor complejidad y necesidad de perfiles especializados; e innovación con acceso más limitado a servicios avanzados de IA o analítica.

Sin embargo, introduce dos elementos de retorno claros: la reducción del riesgo regulatorio: evitar sanciones de hasta el 4% de la facturación global, y la ventaja competitiva en sectores donde el dato soberano es un diferenciador.

Como enfoque mínimo viable, propone: cifrado con claves propias en datos clasificados, arquitectura documentada y exportable, cláusulas contractuales auditables y al menos un escenario de salida probado cada dos años.

Nube soberana e implementación

La implantación de modelos soberanos presenta riesgos cuando no se aborda de forma estructural. Gallego advierte haber visto organizaciones que han invertido millones en proyectos que, en la práctica, solo han trasladado datos a centros de datos europeos de proveedores no europeos, sin modificar elementos críticos.

Los errores se concentran en varios ámbitos. En contratos, destaca la firma de cláusulas estándar sin revisión independiente. Rivera insiste en exigir transparencia sobre subprocesadores y soporte.

En arquitectura, Gallego señala la persistencia de dependencias en servicios gestionados bajo jurisdicción externa. Rivera añade la falta de diseño orientado a portabilidad.

En gobernanza, se identifica la ausencia de responsables claros y de monitorización continua. “La soberanía se degrada silenciosamente si nadie la gestiona”. Rivera subraya la necesidad de definir indicadores medibles.

Ambos coinciden en el factor cultural como barrera: dependencia de grandes proveedores y resistencia al cambio. Rivera apunta a la necesidad de construir una narrativa que posicione la soberanía como ventaja tecnológica.

Soberanía cloud en Europa

El análisis comparado muestra diferencias relevantes. Alemania y Francia presentan mayor madurez, con cultura consolidada y actores nacionales como OVHcloud. Rivera menciona iniciativas como la nube soberana de Lidl en Alemania.

España, en cambio, presenta crecimiento, pero con menor madurez y mayor fragmentación, especialmente en pymes. A ello se suma la ausencia de un proveedor cloud nacional con peso europeo, pese a contar con infraestructuras relevantes.

El valor del mapa conceptual de CSA

El mapa conceptual desarrollado por CSA España se posiciona como una herramienta operativa clave. Gallego lo define como una de las aportaciones más prácticas, al traducir la complejidad del marco europeo en un formato comprensible para la toma de decisiones.

Su valor reside en establecer un lenguaje común entre áreas técnicas, jurídicas y directivas, y en ofrecer un punto de partida estructurado para organizaciones que inician su recorrido en soberanía cloud.

Rivera destaca su capacidad para simplificar conceptos y facilitar un diagnóstico inicial, además de actuar como herramienta de alineamiento interno.

Planes futuros del CSA

El capítulo español del CSA avanza en nuevas líneas de trabajo centradas en soberanía cloud. Rivera destaca la creación de un grupo de trabajo orientado a desarrollar una guía práctica para la evaluación y gestión de la soberanía.

Este grupo integrará profesionales del sector y dará continuidad a iniciativas previas. A corto plazo, el objetivo es integrar la soberanía en la agenda de negocio, definir métricas y apoyar la toma de decisiones tecnológicas.

A medio plazo, el foco se sitúa en la validación operativa: probar estrategias de soberanía del mismo modo que se evalúa la resiliencia e incorporar modelos de evaluación continua del riesgo.

En este contexto, desde el Comité Operativo del Cloud Security Alliance(CSA), capítulo Españaimpulsado por ISMS Forum, se subraya la necesidad de abordar la soberanía en la nube como un eje estructural dentro de la estrategia digital de las organizaciones. No se trata únicamente de una cuestión tecnológica o de cumplimiento, sino de una capacidad crítica para garantizar control, resiliencia y autonomía en un entorno marcado por la complejidad regulatoria y la incertidumbre geopolítica.

Desde esta perspectiva, el Comité refuerza su compromiso de impulsar un enfoque práctico, neutral y basado en estándares, que permita a las organizaciones evaluar, implementar y gobernar la soberanía cloud de forma efectiva. El desarrollo de marcos de referencia, herramientas operativas y espacios de colaboración entre industria, reguladores y comunidad técnica se consolida como una prioridad para acelerar la madurez del mercado español y alinearlo con las mejores prácticas europeas.

El posicionamiento es claro, la soberanía en la nube deja de ser una opción para convertirse en un vector estratégico de competitividad, confianza y sostenibilidad digital a medio y largo plazo.