El cloud ya es una realidad en todas las empresas de cierto tamaño. Ya se trate de entornos públicos, privados o híbridos, las organizaciones han adoptado en los últimos años infraestructuras y servicios cloud para obtener mayor agilidad, escalabilidad y capacidad de innovación.
Sin embargo, con el cloud entra en juego un aspecto que va más allá del rendimiento y que recibe el nombre de cloud compliance. Trasladar datos, aplicaciones y procesos a infraestructuras de terceros (no solo públicas, sino también privadas hosted) no significa, de hecho, transferir automáticamente al proveedor también las obligaciones normativas, de gobernanza y de control.
En la mayoría de los casos, la empresa sigue siendo responsable de lo que ocurre con sus datos y, por tanto, debe cumplir con una serie de políticas, normativas y reglamentos.
¿Cómo hacerlo, en la práctica?
Puntos clave
- La cloud compliance es el conjunto de prácticas y controles que garantizan que las infraestructuras, los datos y los servicios cloud cumplan con los requisitos normativos y de seguridad.
- En el cloud, la responsabilidad no se transfiere simplemente al proveedor: las empresas siguen siendo responsables de aspectos clave como la protección de los datos, los accesos y las configuraciones.
- Para lograr un modelo de compliance sostenible, las organizaciones más maduras aumentan la visibilidad sobre sus entornos e integran la seguridad y la automatización directamente en los procesos operativos.
Cloud compliance: ¿qué normativas debe cumplir una empresa?
El cloud no es una zona exenta de regulación; todo lo contrario. El propio concepto de nube soberana surge de la conciencia de que los datos no pueden transferirse y gestionarse libremente a escala global sin tener en cuenta el marco normativo y jurisdiccional de los países en los que se almacenan, procesan o ponen a disposición.
El hecho de que las aplicaciones y los datos estén alojados en la infraestructura de un proveedor, que incluso puede estar distribuida por todo el mundo, no exime a la organización que los utiliza de sus obligaciones. Cambia el modelo operativo y se redistribuyen algunas responsabilidades, pero el cumplimiento normativo sigue recayendo, en gran medida, sobre la empresa.
Aunque el marco normativo varía en función del modelo elegido (público, privado o híbrido), del sector, del tipo de datos tratados y de los países en los que se opera, existen tres niveles de cloud compliance.
Normativas europeas y nacionales: el punto de partida
El primer nivel es el de las obligaciones legales. Para las organizaciones que operan en Europa, el punto de partida es una combinación de normativas nacionales y europeas, entre las que destaca el imprescindible RGPD para la protección de la privacidad de los datos.
Dentro del marco regulatorio europeo, el RGPD se complementa con normativas como la Directiva NIS2, el Reglamento de Resiliencia Operativa Digital (DORA), la Data Act y la Ley de IA (AI Act). Esta última, en particular, está llamada a tener un impacto cada vez mayor a medida que el cloud aloja sistemas y modelos de inteligencia artificial.
Requisitos sectoriales: las obligaciones que dependen del negocio
También existen estándares y regulaciones que son obligatorios únicamente para determinadas actividades económicas, independientemente de dónde se almacenen sus datos. Algunos ejemplos relevantes son:
- PCI DSS, para las organizaciones que gestionan pagos electrónicos y datos de tarjetas.
- Good Manufacturing Practice (GMP), que en el sector farmacéutico establece requisitos sobre la calidad de los procesos y, cada vez con más frecuencia, también sobre la integridad de los datos en los sistemas digitales.
- Hazard Analysis and Critical Control Points (HACCP), que actualmente también suele aplicarse a plataformas digitales y sistemas cloud para la supervisión de la cadena alimentaria.
Frameworks voluntarios cada vez más relevantes
Existe una tercera dimensión de la cloud compliance que no deriva directamente de la legislación, sino del mercado. Se trata de frameworks y certificaciones que permiten demostrar a clientes, partners y otras partes interesadas que la organización sigue las mejores prácticas internacionales, reforzando así su reputación y favoreciendo el desarrollo del negocio.
Los ejemplos son numerosos. Entre los más destacados se encuentran la ISO 27001 para la seguridad de la información, la ISO 27017 para los servicios cloud y SOC 2 para los controles de seguridad y la fiabilidad de los servicios digitales.
¿Quién es responsable de la cloud compliance?
Si una empresa está sujeta al RGPD, debe cumplir con los requisitos de su sector y, además, ha obtenido certificaciones como la ISO 27001, ¿qué ocurre cuando decide trasladar datos y procesos críticos al cloud? ¿La responsabilidad pasa al proveedor?
En resumen, la respuesta es no. En el cloud existe un modelo de responsabilidad compartida, según el cual el proveedor y el cliente desempeñan funciones complementarias en materia de cumplimiento normativo. El hecho de que el servicio sea prestado por un proveedor no significa que la empresa pueda delegar en él la responsabilidad sobre la seguridad y la correcta gestión de los datos. Significa, en cambio, que determinadas actividades se transfieren al proveedor, mientras que otras siguen siendo responsabilidad del cliente.
Simplificando, el proveedor es responsable de la seguridad de la infraestructura cloud, es decir, de la seguridad física de los centros de datos, la protección del hardware, la resiliencia de las redes, la continuidad del servicio y, en los modelos virtualizados, de la seguridad de la capa de infraestructura que separa los distintos entornos y clientes.
La empresa cliente, por su parte, sigue siendo responsable de la seguridad en el cloud, es decir, de la forma en que utiliza los recursos que el proveedor o terceros ponen a su disposición. Normalmente, siguen siendo responsabilidad de la organización:
- la clasificación y protección de los datos;
- la gestión de identidades y accesos (IAM);
- la configuración de los entornos cloud y de las redes;
- la seguridad de las aplicaciones y las cargas de trabajo (workloads);
- las políticas de copia de seguridad, retención y conservación de los datos.
Como es fácil deducir, de estos factores depende gran parte del cumplimiento de las normativas a las que está sujeta la empresa.
Esto significa que elegir un proveedor cloud certificado o con un alto nivel de seguridad es fundamental, pero no equivale automáticamente a cumplir con la normativa. Un entorno cloud alojado en uno de los centros de datos más resilientes del mundo no será conforme si, por ejemplo, se conceden permisos excesivos, los datos no se gestionan correctamente o faltan controles adecuados sobre los procesos.
La cloud compliance es, por tanto, una cuestión de gobernanza: el proveedor facilita el camino, pero la responsabilidad última del cumplimiento normativo sigue recayendo, en la mayoría de los casos, sobre la empresa.
Cloud compliance: ¿cómo hacerlo? Los pasos para un modelo sostenible en el tiempo
Una vez comprendido qué es la cloud compliance, identificadas las obligaciones aplicables y aclarado que la responsabilidad final sigue recayendo (también) sobre la empresa, ¿qué hay que hacer para garantizar el cumplimiento normativo de los entornos cloud?
Lo primero que hay que tener claro es que no existe una checklist universal. Cada organización debe definir un enfoque adaptado a sus necesidades, teniendo en cuenta no solo la normativa a la que está sujeta, sino también el nivel de riesgo que está dispuesta a asumir y las tecnologías que adopta para reducir el riesgo de incumplimiento.
No obstante, hay una serie de principios que se repiten en prácticamente todos los proyectos de madurez:
- Empezar por la gobernanza.
- Obtener visibilidad sobre los entornos.
- Automatizar al máximo los controles.
- Integrar el compliance en los procesos operativos, sin tratarlo únicamente como una revisión periódica.
Definir la gobernanza, las responsabilidades y el marco normativo
El cumplimiento normativo nace, ante todo, de las decisiones organizativas. Una vez que la empresa ha identificado los frameworks, las obligaciones legales y los estándares que le son de aplicación, el siguiente paso consiste en definir responsabilidades claras.
Cada dato crítico, aplicación o proceso debería contar con uno o varios responsables encargados de gestionar aspectos como los accesos, la retención de datos, la clasificación de la información y los requisitos de seguridad. El objetivo no es aumentar la burocracia, sino hacer explícita la asignación de responsabilidades (ownership) y garantizar que cada decisión tenga un responsable claramente definido.
Antes incluso de implantar controles, también es fundamental realizar una evaluación de riesgos para identificar dónde se concentran realmente las vulnerabilidades, las criticidades operativas y las posibles exposiciones que podrían derivar en sanciones. Solo a partir de este análisis es posible establecer prioridades e inversiones coherentes.
Construir visibilidad mediante el etiquetado (tagging)
Uno de los problemas más comunes en los entornos cloud es la pérdida progresiva de control debida al crecimiento de los recursos. Bases de datos, contenedores y workloads pueden multiplicarse hasta el punto de dificultar saber qué recursos existen y qué normas deben aplicarse a cada uno de ellos.
Por ello, cobra cada vez más importancia la técnica del etiquetado (tagging) de los recursos, que consiste en asociar atributos a los distintos componentes de la infraestructura. Por ejemplo, cada recurso debería identificarse mediante información como:
- responsable del servicio (service owner);
- entorno de referencia (desarrollo, pruebas o producción);
- nivel de criticidad;
- requisitos normativos aplicables.
De este modo, el compliance deja de depender de documentos independientes, a menudo difíciles de localizar y mantener actualizados, y pasa a convertirse en una característica integrada en los propios recursos tecnológicos.
Implementar controles alineados con el riesgo
Una vez definida la gobernanza y conseguida la visibilidad, es necesario implantar controles coherentes con el contexto normativo y con el nivel de riesgo asociado a cada proceso y recurso. El principio es sencillo: reducir al máximo la exposición al riesgo sin comprometer la operatividad.
Entre los mecanismos más utilizados destaca el Role-Based Access Control (RBAC), que asigna a cada usuario únicamente los privilegios necesarios para desempeñar sus funciones, así como la protección de los datos durante todo su ciclo de vida. En la práctica, esto implica implementar mecanismos de cifrado, políticas de copia de seguridad y estrategias de conservación y retención de datos alineadas con las obligaciones normativas y los requisitos del negocio.
Integrar el compliance, la seguridad y la automatización en los procesos
Este es, probablemente, el aspecto que diferencia a las organizaciones más maduras de aquellas que siguen abordando el compliance como una actividad reactiva.
Hasta hace pocos años, el modelo predominante consistía en desarrollar aplicaciones, implantar infraestructuras o poner en marcha nuevos proyectos digitales y comprobar su conformidad únicamente en las fases finales, poco antes del despliegue o de la puesta en producción. Como era de esperar, este enfoque expone a las empresas a riesgos evidentes: llevar a producción componentes que no cumplen la normativa o verse obligadas a detener iniciativas tras meses de trabajo para corregir problemas detectados demasiado tarde.
Hoy en día, las organizaciones más avanzadas integran la seguridad y el compliance directamente en los procesos de desarrollo de software y de gestión de infraestructuras, adoptando enfoques DevSecOps y estrategias de shift left. En otras palabras, los controles se adelantan lo máximo posible y se incorporan desde las primeras fases del ciclo de desarrollo, mediante actividades como el análisis automático del código y la verificación automatizada de políticas.
En paralelo, cobra cada vez más importancia la observabilidad, que permite crear auténticos paneles de control (dashboards) de compliance para supervisar en tiempo real el estado de los entornos cloud y activar alertas automáticas cuando se detectan comportamientos anómalos.
Kirey y el compliance "by design"
A lo largo de este artículo hemos visto que la cloud compliance no es una actividad que deba abordarse al final del proyecto, sino un elemento que debería acompañar cada decisión durante todo el proceso de transformación hacia la nube.
Con esta filosofía, acompañamos a las empresas en su proceso de adopción del cloud, ayudándolas a identificar el modelo más adecuado para sus distintas cargas de trabajo y apoyándolas en todas las fases de la modernización de sus aplicaciones e infraestructuras.
El objetivo no es impulsar una tecnología o un modelo cloud concreto, sino diseñar un recorrido alineado con las necesidades operativas, los requisitos de rendimiento y las obligaciones normativas.
Acompañamos a nuestros clientes en el análisis del contexto regulatorio, les ayudamos a evaluar el nivel de riesgo, identificar posibles requisitos de soberanía del dato y definir el modelo de gobernanza más adecuado. Solo entonces tomamos, junto con el cliente, las decisiones tecnológicas y arquitectónicas más apropiadas.
Contáctanos para descubrir cómo podemos ayudarte en el diseño, la evolución y la gestión de un entorno cloud capaz de equilibrar los objetivos de negocio, los requisitos de compliance y la gestión del riesgo.
