¡Acceso ilimitado 24/7 a todos nuestros libros y vídeos! Descubra la Biblioteca Online ENI. Pulse aquí
¡Acceso ilimitado 24/7 a todos nuestros libros y vídeos! Descubra la Biblioteca Online ENI. Pulse aquí
  1. Libros
  2. Resiliencia cibernética en la empresa
  3. Soberanía digital
Extrait - Resiliencia cibernética en la empresa Retos, normas y buenas prácticas
Extractos del libro
Resiliencia cibernética en la empresa Retos, normas y buenas prácticas Volver a la página de compra del libro

Soberanía digital

Introducción

Tras presentar la nueva normativa europea (DGA, DSA, DMA, DORA, Data Act, AI Act, Cyber Resilience Act) en el primer capítulo, las principales normas cibernéticas en el segundo capítulo, y después las principales normas internacionales con la emblemática etiqueta SecNumCloud, seguido de las principales normas internacionales del sector, incluida la emblemática familia ISO 27000, parece útil introducir la noción de soberanía, muy utilizada en el panorama digital europeo. Se trata de una cuestión clave para los próximos años, que permitirá a Europa tomar por fin las riendas de su destino digital y cumplir su papel de protectores de los datos que producen. El objetivo de este capítulo es ofrecer una definición de soberanía, presentar el nuevo contexto informático que hay que comprender e introducir la futura normativa europea. La regulación EUCS, la doctrina de la Nube en el centro del Estado y las alianzas actuales.

Definición

El DRAE define perfectamente el término soberanía del siguiente modo: "f. Cualidad de soberano. autoridad, poder, independencia.". Fuente: https://dle.rae.es/soberan%C3%ADa

De hecho, el término soberanía ha adquirido una resonancia muy especial desde 2019 con la sucesión de crisis: la crisis sanitaria con el COVID-19, cuando Francia se dio cuenta de que no tenía mascarillas y que tenía que esperar el suministro de países de fuera de la zona UE; la guerra de Ucrania, que puso de manifiesto la dependencia de los países europeos de productos esenciales como los cereales, el gas y la electricidad; y la crisis climática, con las graves consecuencias de la ausencia de una política energética clara y comprometida (energías renovables, energía nuclear, etc.).

En el ámbito de la informática, el término soberanía también cobró todo su sentido con el nacimiento del Cloud Act por parte de la administración estadounidense Trump durante 2018: de repente, los países europeos se han dado cuenta de que los datos de sus empresas privadas y públicas podían ser recuperados por Estados Unidos en un contexto particular; por ejemplo, todos los datos alojados en Francia en la nube de Microsoft Azure, en la suite de correo electrónico Google Gmail, en la famosa aplicación...

Intentos abortados 2012-2015

El Grand Emprunt (proyecto de inversiones del Estado francés con el objetivo de desarrollar algunos campos de futuro) de finales de los años 2010 dio lugar al proyecto Andromède en 2009, cuyo objetivo era crear campeones franceses en el emergente sector de la computación en la nube e intentar competir con los gigantes estadounidenses, en particular AWS (Amazon Web Services), que ya habían tomado la delantera en ese momento. Microsoft no lanzó su primera versión de Azure hasta febrero de 2010. Así que en 2012, Francia hizo su primer intento de establecer un sistema de soberanía digital mediante el lanzamiento de dos proveedores franceses de nube: Cloudwatt (Orange y Thalès) y Numergy (Grupo SFR, Bull).

Las dos start-ups estaban dotadas cada una con 225 millones de euros de capital propio, con el objetivo de convertirse en los líderes franceses de la soberanía digital o, más exactamente, en retrospectiva, de la soberanía de los datos: centros de datos situados en Francia y el uso de pilas de código abierto (OpenStack en particular) para construir máquinas virtuales; en resumen, se trataba de una "simple" oferta de IaaS (infraestructura) de nube pública.

Para que conste, Cloudwatt terminó 2015 con unas ventas de 2 millones de euros, adquirida por Orange Business Services a principios de 2016, y Numergy también...

Un nuevo contexto TI

El panorama actual de las TI es completamente distinto al de hace diez años: la economía es ahora fundamentalmente digital, los sistemas de información están presentes en todas partes en las organizaciones y la dependencia de las TI ya no se cuestiona; es un hecho en nuestra sociedad. Sin embargo, el nuevo paradigma de la "sociedad digital" aún no dispone de los recursos necesarios para estar a la altura de sus ambiciones.

1. Definiciones

Se utilizan términos diferentes, a veces inapropiados: TI, digital, sistemas de información. La confusión es real, tanto entre los profesionales del sector como entre los responsables de la toma de decisiones.

  • Información (del latín informare: dar forma, formar; representar, describir): es algo que "da forma a" o que nos permite "formarnos una idea de". La información es un mensaje que se comunica. Los datos son la base de la información. La información son "datos procesados" dotados de significado. Por tanto, es importante comprender que todo comienza con datos que, al ser procesados, clasificados y estructurados, producen información. La información es una "representación metafísica temporal de lo que tenemos y de lo que hacemos" (fuente: Informatique, numérique et système d’information: définitions, périmètres, enjeux économiques - C. Legrenzi 2015).

  • Informática: ·3 f. Conjunto de conocimientos científicos y técnicas que hacen posible el tratamiento automático de la información por medio de computadoras (DRAE). El término informática también se refiere a los elementos que hacen posible el tratamiento de la información, como los ordenadores y los programas informáticos.

  • Digital (del latín digitalis, relativo al dedo): término que engloba la información, sus usos y su tratamiento. A diferencia del término TI, lo digital tiene una finalidad empresarial. Por ejemplo, la aculturación digital se refiere al objetivo de formar a las personas en ámbitos como la manipulación de datos, la búsqueda en Internet, el tratamiento de textos, el cálculo, la sensibilización a la seguridad informática, el respeto de la vida privada, las herramientas de mensajería...

EUCS

El EUCS (European Cybersecurity Certification Scheme for Cloud Services) es un esquema de certificación de ciberseguridad para servicios en la nube. ENISA (la agencia europea de ciberseguridad) es responsable de desarrollar e implementar este nuevo esquema de certificación, que actualmente está siendo validado. En diciembre de 2020 se publicó una versión preliminar del esquema candidato (https://www.enisa.europa.eu/publications/eucs-cloud-service-scheme).

La idea es armonizar los distintos regímenes existentes en la UE (SecNumCloud en Francia, C5 en Alemania, ENS en España, etc.) dentro de una única normativa.

La EUCS ofrece tres niveles de certificación:

  • Básico: es el nivel de entrada en el que la auditoría sería puramente documental. Este nivel serviría para demostrar que el titular de la licencia está comprometido con el enfoque de seguridad (aplicación de medidas de seguridad). Queda por ver si este nivel atraerá candidatos.

  • Sustancial: este es el corazón de la certificación, el equivalente a la ISO 27001 para la seguridad informática y la C5 alemana para la nube.

  • Alto: incorpora elementos del SecNumCloud francés. Este nivel debe reservarse para aplicaciones sensibles y críticas, como las utilizadas por el gobierno, el sector sanitario, etc.

Como todas las normas de seguridad (ISO 27000 etc.), consta de un corpus general...

Tiempo de alianzas: Gaia-X

Gaia-X es una iniciativa lanzada en 2020 por Francia y Alemania para impulsar la nube europea con la promesa de una nube europea soberana construida en torno a más de 300 miembros en 16 países de la UE. Gaia-X tiene tres misiones: 

  • Unir los servicios en nube en torno a valores comunes por definir.

  • Facilitar el intercambio de datos entre empresas del mismo sector.

  • Establecer normas de interoperabilidad de las infraestructuras.

Fuente: https://gaia-x.eu/