
Diseñar sistemas que TI que aseguren la continuidad del negocio
No basta con proteger el perímetro TI de una empresa, hacer copias de seguridad o mantener actualizados los sistemas. Cualquier organización moderna requiere una plan de ciberresiliencia que cubra todos los riesgos previsibles (y algunos poco probables) para garantizar la continuidad del negocio en todas las circunstancias y que, al mismo tiempo, cumpla con los requisitos legales y las mejores prácticas del sector.
Esto, que ya era una necesidad de primer orden hace unos años, cobra una nueva dimensión cuando entra la IA en juego dado el papel fundamental que tienen la calidad y protección de los datos que son el ingrediente principal de cualquier estrategia que se apoye en la Inteligencia Artificial.
"La cuantificación del riesgo cibernético (CRQ) es un método para expresar en términos de negocio la exposición al riesgo que los entornos digitales interconectados suponen para la organización, lo que facilita su comprensión y la toma de decisiones de negocio basadas en este factor (Gartner)."
El dato ya no vive en un solo sitio
Hace años era fácil saber dónde estaba el dato, porque vivía en un único sitio. Hoy las cargas se reparten entre nube pública, entornos multicloud, nubes privadas e infraestructura on premise, muchas veces todo mezclado, y localizar los datos se ha vuelto complicado. Cada ubicación añade además nuevos puntos de acceso, y la IA suma una capa más, otro punto de entrada. Todo ello obliga a un cambio de mentalidad, la infraestructura ya no es una decisión puramente técnica, sino estratégica.
Dos preguntas deberían abrir cualquier reflexión: ¿dónde están los datos? Y, sobre todo, ¿quién manda realmente sobre ellos? ¿Mandáis sobre todas las piezas que hay debajo de cada servicio digital de la casa? La nube, pública o privada, no es magia: detrás hay muchas cosas que a veces se controlan y a veces no.
Cuanto más se controle esa base, la parte que no luce tanto como un modelo, un agente o una demo, mejor funcionará la parte visible. Porque la IA es un amplificador. Con caos, amplificará caos. Con control sobre los datos, dónde viven y cómo se protegen, amplificará inteligencia.
Si tenemos nuestra información cifrada, nos va a dar igual que haya una exfiltración, porque no van a poder leerla y no podrán ponernos a prueba como organización a la hora de realizar estos chantajes, que es lo que viene a ser el ransomware.
Jorge Chamizo, New Models Pre-Sales de Symantec
Soberanía, del “dónde” al control efectivo y por caso de uso
La soberanía del dato responde a la palabra control, y su concepto está mutando. Ya no basta con que el centro de datos esté en el propio país. La pregunta relevante es quién opera esa infraestructura y bajo qué jurisdicción.
En los próximos años pasaremos de un escenario centrado en la ubicación a otro centrado en el control efectivo, especialmente determinante para sectores regulados y administración pública.
La regulación empuja en el mismo sentido. Se está pasando de un marco de protección del dato a otro en el que hay que demostrar control efectivo y conocimiento del propio stack tecnológico.
La soberanía, además, debe evaluarse en múltiples ejes (red, cloud, datos, IA, entre otros), todos igual de importantes, mediante una evaluación de riesgos similar a la que ya es rutina en ciberseguridad. Y con un matiz esencial, la soberanía no es la misma para todos los casos de uso.
Los datos críticos del core pueden exigir quedarse donde están, incluso en el mainframe del que nadie quiere sacarlos. Una prueba de concepto para consumo interno de usuarios de negocio puede irse a la nube y usar IA de última generación. El apetito de riesgo varía según el caso, y la estrategia debe definir qué nivel de soberanía se quiere para cada eje y cada escenario.
La dependencia de los modelos ilustra el riesgo mejor que nada. Recientemente, un gran proveedor lanzó un modelo que fue inhabilitado a las 48 horas. Si hubiera durado dos meses, ¿cuántos casos de uso productivos se habrían construido sobre él? ¿Qué pasa si el modelo elegido deja de funcionar, consume más tokens de los asumibles o «explota» en popularidad y se degrada?
Con un modelo nuevo cada dos semanas, apostarlo todo a uno es un riesgo que hay que contemplar desde el diseño inicial de la solución, igual que los escenarios regulatorios en torno a modelos de determinados orígenes o un giro del consumo de IA desde la nube hacia el dispositivo local que obligue a replantear la infraestructura en cuestión de meses.
Era muy sencillo saber dónde estaba el dato, pero al pasar a un entorno tan variado y tan disperso, tenemos que ver la infraestructura no como una decisión técnica, puramente técnica, sino como una decisión estratégica.
Daniel Gil Romero, Business Development de Kumo Networks
Resiliencia, cinco ejes y una premisa
La resiliencia responde a la palabra continuidad, y parte de una premisa que ya nadie discute. No es si nos van a atacar, sino cuándo. El invierno está llegando, y las amenazas adoptan formas nuevas, ya no solo el ransomware o el fallo humano, sino una IA que alucina y contamina todo un proceso o toda una estrategia.
La actitud correcta es asumir el ataque e identificar, dentro de cada flujo de datos, qué es lo que habilita que haya un incidente. Y recordar que la resiliencia no es solo tecnología.
La automatización, además, eleva la exigencia. Su evolución ha ido de la RPA simple (input, proceso, output) a los asistentes de IA, de ahí a los sistemas multiagente secuenciales y, en el horizonte, a la orquestación libre de agentes.
El mercado aún no está en ese nivel de madurez, pero cuando llegue, los agentes tomarán decisiones por sí mismos sobre la base de unos datos y unos algoritmos. Si esos datos y algoritmos no cumplen los requisitos, los agentes tampoco cumplirán las obligaciones legales de la organización.
Aplicada a la IA, la resiliencia se revisa en cinco ejes. La continuidad clásica: alta disponibilidad, arquitecturas redundadas y tolerantes a fallos, recuperación ante desastres, monitorización 24/7, a ser posible local y sujeta a jurisdicción local, y un plan de continuidad que cubra también la ciberseguridad.
La confianza en el dato, gobernado, con control de acceso, fiable. La autonomía tecnológica, mediante arquitectura híbrida y multicloud, no todas las manzanas en el mismo saco, ni de infraestructura ni de proveedor, sin grandes dependencias de terceros, escalable ante explosiones del negocio y capaz de contener el gasto cuando el consumo de datos o de IA amenaza con hacer perder dinero.
El cumplimiento normativo (RGPD, Reglamento de IA, NIS2) no es una lista de deseos, es obligatorio. Y el control de los algoritmos. La existencia de Human-in-the-loop para validar decisiones que aún no queremos delegar, guardarraíles, explicabilidad y monitorización de los modelos.
Elementos como la continuidad, confianza, autonomía, gobierno y control. Cumplidos los cinco, hay resiliencia real para la IA, no un asunto más de sistemas.
Hay un punto que casi todas las organizaciones descuidan, probar la recuperación. Muchas se quedan en la protección, confiando en un seguro que creen que funcionará pero que nunca han verificado. La resiliencia de la mano de la soberanía es exactamente eso. Controlar qué va a pasar cuando toque recuperarse.

Es fundamental hacer una evaluación de riesgos para poder garantizar la soberanía de la IA.
Javier García Laredo, Strategic Solutioning Head de Capgemini
Identidad, cifrado y las llaves del castillo
En la base de todo está el tejido de identidad de la empresa. Desde la seguridad perimetral hasta las aplicaciones, las interacciones vía API y los protocolos de autenticación con los que las máquinas se identifican entre sí, mainframe incluido.
Consolidar todos esos puntos bajo una estrategia única es lo que permite ser realmente resilientes, unificando gobernabilidad, gestión de accesos privilegiados y gestión de identidades no humanas, incluidas las de la IA, en un único lugar.
El cifrado completa el cimiento. Con la información cifrada, una exfiltración pierde su capacidad de chantaje, porque nadie puede leer lo robado, y ya asoman el cifrado mixto y el post-cuántico para proteger frente a las amenazas que vienen.
Tampoco se trata de meter todos los datos en un búnker y tirar la llave al mar. Hay que controlar las llaves (cifrado, privilegios, quién accede, quién audita) para que el día que haya que transformar algo la casa no se caiga como una torre de Jenga.
El dato pesa (la gravedad del dato) y no es cuestión de cloud sí o cloud no. Debe vivir donde tenga sentido, con protección estricta para lo sensible y reglas más ligeras para lo que no lo es. Y la libertad tecnológica es innegociable. No casarse por las prisas con proveedores o herramientas que mañana impedirán escalar la estrategia, porque correr sin control es hipotecarse tecnológicamente a cambio de una interfaz muy bonita.
La arquitectura que gana es abierta, sin cerrojos de proveedor, modular (que cambiar una pieza no derribe el castillo), híbrida desde el diseño y gobernada: saber qué se tiene y cómo recuperarlo.
¿Cómo empezar? Conocer la propia situación, definir la estrategia con la empresa y arrancar una ejecución controlada, industrializada, con un bucle de explorar, idear y validar para después escalar muy rápido. Y una metáfora clásica como brújula.
El campamento romano se levantaba cada día en un lugar distinto, pero siempre igual (cada tienda, cada torre, cada arquero en su sitio), de modo que ante un ataque de madrugada todos sabían qué hacer aunque no controlaran el contexto de alrededor. Construyamos así el campamento desde el primer día. Con control y con resiliencia, para dar continuidad a las arquitecturas empleadas.
La soberanía del dato responde a la palabra control y la resiliencia responde a continuidad.
Marta Prieto Fernández, Presales Engineer de Dell Technologies
¿Cuáles son los principales retos a los que se enfrentan los responsables de tecnología según los expertos en soberanía del dato y resiliencia?
Muchas organizaciones no tienen la visibilidad que creen tener sobre dónde está su información, quién la usa y hacia dónde va, que es lo principal para operar un negocio de manera segura. Solo a partir de ese inventariado e identificación pueden tomarse decisiones con contexto.
Y junto al dato emerge la otra gran pregunta del momento. Igual que se pregunta qué hay para la inteligencia artificial, se pregunta constantemente cómo proteger y gestionar la identidad.
Dato e identidad son transversales al resto de bloques, la base sólida por la que empezar, para luego ir identificando pieza a pieza qué se controla y qué estrategia aplicar en cada pilar. Y siempre de menos a más. Ante la infinidad de frentes, conviene empezar por lo pequeño, controlar variables y contexto, y escalar después.
Los retos se repiten. Desplegar agentes sobre datos que siguen en aplicaciones legacy, sin seguridad aplicable, es abrir la puerta del castillo. Preparar los datos y ponerlos bajo gobierno (Platform Foundation) es previo a cualquier estrategia de IA.
En resiliencia, los entornos aislados de recuperación plantean una conversación reveladora: si mañana lo tumban todo, ¿qué es estrictamente necesario para mantenerse a flote? Cuando la respuesta es “todo es importante”, proteger y recuperar todo duplica el coste y pierde sentido; saber qué se protege y cómo se recuperará es también soberanía.
Soberanía que sectores como el público, defensa o banca están repensando: cómo relacionarse con servicios de fuera de la UE cuando la dependencia de un solo LLM puede dejar colgada a media Europa.
Dos ideas lo vertebran todo. La estrategia (definir hacia dónde ir, sin frenar la innovación, que exige desplegar rápido y probar para aprender) y el gobierno (control, monitorización, saber qué pasa dentro de la organización).
En el horizonte está dar a la IA agéntica la confianza para pasar de asistente a ejecutora en procesos críticos, la IA local y la sostenibilidad (qué hacer con el calor y los recursos que la IA consume).
¿Qué tendencias creen los expertos en gestión de identidades que tomarán fuerza en 2026 y 2027?
Dos tendencias dominarán 2027. La primera, los orquestadores de IA agéntica y todas sus implicaciones: centralizar el flujo de información de toda la empresa en una consola que funcione de forma autónoma, utilizando datos corporativos, de clientes, de proveedores e incluso de estrategia de negocio.
La segunda, la computación post-cuántica, cuya adopción se ha acelerado precisamente con la inteligencia artificial. Quedan muchas cosas por definir para protegerse frente a este tipo de amenazas (ojalá no sea ya en 2027), pero el cifrado post-cuántico es la respuesta encontrada hasta ahora y sirve, de hecho, para ambas tendencias.
A ellas se suma la IA local: superada la fase de pilotos, y probado que un modelo funciona, las organizaciones buscarán ejecutarlo de forma más eficiente en sus propias infraestructuras, algo que el nuevo hardware especializado que están publicando los grandes fabricantes puede acelerar.
Y con los despliegues masivos de agentes, tanto para desarrollo de código como para uso, llegará el trending topic de la economía de los tokens: su consumo deberá ser lo primero en la lista de prioridades de cualquier organización, porque de lo contrario los costes de infraestructura se dispararán.
Ya hay grandes compañías que este año gastaron en cuatro meses el presupuesto anual. La parte económica hay que revisarla y pensarla bien desde el inicio.
Las recomendaciones de fondo no cambian. La resiliencia no es una tecnología, sino un marco de operaciones sobre el que construir, alineado con la gobernabilidad del dato para controlar todo el ciclo de vida de cada identidad, sea empleado o proveedor.
No apostar por un único algoritmo o modelo: sin plan B, un caso de éxito puede convertirse en fracaso. Conocer lo que se tiene en casa y decidir libremente sobre la propia arquitectura, sin asumir que “alguien lo estará gestionando”. Y nunca dar por hecha la protección. Probar siempre que se puede volver, porque tener backup no basta si no es recuperable.







