Un servidor de archivos que falla un lunes por la mañana, tres colaboradores bloqueados en un software empresarial obsoleto, una factura de la nube que se duplica sin explicación: se encuentran estas situaciones en la mayoría de las pymes que no han estructurado su entorno informático. Antes de hablar de transformación digital o innovación, hay que resolver estos irritantes concretos. Las soluciones informáticas adecuadas para una empresa no comienzan con un catálogo de tecnologías, sino con un diagnóstico de los bloqueos operativos.
Inventario criptográfico: un proyecto técnico que nadie planifica
La mayoría de los contenidos sobre soluciones informáticas para empresas hablan de la nube, de ciberseguridad o de gestión de TI. Ninguno aborda un tema que comienza a pesar en las decisiones de arquitectura: la preparación para los riesgos post-cuánticos.
Para profundizar : Soluciones digitales innovadoras para impulsar la transformación digital de las empresas
El NIST y el BSI recomiendan a las empresas iniciar un inventario de sus sistemas de criptografía. El objetivo es identificar los datos que requieren una protección a largo plazo (contratos, patentes, datos médicos) y detectar los algoritmos que se volverán vulnerables cuando los ordenadores cuánticos alcancen una potencia suficiente.
Concretamente, se trata de catalogar cada certificado SSL, cada túnel VPN, cada mecanismo de firma electrónica utilizado en la empresa. La migración hacia esquemas criptográficos post-cuánticos tomará varios años. Comenzar este inventario ahora, incluso a pequeña escala, evita encontrarse en una situación de urgencia más adelante.
Lectura recomendada : Descubre cómo externalizar la gestión informática de tu empresa con total tranquilidad
Este tipo de proyecto técnico se integra en una reflexión global sobre la infraestructura. Apoyándose en las soluciones informáticas de Digitale Naïve, una empresa puede estructurar este proceso sin movilizar un equipo de seguridad interno a tiempo completo.
Privacidad desde el diseño: integrar el RGPD desde la concepción del sistema de información
A menudo se instalan primero las herramientas y luego se pregunta si son conformes al RGPD. Este enfoque resulta costoso en correcciones. Las guías más recientes del RGPD insisten en un principio simple: integrar la protección de datos desde la fase de diseño, no después de la puesta en producción.
Análisis de impacto antes del despliegue
El análisis de impacto relativo a la protección de datos (AIPD) debe realizarse antes de implementar un nuevo software empresarial, un CRM o una plataforma de gestión documental. Identifica los riesgos para las personas afectadas y obliga a documentar las medidas de mitigación.
Para una pyme, esto significa plantear tres preguntas antes de cada proyecto de TI:
- ¿Qué datos personales va a recopilar este sistema, y se puede reducir su volumen al mínimo necesario (minimización)?
- ¿Dónde se almacenarán estos datos, y los transferencias fuera de la UE están reguladas por cláusulas contractuales conformes?
- ¿Quién tendrá acceso a los datos, y los derechos de acceso están configurados por defecto al nivel más restrictivo?
Lo que esto cambia en la elección de un proveedor
Un proveedor de TI que no plantea estas preguntas de antemano no integra la privacidad desde el diseño. El criterio de conformidad con el RGPD debe figurar en el pliego de condiciones, al igual que el rendimiento técnico o el costo de la licencia.
Las opiniones varían sobre este punto: algunas empresas consideran que su proveedor gestiona automáticamente la conformidad, mientras que la responsabilidad legal sigue siendo siempre del responsable del tratamiento.
Computación confidencial: tratar datos sensibles sin exponerlos
Las empresas reguladas (salud, finanzas, sector público) comparten una restricción común: manipulan datos sensibles que nunca deben ser accesibles en claro, incluso durante su tratamiento. Las ofertas de infraestructura integran cada vez más enclaves de hardware seguros, agrupados bajo el término “computación confidencial”.
El principio: los datos están cifrados no solo en reposo y en tránsito, sino también durante su uso en memoria. El procesador crea una zona aislada a la que ni el administrador del sistema ni el proveedor de la nube tienen acceso.
Para una empresa que alberga expedientes de pacientes o transacciones financieras, esta tecnología elimina un vector de ataque importante. Ya no se confía en el proveedor de palabra, se apoya en un aislamiento de hardware verificable.
Cuándo la computación confidencial se vuelve relevante
No todas las empresas la necesitan. Se vuelve relevante cuando se cumplen al menos dos de estos criterios:
- El sistema de información trata datos de salud, datos financieros o datos clasificados por un marco regulatorio sectorial
- La empresa utiliza una nube pública y no controla físicamente los servidores donde transitan sus datos
- Socios externos acceden a conjuntos de datos compartidos para análisis o informes, sin que se pueda controlar sus entornos
El costo de entrada sigue siendo más alto que el de una infraestructura en la nube clásica, pero la reducción del riesgo legal justifica la inversión para los sectores involucrados.
Gestión del sistema de información: arbitrar entre software estándar y desarrollo a medida
A menudo se contraponen las soluciones de software “listas para usar” a los desarrollos a medida como si la elección fuera binaria. En la práctica, la mayoría de las empresas combinan ambas.
Un ERP del mercado cubre la contabilidad, la gestión de inventarios, la facturación. No necesariamente cubre un proceso empresarial específico, como la trazabilidad de un producto artesanal o la gestión de horarios complejos en el sector médico-social. En estos casos, un módulo a medida conectado al ERP estándar cuesta menos que un desarrollo completo, al tiempo que satisface la necesidad real.
La trampa clásica: encargar un software a medida integral cuando una configuración avanzada del software estándar habría sido suficiente. Antes de iniciar un desarrollo, se ahorra tiempo haciendo auditar el alcance funcional real por un proveedor independiente del futuro desarrollador.
La elección entre estándar y a medida también depende de la capacidad de la empresa para mantener la solución a largo plazo. Un software a medida sin documentación ni contrato de mantenimiento se convierte en un riesgo operativo desde la salida de la persona que lo diseñó. La cuestión de la sostenibilidad pesa tanto como la de la funcionalidad.