En el Externado debatimos sobre el futuro de la nube pública en Colombia
El Departamento de Derecho, Comunicaciones y Tecnologías de la Información de nuestra Casa de Estudios, celebró con éxito el foro: ‘Revisión a la nube pública en Colombia, lecciones aprendidas y nuevos escenarios’.
El evento convocó a expertas(os) para analizar la coyuntura que rodea la infraestructura digital del Estado tras la finalización del Acuerdo Marco de la Nube Pública.
Sandra Ortiz, directora del Departamento de Derecho, Comunicaciones y Tecnologías de la Información insistió en que este espacio académico “buscó analizar por qué, a la fecha, no se cuenta con un acuerdo marco de compra pública, a pesar de las advertencias y alarmas que, desde las distintas entidades, anunciaban la necesidad de contar con un nuevo Acuerdo Marco de Nube Pública adaptado a las nuevas tecnologías, a la soberanía de datos y a los debates de ciberseguridad”.
La nube pública es un pilar estratégico que permite a las entidades flexibilidad, escalabilidad y una gestión eficiente de la data pública. Este modelo, sin embargo, se mantuvo vigente a través del Acuerdo Marco hasta el 01 de septiembre de 2025, fecha en que culminó su plazo, incluso después de tres prórrogas. La finalización de este instrumento generó una incertidumbre considerable y problemas operativos en la gestión de la data.
Christopher McHone, consejero Adjunto Económico de la embajada de Estados Unidos en Colombia, señaló que, en los temas sobre nube pública, estamos hablando de estándares internacionales y no específicamente de un país u otro.
“Todos tenemos que entender lo que es la nube, creo que lo utilizamos todo el día sin pensar, al mirar el teléfono, enviar o descargar mensajes, revisar cuentas bancarias entre muchas otras cosas. Ahora, debemos tener en cuenta que no se puede separar la ciberseguridad de la nube, por el hecho de que amenazamos cosas sumamente importantes y sin esta seguridad quedamos totalmente vulnerables. Para el caso de Colombia, el Estado guarda en la nube pública registros de salud, registros escolares, registros financieros y al faltar regulación nuestros datos quedarían totalmente expuestos”, precisó.
Las(os) panelistas analizaron por qué el país se encontró sin un marco contractual de compra pública vigente. El debate se centró en la necesidad urgente de expedir un nuevo acuerdo más robusto y actualizado, que debe tener tres objetivos claros:
- Ampliar la competencia.
- Fomentar la participación de empresas nacionales y extranjeras.
- Establecer estándares de seguridad más sólidos para proteger la información estatal sensible.
Mientras el nuevo acuerdo se materializa, Colombia enfrenta la incertidumbre, que ha derivado en contrataciones individuales por parte de las entidades. Las(os) expertas(os) advirtieron que esta práctica es riesgosa, pues fragmenta la estrategia digital, resulta ineficiente y expone a las instituciones a brechas de seguridad al no contar con un marco unificado que atienda a las mejores prácticas en ciberseguridad y soberanía de datos.
Principales conclusiones del Foro:
- Urgencia Regulatoria: Existe una necesidad inmediata de expedir el nuevo Acuerdo Marco de Nube Pública, priorizando la celeridad sin sacrificar la rigurosidad técnica y jurídica.
- Soberanía y Seguridad de Datos: El nuevo acuerdo debe abordar de manera explícita y contundente los debates sobre la soberanía de los datos estatales, estableciendo requisitos estrictos de residencia y jurisdicción para la información sensible.
- Fomento de la Competencia: Se debe diseñar un mecanismo de contratación que estimule la entrada de nuevos jugadores al mercado, tanto nacionales como internacionales, para evitar la dependencia de pocos proveedores.
- Riesgo de Fragmentación: La contratación individual de servicios en la nube por parte de las entidades (modelo ad hoc) debe ser vista como una solución transitoria y de alto riesgo, que debe ser reemplazada lo antes posible por el marco unificado para mitigar los riesgos operativos y de ciberseguridad.
- Estándares Técnicos Modernos: El nuevo acuerdo debe basarse en los estándares tecnológicos más recientes y contemplar la interoperabilidad y la integración de servicios de ciberseguridad avanzada.
