Privacidad y compliance como oportunidad de negocio para el canal

  • IT Televisión

A3Sec, Digitel TS by MADISON, ADM Cloud & Services, MR Informática, Nunsys, DataGuard, Serval Networks y TUYÚ Technology participaron en un Encuentro IT Reseller con la Comunidad IT, con el apoyo de ADM Cloud & Services y DataGuard, para analizar cómo la regulación, la privacidad y el compliance están transformando el modelo MSP. Los expertos coincidieron en que el cliente ya no busca auditorías puntuales, sino modelos continuos de cumplimiento. La madurez desigual del mercado, la presión normativa y la irrupción de la IA marcan un escenario lleno de retos y también de oportunidades.

Según quedó claro a lo largo de esta mesa redonda, las empresas necesitan ayuda para cumplir con las normativas, y quienes sepan traducir la regulación en soluciones prácticas, escalables y continuas estarán mejor posicionados para capturar valor sostenido.

 

Un sector obligado a evolucionar

El encuentro comenzó con una fotografía clara del momento que vive el ecosistema MSP. La sensación generalizada es que el sector se encuentra en un punto de inflexión, empujado por una avalancha regulatoria que no da tregua. Alejandro Agudelo, Director Global de Operaciones en A3Sec, lo expresó con claridad: “Es un momento súper interesante para todos los MSP”. Para él, la combinación de NIS2, DORA y las crecientes exigencias de soberanía del dato está obligando a los proveedores a replantear su modelo de servicio. El cliente final, explicó, ya no quiere auditorías aisladas, sino “un cumplimiento continuo”, lo que implica integrar evidencias, SOC, controles y procesos en un modelo vivo y permanente.

Esa visión fue compartida por José Antonio Díaz, Director de Digitel TS by MADISON, quien recordó que los prestadores de servicios viven “hiperregulados” y afrontan un ciclo de exigencias crecientes. “Ahora mismo lo que tenemos que hacer de base es cumplimiento, no solo en normativa, sino en DORA, NIS2 y la nueva identidad europea”, afirmó. Para él, la regulación ya no es un elemento externo, sino un componente estructural del negocio, que condiciona desde la oferta hasta la operación diaria.

“El cliente final ya no está buscando una auditoría nada más, sino un cumplimiento continuo”, Alejandro Agudelo, Director Global de Operaciones y Ciberseguridad, A3Sec

La perspectiva de Jesús Valverde, CISO de MR Informática, añadió un matiz crítico, y es la falta de conciencia real en muchas empresas. “Todavía hay compañías que no se han enterado de que GDPR lleva diez años”, advirtió. Y alertó de que la Ley de Ciberresiliencia (CRA) “cambiará muchísimo el planteamiento de muchas empresas”, especialmente fabricantes e importadores, obligados a gestionar SBOM y dependencias de software. Para él, la regulación está avanzando más rápido que la capacidad de adaptación de muchas organizaciones, lo que obliga a los MSP a asumir un rol de acompañamiento constante.

Por su parte, Elvira García, Information Security Director en Nunsys, subrayó la enorme disparidad de madurez entre organizaciones. “Tenemos entidades muy maduras y otras que no tienen nada”, señaló. Esa brecha condiciona la capacidad de los MSP para automatizar procesos o implantar servicios gestionados completos. En su opinión, la madurez del cliente determina no solo el alcance del servicio, sino la velocidad a la que puede evolucionar.

En medio de este escenario, Óscar Vierge, Sales Director Strategic Accounts & Marketing Manager en Serval Networks, sintetizó la preocupación del cliente final sentenciando que “el cliente lo que quiere es dormir tranquilo y no salir en las noticias”, una frase que resume la esencia del compliance: evitar riesgos, evitar titulares, evitar daños reputacionales.

 

La complejidad del cumplimiento

La conversación avanzó hacia la complejidad creciente del compliance. Ramón García, Socio Director en TUYÚ Technology, explicó que cada cliente interpreta la normativa de forma distinta, incluso dentro del mismo sector. “En algunas compañías manda más la parte legal, en otras la tecnológica, en otras la de negocio”, señaló. Esa diversidad obliga a los MSP a navegar entre prioridades, intereses y niveles de conocimiento muy dispares, lo que complica la estandarización del servicio.

“Estamos hiperregulados, y más en este momento”, José Antonio Díaz, Director, Digitel TS by Madison 

La irrupción de la inteligencia artificial añadió un nuevo nivel de incertidumbre. Ramón García fue contundente al afirmar que “tenemos demasiada normativa. Ya llegamos a un punto en que no nos dejan trabajar, no nos dejan crear. Ya lo crea la inteligencia artificial”. Para él, la regulación está avanzando más rápido que la capacidad de adaptación de las empresas, y la IA está introduciendo riesgos que muchos clientes no comprenden.

A este respecto, Jesús Valverde introdujo un aviso importante, y es que por mucho que confiemos en la IA, la responsabilidad legal sigue siendo humana. “Si damos por bueno un resultado de una IA que no esté adecuadamente entrenada, la responsabilidad es nuestra”, recordó.

Valverde puso un ejemplo claro: el SBOM (lista de materiales de software), que será obligatorio con la Ley de Ciberresiliencia (CRA), que muchos clientes desconocen. Para él, el MSP debe actuar como guía, advirtiendo al cliente cuando se acerca “demasiado al precipicio”.

Elvira García insistió en que la madurez desigual del mercado condiciona cualquier intento de estandarización. “Cuando intentas montar un servicio gestionado tienes que ver qué procesos pueden asumir y cuáles no”, explicó. Sectores como el financiero, impulsados por DORA, están muy avanzados, mientras que NIS2 abre el abanico a verticales mucho menos preparados, lo que obliga a los MSP a adaptar su oferta a cada caso.

 

Del proyecto puntual al cumplimiento continuo

Uno de los puntos centrales del debate fue la transición del cumplimiento puntual al modelo continuo. Alejandro Agudelo destacó que las empresas empiezan a entender que el cumplimiento no es un hito, sino un proceso permanente. “Voy a tener un modelo continuo donde siempre tenga evidencias y pueda controlar esto”, afirmó. Y añadió que la automatización será clave, porque “las personas que vienen no van a querer hacer trabajo manual”.

Todavía hay compañías que no se han enterado de que hay normativas como GDPR, que lleva 10 años” Jesús Valverde, CISO, MR Informática

Sobre si las empresas buscan solo la certificación o entienden que esta es la consecuencia de ser compliance, Óscar Vierge fue tajante, apuntando que “hay verticales que están años luz. Algunas grandes cuentas ni siquiera saben si les aplica NIS2”. Y añadió que el verdadero factor disuasorio no son las multas, sino la reputación: “Es mucho más caro el daño reputacional que la multa”, recalcó.

A este respecto, Elvira García introdujo un matiz relevante al señalar que muchas organizaciones buscan primero el sello porque lo necesitan para operar, aunque no tengan aún una cultura de cumplimiento. “Hay entidades que quieren la certificación y contra eso no podemos hacer nada”, reconoció. Pero también señaló que cada vez más empresas buscan adecuarse a la regulación sin necesidad de un sello, lo que abre la puerta a modelos de servicio más estables y recurrentes.

Jesús Valverde defendió que muchas compañías deben empezar externalizando incluso el rol del CISO, pero evolucionar hacia perfiles internos senior que marquen criterio. “No pueden estar absolutamente en manos del proveedor”, advirtió. Para él, el equilibrio entre externalización y capacidad interna es clave para garantizar un cumplimiento sostenible.

 

Hacia un modelo recurrente y apoyado en el ecosistema

El debate dedicó un espacio relevante a analizar si el compliance puede consolidarse como un servicio recurrente dentro del porfolio MSP. La mayoría coincidió en que el mercado se está moviendo en esa dirección, aunque todavía existe una brecha importante entre la necesidad real de las empresas y su nivel de madurez.

El cliente lo que quiere es dormir tranquilo y no salir en las noticias” Óscar Vierge, Sales Director Strategic Accounts & Marketing ManagerServal Networks 

Óscar Vierge apuntó que, desde la perspectiva del proveedor, “el compliance es una palanca de negocio siempre que se mida bien el servicio y se garantice la estabilidad de la plataforma del cliente”. Sin embargo, también reconoció que no todos los MSP pueden asumir internamente un servicio de cumplimiento completo, lo que obliga a apoyarse en terceros especializados.

En este contexto, Julia Gil, Channel Account Executive en DataGuard, explicó que el modelo Compliance as a Service ya es una realidad para muchas organizaciones que necesitan apoyo continuo, no solo consultoría puntual. “Nuestra propuesta es traer compliance as a service y explicar los riesgos en el mismo lenguaje que el cliente”, señaló. Su intervención puso de relieve que el fabricante especializado se convierte en un aliado estratégico del MSP, aportando metodología, herramientas y un marco de cumplimiento que el partner puede integrar en su oferta.

A esta visión se sumó Víctor Orive, CEO de ADM Cloud & Services, quien introdujo el papel del mayorista en este nuevo escenario. Desde su posición, explicó que el mayorista ya no puede limitarse a distribuir tecnología, sino que debe convertirse en un agente activo que acompañe al MSP en la implantación de modelos de cumplimiento. “El mayorista tiene que aportar estructura, conocimiento y capacidad de acompañamiento real. No basta con entregar producto; hay que ayudar al partner a aterrizar la tecnología y a garantizar que cumple con lo que exige la normativa”, afirmó.

 

El gran desafío y la gran oportunidad de la pyme

Una parte central del encuentro se centró en la pyme, el segmento más vulnerable y, al mismo tiempo, el que más volumen representa para los MSP. Víctor Orive recalcó que “la experiencia con la pyme es una lucha continua. Todo se basa en la confianza”.

Para Orive, el coste proporcional del cumplimiento es mucho mayor que en las grandes compañías, lo que obliga a los MSP a diseñar modelos más ajustados y escalables. “Si la pyme está obligada por estar en la cadena, el partner también lo está, y nosotros como mayorista tenemos la responsabilidad de darle las herramientas, la formación y el respaldo que necesita para cumplir”, aseguró.

El compliance no solo es cumplimiento legal, es poner orden y es gestión” Elvira García, Information Security DirectorNunsys

Óscar Vierge añadió que muchas pymes están paralizando proyectos porque creen que la IA resolverá el cumplimiento “dentro de un año”. Y advirtió que esa expectativa es irreal y peligrosa, porque retrasa decisiones críticas.

Elvira García defendió que, para la pyme, el modelo ideal es que el MSP incluya todo. “A la pyme sí le puedes dar el paquete entero”, aseguró y añadió que la cadena de suministro está obligando a muchas pequeñas empresas a ser compliance porque sus clientes se lo exigen. Para ella, el compliance no es solo cumplimiento legal, sino “poner orden y gestión”.

En algunas compañías manda más la parte legal, en otras la parte tecnológica y en otras la parte de negocio” Ramón García, Socio DirectorTUYÚ Technology 

Óscar Vierge coincidió en que la oportunidad es enorme si se libera a la pyme de la carga mental del cumplimiento. “En el momento en que le quites el marrón de pensar en auditorías, la oportunidad de negocio es exponencial”, sentenció.

 

Un futuro marcado por el optimismo y la exigencia

El cierre del encuentro dejó una mezcla de optimismo, prudencia y una sensación compartida de que el sector MSP está entrando en una nueva etapa donde el cumplimiento será un eje estratégico, no un añadido. Alejandro Agudelo se mostró convencido de que los servicios de compliance y privacidad serán fundamentales en los próximos años, ya que “Los riesgos se están incrementando y el ambiente les da ese impulso necesario”.

“Toda esta normativa obliga, independientemente del tamaño” Víctor Orive, CEOADM Cloud & Services

José Antonio Díaz adoptó un tono más realista al recordar que el cumplimiento no es opcional. “Tenemos que cumplir sí o sí. Otra cosa es que el mercado lo valore”, destacó. Su reflexión apuntó a un reto clave para los MSP, el de convertir una obligación en una propuesta de valor clara, diferenciada y rentable. La regulación seguirá endureciéndose, pero el cliente no siempre está dispuesto a pagar por algo que percibe como un coste y no como una inversión.

Nuestra propuesta para los MSP es poder traer compliance as a service” Julia Gil, Channel Account Executive, DataGuard 

Desde una perspectiva más pragmática, Óscar Vierge recordó que el reto no es solo técnico, sino comercial. Según él, “ofrecemos un servicio para que otros cumplan. Monetizarlo es otra cosa”. Su intervención puso sobre la mesa que el compliance es necesario, pero requiere inversión, especialización y un modelo de servicio que permita escalar sin disparar los costes internos. No todos los MSP podrán asumirlo solos, y ahí entra en juego el apoyo de terceros.

Por su parte, Elvira García aseguró que “el cliente te lo empieza a demandar. Y ahí está el negocio”. Para ella, el futuro pasa por integrar el cumplimiento en la oferta de forma natural, como un servicio transversal que acompaña a cualquier proyecto tecnológico.