O que é nuvem soberana?

À medida que mais empresas procuram soluções de nuvem híbrida para ajudá-las a atender seus objetivos de transformação digital, os ambientes de nuvem (e especificamente como os usuários acessam, armazenam e usam os dados nesses ambientes) estão se tornando cada vez mais importantes. Com os avanços da computação em nuvem pelo mundo, os limites geográficos tradicionais, como as fronteiras, não são mais suficientes para proteger dados confidenciais.

Conheça a nuvem soberana, um conceito que inclui soberania de dados, soberania operacional e digital. A nuvem soberana ajuda as empresas a fortalecerem a confiança dos clientes e a expandirem seus negócios, cumprindo as leis e as regulamentações das regiões em que operam.

Uma nuvem soberana protege principalmente dados de consumidores e de organizações. Embora muitas regulamentações se concentrem principalmente na proteção de informação de identificação pessoal, ou PII, dependendo do segmento, da região ou do caso de uso comercial, também podem proteger propriedade intelectual (PI), softwares, informações confidenciais empresariais, informações financeiras, entre outros. Como as regulamentações sobre privacidade de dados na nuvem variam de acordo com cada país e regiões específicas, não existe uma definição única sobre o que uma nuvem soberana pode proteger. As abordagens variam de acordo com o segmento, a localização e a necessidade dos negócios.

Alguns frameworks de nuvem soberana lidam com a residência de dados, quando os dados estão sujeitos às leis e regulamentações do país específico onde estão sendo armazenados. Outros lidam com a soberania de dados, quando os dados armazenados estão sujeitos às leis do país onde foram coletados. Por fim, as abordagens de nuvem soberana não apenas ajudam as empresas a cumprirem as leis que envolvem os dados mais confidenciais, como também a permanecerem resilientes.

À medida que as empresas migrar mais aplicações para a nuvem, a própria nuvem está rapidamente se tornando uma infraestrutura crítica.

O ambiente de nuvem de uma empresa agora é considerado tão importante para sua integridade quanto uma fábrica, um centro empresarial ou uma valiosa propriedade intelectual. Além disso, à medida que os segmentos altamente regulamentados, tanto privados quanto públicos, migram seus principais serviços para a nuvem, a necessidade de manter os dados seguros está se tornando crítica.

Além disso, o crescimento de tecnologias de computação intensiva de dados, como a inteligência artificial (IA) e o aprendizado de máquina (ML), que dependem de acesso rápido e seguro aos dados, está pressionando as empresas a tomarem decisões mais estratégicas em relação à tecnologia de nuvem. A IA, especificamente a IA generativa, tem potencial para impulsionar inovações valiosas para os negócios, mas sem um ecossistema de nuvem sólido e soberano, ela não consegue se desenvolver.

Empresas em setores altamente regulamentados, como serviços de saúde e financeiros, enfrentam fortes ventos contrários. Por exemplo, na Europa, há uma proposta chamada Esquema de Certificação de Cibersegurança Europeu para Serviços de Nuvem (EUCS) que unificaria as regulamentações existentes nos estados-membros da União Europeia e a Lei de Resiliência Operacional Digital (DORA), que visa lidar com o risco de TIC e define regras sobre TIC de riscos, relatórios de incidentes, testes de resiliência operacional e monitoramento de riscos de terceiros na TIC. Soluções sólidas de nuvem soberana ajudam as empresas a se manterem atualizadas com órgãos regulatórios e novas legislações, bem como tomar decisões mais estratégicas sobre riscos, dados e um cenário de ameaças em evolução. Vamos analisar alguns dos benefícios mais importantes da nuvem soberana corporativa.

As empresas que estão dispostas a investir em um framework sólido de nuvem soberana como parte de uma jornada mais ampla de transformação digital, geralmente, percebem vários benefícios importantes. Desde um maior controle sobre dados até uma melhor conectividade, resiliência de dados e desempenho de aplicativos. Aqui estão os cinco principais motivos pelos quais as empresas adotam uma abordagem de nuvem soberana.

Para ser eficaz, a soberania da nuvem deve proporcionar três resultados fundamentais para a empresa: soberania de dados, soberania operacional e soberania digital. Vamos analisar mais de perto cada um desses conceitos e por que eles são importantes.

A conformidade com a soberania de dados (a ideia de que os dados estão sujeitos às leis do país ou região em que foram gerados) é um requisito essencial da maioria das soluções de nuvem soberana. Uma soberania de dados sólida ajuda as empresas a protegerem os dados de seus clientes contra ataques cibernéticos e outras ameaças, ao mesmo tempo em que garantem que nenhum indivíduo não autorizado tenha acesso aos dados. Por exemplo, conforme a maioria dos requisitos de soberania de dados, os CSPs não têm acesso aos dados do cliente, mesmo quando operam em um data center na nuvem.

Outro aspecto importante da soberania de dados é o conceito de residência de dados, a noção de que os dados estão sujeitos às leis e regulamentações da região ou do país onde estão sendo armazenados. Além de estar em conformidade com a privacidade de dados, as soluções soberanas de nuvem também precisam cumprir todas as leis e regulamentações aplicáveis de residência de dados.

A soberania operacional ajuda a garantir que a infraestrutura essencial associada à aplicações ricas em dados esteja sempre ativa e acessível. Além disso, a soberania operacional ajuda as empresas a manter o controle sobre seus processos operacionais e identificar ineficiências. Com uma abordagem sólida à soberania operacional, mesmo que uma determinada região seja afetada por um desastre, uma empresa pode garantir que sua infraestrutura crítica seja resiliente por meio de um plano de continuidade de negócios e recuperação de desastres (BCDR) ou de um plano de recuperação de desastres como serviço (DRaaS) . Por fim, a soberania operacional ajuda as empresas a cumprir os regulamentos locais que regem a infraestrutura necessária para oferecer suporte a ambientes de nuvem em uma determinada região.

Assim como a soberania operacional e de dados, a soberania digital de uma região é um conceito que não possui uma única definição universal. Em termos gerais, é um termo genérico que descreve o nível de controle de uma organização sobre seus recursos digitais, incluindo dados, softwares, conteúdo e infraestrutura digital. A soberania digital é importante para o conceito de nuvem soberana, principalmente no contexto de governança e transparência: as empresas que utilizam o controle de acesso sobre seus recursos digitais precisam definir regras para quem tem as permissões. Essas regras precisam ser configuradas de uma forma que sejam facilmente aplicáveis, como políticas como código, um processo que permite que as organizações gerenciem sua infraestrutura e seus procedimentos de maneira repetível.

Transparência, outro aspecto importante da soberania digital, diz respeito à capacidade de uma organização auditar seus processos e resultados. A transparência permite que as organizações vejam nos seus fluxos de trabalho operacionais mais importantes o que está funcionando e o que precisa ser modificado.

Quando se trata de nuvem soberana, não existe uma solução única para todos. As empresas podem querer o mesmo resultado de sua abordagem de nuvem híbrida—a transformação digital, por exemplo—mas a forma como elas fazem para alcançá-la varia dependendo do tamanho, da localização, do setor e da necessidade do negócio. É aqui que as vantagens de uma abordagem baseada em riscos ficam visíveis.

Uma abordagem sólida e baseada em riscos para a nuvem soberana equilibra o crescimento — como o potencial de uma nova e inovadora tecnologia como a IA generativa — com riscos, por exemplo danos à reputação devido a uma violação de dados. Para aplicações críticas e dados altamente confidenciais, as empresas podem querer exercer um nível maior de controle, comparado a outras aplicações menos críticas. A regulamentação de precisão, aliada a uma abordagem baseada em padrões para regras e governança, ajuda a garantir que essas regras implementadas também possam ser gerenciadas de forma automatizada.

Dependendo dos requisitos de risco em relação ao crescimento de uma organização, do tipo de dados que ela está armazenando e de onde esses dados estão localizados, há duas opções para implementar e aplicar políticas de nuvem soberana: nuvem pública ou distribuída. Na maioria dos países, as implementações de nuvem pública e multinuvem ajudam as organizações a implementar suas cargas de trabalho na nuvem e, ao mesmo tempo, manter o controle sobre seus dados em uma região específica. Uma arquitetura de nuvem pública típica inclui uma camada de nuvem de plataforma, como uma plataforma de nuvem híbrida, que proporciona uma implementação de nuvem estável e consistente.

A segunda opção é o modelo de implementação em nuvem distribuída, como um provedor de infraestrutura ou data center local. Eles são atrativos para empresas que precisam de mais controle sobre sua infraestrutura e operações. Essencialmente, um modelo de implementação de nuvem distribuída oferece a capacidade de implementar cargas de trabalho e plataformas em qualquer infraestrutura escolhida.

À medida que preocupações com dados, operações e soberania digital continuam sendo levantadas por governos e cidadãos ao redor do mundo, a nuvem soberana está ajudando as empresas a garantirem a integridade de seus dados, não importa onde os negócios são feitos.

Nos próximos anos, a forma como as empresas coletam, protegem, armazenam e controlam o acesso aos dados terá enormes implicações para o seu sucesso, especialmente se estiverem buscando explorar novas tecnologias com muitos dados, como IA e ML. Ao escolher um CSP para ajudar na criação de um ambiente de nuvem soberana, é fundamental que as empresas entendam como esse CSP vai armazenar e processar os dados confidenciais.

Além disso, eles precisam saber como um CSP oferece suporte à resiliência e aos planos para mitigar interrupções causadas por ataques cibernéticos, desastres naturais e outras ameaças. Por fim, as empresas que pretendem aproveitar um framework de nuvem soberana devem garantir que a estratégia geral de nuvem do CSP escolhido esteja alinhada com as leis dos países ou regiões em que operam, estando sujeitas à multas ou punições.

Aqui estão algumas considerações importantes a serem lembradas durante a escolha de um CSP para uma arquitetura de nuvem soberana:

Gestão de dados: a abordagem de um CSP quanto à gestão de dados é fundamental. Isso demonstra que eles detêm as políticas e os procedimentos corretos para lidar com os dados de maneira bem-sucedida, aplicando as restrições necessárias. Também devem ser capazes de realizar auditorias regulares a fim de comprovar que as diretrizes implementadas estão sendo seguidas.

Acordos de nível de serviço (SLAs): um acordo de nível de serviço (SLA) com um CSP que estabelece um ambiente de nuvem soberana não deve diferir muito de um acordo que estabelece um ambiente de nuvem pública ou privada. Assim como as nuvens públicas e privadas, as três áreas mais importantes a serem examinadas são o controle (gerenciamento de nuvem), a disponibilidade e o desempenho.

Conformidade: os CSPs que implementam frameworks de nuvem soberana precisam ter um alto nível de conhecimento sobre as leis de dados nas regiões em que operam, bem como um profundo entendimento sobre o cenário de conformidade e soberania de dados em constante mudança. Fornecedores e clientes precisam compartilhar a responsabilidade de se manterem atualizados com as novas normas e desenvolverem estratégias para lidar com elas.

Criptografia de dados: quando se trata de soberania e privacidade de dados, é importante objetivar a confidencialidade dos dados. Os CSPs devem fornecer mecanismos para que as organizações criptografem seus dados e os gerenciem usando chaves criptográficas. Essencialmente, isso significa alterar os dados para um conteúdo criptografado que só pode ser descriptografado por alguém que tenha as permissões e as chaves corretas. Garantir acesso exclusivo a essas chaves de criptografia oferece às empresas total garantia técnica e controle sobre quem pode acessar seus dados em um determinado momento.

Resiliência: por fim, quando algo dá errado, você precisa ter um plano que o auxilie na recuperação rápida. Considere somente CSPs com histórico de ajuda aos clientes com esforços de resiliência e recuperação em países ou regiões relevantes. Todas as implementações de nuvem soberana precisam ter recursos integrados de recuperação e failover adaptados a cada área de conformidade específica em que os dados estão sendo armazenados.