O que é nuvem soberana?
Publicado em: 8 de maio de 2024
Com a colaboração de: Mesh Flinders, Ian Smalley
Nuvem soberana é um tipo de computação em nuvem que ajuda as organizações a cumprirem as leis específicas de cada região ou país.
À medida que mais empresas procuram soluções de nuvem híbrida para ajudá-las a atender seus objetivos de transformação digital, os ambientes de nuvem (e especificamente como os usuários acessam, armazenam e usam os dados nesses ambientes) estão se tornando cada vez mais importantes. Com os avanços da computação em nuvem pelo mundo, os limites geográficos tradicionais, como as fronteiras, não são mais suficientes para proteger dados confidenciais.
Conheça a nuvem soberana, um conceito que inclui soberania de dados, soberania operacional e digital. A nuvem soberana ajuda as empresas a fortalecerem a confiança dos clientes e a expandirem seus negócios, cumprindo as leis e as regulamentações das regiões em que operam.
Quais as proteções oferecidas pela nuvem soberana?
Uma nuvem soberana protege principalmente dados de consumidores e de organizações. Embora muitas regulamentações se concentrem principalmente na proteção de informação de identificação pessoal, ou PII, dependendo do segmento, da região ou do caso de uso comercial, também podem proteger propriedade intelectual (PI), softwares, informações confidenciais empresariais, informações financeiras, entre outros. Como as regulamentações sobre privacidade de dados na nuvem variam de acordo com cada país e regiões específicas, não existe uma definição única sobre o que uma nuvem soberana pode proteger. As abordagens variam de acordo com o segmento, a localização e a necessidade dos negócios.
Alguns frameworks de nuvem soberana lidam com a residência de dados, quando os dados estão sujeitos às leis e regulamentações do país específico onde estão sendo armazenados. Outros lidam com a soberania de dados, quando os dados armazenados estão sujeitos às leis do país onde foram coletados. Por fim, as abordagens de nuvem soberana não apenas ajudam as empresas a cumprirem as leis que envolvem os dados mais confidenciais, como também a permanecerem resilientes.
Saiba mais sobre soberania de dados, soberania operacional e digital, os três pilares fundamentais da nuvem soberana.
À medida que as empresas migram uma quantidade cada vez maior de aplicações para a nuvem, a própria nuvem está se tornando, rapidamente uma infraestrutura crítica.
O ambiente de nuvem de uma empresa agora é considerado tão importante para sua integridade quanto uma fábrica, um centro empresarial ou uma valiosa propriedade intelectual. Além disso, à medida que os segmentos altamente regulamentados, tanto privados quanto públicos, migram seus principais serviços para a nuvem, a necessidade de manter os dados seguros está se tornando crítica.
Além disso, o crescimento de tecnologias de computação intensiva de dados, como a inteligência artificial (IA) e o aprendizado de máquina (ML), que dependem de acesso rápido e seguro aos dados, está pressionando as empresas a tomarem decisões mais estratégicas em relação à tecnologia de nuvem. A IA, especificamente a IA generativa, tem potencial para impulsionar inovações valiosas para os negócios, mas sem um ecossistema de nuvem sólido e soberano, ela não consegue se desenvolver.
As empresas dos segmentos altamente regulamentados, como serviços de saúde e financeiros, enfrentam desafios significativos. Por exemplo, na Europa, há uma proposta chamada European Cybersecurity CertificationScheme for Cloud Services (EUCS) que unificaria as regulamentações existentes nos estados-membros da União Europeia e a Digital Operational Resilience Act (DORA), que visa lidar com o risco de TIC e define regras sobre gestão de riscos de TIC, relatórios de incidentes, testes de resiliência operacional e monitoramento de riscos de terceiros na TIC. Soluções sólidas de nuvem soberana ajudam as empresas a se manterem atualizadas com órgãos regulatórios e novas legislações, bem como tomar decisões mais estratégicas sobre riscos, dados e um cenário de ameaças em evolução. Vamos analisar alguns dos benefícios mais importantes da nuvem soberana corporativa.
Os cinco principais benefícios da nuvem soberana corporativa
As empresas que estão dispostas a investir em um framework sólido de nuvem soberana como parte de uma jornada mais ampla de transformação digital, geralmente, percebem vários benefícios importantes. Desde um maior controle sobre dados até uma melhor conectividade, resiliência de dados e desempenho de aplicativos. Aqui estão os cinco principais motivos pelos quais as empresas adotam uma abordagem de nuvem soberana.
Uma infraestrutura sólida de nuvem soberana oferece controle às empresas sobre onde seus dados estão armazenados (residência de dados), como região, país ou até mesmo o data center de um provedor de nuvem específico.
As soluções de nuvem soberana podem ajudar empresas de todos os portes a atenderem aos requisitos de conformidade regulatória e a seguirem as leis em constante mudança relacionadas aos dados e à soberania digital, independentemente do número de países ou regiões diferentes em que façam negócios.
Adotar uma abordagem de nuvem soberana permite que as organizações limitem facilmente o acesso que seus próprios funcionários, parceiros de negócios e até mesmo provedores de serviços de nuvem (CSPs) têm aos dados, de acordo com a cidadania, a localização física e outros fatores.
CSPs que operam ecossistemas de nuvem soberana ajudam as empresas a aumentarem sua resiliência operacional, adotando uma abordagem estratégica que considera que a interrupção é inevitável. Oferecendo serviços altamente disponíveis e fazendo backup de dados críticos em infraestruturas soberanas, os CSPs ajudam as organizações a absorverem e se adaptarem melhor às adversidades.
As principais configurações de nuvem soberana implementam os níveis mais sofisticados disponíveis de segurança de dados, garantindo que aplicações, funcionários, clientes e consumidores possam sempre acessar os dados que precisam com rapidez e segurança.
Para ser eficaz, a soberania da nuvem deve proporcionar três resultados fundamentais para a empresa: soberania de dados, soberania operacional e soberania digital. Vamos analisar mais de perto cada um desses conceitos e por que eles são importantes.
Soberania de dados
A conformidade com a soberania de dados (a ideia de que os dados estão sujeitos às leis do país ou região em que foram gerados) é um requisito essencial da maioria das soluções de nuvem soberana. Uma soberania de dados sólida ajuda as empresas a protegerem os dados de seus clientes contra ataques cibernéticos e outras ameaças, ao mesmo tempo em que garantem que nenhum indivíduo não autorizado tenha acesso aos dados. Por exemplo, conforme a maioria dos requisitos de soberania de dados, os CSPs não têm acesso aos dados do cliente, mesmo quando operam em um data center na nuvem.
Outro aspecto importante da soberania de dados é o conceito de residência de dados, a noção de que os dados estão sujeitos às leis e regulamentações da região ou do país onde estão sendo armazenados. Além de estar em conformidade com a privacidade de dados, as soluções soberanas de nuvem também precisam cumprir todas as leis e regulamentações aplicáveis de residência de dados.
Soberania operacional
A soberania operacional ajuda a garantir que a infraestrutura essencial associada à aplicações ricas em dados esteja sempre ativa e acessível. Além disso, a soberania operacional ajuda as empresas a manterem o controle de seus processos operacionais e a identificarem ineficiências. Com uma abordagem sólida da soberania operacional, mesmo que uma determinada região seja afetada por um desastre, uma empresa pode garantir que sua infraestrutura crítica seja resiliente por meio de um plano de continuidade de negócios e recuperação de desastres(BCDR) ou um plano de recuperação de desastres como serviço (DRaaS) . Por fim, a soberania operacional ajuda as empresas a cumprirem as normas locais que regem a infraestrutura necessária para dar suporte a ambientes de nuvem em uma determinada região.
Soberania digital
Assim como a soberania operacional e de dados, a soberania digital de uma região é um conceito que não possui uma única definição universal. Em termos gerais, é um termo genérico que descreve o nível de controle de uma organização sobre seus recursos digitais, incluindo dados, softwares, conteúdo e infraestrutura digital. A soberania digital é importante para o conceito de nuvem soberana, principalmente no contexto de governança e transparência: as empresas que utilizam o controle de acesso sobre seus recursos digitais precisam definir regras para quem tem as permissões. Essas regras precisam ser configuradas de uma forma que sejam facilmente aplicáveis, como políticas como código, um processo que permite que as organizações gerenciem sua infraestrutura e seus procedimentos de maneira repetível.
Transparência, outro aspecto importante da soberania digital, diz respeito à capacidade de uma organização auditar seus processos e resultados. A transparência garante que as organizações visualizem seus fluxos de trabalho operacionais mais importantes para que possam ver o que está funcionando e o que precisa ser alterado.
Os benefícios de uma abordagem baseada em riscos
Quando se trata de nuvem soberana, não existe uma solução única para todos. As empresas podem querer o mesmo resultado de sua abordagem de nuvem híbrida (transformação digital, por exemplo), mas a maneira como elas o alcançam varia dependendo do tamanho, localização, segmento e requisitos empresariais. É aqui que as vantagens de uma abordagem baseada em riscos ficam visíveis.
Uma abordagem sólida e baseada em riscos para a nuvem soberana equilibra o crescimento — como o potencial de uma nova e inovadora tecnologia como a IA generativa — com riscos, por exemplo danos à reputação devido a uma violação de dados. Para aplicações críticas e dados altamente confidenciais, as empresas podem querer exercer um nível maior de controle, comparado a outras aplicações menos críticas. A regulamentação de precisão, aliada a uma abordagem baseada em padrões para regras e governança, ajuda a garantir que essas regras implementadas também possam ser gerenciadas de forma automatizada.
Escolha entre arquiteturas de nuvem pública e distribuída
Dependendo dos requisitos de risco em relação ao crescimento de uma organização, do tipo de dados que ela está armazenando e de onde esses dados estão localizados, há duas opções para implementar e aplicar políticas de nuvem soberana: nuvem pública ou distribuída. Na maioria dos países, as implementações de nuvem pública e multinuvem ajudam as organizações a implementarem suas cargas de trabalho na nuvem, mantendo o controle sobre seus dados em uma região específica. Uma arquitetura de nuvem pública típica inclui uma camada de plataforma em nuvem, como uma plataforma de nuvem híbrida, que fornece uma implementação estável e consistente.
A segunda opção é o modelo de implementação em nuvem distribuída, como um provedor de infraestrutura ou data center local. Estas são particularmente atraentes para empresas que requerem mais controle sobre sua infraestrutura e operações. Essencialmente, um modelo de implementação de nuvem distribuída oferece a capacidade de implementar cargas de trabalho e plataformas em qualquer infraestrutura escolhida.
À medida que preocupações com dados, operações e soberania digital continuam sendo levantadas por governos e cidadãos ao redor do mundo, a nuvem soberana está ajudando as empresas a garantirem a integridade de seus dados, não importa onde os negócios são feitos.
Nos próximos anos, a forma como as empresas coletam, protegem, armazenam e controlam o acesso aos dados terá enormes implicações para o seu sucesso, especialmente se estiverem buscando explorar novas tecnologias com muitos dados, como IA e ML. Ao escolher um CSP para ajudar na criação de um ambiente de nuvem soberana, é fundamental que as empresas entendam como esse CSP vai armazenar e processar os dados confidenciais.
Além disso, é necessário saber como um CSP oferece suporte à resiliência e planeja atenuar interrupções causadas por ataques cibernéticos, desastres naturais e outras ameaças. Por fim, as empresas que pretendem aproveitar um framework de nuvem soberana devem garantir que a estratégia geral de nuvem do CSP escolhido esteja alinhada com as leis dos países ou regiões em que operam, estando sujeitas à multas ou punições.
Aqui estão algumas considerações importantes a serem lembradas durante a escolha de um CSP para uma arquitetura de nuvem soberana:
Governança de dados: a abordagem de um CSP quanto à governança de dados é fundamental. Isso demonstra que eles detêm as políticas e os procedimentos corretos para lidar com os dados de maneira bem-sucedida, aplicando as restrições necessárias. Também devem ser capazes de realizar auditorias regulares a fim de comprovar que as diretrizes implementadas estão sendo seguidas.
Acordos de nível de serviço (SLAs): um acordo de nível de serviço (SLA) com um CSP que estabelece um ambiente de nuvem soberana não deve diferir muito de um acordo que estabelece um ambiente de nuvem pública ou privada. Assim como as nuvens públicas e privadas, as três áreas mais importantes a serem examinadas são o controle (gerenciamento de nuvem), a disponibilidade e o desempenho.
Conformidade: os CSPs que implementam frameworks de nuvem soberana precisam ter um alto nível de conhecimento sobre as leis de dados nas regiões em que operam, bem como um profundo entendimento sobre o cenário de conformidade e soberania de dados em constante mudança. Fornecedores e clientes precisam compartilhar a responsabilidade de se manterem atualizados com as novas normas e desenvolverem estratégias para lidar com elas.
Criptografia de dados: quando se trata de soberania e privacidade de dados, é importante objetivar a confidencialidade dos dados. Os CSPs devem fornecer mecanismos para que as organizações criptografem seus dados e os gerenciem usando chaves criptográficas. Essencialmente, isso significa alterar os dados para um conteúdo criptografado que só pode ser descriptografado por alguém que tenha as permissões e as chaves corretas. Garantir acesso exclusivo a essas chaves de criptografia oferece às empresas total garantia técnica e controle sobre quem pode acessar seus dados em um determinado momento.
Resiliência: por fim, quando algo dá errado, você precisa ter um plano que o auxilie na recuperação rápida. Considere apenas CSPs com histórico comprovado de suporte a clientes na resiliência e recuperação em países ou regiões relevantes. Todas as implementações de nuvem soberana precisam ter recursos integrados de recuperação e failover adaptados a cada área de conformidade específica em que os dados estão sendo armazenados.
Soluções relacionadas
O IBM Cloud Hyper Protect Crypto Services é uma solução de gerenciamento de chaves e criptografia como serviço (aaS), que proporciona a você controle total sobre suas chaves de criptografia para proteção de dados.
O IBM Cloud Object Storage é um serviço de armazenamento de dados altamente escalável e resiliente no IBM Cloud, que oferece uma alternativa ao armazenamento em blocos e arquivos.
Implemente e execute aplicativos de forma consistente em ambientes locais, de edge computing e de nuvem pública, viabilizados por comunicações seguras e auditáveis com a IBM Cloud.
Recursos
Saiba mais sobre a nuvem híbrida, um framework que combina e unifica a nuvem pública, a nuvem privada e a infraestrutura local, criando uma infraestrutura de TI única, flexível e com ótimo custo-benefício.
Veja como os rápidos avanços em computação em nuvem, gerenciamento de dados e inteligência artificial (IA) estão tornando a nuvem híbrida fundamental para a infraestrutura de TI de última geração.
Descubra como a arquitetura de nuvem híbrida, um ambiente que combina configurações locais, de nuvem privada, pública e edge, pode ajudar as empresas a criarem uma infraestrutura de TI gerenciada, única e flexível.
Explore a segurança de dados, a prática de proteger informações digitais contra acessos não autorizados, alterações indevidas ou roubo durante todo o ciclo de vida.
Saiba mais sobre data centers, salas físicas, prédios ou instalações que abrigam a infraestrutura de TI para criar, executar e entregar aplicações e serviços.
Saiba mais sobre a privacidade de dados, também chamada de "privacidade da informação", o princípio segundo o qual uma pessoa deve ter controle sobre seus dados pessoais, incluindo a capacidade de decidir como as organizações coletam, armazenam e utilizam esses dados.