¿Qué es la soberanía de los datos?

A veces denominada residencia de datos, la soberanía de datos se está convirtiendo rápidamente en una parte fundamental de las estrategias legales, de privacidad, seguridad y gobierno para las empresas que se ocupan del almacenamiento, el procesamiento y la transferencia de datos. Contar con un enfoque sólido de la gestión de datos y los flujos internacionales de datos, un componente clave de la soberanía de datos, ayuda a las organizaciones a proteger su información más sensible de los ciberataques y otras amenazas.

La soberanía, la residencia y la localización de datos son términos estrechamente relacionados. De hecho, la soberanía y la residencia de los datos están tan estrechamente relacionadas que a veces se utilizan indistintamente. Sin embargo, existen algunas diferencias clave que las organizaciones que buscan utilizar las capacidades de cloud computing como parte de su proceso de transformación digital deben comprender.

Soberanía de datos: datos que se almacenan y procesan en el país donde se generaron.

Residencia de datos: datos que se almacenan en un país diferente al país en el que se generaron.

Localización de datos: el acto de cumplir con todas las leyes y requisitos aplicables en materia de residencia de datos.

La soberanía, la residencia y la localización de los datos son partes críticas de un concepto conocido como nube soberana, un tipo de cloud computing que ayuda a las organizaciones a cumplir con las leyes de privacidad de regiones y países específicos donde recopilan, procesan y almacenan datos de clientes.

A medida que el almacenamiento en la nube sigue extendiéndose por todo el mundo, los límites geográficos tradicionales como las fronteras no son suficientes para proteger los datos sensibles. Además, el auge de las tecnologías que hacen un uso intensivo de los datos, como la inteligencia artificial (IA) y el machine learning (ML), que dependen de un acceso rápido y seguro a los datos, está obligando a las empresas a tomar decisiones más estratégicas en torno a la seguridad de la nube. La IA, y en concreto la IA generativa, tienen el potencial de impulsar valiosas innovaciones, pero necesitan una infraestructura en la nube rápida y segura para funcionar.

Entre en la nube soberana, un concepto que incluye la soberanía de datos, la soberanía operativa y la soberanía digital. Los marcos de nube soberana ayudan a las empresas a generar la confianza de los clientes y a hacer crecer sus negocios, al mismo tiempo que cumplen con las leyes de recopilación de datos, almacenamiento de datos y protección de datos de las regiones en las que operan.

La importancia de la soberanía de datos está estrechamente relacionada con la creciente importancia de los entornos de cloud computing en las estrategias generales de crecimiento de muchas organizaciones.

A medida que más aplicaciones empresariales se trasladan a la nube, un entorno de nube se convierte en una infraestructura crítica, tan importante para la salud de una empresa como una fábrica, un edificio de oficinas o una valiosa propiedad intelectual.

Los requisitos de soberanía de datos suelen rodear a las regulaciones de protección de datos en un país o región específicos. Las principales preocupaciones de las organizaciones que pretenden cumplir con las leyes locales suelen incluir la ciberseguridad, la seguridad de datos y la protección de datos, salvaguardando  los datos sensibles frente a las vulneraciones y el malware y controlando qué individuos, entidades y aplicaciones pueden acceder a los datos.

Por ejemplo, la Unión Europea (UE) tiene un Reglamento General de Protección de Datos (RGPD) que exige que las empresas que operan dentro del territorio de la UE y tratan datos de ciudadanos de la UE contraten a alguien conocido como Oficial de Protección de Datos (OPD) para garantizar que las organizaciones mantengan estrictamente la confidencialidad, integridad y accesibilidad de los datos que generan, procesan y almacenan.

La soberanía de datos está determinada por las leyes y regulaciones específicas que rigen la región o el país donde se generaron los datos.

Estas leyes varían de un territorio a otro, pero normalmente, cuando se dice que un país tiene "soberanía" sobre un dato, significa que tiene jurisdicción y autoridad sobre cómo se pueden utilizar esos datos y quién puede acceder a ellos. Sin embargo, a menudo los datos están sujetos a la legislación de más de un país (residencia y localización de datos) y su gobierno, almacenamiento y tratamiento se complican.

En los casos en los que los datos se generan en un país o región, pero se almacenan y/o procesan en otro lugar, la organización responsable de los datos debe asegurarse de que sigue todos los requisitos legales para manejar conjuntos de datos en ambos lugares. Por ejemplo, las empresas podrían considerar necesario generar acuerdos específicos de protección de datos o diseñar y aplicar protocolos específicos de transferencia de datos para mantener el cumplimiento y evitar posibles conflictos en uno o varios territorios. Asimismo, las organizaciones que almacenan y procesan datos en varias regiones o países deben conocer las leyes de protección de datos pertinentes, las restricciones transfronterizas u otras cuestiones necesarias para mantener la protección y la integridad de los datos.

Para que sea eficaz, el enfoque de una organización con respecto a la soberanía de datos también debe incluir otros dos componentes críticos: la soberanía operativa y digital. En conjunto, los datos, la soberanía operativa y digital son los tres componentes más críticos de la infraestructura de nube soberana. La soberanía operativa garantiza que la infraestructura crítica esté siempre disponible para las personas, entidades y aplicaciones que la necesiten, mientras que la soberanía digital garantiza que una organización siempre tenga el control de sus activos digitales. Analicemos más de cerca ambos términos y por qué son importantes.

La soberanía operativa garantiza que la infraestructura crítica asociada a las aplicaciones ricas en datos esté siempre activa y accesible. Además, la soberanía operativa ayuda a las empresas a mantener la transparencia y el control sobre sus procesos operativos y a detectar las ineficiencias.

Con un enfoque sólido de la soberanía operativa, incluso si una región concreta se ve afectada por un desastre, una empresa puede asegurarse de que su infraestructura crítica sea resiliente. Con este fin, muchos enfoques de soberanía operativa incluyen un plan de continuidad del negocio y recuperación ante desastres (BCDR) o recuperación ante desastres como servicio (DRaaS) . Por último, la soberanía operativa ayuda a las empresas a cumplir con las normativas locales que rigen la infraestructura necesaria para dar soporte a los entornos de nube en una región determinada.

La soberanía digital describe el nivel de control de una organización sobre sus activos digitales, incluidos datos, software, contenido e infraestructura digital. La soberanía digital es importante para el concepto de nube soberana principalmente en el contexto del gobierno y la transparencia. Las empresas que aprovechan el control de acceso sobre sus activos digitales deben establecer reglas sobre quién tiene permisos y quién está restringido. Estas normas deben establecerse de forma que sean fácilmente ejecutables, como la política como código, un proceso que permite a las organizaciones gestionar su infraestructura y sus procedimientos de forma repetible.

La transparencia, otro aspecto importante de la soberanía digital, se refiere a la capacidad de una organización para auditar sus procesos y resultados. La transparencia garantiza que las organizaciones puedan ver sus flujos de trabajo operativos más importantes para saber lo que funciona y lo que hay que cambiar.

En términos generales, las organizaciones que desean adoptar un enfoque de nube soberana para la soberanía de datos en un entorno de cloud computing tienen dos opciones para elegir: nube pública o nube distribuida. En la mayoría de los países, las implementaciones de nube pública y multinube ayudan a las organizaciones a implementar sus cargas de trabajo en la nube y, al mismo tiempo, a mantener el control de sus datos en una región específica. Una arquitectura de nube pública típica incluye una capa de nube de plataforma, como una plataforma en la nube híbrida, que proporciona una implementación de nube estable y coherente.

La segunda opción es el modelo de implementación de nube distribuida, como un proveedor de infraestructura local o un centro de datos local . Son atractivos para las empresas que requieren mayor control sobre sus datos. Básicamente, un modelo de implementación de nube distribuida le brinda la capacidad de implementar cargas de trabajo y plataformas en cualquier infraestructura de su elección.

Para empezar a implementar un enfoque eficaz de la soberanía de datos, las organizaciones deben tomar las siguientes medidas:

A medida que los ciudadanos y los organismos reguladores de todo el mundo siguen planteando problemas de soberanía de datos, los enfoques de nube soberana están ayudando a las empresas a garantizar la integridad de sus datos con independencia de dónde se almacenen y procesen.

En los próximos años, la forma en que las organizaciones recopilan, protegen, almacenan y controlan el acceso a sus datos (especialmente si buscan aprovechar nuevas tecnologías ricas en datos, como la IA y el ML) tendrá enormes implicaciones para el crecimiento y la seguridad. La soberanía de datos está en el centro de estas preocupaciones, por lo que elegir un proveedor de servicios en la nube que lo comprenda a fondo ayudará a las empresas a implementar un enfoque sólido de nube soberana y a lograr sus objetivos de transformación digital. Los socios de las regiones y países en los que las empresas buscan establecer un entorno de nube deben tener estrategias para mitigar los riesgos comunes, como los ciberataques, los desastres naturales y el tiempo de inactividad.

Por último, las empresas que deseen adoptar un enfoque sólido de la soberanía de datos y la nube soberana deben asegurarse de que su proveedor de servicios en la nube cuenta con una estrategia global sólida que se ajuste a la legislación de los países o regiones en los que operan. Estas son algunas de las características más importantes que las empresas deben buscar al considerar a los CSP y otros socios potenciales para ayudar a construir un enfoque sólido hacia la soberanía de datos.

Capacidades de gobierno de datos: el enfoque de un CSP en materia del gobierno de datos muestra que cuenta con las políticas y procedimientos adecuados para gestionar con éxito los datos sensibles y aplicar las restricciones necesarias a su alrededor. También deben proporcionar auditorías regulares que demuestren que se siguen las directrices que han implementado.

Acuerdos de nivel de servicio (SLA): cuando se trata de crear un SLA sobre la soberanía de datos en un entorno de nube soberana, las tres áreas más importantes que debe cubrir el SLA son el control (gestión de la nube), la disponibilidad y el rendimiento.

Cumplimiento: los CSP y otros socios que ayudan a las empresas a cumplir con los requisitos de soberanía de datos deben tener un alto nivel de experiencia en todas las leyes de datos de las regiones en las que operan. Lo ideal sería que las empresas y sus CSP compartieran la responsabilidad de mantenerse al día de las nuevas normativas y desarrollar estrategias para hacerles frente.

Cifrado de datos: es crucial que los CSP en el espacio de la nube soberana tengan capacidades sólidas de cifrado de datos, como claves criptográficas, para garantizar que puedan mantener los  datos sensibles seguros y accesibles. Las claves criptográficas alteran los datos en un algoritmo de cifrado que solo puede descifrar alguien con los permisos adecuados (clave.) Esto proporciona a las empresas una garantía técnica y un control completos sobre quién puede acceder a sus datos y cuándo.

Resiliencia: un enfoque sólido de la soberanía de datos y de los entornos de nube soberanos debe incluir fuertes características de resiliencia. Las empresas solo deben tener en cuenta a los CSP con un historial probado de ayuda a los clientes en sus esfuerzos de resiliencia y recuperación en los países o regiones pertinentes. Cuando se trata de un entorno de nube soberana, todos las implementaciones de nube deben tener incorporadas capacidades de recuperación y conmutación por error adaptadas a cada área de cumplimiento específica en la que se almacenan los datos.