Apa itu kedaulatan data?

Terkadang disebut sebagai residensi data, kedaulatan data dengan cepat menjadi bagian inti dari strategi hukum, privasi, keamanan, dan tata kelola bagi perusahaan menangani penyimpanan, pemrosesan, dan transfer data. Memiliki pendekatan yang kuat terhadap manajemen data dan aliran data internasional, yang merupakan komponen utama dari kedaulatan data, membantu organisasi melindungi informasi yang paling sensitif dari serangan siber dan ancaman lainnya.

Kedaulatan, residensi, dan pelokalan data adalah istilah yang terkait erat. Faktanya, kedaulatan dan residensi data sangat terkait erat sehingga terkadang digunakan secara bergantian. Namun, ada beberapa perbedaan utama yang harus dipahami oleh organisasi yang ingin menggunakan kemampuan komputasi cloud sebagai bagian dari perjalanan transformasi digital mereka.

Kedaulatan data: Data yang disimpan dan diproses di negara tempat data tersebut dihasilkan.

Residensi data: Data yang disimpan di negara yang berbeda dengan negara tempat data tersebut dibuat.

Pelokalan data: Tindakan mematuhi semua hukum dan persyaratan yang berlaku seputar residensi data.

Kedaulatan, residensi, dan pelokalan data merupakan bagian penting dari konsep yang dikenal sebagai cloud berdaulat, yaitu jenis komputasi cloud yang membantu perusahaan mematuhi undang-undang privasi di wilayah dan negara tertentu tempat mereka mengumpulkan, memproses, dan menyimpan data pelanggan.

Karena penyimpanan cloud terus menyebar di seluruh dunia, batas geografis tradisional seperti perbatasan tidak cukup untuk melindungi data sensitif. Selain itu, munculnya teknologi intensif data seperti kecerdasan buatan (AI) dan machine learning (ML) yang bergantung pada akses data yang cepat dan aman memaksa perusahaan untuk mengambil keputusan yang lebih strategis seputar keamanan cloud. AI, khususnya AI generatif, berpotensi mendorong inovasi bisnis yang berharga, tetapi membutuhkan infrastruktur cloud yang cepat dan aman agar dapat berfungsi dengan baik.

Kemudian, hadirlah cloud berdaulat, yaitu konsep yang mencakup kedaulatan data, kedaulatan operasional, dan kedaulatan digital. Kerangka kerja cloud yang berdaulat membantu perusahaan membangun kepercayaan pelanggan dan mengembangkan bisnis mereka, sekaligus mematuhi undang-undang terkait pengumpulan data, penyimpanan data, dan privasi data di wilayah tempat mereka beroperasi.

Pentingnya kedaulatan data berkaitan erat dengan makin pentingnya lingkungan komputasi cloud dalam keseluruhan strategi pertumbuhan banyak organisasi.

Dengan makin banyaknya aplikasi perusahaan yang berpindah ke cloud, lingkungan cloud menjadi infrastruktur penting. Cloud menjadi sama pentingnya dengan pabrik, gedung perkantoran, atau IP yang berharga bagi kondisi perusahaan.

Persyaratan kedaulatan data biasanya mencakup peraturan privasi data di negara atau wilayah tertentu. Kekhawatiran utama bagi organisasi yang perlu mematuhi undang-undang setempat biasanya meliputi keamanan siber, keamanan data, dan privasi, melindungi data sensitif dari pelanggaran dan malware, serta mengontrol perorangan, entitas, dan aplikasi mana yang dapat mengakses data.

Sebagai contoh, Uni Eropa (UE) menerapkan General Data Protection Regulation (GDPR) yang mewajibkan perusahaan yang beroperasi di dalam wilayah UE dan menangani data warga negara UE untuk mempekerjakan seseorang yang dikenal sebagai Pejabat Perlindungan Data (Data Protection Officer, DPO). Ini ditujukan untuk memastikan bahwa organisasi secara ketat menjaga kerahasiaan, integritas, dan aksesibilitas data yang mereka hasilkan, proses, dan simpan.

Kedaulatan data ditentukan oleh undang-undang dan regulasi khusus yang mengatur wilayah atau negara tempat data dihasilkan.

Undang-undang ini bervariasi dari satu wilayah ke wilayah lain. Namun, biasanya, ketika sebuah negara dikatakan memiliki "kedaulatan atas" data, artinya negara tersebut memiliki yurisdiksi dan otoritas atas bagaimana data tersebut dapat digunakan dan siapa saja yang dapat mengaksesnya. Akan tetapi, data sering kali diatur dalam undang-undang di lebih dari satu negara (residensi data dan pelokalan data). Ini menyebabkan tata kelola, penyimpanan, dan pemrosesan data menjadi lebih rumit.

Dalam kasus di mana data dihasilkan di satu negara atau wilayah, tetapi disimpan dan/atau diproses di tempat lain, organisasi yang bertanggung jawab atas data tersebut harus memastikan kepatuhannya terhadap semua persyaratan hukum terkait penanganan kumpulan data di kedua lokasi tersebut. Sebagai contoh, perusahaan mungkin merasa perlu untuk membuat perjanjian perlindungan data tertentu atau merancang dan menerapkan protokol transfer data khusus untuk menjaga kepatuhan dan menghindari potensi konflik di satu atau beberapa wilayah. Selain itu, organisasi yang menyimpan dan memproses data di beberapa wilayah atau negara harus memiliki pengetahuan tentang undang-undang perlindungan data yang relevan, pembatasan lintas batas, atau hal-hal lain yang diperlukan untuk menjaga integritas dan privasi data.

Agar efektif, pendekatan organisasi terhadap kedaulatan data juga harus mencakup dua komponen penting lainnya: kedaulatan operasional dan digital. Bersama-sama, kedaulatan data, kedaulatan operasional, dan kedaulatan digital adalah tiga komponen paling penting untuk infrastruktur cloud yang berdaulat. Kedaulatan operasional memastikan bahwa infrastruktur penting selalu tersedia untuk perorangan, entitas, dan aplikasi yang membutuhkannya. Sementara itu, kedaulatan digital memastikan bahwa organisasi selalu memegang kontrol atas aset digitalnya. Mari kita lihat lebih dekat kedua istilah ini dan signifikansinya.

Kedaulatan operasional memastikan bahwa infrastruktur penting yang terkait dengan aplikasi padat data selalu aktif dan dapat diakses. Selain itu, kedaulatan operasional membantu perusahaan menjaga transparansi dan kontrol atas proses operasional sekaligus dan menemukan inefisiensi.

Dengan pendekatan yang tepat terhadap kedaulatan operasional, bahkan jika suatu wilayah tertentu terkena bencana, perusahaan dapat memastikan infrastruktur pentingnya tetap tangguh. Untuk mencapai tujuan ini, banyak pendekatan kedaulatan operasional mencakup rencana keberlangsungan bisnis dan pemulihan bencana (business continuity and disaster recovery, BCDR) atau pemulihan bencana sebagai layanan (Disaster Recovery as a Service, DRaaS). Terakhir, kedaulatan operasional membantu perusahaan mematuhi peraturan setempat yang menentukan infrastruktur yang diperlukan untuk mendukung lingkungan cloud di wilayah tertentu.

Kedaulatan digital menggambarkan tingkat kontrol suatu organisasi atas aset digital, termasuk data, perangkat lunak, konten, dan infrastruktur digital miliknya. Kedaulatan digital penting bagi konsep cloud berdaulat, terutama dalam konteks tata kelola dan transparansi. Perusahaan yang memanfaatkan kontrol akses atas aset digitalnya perlu menetapkan aturan tentang pihak mana yang memiliki izin dan pihak mana yang dikenai pembatasan. Aturan ini perlu dibuat sedemikian rupa sehingga mudah ditegakkan. Contohnya adalah kebijakan sebagai kode (policy as code, PaC), yaitu sebuah proses yang memungkinkan organisasi untuk mengelola infrastruktur dan prosedur mereka dengan cara yang dapat diulang.

Transparansi, aspek penting lainnya dari kedaulatan digital, mengacu pada kemampuan organisasi untuk mengaudit proses dan hasilnya. Transparansi memastikan agar organisasi dapat melihat alur kerja operasional yang paling penting, sehingga mereka dapat melihat hal yang sudah berjalan dengan baik dan hal yang perlu diubah.

Secara luas, organisasi yang ingin mengambil pendekatan cloud berdaulat terhadap kedaulatan cloud di lingkungan komputasi cloud memiliki dua opsi: cloud publik atau cloud terdistribusi. Di sebagian besar negara, penerapan cloud publik dan multicloud membantu organisasi menerapkan beban kerja cloud mereka sekaligus mempertahankan kontrol atas data mereka di wilayah tertentu. Arsitektur cloud publik yang umum ditemukan meliputi lapisan cloud platform, seperti platform hybrid cloud, yang menyediakan penerapan cloud yang stabil dan konsisten.

Opsi kedua adalah model penerapan cloud terdistribusi, misalnya penyedia infrastruktur lokal atau pusat data on premises. Opsi ini menarik bagi perusahaan yang membutuhkan kontrol lebih besar atas data mereka. Pada dasarnya, model penerapan cloud terdistribusi memberi kemampuan untuk menerapkan beban kerja dan platform ke dalam infrastruktur apa pun yang Anda pilih.

Untuk mulai menerapkan pendekatan yang efektif terhadap kedaulatan data, organisasi harus mengambil langkah-langkah berikut:

Karena warga negara dan badan pengatur di seluruh dunia terus menyuarakan masalah kedaulatan data, pendekatan cloud berdaulat membantu bisnis memastikan integritas data mereka di mana pun data tersebut disimpan dan diproses.

Di tahun-tahun mendatang, jika suatu organisasi ingin memanfaatkan teknologi baru yang kaya data seperti AI dan ML, cara organisasi tersebut mengumpulkan, mengamankan, menyimpan, dan mengontrol akses ke data akan memiliki implikasi sangat besar bagi pertumbuhan dan keamanan. Kedaulatan data menjadi pusat dari kekhawatiran ini. Jadi, memilih penyedia cloud yang memiliki pemahaman mendalam tentang hal ini akan membantu bisnis menerapkan pendekatan cloud berdaulat yang kuat dan mencapai tujuan transformasi digital mereka. Mitra di wilayah dan negara di mana perusahaan berusaha membangun lingkungan cloud harus memiliki strategi untuk mengurangi risiko umum seperti serangan siber, bencana alam, dan waktu henti.

Terakhir, bisnis yang ingin menciptakan pendekatan yang kuat terhadap kedaulatan data dan cloud berdaulat harus memastikan bahwa penyedia cloud memiliki strategi cloud yang kuat secara keseluruhan dan selaras dengan hukum di negara atau wilayah tempatnya beroperasi. Berikut adalah beberapa fitur terpenting yang harus dicari perusahaan saat mempertimbangkan CSP dan calon mitra lainnya untuk membantu membangun pendekatan yang kuat terhadap kedaulatan data.

Kemampuan tata kelola data: Pendekatan CSP terhadap tata kelola data menunjukkan bahwa mereka memiliki kebijakan dan prosedur yang tepat untuk menangani data sensitif dan menerapkan pembatasan penting seputar data dengan baik. Mereka juga harus dapat melaksanakan audit rutin guna membuktikan bahwa pedoman yang telah mereka terapkan sedang ditaati.

Perjanjian tingkat layanan (service level agreement, SLA): Untuk membuat SLA seputar kedaulatan data di lingkungan cloud yang berdaulat, tiga area terpenting yang harus dicakup oleh SLA adalah kontrol (manajemen cloud), ketersediaan, dan kinerja.

Kepatuhan: CSP dan mitra lain yang membantu perusahaan mematuhi persyaratan kedaulatan data harus memiliki keahlian umum terkait semua undang-undang data di wilayah tempat mereka beroperasi. Idealnya, perusahaan dan CSP harus berbagi tanggung jawab untuk selalu mengikuti perkembangan peraturan baru dan mengembangkan strategi untuk menghadapinya.

Enkripsi data: Di ruang cloud yang berdaulat, CSP harus memiliki kemampuan enkripsi data yang kuat, misalnya kunci kriptografi, guna memastikan mereka dapat menjaga data sensitif tetap aman dan dapat diakses. Kunci kriptografi mengubah data menjadi algoritma enkripsi yang hanya dapat didekripsi oleh orang yang memiliki izin yang tepat (kunci). Ini memberi jaminan teknis lengkap dan kontrol bagi perusahaan atas siapa yang dapat mengakses data mereka dan kapan.

Ketahanan: Pendekatan yang kuat terhadap kedaulatan data dan lingkungan cloud yang berdaulat harus mencakup fitur ketahanan yang kuat. Perusahaan sebaiknya hanya mempertimbangkan CSP dengan rekam jejak yang telah terbukti dalam membantu klien menangani upaya ketahanan dan pemulihan di negara atau wilayah yang relevan. Terkait dengan lingkungan cloud yang berdaulat, semua penerapan cloud harus memiliki kemampuan pemulihan dan fail-over bawaan yang disesuaikan dengan setiap area kepatuhan spesifik tempat data disimpan.