Data di pubblicazione: 3 giugno 2024
Autori: Mesh Flinders, Ian Smalley
La sovranità dei dati è il concetto secondo cui i dati sono soggetti alle leggi del paese o della regione in cui sono stati generati.
Talvolta definita residenza dei dati, la sovranità dei dati sta rapidamente diventando una parte fondamentale delle strategie legali, di privacy, di sicurezza e di governance per le aziende che si occupano di storage, elaborazione e trasferimento dei dati. Un approccio efficace alla gestione dei dati e ai flussi internazionali di dati, un elemento chiave della sovranità dei dati, aiuta le organizzazioni a proteggere le informazioni più sensibili dagli attacchi informatici e da altre minacce.
Sovranità dei dati, residenza e localizzazione sono tutti termini strettamente correlati. In effetti, la sovranità e la residenza dei dati sono così strettamente correlate che a volte vengono utilizzate in modo intercambiabile. Tuttavia, ci sono alcune differenze fondamentali che le organizzazioni che intendono utilizzare le funzionalità del cloud computing nell'ambito del proprio percorso di trasformazione digitale dovrebbero conoscere.
Sovranità dei dati: i dati vengono memorizzati ed elaborati nel paese in cui sono stati generati.
Residenza dei dati: dati memorizzati in un paese diverso da quello in cui sono stati generati.
Localizzazione dei dati: l'atto di rispettare tutte le leggi e i requisiti applicabili in materia di residenza dei dati.
La sovranità, la residenza e la localizzazione dei dati sono tutte parti fondamentali di un concetto noto come cloud sovrano, un tipo di cloud computing che aiuta le organizzazioni a rispettare le leggi sulla privacy di specifiche regioni e paesi in cui raccolgono, elaborano e memorizzano i dati dei clienti.
Poiché il cloud storage continua a diffondersi a livello globale, i confini geografici tradizionali, come le frontiere, non sono sufficienti a proteggere i dati sensibili. Inoltre, l'ascesa di tecnologie ad alta intensità di dati come l'intelligenza artificiale (AI) e il machine learning (ML), che dipendono da un accesso rapido e sicuro ai dati, sta costringendo le aziende a prendere decisioni più strategiche sulla sicurezza del cloud. L'AI, in particolare l'AI generativa, ha il potenziale per alimentare preziose innovazioni aziendali, ma ha bisogno di un'infrastruttura cloud veloce e sicura per funzionare.
È qui che entra in gioco il cloud sovrano, un concetto che include la sovranità dei dati, la sovranità operativa e la sovranità digitale. I framework di cloud sovrano aiutano le aziende a creare fiducia nei clienti e a far crescere il proprio business, rispettando al contempo le leggi sulla raccolta, l'archiviazione e la privacy dei dati nelle regioni in cui operano.
Il report Leadership Compass della società di analisi KuppingerCole fornisce una panoramica del mercato delle piattaforme di sicurezza dei dati.
Iscriviti alla newsletter IBM
L'importanza della sovranità dei dati è strettamente correlata alla crescente importanza degli ambienti di cloud computing nelle strategie di crescita complessiva di molte organizzazioni.
Con un numero sempre maggiore di applicazioni aziendali che passano al cloud, l'ambiente cloud diventa un'infrastruttura critica, tanto importante per la salute di un'azienda quanto un impianto produttivo, un complesso di uffici o una preziosa proprietà intellettuale.
I requisiti di sovranità dei dati riguardano in genere le normative sulla privacy dei dati in un paese o in una regione specifici. Le principali preoccupazioni per le organizzazioni che cercano di conformarsi alle leggi locali in genere includono la cybersecurity, la sicurezza dei dati e la privacy, la protezione dei dati sensibili da violazioni e malware e il controllo di quali individui, entità e applicazioni possono accedere ai dati.
Ad esempio, l'Unione europea (UE) ha un regolamento generale sulla protezione dei dati (GDPR) che richiede alle aziende che operano all'interno del territorio dell'UE e trattano i dati dei cittadini dell'UE di assumere una persona nota come responsabile della protezione dei dati (DPO) per garantire che le organizzazioni mantengano rigorosamente la riservatezza, l'integrità e l'accessibilità dei dati che generano, elaborano e archiviano.
La sovranità dei dati è determinata dalle leggi e dai regolamenti specifici che regolano la regione o il paese in cui sono stati generati i dati.
Queste leggi variano da territorio a territorio, ma in genere, quando si dice che un paese ha la "sovranità su" dei dati, significa che ha giurisdizione e autorità su come tali dati possono essere utilizzati e chi può accedervi. Tuttavia, spesso i dati sono soggetti alle leggi di più paesi (residenza dei dati e localizzazione dei dati) e la loro gestione, archiviazione ed elaborazione diventano più complicate.
Nei casi in cui i dati vengono generati in un paese o in una regione ma archiviati e/o elaborati altrove, l'organizzazione responsabile dei dati deve garantire di rispettare tutti i requisiti legali per la gestione dei set di dati in entrambe le sedi. Ad esempio, le aziende potrebbero ritenere necessario generare accordi specifici sulla protezione dei dati o progettare e implementare protocolli di trasferimento dati specifici per mantenere la conformità ed evitare potenziali conflitti in uno o più territori. Inoltre, le organizzazioni che archiviano ed elaborano dati in più regioni o paesi dovrebbero essere a conoscenza di eventuali leggi pertinenti sulla protezione dei dati, restrizioni transfrontaliere o altre preoccupazioni necessarie per mantenere la privacy e l'integrità dei dati.
Per essere efficace, l'approccio di un'organizzazione alla sovranità dei dati deve includere anche altre due componenti critiche: la sovranità operativa e digitale. Insieme, la sovranità dei dati, operativa e digitale sono i tre elementi più critici di un'infrastruttura cloud sovrana. La sovranità operativa garantisce che l'infrastruttura critica sia sempre disponibile per le persone, le entità e le applicazioni che ne hanno bisogno, mentre la sovranità digitale garantisce che un'organizzazione abbia sempre il controllo dei propri asset digitali. Vediamo più nel dettaglio entrambi i termini e perché sono importanti.
Sovranità operativa
La sovranità operativa garantisce che l'infrastruttura critica associata alle applicazioni che utilizzano un gran numero di dati sia sempre attiva e accessibile. Inoltre, la sovranità operativa aiuta le aziende a mantenere la trasparenza e il controllo sui propri processi operativi e a individuare le inefficienze.
Con un solido approccio alla sovranità operativa, anche se una particolare regione è colpita da un disastro, un'azienda può garantire la resilienza della propria infrastruttura critica. A tal fine, molti approcci alla sovranità operativa includono un piano di business continuity disaster recovery (BCDR) o disaster recovery as a service ( DRaaS). Infine, la sovranità operativa aiuta le aziende a rispettare le normative locali che regolano l'infrastruttura necessaria per supportare gli ambienti cloud in una particolare area geografica.
Sovranità digitale
La sovranità digitale descrive il livello di controllo di un'organizzazione sui propri asset digitali, inclusi dati, software, contenuti e infrastrutture digitali. La sovranità digitale è importante per il concetto di cloud sovrano principalmente nel contesto della governance e della trasparenza. Le aziende che attuano il controllo degli accessi ai propri asset digitali devono stabilire regole su chi dispone delle autorizzazioni e chi no. Queste regole devono essere configurate in modo da essere facilmente applicabili, come nel policy-as-code, un processo che consente alle organizzazioni di gestire la propria infrastruttura e le proprie procedure in modo ripetibile.
La trasparenza, un altro aspetto importante della sovranità digitale, si riferisce alla capacità di un'organizzazione di verificare i propri processi e risultati. La trasparenza garantisce che le organizzazioni possano vedere i loro workflow operativi più importanti in modo da poter vedere cosa funziona e cosa deve essere cambiato.
In generale, le organizzazioni che desiderano adottare un approccio alla sovranità dei dati in un ambiente di cloud computing hanno due opzioni tra cui scegliere: il cloud pubblico o il cloud distribuito. Nella maggior parte dei paesi, le implementazioni di cloud pubblico e multicloud aiutano le organizzazioni a distribuire i workload cloud mantenendo il controllo sui dati in una regione specifica. Una tipica architettura di cloud pubblico include un livello di piattaforma cloud, come una piattaforma hybrid cloud, che fornisce un'implementazione cloud stabile e coerente.
La seconda opzione è il modello di distribuzione di cloud distribuito, come un fornitore di infrastrutture locali o un data center on-premise. Questa opzione è interessante per le aziende che necessitano di un maggiore controllo sui propri dati. Essenzialmente, un modello di distribuzione di cloud distribuito offre la possibilità di distribuire workload e piattaforme su qualsiasi infrastruttura si desidera.
Per iniziare a implementare un approccio efficace alla sovranità dei dati, le organizzazioni dovrebbero seguire i seguenti passi:
Le aziende che desiderano sviluppare funzionalità di dati on-premise o basate sul cloud in più di una regione o paese devono prima informarsi sulle leggi e le normative che disciplinano la sovranità dei dati in quei territori.
È importante contattare le agenzie incaricate di far rispettare le leggi sulla sovranità dei dati nei paesi o nelle regioni in cui desidera operare. Comunica i tuoi piani in merito all'archiviazione, all'elaborazione e al trasferimento dei dati per assicurarti di rispettare le leggi che hanno il compito di far rispettare.
Le leggi sulla conformità in molte regioni in cui il cloud computing è popolare possono cambiare rapidamente. È sempre una buona idea poter contare su qualcuno, nel paese o nella regione in cui si archiviano ed elaborano i dati, che sia un esperto negli accordi normativi dei territori. I provider di servizi cloud (CSP) che operano in un territorio devono già avere accordi in essere con le autorità locali.
Mentre i cittadini e gli enti normativi di tutto il mondo continuano a sollevare preoccupazioni sulla sovranità dei dati, gli approcci al cloud sovrano aiutano le aziende a garantire l'integrità dei loro dati, indipendentemente dal luogo in cui vengono archiviati ed elaborati.
Nei prossimi anni, il modo in cui le organizzazioni raccolgono, proteggono, archiviano e controllano l'accesso ai propri dati, soprattutto se intendono sfruttare nuove tecnologie ricche di dati come l'AI e il ML, avrà enormi implicazioni per la crescita e la sicurezza. La sovranità dei dati è al centro di queste preoccupazioni, quindi scegliere un provider di cloud che abbia una conoscenza approfondita di questo aspetto aiuterà le aziende a implementare un efficace approccio di cloud sovrano e a raggiungere i propri obiettivi di trasformazione digitale. I partner nelle regioni e nei paesi in cui le imprese cercano di creare un ambiente cloud devono disporre di strategie per mitigare i rischi comuni come attacchi informatici, disastri naturali e tempi di inattività.
Infine, le aziende che desiderano creare un approccio efficace alla sovranità dei dati e al cloud sovrano devono assicurarsi che il proprio provider di cloud abbia una solida strategia cloud complessiva che si allinei con le leggi dei paesi o delle regioni in cui operano. Questi sono alcuni degli aspetti più importanti che le aziende dovrebbero ricercare quando prendono in considerazione i CSP e altri potenziali partner per costruire con loro un solido approccio alla sovranità dei dati.
Funzionalità di governance dei dati: l'approccio di un CSP alla governance dei dati dimostra che ha adottato le politiche e le procedure giuste per gestire con successo i dati sensibili e applicare le restrizioni necessarie al riguardo. Dovrebbe inoltre effettuare verifiche periodiche per dimostrare che le linee guida stabilite vengano rispettate.
Service Level Agreement (SLA): quando si tratta di creare uno SLA sulla sovranità dei dati in un ambiente cloud sovrano, le tre aree più importanti che lo SLA dovrebbe coprire sono il controllo (cloud management), la disponibilità e le prestazioni.
Conformità: i CSP e gli altri partner che aiutano le aziende a rispettare i requisiti di sovranità dei dati dovrebbero avere un alto livello di esperienza nelle leggi sui dati nelle regioni in cui operano. Idealmente, le aziende e i propri CSP dovrebbero condividere la responsabilità di rimanere aggiornati con le nuove normative e di sviluppare strategie per affrontarle.
Crittografia dei dati: È fondamentale che i CSP nell'ambito del cloud sovrano dispongano di solide funzionalità di crittografia dei dati come le chiavi crittografiche per garantire che i dati sensibili siano sicuri e accessibili. Le chiavi crittografiche modificano i dati trasformandoli in un algoritmo di crittografia che può essere decifrato solo da chi dispone delle giuste autorizzazioni (chiave). Ciò garantisce alle aziende la massima sicurezza tecnica e il controllo su chi può accedere ai propri dati e quando.
Resilienza: un approccio efficace alla sovranità dei dati e agli ambienti cloud sovrani dovrebbe includere solide funzioni di resilienza. Le aziende dovrebbero prendere in considerazione solo CSP con una comprovata esperienza nell'aiutare i clienti con la resilienza e la ripresa nei paesi o nelle regioni interessati. Tutte le implementazioni di cloud sovrano dovrebbero disporre di funzionalità di ripristino e fail-over integrate e personalizzate per ogni specifica area di conformità in cui vengono archiviati i dati.
IBM Cloud Hyper Protect Crypto Services è una soluzione di crittografia e gestione delle chiavi as-a-service (aaS) che offre il pieno controllo sulle chiavi di crittografia per la protezione dei dati.
Esecuzione più fluida con opzioni di implementazione per ogni workload. La rete IBM è resiliente, ridondante e a elevata disponibilità.
Affronta la sicurezza unificata, la conformità e la visibilità dei rischi in ambienti ibridi multicloud.
Scopri di più sull'hybrid cloud, un framework cloud che combina e unifica il cloud pubblico, il cloud privato e l'infrastruttura on-premise per creare un'unica infrastruttura IT flessibile e conveniente.
Scopri come i rapidi progressi nel cloud computing, nella gestione dei dati e nell'AI stanno rendendo l'hybrid cloud fondamentale per l'infrastruttura IT di nuova generazione.
Scopri come l'architettura hybrid cloud, un ambiente che combina caratteristiche di ambienti on-premise, di cloud privato, cloud pubblico ed edge, può aiutare le imprese a creare un'unica infrastruttura IT gestita e flessibile.
Scopri di più sulla sovranità dei dati. Mentre il mondo continua a trasformarsi in un ecosistema connesso a livello globale, la fluidità dei dati ha suscitato dibattiti nazionali e internazionali sui concetti di dati e sovranità digitale.
Scopri di più sulla governance dei dati, una serie di processi che favorisce la disponibilità, la qualità e la sicurezza dei dati di un'organizzazione attraverso politiche e criteri diversi.
Questo webinar ha l'obiettivo di guidare le organizzazioni attraverso le complessità della residenza dei dati e di offrire informazioni utili per soddisfare efficacemente i requisiti normativi.