3 de junio de 2024
Soberanía de datos es el concepto de que los datos están sujetos a las leyes del país o región donde se generaron.
A veces denominada "residencia de datos", la soberanía de los datos se está convirtiendo rápidamente en una parte fundamental de las estrategias jurídicas, de privacidad, seguridad y gobernanza de las empresas que se ocupan del almacenamiento, el tratamiento y la transferencia de datos. Contar con un enfoque estable para la gestión de datos y los flujos de datos internacionales -un componente clave de la soberanía de datos- ayuda a las organizaciones a proteger su información más sensible de ciberataques y otras amenazas.
Soberanía de datos, residencia y localización son términos estrechamente relacionados. De hecho, la soberanía de los datos y la residencia están tan estrechamente relacionadas que a veces se emplean indistintamente. Sin embargo, hay algunas diferencias clave que las organizaciones que buscan emplear las capacidades de computación en nube como parte de su viaje de transformación digital deben entender.
Soberanía de datos: datos que se almacenan y procesan en el país donde se generaron.
Residencia de datos: datos que se almacenan en un país diferente de aquel en el que se generaron.
Localización de datos: El acto de cumplir con todas las leyes y requisitos aplicables relacionados con la residencia de datos.
¿Qué es la nube soberana?
La soberanía, la residencia y la localización de los datos son partes críticas de un concepto conocido como nube soberana, un tipo de computación en la nube que ayuda a las organizaciones a cumplir con las leyes de privacidad de regiones y países específicos donde recopilan, procesan y almacenan datos de clientes.
medida que el almacenamiento en la nube continúa extendiéndose por todo el mundo, los límites geográficos tradicionales, como los bordes, no son suficientes para proteger los datos confidenciales. Además, el auge de tecnologías intensivas en datos como la inteligencia artificial (IA) y el machine learning (ML) que dependen de un acceso rápido y seguro a los datos está obligando a las empresas a tomar decisiones más estratégicas en torno a la seguridad en la nube. La IA, específicamente la IA generativa, tiene el potencial de impulsar innovaciones comerciales valiosas, pero necesitan una infraestructura de nube rápida y segura para funcionar
.Ingrese a la nube soberana, un concepto que incluye soberanía de datos, soberanía operativa y soberanía digital. Los marcos de nube soberana ayudan a las empresas a generar confianza en los clientes y hacer crecer su negocio mientras cumplen con las leyes de recopilación de datos, almacenamiento de datos y privacidad de datos en las regiones donde operan.
La importancia de la soberanía de los datos está estrechamente relacionada con la creciente importancia de los entornos de computación en la nube en las estrategias generales de crecimiento de muchas organizaciones.
A medida que más aplicaciones empresariales se trasladan a la nube, un entorno de nube se convierte en infraestructura crítica, tan importante para la salud de una empresa como una fábrica, un edificio de oficinas o una valiosa pieza de propiedad intelectual.
Los requerimientos de soberanía de datos generalmente rodean las regulaciones de privacidad de datos en un país o región específicos. Las preocupaciones clave para las organizaciones que buscan cumplir con las leyes locales suelen incluir la ciberseguridad, la seguridad de los datos y la privacidad, la protección de los datos confidenciales de violaciones y malware y controlar qué individuos, entidades y aplicaciones pueden acceder a los datos.
Por ejemplo, la Unión Europea (UE) tiene un Reglamento General de Protección de Datos (RGPD) que requiere que las empresas que operan dentro del territorio de la UE y que tratan con datos de ciudadanos de la UE contraten a alguien conocido como Oficial de Protección de Datos (DPO) para garantizar que las organizaciones mantengan estrictamente la confidencialidad, integridad y accesibilidad de los datos que generan, procesan y almacenan.
Fortalezca su inteligencia de seguridad
Adelántese cada semana a las amenazas con novedades e información sobre seguridad, IA y más con el boletín Think.
La soberanía de los datos está determinada por las leyes y regulaciones específicas que rigen la región o el país donde se generaron los datos.
Estas leyes varían de un territorio a otro, pero normalmente, cuando se dice que un país tiene "soberanía sobre" un dato, significa que tiene jurisdicción y autoridad sobre cómo se pueden emplear esos datos y quién puede acceder a ellos. Sin embargo, a menudo los datos están sujetos a la legislación de más de un país (residencia y localización de datos) y su gobierno, almacenamiento y tratamiento se complican.
En los casos en que los datos se generan en un país o región pero se almacenan y/o procesan en otro lugar, la organización responsable de los datos debe cerciorar de que cumple todos los requisitos legales para manejar conjuntos de datos en ambos lugares. Por ejemplo, las empresas podrían considerar necesario generar acuerdos específicos de protección de datos o diseñar y aplicar protocolos específicos de transferencia de datos para mantener el cumplimiento y evitar posibles conflictos en uno o varios territorios. Además, las organizaciones que almacenan y procesan datos en varias regiones o países deben conocer las leyes de protección de datos pertinentes, las restricciones transfronterizas u otras cuestiones necesarias para mantener la privacidad y la integridad de los datos.
Para ser eficaz, el enfoque de una organización hacia la soberanía de datos también debe incluir otros dos componentes críticos: soberanía operativa y digital. En conjunto, la soberanía de datos, operativa y digital son los tres componentes más críticos para la infraestructura de nube soberana. La soberanía operativa garantiza que la infraestructura crítica esté siempre disponible para las personas, entidades y aplicaciones que la necesitan, mientras que la soberanía digital garantiza que una organización siempre tenga el control de sus recursos digitales. Echemos un vistazo más de cerca a ambos términos y por qué son importantes.
Soberanía operativa
La soberanía operativa garantiza que la infraestructura crítica asociada con aplicaciones ricas en datos esté siempre activa y accesible. Además, la soberanía operativa ayuda a las empresas a mantener la transparencia y el control sobre sus procesos operativos y a detectar ineficiencias.
Con un enfoque estable de la soberanía operativa, incluso si una región concreta se ve afectada por una catástrofe, una empresa puede garantizar la resiliencia de sus infraestructuras críticas. Con este fin, muchos enfoques de soberanía operativa incluyen un plan de recuperación ante desastres de continuidad de negocio (BCDR) o de recuperación ante desastres como servicio (DRaaS) . Por último, la soberanía operativa ayuda a las empresas a cumplir la normativa local que regula la infraestructura necesaria para soportar entornos de nube en una región determinada.
Soberanía digital
La soberanía digital describe el nivel de control de una organización sobre sus activos digitales, incluidos datos, software, contenido e infraestructura digital. La soberanía digital es importante para el concepto de nube soberana principalmente en el contexto de la gobernanza y la transparencia. Las empresas que aprovechan el control de acceso sobre sus recursos digitales deben establecer reglas sobre quién tiene licencias y quién está restringido. Estas reglas deben configurarse de manera que sean fácilmente aplicables, como la política de código, un proceso que permite a las organizaciones gestionar su infraestructura y procedimientos de manera repetible.
La transparencia, otro aspecto importante de la soberanía digital, se refiere a la capacidad de una organización para supervisar sus procesos y resultados. La transparencia permite a las organizaciones ver en sus flujos de trabajo operativos más importantes para que puedan identificar qué funciona y qué debe modificarse.
Modelos de nube pública frente a modelos de nube distribuida
En términos generales, las organizaciones que desean adoptar un enfoque de nube soberana para la soberanía de los datos en un entorno de computación en la nube tienen dos opciones entre las que elegir: nube pública o nube distribuida. En la mayoría de los países, la nube pública y los despliegues multicloud ayudan a las organizaciones a desplegar sus cargas de trabajo en la nube al tiempo que mantienen el control sobre sus datos en una región específica. Una arquitectura típica de nube pública incluye una capa de nube de plataforma, como una plataforma de nube híbrida, que proporciona un despliegue de nube estable y consistente.
La segunda opción es el modelo de despliegue de nube distribuida, como un proveedor de infraestructura local o un centro de datos on-premises. Son atractivas para las empresas que necesitan más control sobre sus datos. Esencialmente, un modelo de despliegue de nube distribuida le ofrece la posibilidad de desplegar cargas de trabajo y plataformas en cualquier infraestructura de su elección.
Para comenzar a implementar un enfoque eficaz de la soberanía de datos, las organizaciones deben seguir los siguientes pasos:
Las empresas que buscan desarrollar capacidades de datos on premises o basadas en la nube en más de una región o país deben primero informar sobre las leyes y regulaciones que rigen la soberanía de datos en esos territorios.
Es importante poner en contacto con las agencias encargadas de hacer cumplir las leyes de soberanía de datos en los países o regiones en los que desea hacer negocios. Comunique sus planes en torno al almacenamiento, procesamiento y transferencia de datos para cerciorar de que cumple con las leyes que tienen la tarea de hacer cumplir.
Las leyes de cumplimiento en muchas regiones donde la computación en la nube es popular pueden cambiar rápidamente. Siempre es una buena idea contar con alguien en el país o región en el que está almacenando y procesando datos que sea un experto en los acuerdos regulatorios de los territorios. Los proveedores de servicios en la nube (CSP) que operan en un territorio ya deben tener acuerdos vigentes con las autoridades locales.
A medida que los ciudadanos y los organismos reguladores de todo el mundo continúan planteando preocupaciones sobre la soberanía de los datos, los enfoques de nube soberana están ayudando a las empresas a garantizar la integridad de sus datos sin importar dónde se almacenen y procesen.
En los próximos años, la forma en que las organizaciones recopilan, protegen, almacenan y controlan el acceso a sus datos, especialmente si buscan aprovechar nuevas tecnologías ricas en datos como IA y ML, tendrá enormes implicaciones para el crecimiento y la seguridad. La soberanía de los datos está en el centro de estas preocupaciones, por lo que elegir un proveedor de nube que tenga un profundo conocimiento de la misma ayudará a las empresas a implementar un enfoque sólido de nube soberana y alcanzar sus objetivos de transformación digital. Los asociados de negocios en regiones y países donde las empresas buscan establecer un entorno de nube deben contar con estrategias para mitigar riesgos comunes como ciberataques, desastres naturales y tiempo de inactividad.
Por último, las empresas que buscan crear un enfoque estable hacia la soberanía de los datos y la nube soberana deben cerciorar de que su proveedor de nube tenga una estrategia de nube general estable que se alinee con las leyes de los países o regiones en los que operan. Estas son algunas de las características más importantes que las empresas deben buscar al considerar a los CSP y otros socios potenciales para ayudar a construir un enfoque estable hacia la soberanía de los datos.
Capacidades de gobernanza de datos: el enfoque de un CSP hacia la gobernanza de datos demuestra que cuenta con las políticas y los procedimientos adecuados para manejar con éxito datos confidenciales y aplicar las restricciones necesarias en torno a ellos. También deberían proporcionar auditorías periódicas que demuestren que se están siguiendo las directrices que establecieron.
Acuerdos de nivel de servicio (SLAs): Cuando se trata de crear un SLA en torno a la soberanía de los datos en un entorno de nube soberana, las tres áreas más importantes que debe cubrir el SLA son el control (gestión en la nube), la disponibilidad y el rendimiento.
Cumplimiento: los CSP y otros socios que ayudan a las empresas a cumplir con los requisitos de soberanía de datos deben tener un alto nivel de experiencia en todas las leyes de datos en las regiones donde operan. Idealmente, las empresas y sus CSP deberían compartir la responsabilidad de mantener al día con las nuevas regulaciones y desarrollar estrategias para lidiar con ellas.
Cifrado de datos: Es crítico que los CSP en el espacio de la nube soberana tengan capacidades de cifrado de datos estables, como claves criptográficas, para garantizar que puedan mantener los datos confidenciales seguros y accesibles. Las claves criptográficas transforman los datos en un algoritmo de cifrado que sólo puede ser descifrado por alguien con las licencias adecuadas (clave). Esto brinda a las empresas seguridad técnica completa y control sobre quién puede acceder a sus datos y cuándo.
Resiliencia: Un enfoque estable de la soberanía de los datos y de los entornos soberanos en la nube debe incluir sólidas características de resiliencia. Las empresas solo deben tener en cuenta a los CSP con un historial probado de ayuda a los clientes en sus esfuerzos de resiliencia y recuperación en los países o regiones pertinentes. Cuando se trata de un entorno de nube soberana, todos los despliegues de nube deben tener incorporadas capacidades de recuperación y conmutación por error adaptadas a cada área de cumplimiento específica en la que se almacenan los datos.