Publicado: 8 de mayo de 2024
Colaboradores: Mesh Flinders, Ian Smalley
La nube soberana es un tipo de computación en la nube que ayuda a las organizaciones a cumplir con las leyes de regiones y países específicos.
A medida que más compañías buscan soluciones de nube híbrida para lograr sus iniciativas de transformación digital, los entornos de nube (y específicamente cómo los usuarios acceden, almacenan y emplean los datos en ellos) son cada vez más importantes. Dado que la computación en nube se sigue extendiendo por todo el mundo, los límites geográficos tradicionales, como las fronteras, ya no bastan para proteger los datos sensibles.
Ingrese a la nube soberana, un concepto que incluye soberanía de datos, soberanía operativa y soberanía digital. La nube soberana ayuda a las compañías a generar confianza en los clientes y hacer crecer sus negocios mientras cumplen con las leyes y regulaciones en las regiones donde operan.
¿Qué protege la nube soberana?
Una nube soberana protege principalmente los datos de consumidores y organizaciones. Si bien muchas regulaciones se enfocan principalmente en proteger la información de identificación personal, o PII, según la industria, la región o el caso de uso comercial, también pueden proteger la propiedad intelectual (IP), el software, los secretos comerciales, la información financiera y más. Dado que las regulaciones sobre la privacidad de los datos en la nube varían entre países y regiones, no existe una definición única y aceptada de lo que una nube soberana puede proteger. Los enfoques tienden a variar según la industria, la ubicación y las necesidades comerciales.
Algunos marcos de nube soberana se ocupan de la residencia de datos, donde los datos están sujetos a las leyes y regulaciones del país específico donde se almacenan. Otros se ocupan de la soberanía de los datos, donde los datos que se almacenan están sujetos a las leyes del país donde se recopilaron. Al final, los enfoques de nube soberana no solo ayudan a las compañías a cumplir con las leyes que rodean sus datos más confidenciales, sino que también las ayudan a mantenerse resilientes.
A medida que las compañías trasladan cada vez más sus aplicaciones a la nube, la propia nube se está convirtiendo rápidamente en una infraestructura crítica.
El entorno en la nube de una compañía se considera ahora tan importante para su salud como una fábrica, un edificio de oficinas o una valiosa pieza de propiedad intelectual. Además, a medida que las industrias altamente reguladas, tanto en el sector privado como en el público, trasladan sus servicios principales a la nube, la necesidad de mantener los datos seguros se está volviendo crítica.
Además, el auge de tecnologías con uso intensivo de datos, como la inteligencia artificial (IA) y el machine learning (ML) , que dependen de un acceso rápido y seguro a los datos, está obligando a las compañías a tomar decisiones más estratégicas en torno a la tecnología en la nube. La IA, y específicamente la IA generativa, tienen el potencial de impulsar valiosas innovaciones empresariales, pero sin un ecosistema de nube estable y soberano no pueden despegar.
Las compañías de industrias altamente reguladas, como la atención médica y los servicios financieros, enfrentan vientos en contra particularmente fuertes. Por ejemplo, en Europa, existe una propuesta llamada Esquema Europeo de Certificación de Ciberseguridad para Servicios en la Nube (EUCS) que unificaría las regulaciones existentes en todos los estados afiliados a la Unión Europea y la Ley de Resiliencia Operativa Digital (DORA) que tiene como objetivo abordar el riesgo de las TIC y establece reglas sobre la gestión de riesgos de ICT, reportes de incidentes, pruebas de resiliencia operativa y monitoreo de riesgos de terceros de ICT. Las soluciones estables de nube soberana ayudan a las compañías a mantenerse al día con los organismos reguladores y la nueva legislación, así como a tomar decisiones más estratégicas en torno al riesgo, los datos y un panorama de amenazas en evolución. Veamos algunos de los beneficios más importantes de la nube soberana empresarial.
Las compañías que están dispuestas a invertir en un marco estable de nube soberana como parte de un proceso de transformación digital más amplio generalmente obtienen varios beneficios importantes. Desde un mayor control sobre sus datos hasta una mejor conectividad, resiliencia de los datos y rendimiento de las aplicaciones, estas son las cinco razones principales por las que las compañías adoptan un enfoque de nube soberana.
Una infraestructura de nube soberana estable brinda a las compañías control sobre dónde se almacenan sus datos (residencia de datos), como una región o país, o incluso el centro de datos de un proveedor de nube específico.
Las soluciones de nube soberana pueden ayudar a las compañías de todos los tamaños a cumplir con los requisitos normativos y seguir las leyes que cambian rápidamente en torno a los datos y la soberanía digital, sin importar en cuántos países o regiones diferentes hagan negocios.
Adoptar un enfoque de nube soberana permite a las organizaciones limitar fácilmente el acceso que sus propios empleados, socios comerciales e incluso proveedores de servicios en la nube (CSP) tienen a los datos de acuerdo con la ciudadanía, la ubicación física y otros factores.
Los CSP que operan ecosistemas de nube soberana ayudan a las compañías a aumentar su resiliencia operativa por medio de un enfoque estratégico que asuma que la disrupción es inevitable. Al ofrecer servicios de alta disponibilidad y respaldar datos críticos en infraestructura soberana, los CSP ayudan a las organizaciones a absorber y adaptar mejor a los impactos.
Las principales configuraciones de nube soberana despliegan los niveles más sofisticados de seguridad de datos disponibles, lo que garantiza que las aplicaciones, los empleados, los clientes y los consumidores puedan acceder a los datos que necesitan de forma rápida y segura.
Para ser eficaz, la soberanía de la nube debe ofrecer tres resultados críticos para una compañía: soberanía de datos, soberanía operativa y soberanía digital. Echemos un vistazo más de cerca a cada uno de estos conceptos y por qué son importantes.
Cumplir con la soberanía de datos (la idea de que los datos están sujetos a las leyes del país o región donde se generaron) es un requisito fundamental de la mayoría de las soluciones soberanas en la nube. Una soberanía estable de datos ayuda a las compañías a proteger los datos de sus clientes de ciberataques y otras amenazas, al tiempo que garantiza que ninguna persona no autorizada tenga acceso a ellos. Por ejemplo, según la mayoría de los requisitos de soberanía de datos, los CSP no tienen acceso a los datos de los clientes, incluso cuando están en un centro de datos en la nube que operan.
Otro aspecto importante de la soberanía de los datos es el concepto de residencia de los datos, la noción de que los datos están sujetos a las leyes y normativas de la región o el país donde se almacenan. Además de cumplir con la privacidad de los datos, las soluciones soberanas en la nube deben cumplir también todas las leyes y normativas aplicables sobre residencia de datos.
La soberanía operativa ayuda a garantizar que la infraestructura crítica asociada con aplicaciones ricas en datos esté siempre activa y accesible. Además, la soberanía operativa ayuda a las compañías a mantener el control de sus procesos operativos y detectar deficiencias. Con un enfoque estable de la soberanía operativa, incluso si una región en particular se ve afectada por un desastre, una compañía puede garantizar que su infraestructura crítica sea resiliente a través de un plan de recuperación ante desastres para la continuidad del negocio (BCDR) o recuperación antedesastres como servicio (DRaaS). . Finalmente, la soberanía operativa ayuda a las compañías a cumplir con las regulaciones locales que rigen la infraestructura necesaria para admitir entornos de nube en una región en particular.
Al igual que la soberanía operativa y de datos, la soberanía digital dentro de la región es un concepto que carece de una definición universal única. Es un término general que describe el nivel de control de una organización sobre sus activos digitales, incluidos datos, software, contenido e infraestructura digital. La soberanía digital es importante para el concepto de nube soberana principalmente en el contexto de la gobernanza y la transparencia: las compañías que aprovechan el control de acceso sobre sus activos digitales deben establecer reglas sobre quién tiene licencias. Estas reglas deben configurarse de manera que sean fácilmente aplicables, como la política de código, un proceso que permite a las organizaciones gestionar su infraestructura y procedimientos de manera repetible.
La transparencia, otro aspecto importante de la soberanía digital, se refiere a la capacidad de una organización para auditar sus procesos y resultados. La transparencia garantiza que las organizaciones puedan ver sus flujos de trabajo operativos más importantes para que puedan ver qué funciona y qué debe cambiar.
Cuando se trata de la nube soberana, no existe una solución única. Las compañías pueden querer el mismo resultado de su enfoque de nube híbrida (transformación digital, por ejemplo), pero la forma de conseguirlo varía en función del tamaño, la ubicación, el sector y los requisitos empresariales. Aquí es donde se ponen de manifiesto los beneficios de un enfoque basado en el riesgo.
Un enfoque sólido y basado en el riesgo para la nube soberana equilibra el crecimiento, por ejemplo, el potencial de una nueva tecnología como la IA generativa, con el riesgo, como el daño a la reputación debido a una filtración de datos. Para aplicaciones críticas y datos altamente confidenciales, es posible que las empresas deseen ejercer un mayor nivel de control que con otras aplicaciones menos críticas. La regulación de precisión, junto con un enfoque basado en estándares para las reglas y estándares de gobernanza, ayuda a garantizar que las reglas que se implementan también puedan administrarse tecnológicamente.
Según los requisitos de riesgo y crecimiento de una organización, el tipo de datos que almacena y dónde se encuentran esos datos, existen dos opciones para desplegar y aplicar políticas de nube soberana: nube pública o distribuida. En la mayoría de los países, los despliegues de nube pública y multicloud ayudan a las organizaciones a desplegar sus cargas de trabajo en la nube y, al mismo tiempo, mantener el control sobre sus datos en una región específica. Una arquitectura de nube pública típica incluye una capa de nube de plataforma, como una plataforma de nube híbrida, que ofrece un despliegue de nube estable y consistente.
La segunda opción es el modelo de despliegue de nube distribuida, como un proveedor de infraestructura local o un centro de datos on-premises. Son especialmente atractivas para las compañías que necesitan más control sobre su infraestructura y sus operaciones. Esencialmente, un modelo de despliegue de nube distribuida le ofrece la posibilidad de desplegar cargas de trabajo y plataformas en cualquier infraestructura de su elección.
A medida que los gobiernos y los ciudadanos de todo el mundo siguen planteando preocupaciones sobre los datos, las operaciones y la soberanía digital, la nube soberana está ayudando a las compañías a garantizar la integridad de sus datos sin importar dónde hagan negocios.
En los próximos años, la forma en que las compañías recopilan, protegen, almacenan y controlan el acceso a sus datos, especialmente si buscan aprovechar nuevas tecnologías ricas en datos como IA y ML, tendrá enormes implicaciones para su éxito. Al elegir un CSP para ayudarlos a crear su entorno de nube soberana, es primordial que las compañías comprendan cómo un CSP va a almacenar y procesar sus datos confidenciales.
Además, necesitan saber cómo un CSP respalda la resiliencia y los planes para mitigar las interrupciones por ciberataques, desastres naturales y otras amenazas. Por último, las compañías que buscan aprovechar un marco de nube soberana deben cerciorarse de que la estrategia general de la nube de su CSP elegido se alinee con las leyes de los países o regiones en los que operan o podrían enfrentar multas o castigos perjudiciales.
Estas son algunos aspectos importantes a tener en cuenta al elegir un CSP para una arquitectura de nube soberana:
Gobernanza de datos: el enfoque de un CSP para la gobernanza de datos es crucial. Demuestra que cuentan con las políticas y procedimientos adecuados para manejar con éxito sus datos y aplicar las restricciones necesarias en torno a ellos. También deben ser capaces de realizar auditorías periódicas que demuestren que se están siguiendo las pautas que han establecido.
Acuerdos de nivel de servicio (SLA): un acuerdo de nivel de servicio (SLA) con un CSP que describe un entorno de nube soberana no debe diferir mucho de uno que describe un entorno de nube pública o privada. Al igual que las nubes públicas y privadas, las tres áreas más importantes a examinar son el control (cloud management), la disponibilidad y el rendimiento.
Cumplimiento: losCSP que despliegan marcos de nube soberana deben tener un alto nivel de experiencia en las leyes de datos en las regiones donde operan, así como una comprensión profunda del escenario cambiante de la soberanía de datos y el cumplimiento. Los proveedores y los clientes comparten la responsabilidad de mantenerse al día con las nuevas regulaciones y desarrollar estrategias para cumplirlas.
Cifrado de datos: cuando se trata de la soberanía y la privacidad de los datos, es importante lograr la confidencialidad de los datos. Los CSP deben proporcionar mecanismos para que las organizaciones cifren sus datos y los gestionen mediante claves criptográficas. Básicamente, esto significa alterar los datos en un contenido de cifrado que solo puede ser descifrado por alguien con las licencias y las claves correctas. Garantizar el acceso exclusivo a esas claves de cifrado brinda a las compañías una garantía técnica y un control completos sobre quién puede acceder a sus datos en un momento dado.
Resiliencia: Por último, cuando algo va mal, hay que contar con un plan que ayude a recuperarse rápidamente. Sólo se tendrán en cuenta los CSP con un historial demostrado de ayuda a los clientes en sus esfuerzos de resiliencia y recuperación en los países o regiones pertinentes. Todos los despliegues de nube soberana deben contar con capacidades integradas de recuperación y conmutación por error adaptadas a cada área de cumplimiento específica en la que se almacenen los datos.
IBM® Cloud Hyper Protect Crypto Services es una solución de cifrado y administración de claves como servicio (aaS), que le brinda un control total sobre sus claves de cifrado para la protección de datos.
IBM Cloud Object Storage es un servicio de datos gestionado altamente escalable y resiliente en IBM Cloud, que ofrece una alternativa al almacenamiento de bloques y archivos.
Despliegue y ejecute aplicaciones de manera constante en entornos on premises, de edge computing y de nube pública, habilitados por comunicaciones seguras y auditables con IBM® Cloud.
Obtenga más información sobre la nube híbrida, un marco de nube que combina y unifica la nube pública, la nube privada y la infraestructura on-premises para crear una infraestructura de TI única, flexible y rentable.
Vea cómo los rápidos avances en la computación en la nube, la gestión de datos y la inteligencia artificial (IA) están haciendo que la nube híbrida sea parte integral de la infraestructura de TI de próxima generación.
Descubra cómo la arquitectura de nube híbrida, un entorno que combina configuraciones on-premises, de nube privada, de nube pública y edge, puede ayudar a las compañías a crear una infraestructura de TI gestionada única y flexible.
Explore la seguridad de los datos, la práctica de proteger la información digital del acceso no autorizado, la corrupción o el robo a lo largo del ciclo de vida.
Infórmese más sobre los centros de datos, que son salas, edificios o instalaciones físicas que albergan infraestructura de TI para crear, ejecutar y entregar aplicaciones y servicios.
Aprenda más sobre la privacidad de datos, también conocida como “privacidad de la información”, el principio de que una persona debe tener control sobre sus datos personales, incluida la capacidad de decidir cómo las organizaciones los recopilan, almacenan y utilizan.