Alan Zeichick | Estratega de contenidos | 13 de octubre de 2023
Comienza con una propuesta: algunos o todos los datos de su organización deben permanecer dentro de un límite geográfico nacional o regional determinado, ya sea un estado o país o una región más amplia, como la Unión Europea. Los motivos de este requisito varían. Tal vez haya reglas gubernamentales que cubran tu sector, o tal vez administres tipos específicos de datos regulados, como información de identificación personal (PII). Tal vez se trate de problemas específicos de la empresa o de la competencia. Cualquiera que sea la razón subyacente, el requisito se denomina soberanía digital o soberanía de datos.
Sin embargo, este último término es un poco equívoco. En muchos casos, los requisitos de conformidad de soberanía van más allá del almacenamiento de tablas de base de datos. Es posible que todos los equipos que procesan datos regulados deban estar dentro de una geografía, junto con todas las redes, flujos de datos, copias de seguridad y sistemas de recuperación ante desastres. A veces, incluso las personas que tienen acceso a sistemas regulados deben ser ciudadanos de esa jurisdicción o tener autorizaciones de seguridad.
Una forma en que las organizaciones pueden satisfacer los requisitos de soberanía digital es almacenar todo en un centro de datos local. Otra es utilizar la nube, específicamente una nube soberana que ofrezca todas las ventajas de la computación en la nube al tiempo que ayuda a cumplir algunos requisitos de soberanía digital.
Exploremos los requisitos para la soberanía digital y cómo una nube soberana puede ayudar a una organización a cumplir con la normativa.
Una nube soberana es un entorno de nube que ayuda a una organización a cumplir sus requisitos de soberanía digital. Bajo la mayoría de los marcos de soberanía, las organizaciones buscan proteger la información personal sobre las personas. Sin embargo, a veces el alcance es más amplio, e incluye la propiedad intelectual, el software, los métodos de negocio, los datos financieros, la información sobre la infraestructura de TI e incluso los metadatos que describen qué tan grande es un conjunto de datos y qué tan rápido está creciendo. Una nube soberana se puede alojar en una instalación propiedad de un proveedor de computación en la nube y a la que acceden los sistemas de TI de usuarios y no en la nube de una organización a través de internet o mediante enlaces de comunicaciones dedicados que no están conectados a internet.
Una nube soberana también se puede configurar como una instalación "cloudlike" independiente dentro del centro de datos de una organización grande; la instalación actúa como un entorno de nube y es mantenida por el proveedor de servicios en la nube, pero está físicamente aislada del mundo exterior.
Una nube soberana tendrá algún nivel de una o más de las siguientes seis capacidades; los detalles dependerán de los requisitos geográficos, regionales y de otro tipo.
Conclusiones clave
Para entender lo que puede hacer una nube soberana, imagina que diriges una empresa que hace negocios en la Unión Europea (UE). La UE es un caso de prueba ideal porque no solo tiene requisitos generales, sino que también lo hace cada uno de sus países miembros. Por lo tanto, todas las organizaciones encargadas de mantener la soberanía digital dentro de la UE deben cumplir tanto los requisitos de la UE como los nacionales.
Dentro de la UE, las leyes de soberanía en la nube están guiadas por una red entrelazada de reguladores, y las regulaciones cambian constantemente, en general, para ser más estrictas. Gran parte de esa evolución regulatoria está impulsada por los parlamentos nacionales y el Parlamento Europeo en Bruselas en respuesta a las demandas de los ciudadanos y la presión política constante para la protección contra los intereses de las empresas extranjeras, las fuerzas del orden y los tribunales. Ahí es donde entran en vigor leyes como General Data Protection Regulation (GDPR) de la UE.
Imagina que una organización tiene filiales con oficinas, empleados y clientes en Alemania y Francia. Puede haber algunos datos que puedan ser compartidos entre los dos países mientras cumplen con los requisitos de la UE, mientras que otros datos pueden estar restringidos por las leyes alemanas o francesas y deben permanecer solo dentro del país específico. Tanto la organización del cliente como el proveedor de servicios en la nube comparten la responsabilidad de garantizar que la nube soberana pueda cumplir todos esos requisitos y, lo que es igual de importante, que esté configurada para hacerlo de forma demostrable para todas las partes.
Una nube soberana adecuada que cumpla la normativa de la UE incluirá la soberanía en toda la UE para proporcionar a los clientes el control de los datos y los flujos de datos de conformidad con la normativa de la UE, incluirá protecciones de acceso fuera de la UE para detectar, impugnar y bloquear el acceso desde fuera de la UE y, según proceda, gestionará las notificaciones de las partes interesadas y las exenciones permitidas.
Establecer una nube soberana puede ser una tarea compleja, incluso con un proveedor capacitado. Sin embargo, vale la pena en varios aspectos. En primer lugar, el cumplimiento. La soberanía de la nube aborda ampliamente las normativas geográficas, políticas e industriales, la portabilidad de los datos y las transferencias de datos conformes dentro de los dominios normativos y entre ellos.
Además, una nube soberana ofrece las siguientes ventajas:
Para las organizaciones de sectores fuertemente regulados, ejecutar una nube soberana dentro de un centro de datos propio puede haber sido anteriormente la única opción. Hoy en día, los proveedores de nube pueden descargar gran parte de esa carga. Pero hay cinco factores clave que se deben considerar al decidir seguir adelante.
A pesar de los beneficios, establecer la soberanía en la nube requiere que el equipo de TI de una organización supere algunos obstáculos, incluidos:
Las leyes y regulaciones de soberanía digital son complejas y cada vez más constantes. Ya sea que las organizaciones utilicen una nube soberana o un centro de datos tradicional, el panorama normativo hace que sea difícil saber qué cumple y qué no. Un proveedor de nube soberana de servicio completo tendrá la experiencia y los procesos para mantener sus ofertas actualizadas a medida que cambien las regulaciones.
¿Una organización simplemente necesita asegurarse de que la información de identificación personal (PII) esté correctamente cifrada y almacenada dentro de las fronteras nacionales, o el cumplimiento normativo se extiende a los servidores que alojan un repositorio de documentos, los sistemas de control y las autorizaciones de ciudadanía y seguridad de todo el personal con acceso físico al hardware? No puedes cumplir hasta que sepas lo que se necesita.
La soberanía de la nube puede aplicarse no solo al centro de datos primario, sino también a todos los sitios e instalaciones de recuperación de copias de seguridad, lo que significa que el proveedor de servicios en nube debe disponer de recursos suficientes para ofrecer dichas instalaciones dentro de la jurisdicción definida.
Algunos proveedores de servicios han creado ofertas especializadas de nube soberana. Como resultado, las aplicaciones, características y servicios que ofrecen en sus nubes públicas pueden no estar disponibles, o estar completamente disponibles, en su nube soberana.
Algunos regímenes regulatorios requieren que la nube soberana sea propiedad y operada por un proveedor de servicios con sede y propiedad dentro de la región geográfica específica. Asegurar que un proveedor de servicios en la nube global cuente con las asociaciones, las licencias y los marcos legales adecuados para cumplir esos requisitos.
Las empresas que buscan establecer nubes soberanas tendrán que considerar sus requisitos para estas cinco características clave, además de cualquier factor competitivo o específico de la industria en juego.
Selecciona cuidadosamente la ubicación de tu centro de datos soberano en la nube y las ubicaciones de copia de seguridad en función de las regulaciones de cumplimiento y las consideraciones empresariales. Los puntos de datos que se recopilan incluyen la ubicación de los centros de datos en la nube del proveedor, la ubicación de otros centros de datos propiedad de socios y si es factible una nube soberana dedicada dentro de las instalaciones del cliente.
Una organización siempre debe poder elegir qué compañías, socios y clientes (y software y servicios) pueden acceder a su entorno en la nube. En algunos casos, como cuando la seguridad nacional está en juego, el cliente puede elegir una instalación totalmente dedicada.
Una organización debe controlar qué personal administrativo y técnico, tanto del proveedor de la nube como de sus partners, puede tener acceso a sus sistemas, así como a los metadatos sobre esos sistemas, como las métricas de rendimiento y utilización.
Los despliegues soberanos en la nube deben ser flexibles a la hora de permitir el cumplimiento de las normativas y los estándares de seguridad para reflejar la posibilidad de superposición de jurisdicciones, cada una con sus propios requisitos. En algunos casos, un cliente puede tener necesidades únicas de controles regulatorios y acreditaciones específicas.
Para muchos o la mayoría de los clientes, una conexión cifrada a la red pública de internet puede ser el mejor enlace de red, más asequible y totalmente compatible. Sin embargo, algunos clientes o aplicaciones pueden requerir regiones totalmente aisladas de internet u otras redes.
No puedes tener soberanía de datos sin cifrado, y eso se aplica a los datos almacenados en bases de datos, las API y otros servicios que proporcionan acceso a esas bases de datos y aplicaciones, así como a las interfaces de usuario. El cifrado es un tema complejo debido al número y las versiones de algoritmos de uso común, el tamaño de las claves y las regulaciones relacionadas con el almacenamiento y el acceso a las claves de cifrado. Esta realidad es cierta si la soberanía de datos está habilitada dentro de un centro de datos tradicional o en una nube soberana, aunque en el caso de la nube, las preguntas sobre el almacenamiento y el acceso a las claves de cifrado deben resolverse de una manera que sea compatible y satisfaga las necesidades empresariales.
Cuando un proveedor de servicios en la nube gestiona las claves, el software soberano de la nube genera la clave de cifrado maestra; cuando el cliente gestiona las claves, la clave de cifrado maestra se almacena en un almacén de claves seguro al que el proveedor no puede acceder. El módulo de seguridad de hardware (HSM) que incluye esos almacenes de claves debe ser a la vez resistente a las manipulaciones y además evidenciarlas, y debe poder reaccionar en caso de ataque.
Los datos almacenados en una base de datos o en un documento, a veces denominados "datos estáticos", se deben cifrar por defecto. Esto incluye datos en bases de datos relacionales tradicionales, contenedores Docker/Kubernetes, bases de datos de objetos, sistemas de archivos, bases de datos de bloques e incluso registros de inicio.
La información que se transmite a través de una red, a veces denominada "datos en tránsito", debe utilizar protocolos actualizados que cumplan con estándares como la seguridad de capa de transporte (TLS) 1.2 o posterior y los certificados digitales X.509, como mínimo. Las regulaciones locales pueden requerir un cifrado aún más estricto, como MACsec (IEEE 802.1AE) para redes Ethernet. Este cifrado debe estar activado por defecto y nunca debe permitir la transmisión de datos en texto sin formato.
La soberanía de los datos puede haber explotado a la vista del público con la aprobación del Reglamento General de Protección de Datos (RGPD) de la Unión Europea en 2016, pero eso fue solo el comienzo. Cada año, países de todo el mundo, así como regiones como la Unión Europea, revisan sus requisitos de soberanía de datos. Están endureciendo los estándares para eliminar la ambigüedad, reducir las debilidades, mejorar la confianza del consumidor y sus políticas, proteger a las empresas y responder a situaciones geopolíticas, como conflictos económicos y militares, terrorismo y delitos cibernéticos.
He aquí una predicción: las leyes y normativas sobre soberanía digital aumentarán en número y complejidad.
He aquí otra: las sanciones financieras y penales por no superar las auditorías de cumplimiento o por sufrir filtraciones de datos que expongan datos regulados serán duras.
Según IDC, debido a los recientes acontecimientos económicos y geopolíticos, al menos el 75 % de las empresas mundiales consideran que la soberanía digital está aumentando en importancia como preocupación empresarial y tecnológica. Mejorar y aplicar medidas de protección de la intimidad es ahora la máxima prioridad de las multinacionales.
Además, según IDC, al menos la mitad de las empresas destinarán más del 25 % de su presupuesto total a la nube pública, y el 56 % utilizará la infraestructura como servicio (IaaS). Esto genera una mayor atención al componente de la nube de los requisitos de soberanía digital.
Los temores que impulsan a los proveedores de nubes soberanas, añade IDC, incluyen la protección de los datos de los clientes frente al acceso del personal de administración y soporte, así como el mantenimiento de la continuidad del negocio y el cumplimiento de la normativa sobre recuperación de desastres.
La resiliencia es claramente el nombre del juego.
En general, la soberanía de la nube es un concepto relativamente nuevo; las organizaciones apenas están empezando a comprender todas las implicaciones que tendrá en sus estrategias de nube. Implementar una nube soberana significa enfrentarse a nuevos requisitos informáticos de infraestructura, estrategia, marcos de gobernanza y competencias. Dado que la nube soberana es una apuesta a largo plazo, las organizaciones se centran en los ámbitos y entornos normativos que cuentan con las regulaciones más rigurosas, al tiempo que invierten en el seguimiento de la nueva legislación y los cambios en las normas del sector. Porque una vez que las normas se endurecen, nunca se relajan: es un viaje sin regreso.
A la hora de elegir un proveedor de soluciones de nube soberana, busca aquel que ofrezca la mejor solución global de nube que también te ayude a cumplir tus requisitos de soberanía digital. Idealmente, los servicios disponibles en la nube soberana serán los mismos que los ofrecidos en la nube pública del proveedor, con los mismos acuerdos de nivel de servicio (SLA) en cuanto a rendimiento, gestión y disponibilidad.
Idealmente, los servicios disponibles en la nube soberana serán los mismos que los ofrecidos en la nube pública del proveedor, con los mismos acuerdos de nivel de servicio (SLA) en cuanto a rendimiento, gestión y disponibilidad.
Un factor importante a tener en cuenta es si puedes optar por una solución de proveedor único, donde una entidad jurídica autorizada dentro de la región regulada sea su dueña y gestora. Las empresas conjuntas y las asociaciones pueden dar lugar a acusaciones sobre problemas de asistencia, complejidades de integración, lanzamientos de productos más lentos y, en algunos casos, menos funciones disponibles.
Un proveedor de nube soberana debe ofrecer la soberanía de los datos como una característica esencial de su nube, no como un paquete complementario o un subconjunto de sus ofertas públicas. Esto facilitará la implementación, ya que la nube soberana utiliza el mismo hardware, software y servicios que la nube pública, solo que con un mayor control de acceso y otras restricciones de cumplimiento habilitadas.
La recuperación ante desastres es fundamental para la planificación e implementación de nubes soberanas; busca regiones de nube dentro de la geografía que puedan configurarse con recuperación y conmutación por error que permanezcan dentro del área de cumplimiento.
Un proveedor de nube soberano también debe tener la experiencia necesaria para ayudar a sortear la compleja y cambiante red de normativas. El proveedor y el cliente deben poder compartir sin problemas la responsabilidad del cumplimiento, incluidas las acreditaciones que sean necesarias.
Las soluciones de Oracle Cloud para la soberanía ayudan a los clientes a satisfacer sus necesidades de computación en la nube con datos y aplicaciones sensibles, regulados o de importancia regional estratégica, así como cargas de trabajo regidas por requisitos de soberanía y privacidad de datos.
Ofrecidas en un número cada vez mayor de países y regiones de todo el mundo, las soluciones de nube soberana de Oracle proporcionan los servicios y capacidades de Oracle Cloud Infrastructure (OCI) y ayudan a los clientes a cumplir sus requisitos de soberanía digital.
Por ejemplo, con Oracle EU Sovereign Cloud, los clientes pueden utilizar los mismos 100 servicios disponibles en las regiones de nube pública de Oracle con los mismos precios, soporte, cargas de trabajo y SLA de rendimiento, gestión y disponibilidad que la oferta OCI estándar, pero con una infraestructura físicamente separada y salvaguardas adicionales para proteger los datos de los clientes de jurisdicciones fuera de la UE.
Oracle EU Sovereign Cloud, disponible desde junio de 2023, está ubicada íntegramente en la Unión Europea, cuenta con el apoyo de personal con sede en la UE y está gestionada por entidades jurídicas independientes constituidas en la UE. Además de los más de 100 servicios en la nube que ya se ofrecen, también estarán disponibles aplicaciones de Oracle, como Oracle Fusion Cloud Applications Suite.
Diseñada para garantizar la seguridad y la residencia de los datos, Oracle EU Sovereign Cloud se aloja en un centro de datos físicamente aislado y no tiene conexión de red troncal con otras regiones de nube de Oracle. El acceso de los clientes a Oracle EU Sovereign Cloud se gestiona por separado del acceso a las regiones comerciales de Oracle Cloud.
Además, Oracle Cloud está diseñada para una alta disponibilidad dentro de cada región de nube para soportar la recuperación de desastres dentro de las fronteras nacionales o regionales; por ejemplo, Oracle tiene regiones de nube gubernamentales dobles y regiones de nube comerciales en Gales. Las soluciones de nube soberana de Oracle ofrecen a las organizaciones operaciones, soporte y políticas distintas de las regiones de nube comercial para agilizar y simplificar el cumplimiento de las directrices y requisitos de privacidad y soberanía de datos, incluso para clientes sensibles como los de la comunidad de inteligencia o la industria geoespacial.
Para aquellas organizaciones que están obligadas a mantener sus propias claves de cifrado, o que deciden hacerlo por motivos empresariales, un nuevo OCI External Key Management Service ya está disponible de forma general en Oracle Cloud. Con este servicio, las claves de cifrado siempre permanecen bajo la custodia del cliente y nunca se importan a OCI, lo que les permite mover cargas de trabajo reguladas a OCI al tiempo que cumplen con el requisito de almacenar claves fuera de la nube.
Oracle ofrece un conjunto amplio y consistente de servicios de infraestructura en la nube en 46 regiones de nube comercial, soberana y gubernamental de 23 países para servir a su creciente base global de clientes. Desde octubre de 2023, Oracle opera 36 regiones comerciales, 2 regiones soberanas de la UE y 8 regiones gubernamentales, además de varias regiones dedicadas y de seguridad nacional.
Otra oferta de Oracle Cloud que se puede utilizar para despliegues de nube soberana es Oracle Alloy, una plataforma de infraestructura en la nube completa que permite a los partners convertirse en proveedores de nube y ofrecer una gama completa de servicios. Los partners pueden operar Oracle Alloy de forma independiente en sus propios centros de datos y controlar completamente sus operaciones para satisfacer mejor los requisitos normativos de soberanía digital.
Además, Oracle Roving Edge Infrastructure amplía la potencia de la nube más allá del centro de datos, lo que permite a las organizaciones ejecutar determinadas capacidades en la nube en entornos remotos y austeros.
Las redes gubernamentales y las cargas de trabajo altamente clasificadas pueden requerir acreditaciones de clientes y requisitos de cumplimiento que superen los de las regiones de nube soberana conectadas a internet. En estos casos, las regiones de Oracle National Security ofrecen protección adicional, que incluye lo siguiente:
IDC define la "soberanía" como la capacidad de autodeterminación digital por parte de naciones, empresas o individuos. Las nubes soberanas permiten a las organizaciones utilizar la computación en la nube al tiempo que satisfacen las estrictas demandas de sus regulaciones de soberanía de datos nacionales, regionales e industriales. Con una nube soberana, las organizaciones pueden controlar la ubicación, la accesibilidad, las operaciones, el soporte, los requisitos normativos e incluso la conectividad a internet de su despliegue.
Más allá de simplemente mantener los datos sobre las personas en privado, la soberanía digital afecta los controles técnicos y operativos, las políticas de aseguramiento de datos e incluso las cadenas de suministro de tecnología.
Gestiona el acceso a tus datos y a la infraestructura subyacente limitando el acceso y garantizando la disponibilidad y portabilidad de los datos para las personas autorizadas.
¿Qué es la soberanía de datos?
Los gobiernos promulgan continuamente leyes y regulaciones sobre cómo se debe almacenar la información digital crítica, dónde se debe almacenar y a quién se le permite acceder a ella. La soberanía de datos abarca el cumplimiento de esas leyes y regulaciones por parte de organizaciones e individuos.
¿Qué es una nube soberana?
Una nube soberana es un entorno de computación en la nube que ayuda al cliente a garantizar que toda la información digital, incluidos los datos y el software almacenados, así como los datos en tránsito a través de redes, cumplan con las leyes y regulaciones de soberanía de datos.
¿Cuál es un ejemplo de una ley de soberanía de datos?
El Reglamento General de Protección de Datos (RGPD), promulgado por la Unión Europea en 2016, tiene requisitos completos para las organizaciones que recopilan y procesan la información personal de las personas en la UE.
¿Quién puede acceder a la información en una nube soberana?
Las leyes de soberanía de datos pueden restringir el acceso a los datos a software, servicios y usuarios dentro de una geografía específica, a empresas de propiedad local o a aquellas que tienen autorizaciones de seguridad específicas u otros permisos.
¿Están las nubes soberanas conectadas a internet?
Para muchos usuarios, las nubes soberanas están conectadas a internet a través de enlaces cifrados con fuertes controles de acceso. Sin embargo, para algunos usuarios del gobierno y aplicaciones altamente seguras, la nube soberana puede estar fuera del aire y estar totalmente desconectada de internet.
¿Las copias de seguridad en la nube y los escenarios de recuperación ante desastres están sujetos a las reglas de soberanía de datos?
Sí. Las copias de seguridad y los sitios de recuperación ante desastres deben cumplir plenamente con las reglas de soberanía de datos; para la soberanía de la nube, eso significa que las regiones de nube secundaria deben estar dentro de la misma geografía o dominio normativo.
¿Por qué es importante la ubicación para la soberanía en la nube?
Tener la capacidad de elegir las regiones geográficas donde almacenan sus datos es importante para las organizaciones que necesitan mantener el control sobre sus datos para cumplir con las leyes y regulaciones de soberanía de datos.