Alan Zeichick | Estratega de contenidos | 13 de octubre de 2023
Comienza por una sugerencia: algunos o todos los datos de tu organización deben permanecer dentro de un límite geográfico nacional o regional determinado, ya sea un estado o país o una región más amplia, como la Unión Europea. Los motivos de este requisito pueden variar. Tal vez haya normas nacionales que se apliquen a tu industria, o puede que administres tipos específicos de datos regulados, como información de identificación personal (PII). Tal vez los motivos sean específicos de la empresa o se deban a razones competitivas. Cualquiera que sea la razón subyacente, el requisito recibe el nombre de soberanía digital o soberanía de datos.
El último término, no obstante, es poco adecuado. En muchos casos, los requisitos de conformidad de soberanía van más allá del simple almacenamiento de tablas de base de datos. Es posible que todos los equipos que procesan datos regulados deban encontrarse dentro de un área geográfica, al igual que todas las redes, flujos de datos, copias de seguridad y sistemas de recuperación ante desastres. A veces, incluso las personas que tienen acceso a sistemas regulados deben ser ciudadanos de esa jurisdicción o contar con autorizaciones de seguridad.
Una forma en que las organizaciones pueden satisfacer los requisitos de soberanía digital es almacenar todo en un centro de datos local. Otra es utilizar la nube, específicamente una nube soberana que ofrezca todas las ventajas del cloud computing al tiempo que ayuda a cumplir algunos requisitos de soberanía digital.
Exploremos los requisitos de la soberanía digital y cómo una nube soberana puede ayudar a una organización a cumplir con la normativa.
Una nube soberana es un entorno de nube que ayuda a una organización a cumplir sus requisitos de soberanía digital. En la mayoría de los marcos de soberanía, las organizaciones persiguen proteger la información personal relativa a los individuos. Sin embargo, a veces el alcance es más amplio y abarca la propiedad intelectual, el software, los métodos empresariales, los datos financieros, la información sobre la infraestructura de TI e incluso los metadatos que describen la envergadura de un conjunto de datos y la velocidad con que crece. Una nube soberana se puede alojar en una instalación propiedad de un proveedor de cloud computing y a la que acceden los sistemas de TI de fuera de la nube y de los usuarios de una organización a través de Internet o mediante enlaces de comunicaciones específicos que no están conectados a Internet.
Una nube soberana también se puede configurar como una instalación "cloudlike" independiente dentro del centro de datos de una organización grande. La instalación actúa como un entorno de nube y de su mantenimiento se encarga el proveedor de servicios de nube, aunque está físicamente aislada del mundo exterior.
Una nube soberana ostentará en mayor o menor medida una o más de las siguientes seis capacidades. Los detalles dependerán de los requisitos geográficos, regionales y de otro tipo.
Conclusiones clave
Para entender de lo que una nube soberana es capaz, imagine que dirige una empresa que opera en la Unión Europea (UE). La UE es un caso de prueba ideal, ya que no solo se somete a requisitos generales, sino que también se rige por los de cada uno de sus países miembros. Por lo tanto, todas las organizaciones encargadas de mantener la soberanía digital dentro de la UE deben cumplir tanto los requisitos de la UE como los nacionales.
Dentro de la UE, las leyes de soberanía en la nube se guían por una red entrelazada de reguladores, y las normativas cambian constantemente, en general, para volverse más estrictas. Gran parte de esa evolución regulatoria está impulsada por los parlamentos nacionales y por el Parlamento Europeo en Bruselas en respuesta a las demandas de los ciudadanos y a la presión política constante por proteger a las empresas frente a los intereses de las empresas extranjeras, las fuerzas del orden y los tribunales. Ahí es donde entran en vigor leyes como el Reglamento General de Protección de Datos (RGPD) de la UE.
Imagine que una organización cuenta con filiales con oficinas, empleados y clientes en Alemania y Francia. Es posible que haya algunos datos que se puedan compartir entre los dos países cumpliendo con los requisitos de la UE, mientras que otros datos pueden estar restringidos por las leyes alemanas o francesas y deberán permanecer solo dentro del país específico. Tanto la organización del cliente como el proveedor de servicios en la nube comparten la responsabilidad de garantizar que la nube soberana cumpla todos esos requisitos y, lo que resulta igual de importante, que esté configurada para hacerlo de manera que se pueda demostrar a todas las partes.
Una nube soberana adecuada que cumpla con la noramtiva de la UE abarcará soberanía en toda la UE para proporcionar a los clientes el control sobre los datos y los flujos de datos de conformidad con las normativas de la UE, incluirá la protección frente a accesos desde fuera de la UE para detectar, desafiar y bloquear infliltraciones desde fuera de la UE y, según corresponda, gestionará las notificaciones de los implicados y las exenciones permitidas.
El establecimiento de una nube soberana puede resultar una tarea compleja, incluso con un proveedor capaz. Sin embargo, vale la pena por diversos motivos. En primer lugar, el cumplimiento. La soberanía en la nube aborda ampliamente las normativas geográficas, políticas y del sector, la portabilidad de datos y las transferencias de datos compatibles dentro de los dominios normativos y entre ellos.
Además, una nube soberana ofrece las siguientes ventajas:
Para las organizaciones de sectores fuertemente regulados, puede que la integración de una nube soberana dentro de un centro de datos propio fuera antes la única opción. En la actualidad, los proveedores de nube pueden deshacerse de gran parte de esta carga. Pero hay cinco factores clave que se deben tener en cuenta antes de decidir seguir adelante.
A pesar de los beneficios, para instaurar la soberanía en la nube es necesario que el equipo de TI de una organización supere algunos obstáculos, incluidos los siguientes:
Las leyes y normativas de soberanía digital son complejas y cada vez más constantes. Tanto si las organizaciones utilizan una nube soberana como si usan un centro de datos tradicional, el panorama normativo hace que resulte difícil saber qué se cumple y qué no. Un proveedor de nube soberana de servicio completo dispondrá de la experiencia y los procesos para mantener sus ofertas actualizadas a medida que cambien las normativas.
¿Basta con que una organización se asegure de que la información de identificación personal (PII) está correctamente cifrada y almacenada dentro de las fronteras nacionales, o el cumplimiento normativo se extiende a los servidores que alojan un repositorio de documentos, los sistemas de control y las autorizaciones de ciudadanía y seguridad de todo el personal con acceso físico al hardware? No se puede garantizar el cumplimiento si no se sabe lo que se exige.
La soberanía de la nube puede aplicarse no solo al centro de datos principal, sino también a todos los sitios e instalaciones de recuperación de copias de seguridad, lo que significa que el proveedor de servicios en la nube debe tener recursos suficientes para ofrecer dichas instalaciones dentro de la jurisdicción definida.
Algunos proveedores de servicios elaboran ofertas especializadas de nube soberana. Como resultado, puede que las aplicaciones, características y servicios que ofrecen en sus nubes públicas no estén disponibles, o estén completamente disponibles, en su nube soberana.
Algunos regímenes regulatorios requieren que la nube soberana sea propiedad de un proveedor de servicios con sede y titularidad dentro de la región geográfica específica, y que esté operada por él. Asegúrate de que el proveedor de servicios en la nube global cuente con las asociaciones, las licencias y los marcos legales adecuados para cumplir esos requisitos.
Las empresas que persiguen establecer nubes soberanas tendrán que considerar sus requisitos en relación a estas cinco características clave, además de cualquier factor competitivo o específico de la industria en juego.
Selecciona cuidadosamente la ubicación de tu centro de datos soberano en la nube y las ubicaciones de las copias de seguridad en función de las normativas de cumplimiento y las consideraciones empresariales. Los puntos de datos que se han de recopilar incluyen la ubicación de los centros de datos en la nube del proveedor, la ubicación de otros centros de datos propiedad de socios y si es factible una nube soberana dedicada dentro de las instalaciones del cliente.
Una organización siempre debe poder elegir qué compañías, socios y clientes (y software y servicios) pueden acceder a su entorno en la nube. En algunos casos, como cuando la seguridad nacional está en juego, el cliente puede decidirse por una instalación totalmente dedicada.
Una organización debe controlar qué personal administrativo y técnico, tanto del proveedor de la nube como de sus socios, puede tener acceso a sus sistemas, así como a los metadatos sobre dichos sistemas, por ejemplo las métricas de rendimiento y utilización.
El traslado a la nube soberana debe ser flexible para permitir el cumplimiento de las normativas y los estándares de seguridad y reflejar la posibilidad de que se solapen distintas jurisdicciones, cada una con sus propios requisitos. En algunos casos, puede que un cliente tenga necesidades exclusivas de controles regulatorios y acreditaciones específicas.
Para muchos o la mayoría de los clientes, una conexión cifrada a la red pública de Internet puede ser el mejor enlace de red, el más asequible y además totalmente compatible. Sin embargo, es posible que algunos clientes o aplicaciones requieran regiones que estén totalmente aisladas de Internet o de otras redes.
La soberanía de datos no es posible sin cifrado, y eso se aplica a los datos almacenados en bases de datos, las API y otros servicios que proporcionan acceso a esas bases de datos y aplicaciones, así como a las interfaces de usuario. El cifrado es un tema complejo dado el número y las versiones de los algoritmos que se usan habitualmente, el tamaño de las claves y las normativas relacionadas con el almacenamiento y el acceso a las claves de cifrado. Esta realidad se da tanto si la soberanía de datos está habilitada dentro de un centro de datos tradicional o en una nube soberana, aunque, en el caso de la nube, las preguntas sobre el almacenamiento y el acceso a las claves de cifrado deben resolverse de una manera que sea compatible y satisfaga las necesidades empresariales.
Cuando un proveedor de servicios de nube gestiona las claves, el software soberano de la nube genera la clave de cifrado maestra. Si es el cliente el que gestiona las claves, la clave de cifrado maestra se almacena en un almacén de claves seguro al que el proveedor no puede acceder. El módulo de seguridad de hardware (HSM), que incluye esos almacenes de claves, debe ser a la vez resistente a manipulaciones y a prueba de manipulaciones, y debe poder reaccionar en caso de ataque.
Los datos almacenados en una base de datos o en un documento, a veces denominados "datos estáticos", se deben cifrar por defecto. Esto incluye datos en bases de datos relacionales tradicionales, contenedores Docker/Kubernetes, bases de datos de objetos, sistemas de archivos, bases de datos de bloques e incluso registros de inicio.
La información que se transmite a través de una red, a veces denominada "datos en tránsito", debe utilizar protocolos actualizados que cumplan, como mínimo, con estándares como Transport Layer Security (TLS) 1.2 o posterior y los certificados digitales X.509. Las normativas locales pueden requerir un cifrado aún más estricto, como MACsec (IEEE 802.1AE) para redes Ethernet. Este cifrado debe estar activado por defecto y nunca debe permitir la transmisión de datos en texto sin formato.
Puede que la soberanía de los datos haya saltado a la fama con la aprobación del Reglamento General de Protección de Datos (RGPD) de la UE en 2016, pero eso ha sido solo el comienzo. Cada año, los países de todo el mundo, así como algunas regiones como la Unión Europea, revisan sus requisitos de soberanía de datos. Se están endureciendo los estándares para eliminar la ambigüedad, reducir los puntos débiles, mejorar la confianza política y del consumidor, proteger a las empresas y responder ante situaciones geopolíticas, como conflictos económicos, conflictos militares, terrorismo y delitos cibernéticos.
Nos atrevemos a predecir que las leyes y normativas de soberanía digital aumentarán en número y complejidad.
Y lo que es más, las sanciones financieras y penales por no superar las auditorías de cumplimiento o por los incumplimientos de la protección de datos regulados serán severas.
Según IDC, ante los recientes eventos económicos y geopolíticos, al menos el 75 % de las empresas globales consideran que la soberanía digital está ganando importancia como inquietud comercial y tecnológica. Ahora la principal prioridad de las multinacionales es mejorar e implementar medidas de privacidad.
Además, según indica IDC, al menos la mitad de las empresas gastarán más del 25 % de sus presupuestos totales en la nube pública, con un uso de la infraestructura como servicio (IaaS) del 56 %. Esto está provocando un mayor enfoque en el componente de nube de los requisitos de soberanía digital.
Los principales temores de los proveedores de nubes soberanas, según añade IDC, son la protección de los datos de los clientes frente al acceso del personal de administración y soporte, así como el mantenimiento de la continuidad del negocio y el cumplimiento de las normativas de recuperación ante desastres.
La resiliencia es claramente el término clave.
En general, la soberanía en la nube es un concepto relativamente nuevo; las organizaciones apenas están comenzando a comprender todas las implicaciones que tendrá en sus estrategias de nube. La implementación de una nube soberana implica enfrentarse a los nuevos requisitos de TI para infraestructura, estrategia, marcos de gobernanza y habilidades. Como la nube soberana es una estrategia a largo plazo, las organizaciones se están centrando en los dominios y los entornos normativos con las normas más estrictas, al tiempo que invierten en supervisar la nueva legislación y los cambios en las reglas del sector. No en vano, cuando las normativas se hacen más estrictas, no se vuelven a suavizar; se trata de un viaje de ida.
Al elegir un proveedor de soluciones de nube soberana, deberás buscar el proveedor que ofrezca la mejor solución general de nube y que también te ayude a cumplir tus requisitos de soberanía digital. Lo ideal es que los servicios disponibles en la nube soberana sean los mismos que los que se ofrecen en la nube pública del proveedor, con los mismos acuerdos de nivel de servicio (SLA) relativos al rendimiento, la gestión y la disponibilidad.
Lo ideal es que los servicios disponibles en la nube soberana sean los mismos que los que se ofrecen en la nube pública del proveedor, con los mismos acuerdos de nivel de servicio (SLA) relativos al rendimiento, la gestión y la disponibilidad.
Un factor importante que debes tener en cuenta es si puedes optar por una solución de un solo proveedor, que sea propiedad de una entidad jurídica aprobada dentro de la región regulada y que esté operada por ella. Las empresas conjuntas y las asociaciones pueden generar acusaciones mutuas por los problemas de soporte, las complejidades de la integración, las versiones de productos más lentas y, en algunos casos, pueden reducir las funciones disponibles.
Un proveedor de nube soberana debe ofrecer la soberanía de datos como una característica esencial de su nube, no como un paquete o subconjunto de sus ofertas públicas. Esto facilitará el traslado, ya que la nube soberana utiliza el mismo hardware, software y servicios que la nube pública, solo que con un mayor control de acceso y con otras restricciones de cumplimiento habilitadas.
La recuperación ante desastres es fundamental para la planificación y los traslados a la nube soberana. Deberás buscar regiones de nube dentro de la geografía que se puedan configurar con recuperación y failover dentro del área de conformidad.
Un proveedor de nube soberana también debe contar con la experiencia necesaria para ayudar a afrontar la compleja y cambiante red de normativas. El proveedor y el cliente deben poder compartir sin problemas la responsabilidad del cumplimiento, incluidas las acreditaciones según sea necesario.
Las soluciones de soberanía de Oracle Cloud ayudan a los clientes a satisfacer sus necesidades de cloud computing con datos y aplicaciones sensibles, regulados o de importancia regional estratégica, así como con cargas de trabajo que se rijan por requisitos de soberanía y privacidad de datos.
Presentes cada vez en más países y regiones de todo el mundo, las soluciones de nube soberana de Oracle proporcionan los servicios y capacidades de Oracle Cloud Infrastructure (OCI) y ayudan a los clientes a cumplir sus requisitos de soberanía digital.
Por ejemplo, con Oracle EU Sovereign Cloud, los clientes pueden utilizar los mismos 100 servicios que están disponibles en las regiones de nube pública de Oracle con las mismas condiciones de precios, soporte, cargas de trabajo y acuerdos de nivel de servicio de rendimiento, gestión y disponibilidad que la oferta estándar de OCI, pero con una infraestructura separada físicamente y con garantías adicionales para proteger los datos de los clientes de jurisdicciones de fuera de la UE.
Oracle EU Sovereign Cloud, disponible desde junio de 2023, se aloja totalmente dentro de la Unión Europea, cuenta con el apoyo de personal de la UE y está operada por entidades jurídicas independientes constituidas dentro de la UE. Además de los más de 100 servicios en la nube que ya se ofrecen, también estarán disponibles aplicaciones de Oracle como Oracle Fusion Cloud Applications Suite.
Diseñada para ofrecer residencia y la seguridad de los datos, Oracle EU Sovereign Cloud se encuentra en un espacio de centro de datos físicamente aislado y no tiene ninguna conexión de red central con otras regiones de nube de Oracle. El acceso de los clientes a Oracle EU Sovereign Cloud se gestiona independientemente del acceso a las regiones comerciales de Oracle Cloud.
Además, Oracle Cloud está diseñada para ofrecer una alta disponibilidad en cada región de nube con el fin de permitir la recuperación ante desastres dentro de los límites nacionales o regionales. Por ejemplo, Oracle cuenta con regiones de nube gubernamental dobles y regiones de nube comercial en Gales. Las soluciones de nube soberana de Oracle ofrecen a las organizaciones operaciones, soporte y políticas distintas de las regiones de nube comercial para simplificar y optimizar el cumplimiento de las directrices y requisitos de soberanía y privacidad de datos, incluso para clientes sensibles como los de la comunidad de inteligencia o la industria geoespacial.
Para aquellas organizaciones que necesitan mantener sus propias claves de cifrado o que deciden hacerlo por motivos empresariales, ahora está disponible de forma general un nuevo servicio de gestión de claves externas de OCI (OCI External Key Management Service) en Oracle Cloud. Con este servicio, las claves de cifrado siempre permanecen bajo la custodia del cliente y nunca se importan a OCI, lo que permite a los clientes trasladar las cargas de trabajo reguladas a OCI cumpliendo con el requisito de almacenar las claves fuera de la nube.
Oracle ofrece un conjunto amplio y consistente de servicios de infraestructura en la nube en 46 regiones de nube comercial, soberana y gubernamental de 23 países para servir a su creciente base global de clientes. Desde octubre de 2023, Oracle cuenta con 36 regiones comerciales, 2 regiones soberanas de la UE y 8 regiones gubernamentales, además de varias regiones dedicadas y de seguridad nacional.
Otra oferta de Oracle Cloud que se puede utilizar para traslados a la nube soberana es Oracle Alloy, una plataforma de infraestructura en la nube completa que permite a los socios convertirse en proveedores de nube y ofrecer una gama completa de servicios de nube. Los socios pueden operar Oracle Alloy de forma independiente en sus propios centros de datos y controlar completamente sus operaciones para satisfacer mejor los requisitos normativos de soberanía digital.
Además, Oracle Roving Edge Infrastructure amplía la capacidad de la nube más allá del centro de datos, lo que permite a las organizaciones ejecutar determinadas funciones de nube en entornos remotos y austeros.
Puede que las redes gubernamentales y las cargas de trabajo sumamente clasificadas requieran acreditaciones de clientes y requisitos de cumplimiento que superen los de las regiones de nube soberana conectadas a Internet. En estos casos, las Oracle National Security Regions ofrecen protección adicional, que incluye lo siguiente:
IDC define la "soberanía" como la capacidad de autodeterminación digital que tienen las naciones, las empresas o los individuos. Las nubes soberanas permiten a las organizaciones utilizar la cloud computing al tiempo que satisfacen las estrictas demandas de las normativas de soberanía de datos nacionales, regionales e industriales. Con una nube soberana, las organizaciones pueden controlar la ubicación, la accesibilidad, las operaciones, el soporte, los requisitos normativos e incluso la conectividad a Internet de su traslado.
Además del simple hecho de mantener la privacidad de los datos sobre las personas, la soberanía digital afecta a los controles técnicos y operativos, a las políticas de aseguramiento de datos e incluso a las cadenas de suministro de tecnología.
Gestiona el acceso a tus datos y a la infraestructura subyacente limitando los accesos y garantizando la disponibilidad y portabilidad de los datos para las personas autorizadas.
¿Qué es la soberanía de datos?
Los gobiernos promulgan continuamente leyes y normativas sobre cómo se debe almacenar la información digital crítica, dónde se debe guardar y a quién se le debe permitir acceder a ella. La soberanía de datos engloba el cumplimiento de esas leyes y normativas por parte de organizaciones e individuos.
¿Qué es una nube soberana?
Una nube soberana es un entorno de cloud computing que ayuda al cliente a garantizar que toda la información digital —incluidos los datos y el software almacenados, así como los datos en tránsito a través de redes— cumpla con las leyes y normativas de soberanía de datos.
¿Cuál sería un ejemplo de ley de soberanía de datos?
El Reglamento General de Protección de Datos (RGPD), promulgado por la Unión Europea en 2016, incluye requisitos completos para las organizaciones que recopilan y procesan la información personal de los ciudadanos de la UE.
¿Quién puede acceder a la información de una nube soberana?
Las leyes sobre soberanía de datos pueden restringir el acceso a los datos a determinados software, servicios y usuarios dentro de una geografía específica, a empresas de propiedad local o a aquellas que tienen autorizaciones de seguridad específicas u otros permisos.
¿Están las nubes soberanas conectadas a Internet?
En el caso de muchos usuarios, las nubes soberanas están conectadas a Internet a través de enlaces cifrados con fuertes controles de acceso. Sin embargo, para algunos usuarios gubernamentales y aplicaciones con altos requisitos de seguridad, la nube soberana puede estar aislada y totalmente desconectada de Internet.
¿Las copias de seguridad en la nube y los escenarios de recuperación ante desastres están también sujetos a las reglas de soberanía de datos?
Sí. Las copias de seguridad y los sitios de recuperación ante desastres deben cumplir íntegramente las reglas de soberanía de datos. En el caso de la soberanía de la nube, eso significa que las regiones de nube secundaria deben estar dentro de la misma geografía o dominio normativo.
¿Por qué es importante la ubicación para la soberanía en la nube?
Tener la capacidad de elegir las regiones geográficas donde almacenar sus datos es importante para las organizaciones que necesitan mantener el control sobre los datos con objeto de cumplir con las leyes y normativas de soberanía de datos.