José Ricardo Maia Moraes (*)
Soberania refere-se ao controle e regulação dos dados pessoais, sensíveis e confidenciais de uma organização pública ou privada. Além da soberania de dados, a soberania digital engloba a infraestrutura e as tecnologias para lidar e processar dados, incluindo internet, telecomunicações, plataformas etc. Sem controle sobre essas tecnologias, uma organização será incapaz de proteger sua infraestrutura digital de ameaças cibernéticas. Assim, a soberania digital é uma questão de governança que impacta não apenas a segurança cibernética, mas também a resiliência das organizações dos setores público e privado.
Por que a soberania digital é importante?
Esse tema é importante pois ajuda a garantir que uma organização ou nação regule sua própria infraestrutura e proteja a privacidade e a segurança dos dados. Sem esses conceitos, ficam à mercê de provedores de serviço e governos estrangeiros, que poderiam acessar e controlar informações confidenciais.
Isso é crucial para organizações que operam além das fronteiras e/ou dependem de provedores de serviços internacionais. Cumprir as leis de proteção de dados de cada país pode ser uma tarefa complexa e desafiadora e entender os conceitos de soberania ajudará as organizações a navegar nesse cenário regulatório complexo.
O Fórum Econômico Mundial estima que 92% de todos os dados no mundo ocidental são armazenados em servidores de empresas norte-americanas criando uma situação de elevada dependência. Os desafios impactam diretamente o setor de serviços em nuvem que consumirá mais de US$1,3 trilhão até 2025.
Marco Legal e Legislação
O desafio da soberania digital é reforçado pelas diferenças entre os marcos legais de privacidade e leis em diferentes regiões. A divergência UE-EUA é um bom exemplo, a GDPR descreve requisitos para a proteção da privacidade de seus cidadãos enquanto a FISA 702 dá às agências americanas o poder de intimar os dados de pessoas não americanas.
Existem em todo mundo diferentes iniciativas para promover a soberania digital como na Europa (GAIA-X), Austrália, Índia, Japão (Cloud Confidence) e Itália (National Cloud Hub).
Pilares da soberania digital
Organizações que utilizam nuvens públicas devem aplicar a soberania de dados (quem, onde e como tem acesso), soberania operacional (quem opera, visibilidade e controle sobre as operações do provedor) e soberania técnica (quem projeta os sistemas, para obter independência do software do provedor).
Requisitos
A soberania digital requer operações específicas de segurança em nuvem para garantir residência (restringir a localização ou acesso a uma determinada região), controle (SecOps de nuvem incluindo controles de reforço de soberania) e suporte (suporte local a partir de uma determinada região).
Tecnologias de reforço
Dizem respeito a medidas técnicas e organizacionais para impor o nível de responsabilidades compartilhadas de dados, identidade e resiliência operacional. A sigla BYO (Bring Your Own) é utilizada para gestão de chaves (BYO-KMS), criptografia (BYO-ENC) e identidade (BYO-IAM).
Parceiros tecnológicos
Os princípios e práticas de soberania digital se tornarão cada vez mais complexos. Para se preparar, as organizações precisam classificar dados e uma estratégia multi-cloud para proteger o fluxo de dados em diferentes ambientes e garantir a continuidade dos negócios. Para tanto, devem buscar parceiros tecnológicos para descobrir (onde estão e o que são os dados), proteger (criptografia para dados em repouso, em trânsito e dados em uso) e controlar (chaves criptográficas na nuvem sob o controle provedor de serviços são uma clara ameaça à soberania).
O parceiro tecnológico deve possuir relacionamento e soluções nativas nos provedores de nuvem para integrar, co-inovar ou até mesmo co-desenvolver tecnologias ou serviços que implementam ou melhoram a soberania digital.
(*) CTO da Neotel.