José Ricardo Maia Moraes
Soberania refere-se ao controle e regulação dos dados pessoais, sensíveis e confidenciais de uma organização pública ou privada. Além da soberania de dados, a soberania digital engloba a infraestrutura e as tecnologias para lidar e processar dados, incluindo internet, telecomunicações, plataformas etc.
Sem controle sobre essas tecnologias, uma organização será incapaz de proteger sua infraestrutura digital de ameaças cibernéticas.
Assim, a soberania digital é uma questão de governança que impacta não apenas a segurança cibernética, mas também a resiliência das organizações dos setores público e privado.
Por que a soberania digital é importante?
Esse tema é importante pois ajuda a garantir que uma organização ou nação regule sua própria infraestrutura e proteja a privacidade e a segurança dos dados. Sem esses conceitos, ficam à mercê de provedores de serviço e governos estrangeiros, que poderiam acessar e controlar informações confidenciais.
Isso é crucial para organizações que operam além das fronteiras ou dependem de provedores de serviços internacionais.
Cumprir as leis de proteção de dados de cada país pode ser uma tarefa complexa e desafiadora e entender os conceitos de soberania ajudará as organizações a navegar nesse cenário regulatório complexo.
O Fórum Econômico Mundial estima que 92% de todos os dados no mundo ocidental são armazenados em servidores de empresas norte-americanas criando uma situação de elevada dependência. Os desafios impactam diretamente o setor de serviços em nuvem que consumirá mais de US$1,3 trilhão até 2025.
Marco Legal e legislação
O desafio da soberania digital é reforçado pelas diferenças entre os marcos legais de privacidade e leis em diferentes regiões.
A divergência UE-EUA é um bom exemplo. A GDPR descreve requisitos para a proteção da privacidade de seus cidadãos, enquanto a FISA 702 dá às agências americanas o poder de intimar os dados de pessoas não americanas.
Existem em todo mundo diferentes iniciativas para promover a soberania digital como na Europa (GAIA-X), Austrália, Índia, Japão (Cloud Confidence) e Itália (National Cloud Hub).
Pilares
Organizações que utilizam nuvens públicas devem aplicar a soberania de dados (quem, onde e como tem acesso), soberania operacional (quem opera, visibilidade e controle sobre as operações do provedor) e soberania técnica (quem projeta os sistemas, para obter independência do software do provedor).
Requisitos
A soberania digital requer operações específicas de segurança em nuvem para garantir residência (restringir a localização ou acesso a uma determinada região), controle (SecOps de nuvem incluindo controles de reforço de soberania) e suporte (suporte local a partir de uma determinada região).
Tecnologias de reforço
Dizem respeito a medidas técnicas e organizacionais para impor o nível de responsabilidades compartilhadas de dados, identidade e resiliência operacional. A sigla BYO (Bring Your Own) é utilizada para gestão de chaves (BYO-KMS), criptografia (BYO-ENC) e identidade (BYO-IAM).
Parceiros tecnológicos
Os princípios e práticas de soberania digital se tornarão cada vez mais complexos.
Para se preparar, as organizações precisam classificar dados e uma estratégia multicloud para proteger o fluxo de dados em diferentes ambientes e garantir a continuidade dos negócios.
Para tanto, devem buscar parceiros tecnológicos para descobrir (onde estão e o que são os dados), proteger (criptografia para dados em repouso, em trânsito e dados em uso) e controlar (chaves criptográficas na nuvem sob o controle provedor de serviços são uma clara ameaça à soberania).
O parceiro tecnológico deve possuir relacionamento e soluções nativas nos provedores de nuvem para integrar, co-inovar ou até mesmo codesenvolver tecnologias ou serviços que implementam ou melhoram a soberania digital.
