A importância da soberania cloud para a segurança de dados

Se ao ouvir a palavra “soberania”, lhe vem à mente o controle de um país sobre suas fronteiras físicas, é hora de ampliar esse conceito. Para além das disputas de limites territoriais, hoje a discussão abrange também limites digitais, a exemplo da “soberania cloud” (“cloud sovereignty”, no termo em inglês).

Esse é um conceito novo que vem gerando cada vez mais debates quando falamos de proteção e segurança de dados. Se antes, com a criação da computação em nuvem, a ideia era a de que a localização do armazenamento dos dados não importava, a situação agora mudou radicalmente.

Esse novo cenário se deve ao aumento exponencial do volume e da sensibilidade dos dados armazenados na nuvem, que permite uma capacidade de processamento nunca vista. Para se ter uma ideia, em 2024, o mundo deverá gerar 149 zettabytes de dados, sendo que um zettabyte equivale a um trilhão de gigabytes ou um sextilhão de bytes. Se cada byte fosse um grão de areia, haveria o suficiente para encher todas as praias da Terra quase 20.000 vezes.

Diante das revoluções que a migração para a nuvem está provocando, inclusive no Brasil, e considerando a relevância e impacto dos negócios ligados à cloud (que obtiveram um faturamento estimado em quase US$ 600 bilhões em 2023), .governos e empresas têm demonstrado uma preocupação crescente com o controle de seus dados na nuvem.

Assim, quando falamos em soberania cloud, estamos abordando dimensões políticas, empresariais e tecnológicas que podem afetar as informações armazenadas, muitas vezes em plataformas que respondem a leis e conjunturas de outros países. Por isso, os serviços públicos e as organizações privadas precisam estar cientes de eventos geopolíticos, mudanças nas legislações locais e nas tendências do mercado global para garantir o controle sobre seus dados e realizar questionamentos como: minhas informações estarão seguras mesmo se o servidor da empresa de cloud estiver em uma nação que pode entrar em conflito a qualquer momento? Há riscos de mudanças nas leis locais, no sentido de ocasionar vazamento dos dados? Devido ao contexto político, há chances de haver uma guerra cibernética? Existe alguma disputa comercial entre seus fornecedores que possa prejudicar a segurança de suas informações? Essas são apenas algumas das questões que servem de alerta para a necessidade de conscientização sobre soberania cloud, visto que as empresas ainda não têm uma percepção profunda sobre a complexidade que ele representa.

Leis locais e outros desafios

Apesar de se tratar de um tema novo, considerado distante por muitos gestores, é preciso entender onde esses dados estão hospedados e conhecer as leis locais às quais se está sujeito, visando  o melhor curso de ação em caso de problemas como vazamento ou roubo de informações, além dos impactos causados ao negócio quando esses incidentes são registrados.

Considerar a trajetória completa das informações, controlando todo o ciclo de vida dos dados: onde eles nascem, onde são consumidos e como podem ser eliminados, caso haja a necessidade, também é um ponto crucial para se alcançar essa soberania da qual estamos tratando.

Controlar todo esse ecossistema pode ser desafiador já que os dados muitas vezes estão distribuídos em ambientes “multiclouds” e híbridos, armazenados em máquinas pessoais, servidores e sistemas distintos, além da nuvem. Há ainda questões como criptografia dos dados e a velocidade com a qual a tecnologia cloud está evoluindo – o que pode representar uma vulnerabilidade constante para as organizações, que precisam estar sempre avaliando o risco de suas operações estarem expostas, principalmente no quesito segurança dos dados em cloud.

No contexto brasileiro, apesar da Lei Geral de Proteção de Dados (LGPD), as empresas em geral continuam em estágios embrionários, precisando trabalhar a conscientização e investir em segurança cibernética.

Frameworks customizados

Organizações menos expostas a riscos e com seus dados seguros contra ameaças cibernéticas ou geopolíticas, podem acelerar a migração para cloud implementando estratégias de soberania cloud para, assim, poderem focar em seu core business e superar com mais tranquilidade os desafios do futuro dos negócios.

No entanto, para lidar com todos os desafios mencionados, é preciso um bom planejamento de soberania cloud, aliando estratégia, governança e controles técnicos para garantir resiliência, flexibilidade, autonomia e conformidade com os requisitos regulatórios. Isso permite que organizações controlem seus dados na nuvem dentro de uma jurisdição específica, garantindo o cumprimento da lei sem ficar dependente do provedor ou suscetível a mudanças na legislação ou a turbulências políticas locais. Sendo assim, é importante ter um framework de controle de soberania cloud específico, que se encaixe nas demandas de cada empresa e de cada território onde os dados estão armazenados. Para colocar em prática essas estratégias, é necessária a atuação conjunta de várias áreas, como cyber, segurança, compliance, jurídico e comunicação.

A Deloitte reuniu um time com especialistas capacitados e experientes para fazer o planejamento de soberania cloud, incluindo um plano para situações extremas, como desastres naturais, que podem prejudicar as instalações dos servidores quando não há backup, além de contar com parceiros que entendem de ambientes complexos para ajudar na avaliação de riscos e na preparação de planos de operações ou seja, empresas que têm visão de riscos em seu DNA.