La nube tiene flexibilidad y elasticidad innatas, lo que la hace ideal para agilizar el negocio. Sin embargo, también crea complejidades legales y de gobernanza, especialmente cuando se trata de múltiples nubes en diferentes jurisdicciones.
La soberanía de los datos es uno de los principales problemas a los que se enfrentan las empresas. Esencialmente los datos deben estar sujetos a las regulaciones del país en el que se recopilan. Las regulaciones de soberanía y privacidad de datos incluyen la normativa en cuanto a evidencia electrónica (E-evidence), el Reglamento General de Protección de Datos (GDPR) en Europa, la Ley de protección de datos personales (PIPL) en China y la Ley general de protección de datos (LGPD) en Brasil.
La Conferencia de las Naciones Unidas sobre Comercio y Desarrollo (UNCTAD) estima que el 70% de los países cuentan actualmente con legislación sobre privacidad y protección de datos. Además, la nube está sujeta a otras leyes en diferentes jurisdicciones. La Ley de la Nube de EE. UU., por ejemplo, otorga a las autoridades responsables de hacer cumplir la ley el poder de exigir el acceso a los datos almacenados por los proveedores de servicios en la nube, incluso si están almacenados fuera de los EE. UU.
El panorama regulatorio en torno a los datos es tan variable que las empresas necesitan revisar periódicamente su análisis de riesgo de datos. El gran desafío es comprender cómo una empresa puede cumplir con las regulaciones de soberanía de datos y aun así lograr escalabilidad, agilidad, flexibilidad globales.
Monitoreo de los datos en la nube
Las empresas están adoptando rápidamente multiclould. En una encuesta reciente, el 89 % de las empresas dijeron que tenían una estrategia multiclould y el 80 % un enfoque híbrido, combinando nubes públicas y privadas. Dado que los usuarios acceden a los datos desde cualquier dispositivo, para las empresas es un desafío controlar dónde se almacenan sus datos y garantizar el cumplimiento normativo.
Para fines de 2024, Gartner predice que el 75% de la población mundial tendrá sus datos personales amparados por normativas de privacidad vigentes. Dado que pocas empresas tienen una práctica de privacidad dedicada a tratar este problema, a menudo se responsabiliza al Director de Seguridad de la Información (CISO). Pero con la rápida expansión de las regulaciones de privacidad en todo el mundo, además de la masiva adopción de estrategias multiclould, Gartner recomienda que las empresas comiencen a estudiar un programa de mitigación de riesgos legales en la nube hoy.
Elaboración de su perfil de riesgo
El primer paso es informarse sobre el tipo de riesgo para luego cuantificar y calificar el riesgo asociado a los datos de una empresa.
El siguiente paso en el cumplimiento normativo es saber exactamente dónde se almacenan sus datos y qué normativas se deben cumplir.
También es esencial mapear los activos de datos. Un registro claro y completo de sus activos de datos y sus requisitos internos de confidencialidad (incluidos todos los activos de datos, como I+D, planes, estrategias y secretos comerciales de la empresa) es esencial para crear un enfoque categorizado basado en el riesgo.
Estos son los primeros pasos fundamentales para identificar, cuantificar y calificar su riesgo legal de divulgación maliciosa de datos, para que luego pueda crear estrategias prácticas de mitigación, que incluyen etapas técnicas y de procedimiento. Este ejercicio, que debería ser continuo, también permite a la empresa evaluar los riesgos que podrían derivar en multas y sanciones onerosas.
Estos pasos permitirán a una empresa crear una gestión de riesgos en la nube y un conjunto de mejores prácticas para evitar problemas operativos y de cumplimiento.
Mantenerse seguro en un entorno normativo más estricto
Es innegable que el entorno regulatorio se volverá más restringido en el futuro cercano, a medida que el mundo se vuelve cada vez más digital y las personas tienen preocupaciones crecientes relacionadas con la privacidad de sus datos.
Las empresas deben tomar medidas de protección ahora para garantizar la seguridad de sus datos y el cumplimiento normativo en la nube. Aquellos que ignoren esta necesidad se enfrentarán a crecientes desafíos legales, sanciones financieras y daños en su reputación.
Nathaniel es el líder europeo de prácticas de consultoría empresarial de datos y nube para Orange. Es asesor y estratega de transformación digital de CEO/CIO con una profunda experiencia en cambios técnicos y organizacionales que incluyen análisis, aprendizaje automático, datos, nube y otras tecnologías digitales.