Neste podcast, pedimos a Patrick Smith, diretor de tecnologia da EMEA da Pure Storage, sobre o aumento do impulso para garantir a soberania dos dados.
Smith fala sobre motoristas que incluem comércio geopolítico e incerteza política, novos níveis de sensibilidade aos dados e aumento dos requisitos de regulamentação e conformidade.
Ele também fala sobre os riscos de não atender às necessidades de Soberania de dadosbem como as maneiras pelas quais está sendo abordado, como clientes focados em manter dados no native, construção cuidadosa de configurações de nuvem híbrida e garantir a prontidão para novos regulamentos.
O que é soberania de dados e por que é uma coisa que estamos prestando atenção agora?
Acho que, por um longo tempo, pensamos em soberania de dados como o native onde os dados estão. E esse certamente é um aspecto. Mas, na verdade, são as leis e estruturas de governança em todo o país em que os dados são coletados, processados e armazenados.
É também sobre quem tem autoridade para ditar como os dados são gerenciados, acessados e usados. Essas duas dimensões definem o que compõe a soberania de dados e como as pessoas pensam sobre isso.
E por que é algo que estamos prestando atenção agora?
Estamos vendo três fatores se unindo para aumentar o foco na soberania de dados.
O primeiro desses fatores é a sensibilidade dos dados. Como cidadãos, estamos cada vez mais cientes da sensibilidade dos dados ao nosso redor, dados corporativos. Muito desse foco é o resultado de ataques de ransomware e vazamento de dados.
Mas também estamos vendo a sensibilidade dos dados sendo destacada em termos de direitos autorais e propriedade intelectual. E isso está sendo conduzido pela ascensão da AI [artificial intelligence]. Assim, como sociedade, a sensibilidade dos dados é cada vez mais no topo da mente.
Portanto, as empresas estão tendo que realmente se concentrar na proteção de dados e garantir que os dados sejam gerenciados corretamente.
O segundo aspecto é a ascensão da nuvem pública.
Duas décadas atrás, a nuvem pública period uma nova maneira de hospedar ambientes de sandbox para ela. Agora, 20 anos depois, é praticamente a maneira de fato executar serviços de tecnologia. E a maioria das organizações, certamente no Ocidente, depende quase inteiramente dos três principais fornecedores de nuvem dos EUA.
Isso então joga de maneira interessante, no mundo da nuvem, você sabe onde seus dados estão? Você sabe quem tem acesso a isso? Ele abre um pouco de caixa de Pandora sobre sensibilidade de dados e soberania de dados.
E então o terceiro aspecto que é um catalisador para essa maior conscientização sobre a soberania de dados é o clima geopolítico em que estamos operando.
Vimos desafios comerciais em nível nacional e internacional em termos de tarifas. Estamos vendo uma instabilidade crescente. Vimos restrições da cadeia de suprimentos – politicamente instigadas e instigadas comercialmente – que estão todos jogando com uma sensação de incerteza.
E estamos vendo um cenário international cada vez mais competitivo entre os EUA, a União Europeia e principalmente a China e a Ásia. Todas essas coisas estão aumentando a conscientização em torno da soberania de dados.
Quais são os riscos de não abordar a soberania de dados? E há algum benefício para aqueles que abordam isso? E estou falando aqui sobre organizações de clientes, bem como mais amplamente o cenário político de fundo, and so forth.
Se olharmos para o que é o topo de espírito com as organizações em termos de riscos, o primeiro é o potencial de interrupção do serviço.
Portanto, ao hospedar meus serviços de dados e negócios fora do meu país, existe o potencial de interrupção do serviço. E agora isso não é interrupção através da falha do equipamento, mas potencialmente interrompeu como parte de uma negociação comercial, como parte de uma disputa tarifária. Isso certamente surgiu nas mentes das organizações.
E isso ocorre no segundo aspecto, que é o risco de influência estrangeira em termos de acesso legítimo a dados, acesso ilegítimo a dados, acesso legítimo por meio de estruturas legais, ordens judiciais, acesso ilegítimo por meio de intrusão não autorizada ou ilegal por atores externos, ambos capacitados pela natureza interconectada dos serviços tecnológicos entre as fronteiras. Ao adotar uma abordagem soberana, você pode começar a mitigar esses riscos.
O outro aspecto é interessante, se você sobrepor esses conceitos com a mudança da paisagem regulatória. Então, estamos familiarizados e já estamos há algum tempo, com o GDPR na Europa. Também vimos Dora na Europa para serviços financeiros. Vimos uma crescente regulamentação da infraestrutura nacional crítica.
E todos eles colocam uma dinâmica interessante na interrupção do serviço e na influência estrangeira, onde de repente você não está no controle de atender aos seus requisitos regulatórios porque você depende de terceiros.
E a última coisa sobre regulamentação é que há tanta discussão, especialmente na União Europeia, em torno da regulamentação e soberania de dados que espero que haja mais regulamentação nesse espaço à medida que avançamos nos próximos 12, 18 meses.
Como você espera que os clientes e o setor respondam?
O que esperamos que as organizações façam é realmente entender seu ambiente-quais são seus verdadeiros serviços críticos de negócios? – e comece com uma avaliação de risco.
De uma maneira muito semelhante a quando vimos organizações de serviços financeiros com Dora analisando uma avaliação geral de riscos de serviços comerciais críticos.
[Here, they need to] entender:
- Quais são meus serviços de negócios críticos?
- Quais são os dados que os suportam?
- Qual é a infraestrutura subjacente que suporta isso?
- Onde ele se senta?
- Como isso se alinha com minha tolerância e postura de risco?
- O que preciso fazer em termos de arquitetura de TI para poder mitigar esse risco onde o risco é elevado?
- Isso significa que eu preciso adotar um ambiente híbrido multicloud para incluir provedores de serviços soberanos, ser que os provedores soberanos de nuvem ou simplesmente um datacentre native?
E então, a última coisa que achamos absolutamente que as organizações precisam fazer é se preparar para a evolução regulatória. Como não é um caso de “se”, é um caso de “quando”, em termos desse regulamento que vem para a soberania de dados.
Então, essas são as quatro etapas críticas que achamos que as organizações devem tomar.
