Soberania refere-se ao controle e regulação dos dados pessoais, sensíveis e confidenciais de uma organização pública ou privada. Além da soberania de dados, a soberania digital engloba a infraestrutura e as tecnologias para lidar e processar dados, incluindo internet, telecomunicações, plataformas etc. Sem controle sobre essas tecnologias, uma organização será incapaz de proteger sua infraestrutura digital de ameaças cibernéticas. Assim, a soberania digital é uma questão de governança que impacta não apenas a segurança cibernética, mas também a resiliência das organizações dos setores público e privado.

Por que a soberania digital é importante?

Esse tema é importante pois ajuda a garantir que uma organização ou nação regule sua própria infraestrutura e proteja a privacidade e a segurança dos dados. Sem esses conceitos, ficam à mercê de provedores de serviço e governos estrangeiros, que poderiam acessar e controlar informações confidenciais.

Isso é crucial para organizações que operam além das fronteiras e/ou dependem de provedores de serviços internacionais. Cumprir as leis de proteção de dados de cada país pode ser uma tarefa complexa e desafiadora e entender os conceitos de soberania ajudará as organizações a navegar nesse cenário regulatório complexo.

O Fórum Econômico Mundial estima que 92% de todos os dados no mundo ocidental são armazenados em servidores de empresas norte-americanas criando uma situação de elevada dependência. Os desafios impactam diretamente o setor de serviços em nuvem que consumirá mais de US$1,3 trilhão até 2025.

Marco Legal e Legislação

O desafio da soberania digital é reforçado pelas diferenças entre os marcos legais de privacidade e leis em diferentes regiões. A divergência UE-EUA é um bom exemplo, a GDPR descreve requisitos para a proteção da privacidade de seus cidadãos enquanto a FISA 702 dá às agências americanas o poder de intimar os dados de pessoas não americanas.

Existem em todo mundo diferentes iniciativas para promover a soberania digital como na Europa (GAIA-X), Austrália, Índia, Japão (Cloud Confidence) e Itália (National Cloud Hub).

Pilares da soberania digital

Organizações que utilizam nuvens públicas devem aplicar a soberania de dados (quem, onde e como tem acesso), soberania operacional (quem opera, visibilidade e controle sobre as operações do provedor) e soberania técnica (quem projeta os sistemas, para obter independência do software do provedor).

Requisitos

A soberania digital requer operações específicas de segurança em nuvem para garantir residência (restringir a localização ou acesso a uma determinada região), controle (SecOps de nuvem incluindo controles de reforço de soberania) e suporte (suporte local a partir de uma determinada região).

Tecnologias de reforço

Dizem respeito a medidas técnicas e organizacionais para impor o nível de responsabilidades compartilhadas de dados, identidade e resiliência operacional. A sigla BYO (Bring Your Own) é utilizada para gestão de chaves (BYO-KMS), criptografia (BYO-ENC) e identidade (BYO-IAM).

Parceiros tecnológicos

Os princípios e práticas de soberania digital se tornarão cada vez mais complexos. Para se preparar, as organizações precisam classificar dados e uma estratégia multi-cloud para proteger o fluxo de dados em diferentes ambientes e garantir a continuidade dos negócios. Para tanto, devem buscar parceiros tecnológicos para descobrir (onde estão e o que são os dados), proteger (criptografia para dados em repouso, em trânsito e dados em uso) e controlar (chaves criptográficas na nuvem sob o controle provedor de serviços são uma clara ameaça à soberania).

O parceiro tecnológico deve possuir relacionamento e soluções nativas nos provedores de nuvem para integrar, co-inovar ou até mesmo co-desenvolver tecnologias ou serviços que implementam ou melhoram a soberania digital.

*José Ricardo Maia Moraes é CTO da Neotel.

Sobre a Neotel

Empresa brasileira focada em Segurança Digital com alianças tecnológicas com os principais provedores globais de tecnologia. De forma inovadora integra diversas soluções e serviços oferecendo uma plataforma que se diferencia pelo alinhamento aos objetivos de negócios, risco, exposição e Compliance dos Clientes. Entrega soluções sob medida para cada vertical, negócio e situação.

A empresa foca no relacionamento para conhecer profundamente os clientes e assim oferecer serviços e soluções de forma totalmente agnóstica, escalável, elástica, transparente e simplificada.

Protege o negócio de seus clientes sob vários aspectos diferentes – disponibilidade, desempenho, integridade, confidencialidade, risco, exposição, controle e visibilidade. Seu portfólio inclui soluções específicas para atender as regulações de mercado (PCI, SOX, etc.) e legislação específica (LGPD, GDPR, BACEN, CVM, etc.).