A nuvem possui flexibilidade e elasticidade inata, tornando-a excelente para a agilidade nos negócios. Entretanto, ela também cria complexidades jurídicas e de governança, especialmente lidando com múltiplas nuvens ao longo de diferentes jurisdições.
A soberania de dados é uma das principais questões que as empresas enfrentam. Ela essencialmente diz que os dados devem ser sujeitos aos regulamentos e governanças do país em que são coletados. A privacidade dos dados e os regulamentos da soberania incluem o regulamento de evidências eletrônicas (E-evidence) e o Regulamento Geral sobre a Proteção de Dados (GDPR) na Europa, a Lei de Proteção de Dados Pessoais (PIPL) na China, e a Lei Geral de Proteção de Dados (LGPD) no Brasil.
A Conferência das Nações Unidas sobre Comércio e Desenvolvimento (UNCTAD) estima que 70% dos países atualmente possuem legislações de proteção e privacidade de dados. Além disso, a nuvem está sujeita a outras leis ao longo de diferentes jurisdições. O Ato da Nuvem dos EUA, por exemplo, dá às autoridades de aplicação da lei o poder de requerer o acesso a dados armazenados por provedores de serviços em nuvem, mesmo se armazenados fora dos EUA.
O panorama regulatório em volta dos dados é atualmente tão fluido que as empresas precisam avaliar suas análises de risco de dados regularmente. O grande desafio é entender como uma empresa pode cumprir os regulamentos de soberania de dados e ainda atingir agilidade, flexibilidade e escala global.
Monitorando os seus dados em nuvem
As empresas estão rapidamente adotando o multiclould. Em uma pesquisa recente, 89% das empresas afirmaram ter uma estratégia multiclould e 80% uma abordagem híbrida, combinando nuvens públicas e privadas. Com os usuários acessando dados de qualquer lugar, as empresas terão que se empenhar para monitorar onde os seus dados estão armazenados e assegurar sua respectiva conformidade normativa.
Até o fim de 2024, o Gartner prevê que 75% da população mundial terão dados cobertos pelos regulamentos de privacidade atuais. Com poucas empresas tendo uma prática de privacidade dedicada para lidar com este problema, ele é muitas vezes passado ao Diretor de Segurança da Informação (CISO). Mas com a rápida expansão dos regulamentos de privacidade ao redor do mundo, além da rápida adoção de estratégias multiclould, o Gartner recomenda que as empresas comecem a estudar hoje mesmo um programa de mitigação de riscos jurídicos na nuvem.
Trabalhando com o seu perfil de risco
O primeiro passo é se informar sobre o tipo de risco para então quantificar e qualificar o risco associado com os dados de uma empresa.
O próximo passo para o cumprimento normativo é saber exatamente onde os seus dados estão armazenados e quais regulamentos devem ser cumpridos, junto com as informações de auditoria e a frequência destas verificações.
É essencial também mapear os ativos de dados. Um catálogo simples e compreensível dos seus ativos de dados e requisitos de confidencialidade internos deles (incluindo todos os ativos de dados, como P&D, planos, estratégias e segredos industriais da empresa) são essenciais para que você possa criar uma abordagem hierárquica baseada em risco comercial.
Estes são primeiros passos fundamentais para identificar, quantificar e qualificar o seu risco jurídico à divulgação maliciosa de dados, para poder então criar estratégias práticas de mitigação, que incluem estágios técnicos e processuais. Este exercício, que deve ser contínuo, também permite que a empresa avalie quaisquer riscos que possam levar à multas e penalidades onerosas, tal qual o compartilhamento indesejado de informações com atores estatais.
Estes passos possibilitarão a uma empresa construir o gerenciamento de risco em nuvem e um conjunto de melhores práticas para evitar problemas operacionais e de conformidade.
Permanecendo seguro em um ambiente regulatório mais restrito
É inegável que o ambiente regulatório se tornará mais restrito no futuro próximo, visto que o mundo tem ficado cada vez mais digital, as pessoas com crescentes preocupações relacionadas a sua privacidade de dados, e os atores estatais tendo um papel cada vez maior.
As empresas precisam tomar medidas protetivas agora para assegurar a segurança de seus dados e a conformidade normativa na nuvem. Aquelas que ignorarem esta necessidade enfrentarão crescentes desafios jurídicos, penalidades financeiras e danos de reputação.
Para aprender mais, baixe a nossa brochura: Você já considerou os problemas jurídicos que acompanham à nuvem? Para mais informações, leia sobre o extenso portfólio de serviços em nuvem da Orange Business.
Nathaniel é o líder europeu de práticas de consultoria empresarias de nuvem e dados, com foco em transformação empresarial, análise de dados e nuvem na Orange. Ele é um CEO/CIO conselheiro de transformação digital e estrategista com grande experiência técnica e de mudança organizacional, incluindo análise, machine learning, dados, nuvem e outras tecnologias digitais.