Podcast: Suverenost podataka i šta trebate učiniti u vezi s tim

Šta je suverenitet podataka i zašto je to stvar na koju upravo sada obraćamo pažnju?

Mislim da smo dugo vremena razmišljali o suverenitetu podataka kao o lokaciji na kojoj se podaci nalaze. I to je svakako jedan aspekt. Ali zapravo, zakoni i strukture upravljanja širom zemlje se prikupljaju, obrađuju i pohranjuju.

Također se radi o tome ko ima ovlaštenje da diktira kako će se podacima upravljati, pristupati i koristiti. Te dvije dimenzije definiraju šta čini suverenitet podataka i kako ljudi razmišljaju o tome.

I zašto je to stvar na koju upravo sada obraćamo pažnju?

Vidimo kako se tri faktora spajaju kako bi se povećao fokus na suverenitet podataka.

Prvi od tih faktora je osjetljivost podataka. Kao građani, postajemo sve svjesniji osjetljivosti podataka oko nas, korporativnih podataka. Veliki dio ovog fokusa je rezultat ransomware napada i curenja podataka.

Ali također vidimo da se osjetljivost podataka ističe u smislu autorskih prava i intelektualnog vlasništva. A to je vođeno porastom AI [artificial intelligence]. Dakle, kao društvu, osjetljivost podataka je sve više na prvom mjestu.

Stoga se korporacije moraju zaista fokusirati na zaštitu podataka i osiguravanje da se podacima pravilno upravlja.

Drugi aspekt je porast javnog oblaka.

Prije dvije decenije, javni oblak je bio nov način da se ugosti sandbox okruženja za IT. Sada, 20 godina kasnije, to je prilično de facto način upravljanja tehnološkim uslugama. A većina organizacija, svakako na Zapadu, gotovo u potpunosti ovisi o tri glavna američka provajdera oblaka.

To se onda zanimljivo igra, u svijetu oblaka, da li znate gdje se nalaze vaši podaci? Znate li ko ima pristup tome? To otvara pomalo Pandorinu kutiju o osjetljivosti podataka i suverenitetu podataka.

I onda, treći aspekt koji je katalizator ove povećane svijesti o suverenitetu podataka je geopolitička klima u kojoj djelujemo.

Vidjeli smo komercijalne izazove na nacionalnom i međunarodnom nivou u pogledu tarifa. Vidimo sve veću nestabilnost. Vidjeli smo ograničenja u lancu snabdijevanja – politički podstaknuta i komercijalno podstaknuta – koja sve igraju na osjećaj neizvjesnosti.

I vidimo sve konkurentniji globalni pejzaž između SAD-a, Evropske unije, i prvenstveno Kine i Azije. Sve te stvari podižu svijest o suverenitetu podataka.

Koji su rizici ako se ne pozabavite suverenitetom podataka? I ima li koristi za one koji se bave time? I ovdje stvarno govorim o organizacijama kupaca, kao io širem političkom pejzažu, itd., državama

Ako pogledamo ono što je najvažnije kod organizacija u smislu rizika, prvi je potencijal za prekid usluga.

Dakle, ako se moji podaci i poslovne usluge hostuju izvan moje zemlje, postoji potencijal za prekid usluge. A sada to nije poremećaj zbog kvara opreme, već potencijalni poremećaj kao dio komercijalnih pregovora, kao dio tarifnog spora. To se svakako pojavilo u glavama organizacija.

A to igra u drugom aspektu, a to je rizik stranog uticaja u smislu legitimnog pristupa podacima, nelegitimnog pristupa podacima, legitimnog pristupa kroz zakonske okvire, putem sudskih naloga, nelegitimnog pristupa putem neovlašćenog ili nezakonitog upada vanjskih aktera, a oboje je omogućeno međusobno povezanom prirodom tehnoloških usluga preko granica. Usvajanjem suverenog pristupa, možete početi da ublažavate te rizike.

Drugi aspekt je zanimljiv, ako te koncepte prekrijete promjenjivim regulatornim okruženjem. Dakle, mi smo upoznati, i već duže vrijeme, sa GDPR-om u Evropi. Također smo vidjeli DORA-u u Evropi za finansijske usluge. Vidjeli smo sve veću regulaciju kritične nacionalne infrastrukture.

I svi oni daju zanimljivu dinamiku poremećaja usluga i stranog uticaja, gde odjednom više nemate kontrolu nad ispunjavanjem regulatornih zahteva jer zavisite od treće strane.

I posljednja stvar o regulaciji je da postoji toliko diskusija, posebno unutar Evropske unije, oko regulative i suvereniteta podataka da očekujem da će biti više regulacije u ovom prostoru kako budemo napredovali u narednih 12, 18 mjeseci.

Kako očekujete da će kupci i industrija odgovoriti?

Ono što očekujemo od organizacija je da zaista razumiju svoje okruženje – koje su njihove istinske usluge kritične za poslovanje? – i počnite s procjenom rizika.

Na vrlo sličan način kao kada smo vidjeli kako organizacije za finansijske usluge sa DORA-om gledaju na sveobuhvatnu procjenu rizika kritičnih poslovnih usluga.

[Here, they need to] razumjeti:

• Koje su moje ključne poslovne usluge?
• Koji su podaci koji ih podržavaju?
• Koja je osnovna infrastruktura koja to podržava?
• Gdje sjedi?
• Kako se to slaže s mojom tolerancijom na rizik i držanjem rizika?
• Šta treba da uradim u pogledu moje IT arhitekture da bih mogao da ublažim taj rizik tamo gde je rizik povećan?
• Da li to znači da moram usvojiti hibridno multicloud okruženje kako bih uključio suverene pružatelje usluga, bilo da su to suvereni provajderi u oblaku ili jednostavno lokalni centar podataka?

A onda, posljednja stvar za koju apsolutno mislimo da organizacije treba da urade je da se pripreme za regulatornu evoluciju. Jer to nije slučaj „ako“, već „kada“, u smislu te regulative koja dolazi za suverenitet podataka.

Dakle, to su četiri kritična koraka za koje mislimo da organizacije treba da poduzmu.