Introduzione

Dove si trovano i nostri dati? 

Per le organizzazioni, questa domanda non è più una semplice considerazione tecnica su dove i dati vengono archiviati e su come vengono gestiti i sistemi. L'archiviazione e la gestione dei dati sono diventate una preoccupazione aziendale primaria, con un impatto significativo sulla conformità, sulla continuità operativa e, fondamentalmente, sulla questione del controllo.
 

Sempre più spesso, i leader aziendali vogliono avere la certezza che i propri dati archiviati nelle principali piattaforme tecnologiche, nei sistemi e nei processi siano controllabili e sicuri.

La preoccupazione per i dati si è intensificata con l'introduzione di nuove leggi e normative, la crescente complessità geopolitica e l'adozione dell'intelligenza artificiale. Per tutelare la privacy dei cittadini e delle organizzazioni, i governi hanno emanato nuove norme in materia di raccolta, archiviazione e utilizzo dei dati. La sovranità dei dati non è più una nota a piè di pagina di carattere legale; è una priorità strategica.

Che cos'è la Sovranità dei dati e perché è importante?

La sovranità dei dati, a livello fondamentale, significa che i dati archiviati in un determinato paese sono regolati dalle leggi e dai quadri normativi di quel paese. Oltre 140 paesi hanno adottato leggi sulla sovranità dei dati e sulla privacy per l'82% della popolazione mondiale. Molte di queste leggi includono requisiti di localizzazione dei dati per proteggere i dati personali dei cittadini. L'Unione Europea ha aperto la strada nell'istituzione di normative sulla sovranità digitale con il GDPR per proteggere i cittadini dell'UE, spingendo altri governi a seguirne l'esempio.

In pratica, tuttavia, la sovranità dei dati va oltre il semplice luogo in cui i dati vengono archiviati in un data center: riguarda anche chi può accedervi, chi li controlla e a quali condizioni tale controllo può essere esercitato.

Componenti chiave

• Residenza dei dati. La posizione dei dati: il luogo fisico in cui i tuoi dati sono archiviati.
• Localizzazione dei dati. La pratica di archiviare ed elaborare i dati all'interno della giurisdizione in cui sono stati raccolti, al fine di conformarsi alle leggi locali in materia di dati.

La complicazione del Cloud

La sovranità dei dati diventa complessa negli ambienti dei moderni provider di cloud pubblico, dove i dati vengono spesso replicati in più posizioni di archiviazione e in più regioni per garantire prestazioni e resilienza.

Ulteriori complicazioni:

• I fornitori di storage cloud spesso mantengono accesso amministrativo "backdoor" per scopi di manutenzione, il che potrebbe includere trasferimenti di dati transfrontalieri.
• Se le chiavi di crittografia sono gestite da un'entità straniera, i tuoi dati rimangono soggetti alle leggi del paese del fornitore, indipendentemente dalla posizione fisica dei server.

Queste complicazioni introducono uno strato di separazione, e quindi un livello di rischio, tra un'organizzazione e i propri dati. Aziende tecnologiche come Facebook, Apple, Google e Twitter sono state al centro di dibattiti internazionali e critiche riguardo al controllo dei dati, all'accesso governativo e alla sorveglianza da parte dei governi.

In particolare in un mondo di tecnologia cloud-first, ciò rende la questione del mantenimento del controllo sui dati più urgente che mai.

Comprendere e implementare un piano di sovranità dei dati è fondamentale per rafforzare la sicurezza, garantire la conformità alle leggi locali e costruire la fiducia dei clienti. Le norme sulla sovranità dei dati diventeranno sempre più raffinate, così come le pratiche che complicano la residenza e la gestione dei dati, come il cloud computing, continueranno anch'esse a evolversi.

L'illusione della residenza dei Dati: la posizione fisica non equivale a controllo

Abbiamo già accennato al fatto che la residenza dei dati è solo un aspetto della sovranità dei dati, ma vale la pena sottolinearlo, poiché un malinteso comune nel mondo tecnologico è l'assunzione che i due concetti siano equivalenti.

Anche se una piattaforma tecnologica offre un hosting regionale che garantisce l'archiviazione dei dati all'interno di un paese o di una giurisdizione, ciò non è sufficiente per soddisfare adeguatamente i requisiti normativi né per garantire il controllo sui propri dati.

Le chiavi di crittografia potrebbero comunque essere gestite da aziende straniere, l'accesso operativo può estendersi oltre i confini nazionali e soggetti esterni, incluse le forze dell'ordine, potrebbero essere in grado di accedere ai dati ed elaborarli in determinate condizioni. Ad esempio, con il CLOUD Act, il governo degli Stati Uniti consente alle forze dell'ordine di richiedere l'accesso ai dati da aziende tecnologiche con sede negli Stati Uniti, indipendentemente dall'effettiva posizione del data center.

Ogni volta che si accede ai dati in uno di questi modi, si perde il controllo. Questo è ciò che viene definito l'illusione della residenza dei dati: i dati sembrano essere conformi in virtù del luogo in cui sono archiviati, ma in realtà non lo sono, a causa di chi può accedervi e da dove.

Se appartieni a un'organizzazione operante in un settore fortemente regolamentato o lavori in più paesi, mantenere il controllo sui tuoi dati e preservare la sovranità dei dati diventa fondamentale per questo motivo. Ogni singolo luogo da cui si accede ai tuoi dati è soggetto alle leggi e alle normative di quella posizione.

Limiti delle tecnologie Cloud e SaaS

Le piattaforme cloud-first e SaaS sono diventate lo standard proprio perché offrono vantaggi innegabili come velocità, scalabilità e semplicità di implementazione. Molte organizzazioni globali dipendono da queste tecnologie come componenti essenziali del loro stack tecnologico.

Questi modelli sono stati progettati con il presupposto specifico che la comodità e la standardizzazione prevalgano sulla necessità di flessibilità. Abbiamo però appena visto come la tecnologia cloud possa complicare la sovranità digitale in assenza di tale flessibilità.

I modelli rigidi delle tecnologie cloud e SaaS diventano un fattore di rischio nei casi in cui le organizzazioni hanno bisogno di:

• Dimostrare un controllo rigoroso sull'accesso e sull'elaborazione dei dati per garantire il rispetto delle best practice in materia di sovranità dei dati.
• Adattarsi a nuovi requisiti di conformità o a requisiti specifici per regione, inclusi i mandati di localizzazione dei dati.
• Riconsiderare le dipendenze dai fornitori alla luce del rischio geopolitico e dell'evoluzione delle normative.

Se una piattaforma non offre la flessibilità necessaria, le organizzazioni rischiano di incorrere in inadempienze in termini di conformità e controllo, il che può mettere a rischio la possibilità di continuare a operare in determinate regioni e avere un impatto significativo sulla stessa sopravvivenza dell'azienda.

Dunque, cosa si dovrebbe fare?
 

Come mantenere il controllo senza compromettere la tecnologia

Affrontare la sovranità dei dati non richiede di abbandonare le moderne tecnologie cloud-native e SaaS. Al contrario, è necessario ripensare il modo in cui si è implementata la propria tecnologia, o forse persino la scelta della tecnologia stessa.

Sempre più spesso, le aziende desiderano piattaforme che consentano loro di:

• Scegliere dove e come i dati vengono archiviati, garantendo la conformità alle leggi e alle normative pertinenti.
• Mantenere il controllo sulle chiavi di accesso e di crittografia per proteggere i dati sensibili dei clienti e salvaguardare la privacy dei dati.
• Allineare i modelli di deployment alle leggi e alle normative sulla protezione dei dati in paesi o regioni specifici.
• Passare da un ambiente all'altro in base all'evoluzione delle esigenze, senza interrompere le operazioni né violare i requisiti di sovranità dei dati.

Best Practice per la gestione dei Dati

Vediamo quali sono le pratiche fondamentali che la tua azienda dovrebbe adottare per garantire la sovranità dei dati.

1. Esegui audit regolari dei dati. Immagina di dover creare un piano di sicurezza per un museo senza sapere quali collezioni sono esposte dove o come raggiungerle. Questo è il rischio che si corre senza effettuare audit regolari. Mappando sistematicamente dove vengono archiviati i tuoi dati, come si spostano e come vengono elaborati, puoi sviluppare una comprensione completa dei rischi di conformità.
2. Implementa la localizzazione dei dati. La localizzazione dei dati mantiene i tuoi dati soggetti alle regole e alle condizioni da te stabilite. Archiviare ed elaborare i dati all'interno dello stesso territorio in cui sono stati raccolti semplifica la conformità alle leggi applicabili e preserva la privacy dei dati.
3. Adotta misure di protezione dei dati solide e intelligenti. Attraverso pratiche come la crittografia, il monitoraggio continuo e il rilevamento delle minacce, crea un livello di sicurezza robusto e resiliente che garantisca la sicurezza e la conformità dei dati.
4. Sviluppa e affina le politiche di protezione e governance dei dati. Queste politiche fungono da manuale di protezione digitale, ma devono essere aggiornate regolarmente per garantire la conformità continua al mutare del panorama della protezione dei dati. Rimani vigile di fronte alle normative sulla sovranità dei dati in costante evoluzione.
5. Scegli un provider cloud con opzioni flessibili di residenza dei dati. Se i tuoi dati devono risiedere in una determinata posizione o paese, assicurati che le tue tecnologie cloud e SaaS lo consentano.
6. Dai priorità alla trasparenza e al controllo. Mantenere una visibilità completa sul ciclo di vita dei dati significa avere un quadro chiaro di ogni fase di elaborazione. Questa trasparenza ti consente di tracciare con precisione come le informazioni vengono gestite in tutta la tua infrastruttura. Assicurati di collaborare con esperti di conformità e, se pertinente, con i team specializzati del tuo provider di cloud computing, per sviluppare un framework di supervisione digitale che garantisca il rispetto degli standard giurisdizionali più elevati e dei tuoi obblighi legali.
7. Implementa controlli di accesso granulari. Stabilire permessi dettagliati garantisce che le interazioni con i dati siano regolate dal principio del privilegio minimo. Puoi applicare politiche precise di gestione delle identità e degli accessi (IAM) che stabiliscano esattamente chi dovrebbe accedere a tali dati, in quali condizioni e per quale scopo.
8. Costruisci la resilienza per i sistemi mission-critical. Anche i tuoi protocolli di backup devono rispettare i rigorosi requisiti di sovranità dei dati, proteggendo al contempo da eventuali guasti del sistema. Ciò si traduce, ad esempio, nella distribuzione dei dati su più zone di disponibilità all'interno della stessa regione.
9. Punta alla fiducia dei clienti. La sovranità dei dati riguarda molto più della semplice conformità. Costruisci una fiducia profonda e duratura con i tuoi clienti quando sanno che i loro dati sono al sicuro. Questo rappresenta un vantaggio competitivo potente in un mercato globale sempre più complesso e incerto.

La Sovranità dei Dati a livello industriale

La sovranità dei dati è rilevante per tutte le aziende, ma in particolare per le organizzazioni in cui fiducia, conformità normativa e continuità operativa sono strettamente interconnesse. Di seguito sono riportati alcuni esempi di settori in cui la sovranità dei dati riveste un'importanza particolare.
 

Pubblica Amministrazione

Le organizzazioni del settore pubblico sono sottoposte a pressioni crescenti per adottare soluzioni cloud nel rispetto dei mandati nazionali di protezione dei dati. I governi si avvalgono delle pratiche di sovranità dei dati per stabilire normative, mantenere il controllo e creare politiche per la gestione dei dati all'interno dei propri confini.

La sovranità dei dati è spesso legata a preoccupazioni più ampie riguardanti l'indipendenza, la sicurezza e il controllo a lungo termine dei dati dei cittadini. Una delle principali sfide per le organizzazioni del settore pubblico consiste nel modernizzare la propria infrastruttura digitale senza introdurre dipendenze esterne problematiche che limitino questo controllo.

Manifatturiero

I produttori operano lungo catene di approvvigionamento globali in cui la proprietà intellettuale e i dati operativi vengono costantemente scambiati. Proteggere tali dati organizzativi pur mantenendo la collaborazione tra regioni introduce complesse sfide in materia di sovranità, in particolare con l'aumentare dei rischi geopolitici in specifiche aree geografiche.

Servizi Finanziari

Le istituzioni finanziarie operano per loro natura nel rispetto di alcuni dei requisiti normativi più stringenti, data la sensibilità dei dati finanziari. La sovranità dei dati in questo contesto è strettamente legata all'auditabilità, alla resilienza e alla gestione del rischio. Anche piccole lacune nel controllo possono comportare sanzioni legali e finanziarie significative.

La Prospettiva di Liferay: flessibilità e scelta come vantaggio strategico

Liferay tratta la sovranità dei dati come un principio fondamentale di design, non come una funzionalità secondaria.

Anziché limitare le organizzazioni a un unico modello operativo, Liferay DXP è progettato per supportare molteplici approcci di deployment che possono utilizzare la stessa piattaforma core. Ciò consente alle organizzazioni di allineare le proprie decisioni infrastrutturali a esigenze normative, operative e strategiche molto specifiche.

Cosa significa questo in pratica?

Con Liferay DXP, puoi:

• Effettuare il deployment in ambienti self-hosted o su cloud privato quando è richiesto il pieno controllo sull'archiviazione e sull'accesso ai dati. La sicurezza dei dati è fondamentale in questi ambienti di cloud computing per proteggere i dati sensibili e garantire la conformità alle normative regionali.
• Operare all'interno di infrastrutture Kubernetes gestite dal cliente per mantenere la governance dei dati e la sovranità digitale. L'identità digitale è anche un aspetto chiave, che consente a individui e organizzazioni di controllare l'accesso e le credenziali nel rispetto dei requisiti di sovranità dei dati.    
• Sfruttare provider cloud regionali o sovrani, ove appropriato, per conformarsi alle leggi locali e alle best practice in materia di sovranità dei dati.
• Utilizzare servizi cloud gestiti nei contesti in cui soddisfano i requisiti di conformità e supportano le politiche di protezione e gestione dei dati.

Ciò che rimane costante in tutti questi modelli è la piattaforma stessa. Funzionalità, integrazioni e API non devono cambiare al mutare delle strategie di deployment.

In questo modo, la tua organizzazione può andare avanti con flessibilità.
 

La Sovranità dei Dati come fulcro della strategia aziendale

È evidente che la sovranità dei dati non è una discussione accademica avvolta in tecnicismi legali e astrazioni, bensì il cuore di operazioni aziendali ben gestite. Questo diventerà sempre più vero man mano che ci addentreremo nell'era dell'adozione dell'intelligenza artificiale.

Quando mantieni il controllo sui tuoi dati, otterrai risultati positivi con i tuoi clienti e rimarrai conforme alle normative.

Il passo successivo: esegui un audit tecnologico

Il tuo attuale stack tecnologico è in grado di soddisfare le pressanti esigenze della sovranità dei dati? Verifica le tue piattaforme per identificare in che modo stai supportando la piena portata della sovranità dei dati e dove sei esposto a rischi.

Scopri di più sui modelli di distribuzione di Liferay - Liferay SaaS/PaaS/self-hosted e Cloud Native Experience - per capire come mantenere la tua flessibilità man mano che le esigenze normative e operative evolvono, oppure parla con un esperto per trovare una tecnologia in grado di soddisfare i tuoi requisiti.