Teniendo en cuenta la atención de nivel forense que se prestaba al lugar de residencia de datos en los primeros días de la nube, es interesante la poca atención que se presta ahora a este asunto. Explicar a los demás CISO (y a las principales partes interesadas) las numerosas dificultades que plantean ciertos problemas de residencia de datos y por qué son importantes las visualizaciones en tiempo real del flujo de datos, suele ser un ejercicio interesante. La aparición del RGPD/GDPR, más o menos al mismo tiempo que se aceleraba la adopción de la nube, dio a las organizaciones un claro imperativo de entender los flujos de datos, pero a medida que todos nos familiarizamos con la nube, creo que muchos encontraron unas garantías poco precisas con el desafío de la residencia de datos y/o la soberanía de datos. La disrupción global actual nos devuelve a este desafío; como ejemplo, he tenido un número importante de conversaciones en los últimos 10 días sobre el asunto de los datos que se transfieren a ciertas jurisdicciones o que se originan en ellas.
Entonces, ¿de qué hablamos exactamente cuándo nos referimos a los flujos de datos? En pocas palabras, se trata de entender que el hecho de que el proveedor de servicios en la nube que ha contratado sea una empresa con sede en Estados Unidos—y que todo su equipo trabaje desde Alemania—no significa que los flujos de datos sólo impliquen a Estados Unidos y Alemania. Por razones normativas, así como por motivos de protección de datos internos, los departamentos de TI y de seguridad de la información deben identificar los países adicionales en los que se almacenan, procesan