Fuerza 5: Normativas gubernamentales y sectoriales
Las autoridades reguladoras todavía están tratando de ponerse al día con la computación en la nube, por no hablar de la revolución que está causando la digitalización de las empresas, ahora que ya no hay un centro de datos que auditar o un log de firewall que revisar.
Impacto de la nube en las normativas
Al igual que la nube reduce los perímetros físicos de las organizaciones, la nube también reduce y difumina la brecha digital entre países y naciones. Para muchas organizaciones, saber dónde se encuentran sus datos debería ser un requisito fundamental, pero para muchos no siempre es obvio. Responder a una solicitud del gobierno o de un regulador diciendo que nuestros datos "están en la nube" no es quizás la respuesta correcta. En cambio, el regulador ha dejado claro en las recientes revisiones de la ley de protección de datos, como el GDPR implementada en la UE, que las organizaciones deben saber dónde se encuentran sus datos. Es un requisito legal y, a medida que veamos que se introducen regulaciones actualizadas en todo el mundo, este requisito será obligatorio para la mayoría de las organizaciones.
Impacto de la geolocalización en las normativas
No sólo la geolocalización de los datos es un requisito, sino también la comprensión de por qué la organización tiene estos datos, cuánto tiempo puede retenerlos, qué controles organizativos y de seguridad se requieren, y qué acuerdos existen para transferir estos datos transfronterizos a otros responsables y encargados del tratamiento de datos. Todas estas son preguntas que la organización debería poder responder fácilmente. A medida que vemos una consolidación de estos requisitos, también vemos una aceleración en el conocimiento de los consumidores de sus derechos bajo las nuevas leyes de protección de datos y privacidad. El RGPD (o GDPR), la LGPD, CCPA y la POPIA son sólo algunos ejemplos nacionales o estatales en los que las autoridades nacionales han dejado claro que la protección de los datos de los consumidores es fundamental y están dispuestas a tomar medidas incluso contra las organizaciones más grandes que no se toman en serio sus obligaciones.
En todo el mundo, los países y las Uniones han aplicado fuertes exigencias para controlar y proteger los datos dentro y fuera del país. Para estos países, la conectividad transfronteriza debe ser controlada y las organizaciones dependen de que existan acuerdos válidos. La complejidad de las normas vigentes sigue afectando a nivel global tanto a los departamentos de seguridad como a los de protección de datos, que necesitan visibilidad y control sobre su red y sus sistemas para no incumplir estas leyes. Para muchas de estas leyes, no hay una respuesta sencilla, ya que las normas y directrices siguen desarrollándose para respaldar mejor las intenciones del gobierno de apoyar tanto su economía como sus acuerdos comerciales.
Las recomendaciones para gestionar mejor estos campos de minas normativos incluyen el mapeo de los flujos de datos de la organización para entender realmente dónde puede necesitar su organización hacer frente a estas cuestiones antes de que impacten negativamente a la misma. Entender desde dónde y hacia donde se conectan los empleados en los servicios en la nube, por ejemplo, ayudará a mantener un inventario transfronterizo de las ubicaciones que pueden necesitar un control y/o análisis adicional. Compartir esta información proporcionará una mayor visibilidad en toda la organización y puede ayudar a los departamentos de asesoría jurídica, de gestión de riesgos y de auditoría a comprender los requisitos La creación de una sólida coalición junto al departamento de seguridad que tenga en cuenta la variable de la ubicación que aporta la computación en la nube es un buen primer paso para gestionar estas fuerzas.
Fuerza 6: Fuerzas sociales y económicas globales
Una estrategia de seguridad también debe ser implementada para ser conscient