“Cloud” soberana, finalmente um controlo total sobre os dados?

O conceito de cloud soberana está a ganhar força na Península Ibérica. A verdadeira descoberta depois deste modelo que promete conformidade regulamentar e custódia de dados em Portugal e Espanha é que as empresas terão finalmente a ferramenta mais valiosa: o controlo sobre os dados.

Anúncios de aberturas de regiões de cloud na Península Ibérica, com especial destaque para a nossa vizinha Espanha, têm acontecido nos últimos anos. A IBM, AWS, Microsoft, Oracle e Google Cloud anunciaram novas zonas nos últimos anos. Alguns já se concretizaram, como é o caso da Mountain View, que acaba de ser proclamada a primeira hiperescala a abrir uma região de cloud em Espanha.

Durante a sua apresentação oficial, Isaac Hernández, diretor-geral do Google Cloud para a região da Península Ibérica, ligou a adoção da cloud ao nível de modernização de um país. A 33ª região global de rede da empresa oferecerá baixa latência (apenas 1 ms), elevada disponibilidade e proteção de dados para as empresas. Estes são os maiores atrativos de qualquer região de cloud que se preze : a proximidade dos dados que garantem a conformidade regulatória e, acima de tudo, o seu controlo .

A garantia de confidencialidade, segurança e soberania de dados da primeira região de cloud operacional na Península Ibérica será reforçada através da SIA, uma subsidiária de cibersegurança da Minsait, parceiro estratégico da Google. A empresa espanhola contribuirá, tal como foi anunciado no momento do lançamento oficial da região de cloud de hiperescala, a sua experiência na gestão de chaves de encriptação externa, serviços de segurança, gestão de infraestruturas em cloud e suporte ao local, bem como a auditoria em curso do centro de dados. A encriptação dos dados em repouso e em trânsito será garantida.

Confiança e hibridização como conceitos-chave

A cloud soberana pode trazer muitos benefícios para as empresas. O conceito é “muito interessante” para María Jesús Castro, Diretora de Organização e Sistemas da DKV Seguros. “A dependência de países terceiros em questões muito diversas pode gerar tensões e insegurança, tanto na operação como no controlo de quem acede aos dados”, afirmou em declarações ao Computerworld.

Assim, o conceito de cloud soberana parece ser a proposta de valor final na segurança, embora não seja sem desafios. Para María Jesús Castro, são “as mesmas propostas às empresas que utilizam serviços na cloud”. Com isso quer dizer confiança. “A confiança na ética dos fornecedores e na honestidade é muito importante”, diz. “Temos de confiar que os regulamentos, normas e políticas de segurança que se aplicam são cumpridos”, explica, porque o controlo não está diretamente na empresa que acolhe os seus dados na cloud.

É necessário assegurar, por exemplo, que o acordo no contrato seja cumprido e que os controlos estabelecidos garantam que a informação não seja acedida sem a autorização do proprietário. Isto também deve ser alargado às empresas subcontratadas pelo prestador de serviços na cloud.

Enrique Cervantes, CISO da Fintonic, uma empresa fintech, acredita que o principal desafio continuará a ser a “hibridização” deste tipo de cloud com ambientes no local e outros serviços na cloud que continuarão a ser necessários. “Isto implica a necessidade de estratégias baseadas em arquiteturas de segurança global” que permitam “elementos comuns para prevenir, detetar e responder a incidentes em infraestruturas”. É um grande desafio, adverte, “especialmente se pensarmos em perímetros mal definidos ou na monitorização de ambientes tão heterogéneos”.

A cloud soberana garante o controlo dos dados?

Para Enrique Cervantes, falar de garantias ou 100% de cibersegurança é muito complexo.  No entanto, salienta que  uma zona de disponibilidade  em cloud “simplifica os procedimentos e, em geral, a gestão de todo o ciclo de vida dos dados e da sua localização” o que contribui, sem dúvida, para um melhor controlo.

Na mesma linha, María Jesús Castro fala. Uma garantia de 100% é “muito difícil”, diz, porque a empresa que contrata o serviço não tem a gestão. “Será possível avançar para ter provas de que o controlo de acesso é feito corretamente e que ninguém acede à sua informação sem a sua permissão”, explica. O que garante é que “nenhum país terceiro teria acesso à sua informação sem o seu conhecimento ou autorização, porque o fornecedor de cloud está sujeito a legislação que não a sua”.

Neste sentido, vale a pena mencionar a Cloud Act, a lei federal dos EUA aprovada em março de 2018 e que permite ao governo deste país aceder a dados armazenados por empresas americanas, independentemente do local onde estão localizados, sim, por ordem judicial justificada por razões de segurança. Como é que isto entra em conflito com o Regulamento Geral europeu de Proteção de Dados (RGPD)?  O artigo 48º do regulamento especifica a necessidade de um acordo para a transferência de dados para fora da UE e só o permite quando forem cumpridos determinados requisitos de proteção e garantias de conformidade.

Importa que as empresas Ibéricas usem fornecedores europeus para garantir um maior controlo sobre a localização dos dados, uma vez que estarão mais alinhados com o RGPD.