Opkomst van soevereine clouds: stel dataportabiliteit centraal

BLOG – De opkomst van soevereine clouds is onvermijdelijk nu regelgeving en geopolitieke onrust bedrijven dwingen om opnieuw na te denken over de opslag van hun data. Lokale cloudomgevingen zijn belangrijk om data binnen specifieke jurisdicties te houden en te voldoen aan lokale compliance-eisen. Soevereine clouds kunnen echter niet slagen zonder dataportabiliteit, oftewel de mogelijkheid om data naadloos te verplaatsen tussen systemen en locaties. Organisaties moeten nu actie ondernemen als ze de flexibiliteit willen behalen en behouden om aan ieder scenario te voldoen. De realiteit is dat het verplaatsen van data tussen hybride omgevingen, en dus ook naar een soevereine cloud, verre van eenvoudig is. Het gaat namelijk niet alleen om het verplaatsen van primaire data, maar ook om het beschermen ervan. Hierbij moet ook rekening worden gehouden met bijbehorende datasets zoals backups en data die worden gebruikt in ai-toepassingen. De focus moet altijd liggen op dataveerkracht, ongeacht waar data zijn opgeslagen. Streng Recent ingevoerde regelgeving heeft organisaties ertoe aangezet anders naar hun data te kijken. Verder is de Europese Unie (EU) bijzonder streng geweest met de invoering van de Algemene Verordening Gegevensbescherming (AVG), die datasoevereiniteit vastlegt. Deze verordening bepaalt dat de wetten van het land waar de data worden opgeslagen of verwerkt, van toepassing zijn op de data, ongeacht waar deze oorspronkelijk zijn verzameld. Er wordt ook speciale aandacht besteed aan de dataketen binnen de EU. Zowel NIS2 als Dora vereisen robuust risicobeheer voor data, met name wanneer deze door derden worden bewaard of verwerkt. Dat is met name relevant omdat veel data, waaronder ook gevoelige en vertrouwelijke data, steeds vaker door derden, namelijk cloudproviders, worden verwerkt en over grenzen heen worden verplaatst. Door deze toegenomen databeweging tussen landen of zelfs continenten en de bezorgdheid over wereldwijde instabiliteit, hebben veel overheden al stappen genomen richting een soevereine cloud. Op deze clouds willen ze hun gevoeligste gegevens niet alleen veilig houden voor derden, maar ook voor cybercriminelen. Sommige overheden gaan nog een stap verder en stoten hun belang in buitenlandse cloud- en data-infrastructuur af om in plaats daarvan te investeren in hun eigen infrastructuur. Zo voorkomen ze dat gevoelige gegevens bij buitenlandse providers worden opgeslagen. Dataportabiliteit Om soevereiniteit te bereiken, moeten organisaties de dataportabiliteit verankeren in hun data-resilienceplanning. Er is immers een dunne lijn tussen het beschermen van data en het onbedoeld beperken ervan. Als organisaties dataportabiliteit niet kunnen garanderen, is de overstap naar hybride cloudomgevingen een no-go. Er zijn software-as-a-service (saas)- en disaster recovery-as-a-service (draas)-providers die het proces kunnen vereenvoudigen, maar het is geen taak die volledig aan een derde partij is uit te besteden. Organisaties moeten nog steeds een praktische aanpak hanteren en deze actief beheren om hun data gedurende het hele proces veilig te houden. Doen ze dit niet, dan zullen ook soevereine clouds niet voldoen aan de geldende regelgevingen. Dit is echter niet zonder voorbehoud. Grote, multinationals die actief zijn in meerdere landen en continenten zullen bijvoorbeeld meerdere cloudomgevingen nodig hebben om hun soevereine clouds te huisvesten. Dit zorgt echter ook voor meer complexiteit voor zowel de monitoring als het beheer van data in verschillende rechtsgebieden. Daarnaast kan het leiden tot datafragmentatie. Om deze risico’s en uitdagingen te overkomen, is dataportabiliteit essentieel. Welke aanpak ook wordt gekozen, het naadloos verplaatsen van data tussen platformen en clouds is essentieel voor organisaties die worstelen met datasoevereiniteit. En naarmate (lokale) regelgeving verder wordt uitgebreid, zal deze portabiliteit organisaties een voorsprong geven op het gebied van toekomstige naleving. Datasoevereiniteit Informatiestromen zijn nu een eigen vorm van handel en kunnen zelfs hun eigen economische waarde genereren. En met wereldwijde instabiliteit als een alomtegenwoordige factor, zal datasoevereiniteit alleen maar hoger op de prioriteitenlijst komen te staan. Maar het is geen taak die zomaar aan een externe leverancier is over te dragen. Hoewel organisaties het zich misschien nog niet helemaal realiseren, zijn datasoevereiniteit en operationeel inzicht nauw met elkaar verbonden. Om data te beveiligen, moet je precies weten waar deze worden opgeslagen en hoe. Met dit uitgebreide inzicht in het datalandschap, kan je vervolgens de activiteiten of processen identificeren waar dataveerkracht mogelijk tekortschiet. En door dataveerkracht vanaf de basis te verwerken, kunnen organisaties beveiliging, compliance en soevereiniteit in hun bedrijfsvoering verankeren en deze actief beheren door middel van risicobeoordelingen, compliance-audits en strategieën die rekening houden met meerdere leveranciers. Hiermee kunnen organisaties hybride cloudomgevingen effectief benutten, bijvoorbeeld door de meest gevoelige data on-premises op te slaan onder strikte regelgeving voor datasoevereiniteit, terwijl minder kritieke data naar de cloud worden overgeheveld. Dit is echter alleen te bereiken door prioriteit te geven aan dataportabiliteit. In plaats van te wachten tot regelgeving dit afdwingt, moeten organisaties proactief zijn om te profiteren van de flexibiliteit, duurzaamheid en, nog belangrijker, de beveiliging van de cloud. Michael Cade, global field cto Veeam