De opkomst van soevereine clouds is onvermijdelijk geworden nu regelgeving en geopolitieke onrust bedrijven dwingen om opnieuw na te denken over de opslag van hun data. Lokale cloudomgevingen worden steeds belangrijker om data binnen specifieke jurisdicties te houden en te voldoen aan lokale compliance-eisen. Soevereine clouds kunnen echter niet slagen zonder dataportabiliteit, oftewel de mogelijkheid om data naadloos te verplaatsen tussen systemen en locaties. Organisaties moeten nu actie ondernemen als ze de flexibiliteit willen behalen en behouden om aan ieder scenario te voldoen.
De realiteit is dat het verplaatsen van data tussen hybride omgevingen, en dus ook naar een soevereine cloud, verre van eenvoudig is. Het gaat namelijk niet alleen om het verplaatsen van primaire data, maar ook om het beschermen ervan. Hierbij moet ook rekening worden gehouden met bijbehorende datasets zoals back-ups en data die worden gebruikt in AI-toepassingen. De focus moet altijd eerst liggen op dataveerkracht, ongeacht waar data zijn opgeslagen.
De impact van regelgeving en geopolitieke onrust
Recent ingevoerde regelgeving heeft organisaties ertoe aangezet om anders naar hun data te kijken. Verder is de Europese Unie (EU) bijzonder streng geweest met de invoering van de Algemene Verordening Gegevensbescherming (AVG), die datasoevereiniteit vastlegt. Deze verordening bepaalt dat de wetten van het land waar de data worden opgeslagen of verwerkt, van toepassing zijn op de data, ongeacht waar deze oorspronkelijk zijn verzameld. Er wordt ook speciale aandacht besteed aan de dataketen binnen de EU. Zowel NIS2 als DORA vereisen robuust risicobeheer voor data, met name wanneer deze door derden worden bewaard of verwerkt.
Dat is met name relevant omdat veel data, waaronder ook zeer gevoelige en vertrouwelijke data, steeds vaker door derden, namelijk cloudproviders, worden verwerkt en over grenzen heen worden verplaatst. Door deze toegenomen databeweging tussen landen of zelfs continenten en de bezorgdheid over wereldwijde instabiliteit, hebben veel overheden al stappen genomen richting een soevereine cloud. Op deze clouds willen ze hun meest gevoelige gegevens niet alleen veilig houden voor derden, maar ook voor cybercriminelen. Sommige overheden gaan nog een stap verder en stoten hun belang in buitenlandse cloud- en data-infrastructuur af om in plaats daarvan te investeren in hun eigen infrastructuur. Zo kunnen ze voorkomen dat gevoelige gegevens bij buitenlandse providers worden opgeslagen.
Dataportabiliteit
Om soevereiniteit te bereiken, moeten organisaties ervoor zorgen dat dataportabiliteit is verankerd in hun data resilience-planning. Er is immers een dunne lijn tussen het beschermen van data en het onbedoeld beperken ervan. Als organisaties dataportabiliteit niet kunnen garanderen, is de overstap naar hybride cloudomgevingen een no-go.
Er zijn Software-as-a-Service- (SaaS) en Disaster Recovery-as-a-Service- (DRaaS) providers die het proces kunnen vereenvoudigen, maar het is geen taak die volledig aan een derde partij kan worden uitbesteed. Organisaties moeten nog steeds een praktische aanpak hanteren en deze actief beheren om ervoor te zorgen dat hun data gedurende het hele proces veilig blijven. Doen ze dit niet, dan zullen ook soevereine clouds niet voldoen aan de geldende regelgevingen.
Dit is echter niet zonder voorbehoud. Grote, multinationals die actief zijn in meerdere landen en continenten zullen bijvoorbeeld meerdere cloudomgevingen nodig hebben om hun soevereine clouds te huisvesten. Dit zorgt echter ook voor meer complexiteit voor zowel de monitoring als het beheer van data in verschillende rechtsgebieden. Daarnaast kan het leiden tot datafragmentatie.
Om deze risico’s en uitdagingen te overkomen, is dataportabiliteit essentieel. Welke aanpak ook wordt gekozen, het naadloos verplaatsen van data tussen platformen en clouds is essentieel voor organisaties die worstelen met datasoevereiniteit. En naarmate (lokale) regelgeving verder wordt uitgebreid, zal deze portabiliteit organisaties een voorsprong geven op het gebied van toekomstige naleving.
Datasoevereiniteit
Informatiestromen zijn nu een eigen vorm van handel en kunnen zelfs hun eigen economische waarde genereren. En met wereldwijde instabiliteit als een alomtegenwoordige factor, zal datasoevereiniteit alleen maar hoger op de prioriteitenlijst komen te staan. Maar het is geen taak die zomaar aan een externe leverancier kan worden overgedragen.
Hoewel organisaties het zich misschien nog niet helemaal realiseren, zijn datasoevereiniteit en operationeel inzicht nauw met elkaar verbonden. Om data te beveiligen, moet je precies weten waar deze worden opgeslagen en hoe. Met dit uitgebreide inzicht in het datalandschap, kan je vervolgens de activiteiten of processen identificeren waar dataveerkracht mogelijk tekortschiet. En door dataveerkracht vanaf de basis te verwerken, kunnen organisaties beveiliging, compliance en soevereiniteit in hun bedrijfsvoering verankeren en deze actief beheren door middel van risicobeoordelingen, compliance-audits en strategieën die rekening houden met meerdere leveranciers. Hiermee kunnen organisaties hybride cloudomgevingen effectief benutten, bijvoorbeeld door de meest gevoelige data on-premises op te slaan onder strikte regelgeving voor datasoevereiniteit, terwijl minder kritieke data naar de cloud worden overgeheveld. Dit kan echter alleen worden bereikt door prioriteit te geven aan dataportabiliteit. In plaats van te wachten tot regelgeving dit afdwingt, moeten organisaties proactief zijn om te profiteren van de flexibiliteit, duurzaamheid en, nog belangrijker, de beveiliging van de cloud.
Dit is een ingezonden bijdrage van Veeam. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.