Las organizaciones de todo el mundo, y los datos que recopilan y usan a diario, existen más allá de los límites físicos tradicionales de los países. Por ello, aunque una empresa tenga una infraestructura en la nube que abarque todo el mundo, las leyes y regulaciones regionales o nacionales pueden tener un gran impacto en cómo almacenar los datos y cómo acceder a ellos. Incluso si están en la nube.
La soberanía de los datos se basa en que las organizaciones deben tener en cuenta las leyes locales de la región o el país en el que se recopilan esos datos. Esto es algo que ha ido ganado en importancia gracias a regulaciones como el Reglamento General de Protección de Datos (GDRP). En este sentido, las empresas no sólo tienen que pensar dónde se almacenan sus datos, sino que necesitan, también, poder administrar fácilmente el acceso a sus datos en un país o región determinado y poder exportar, rápidamente, los registros de auditoría para satisfacer los requisitos de cumplimiento.
Un mundo más conectado… y otro más dispar
Las cosas solían ser más simples en un mundo solo local ya que, aunque una empresa tuviera múltiples operaciones en diferentes países, tan sólo necesitaba configurar, para cada nueva operación, una nueva infraestructura local y los datos se almacenarían en silos en dicha ubicación local, en el país en el que estaba operando. Pero con la digitalización y el cambio a soluciones SaaS nativas de la nube, las cosas se han vuelto más complejas para las organizaciones. Ahora, deben trabajar con sus proveedores de SaaS y proveedores de la nube para determinar qué datos está almacenando, dónde los está almacenando y quién tiene acceso a esas claves y credenciales.
Además, existen estrictas normas de protección de datos que deben cumplirse. Por ejemplo, GDPR, adoptado en 2016, requiere que cualquier organización que opere en la Unión Europea siga unas reglas específicas al procesar los datos personales de los residentes de la UE. Por ello, a medida que un mayor número de países introducen sus propios tipos de regulaciones de privacidad de datos, se vuelve más difícil para las organizaciones asegurarse de que cumplen con cada ley local en todas sus operaciones.
Por otro lado, el contexto geopolítico también ha situado la soberanía de los datos en el primer puesto de la lista de prioridades de las organizaciones, ya que las nuevas sanciones les obligan a dejar de hacer negocios y procesar datos en un país donde anteriormente tenían operaciones o clientes. Entonces, ¿cómo revoca esa empresa rápidamente el acceso si lo necesita y prueba que ya no está operando en las áreas sancionadas?
Políticas de acceso granular
El desafío al que se enfrentan muchas organizaciones que operan en varios países es que necesitan equilibrar los requisitos de soberanía de los datos con la naturaleza de sus negocios, en los que, a menudo, utilizan soluciones SaaS centralizadas para almacenar secretos, credenciales y claves. Unas soluciones centralizadas que ayudan a aumentar la eficiencia operativa de los equipos de seguridad, aunque las organizaciones deben asegurarse de cumplir con los requisitos de las regulaciones de soberanía de datos.
Por ejemplo, imaginemos que una empresa opera en toda Europa, incluidas Francia y Alemania, y que utiliza repositorio centralizado para proteger sus secretos (claves, credenciales y más), además de tener identidades humanas y de máquinas que necesitan acceder a los datos en la infraestructura específica del país, utilizando esos secretos. Pero debe asegurarse de que las claves de Francia (y los datos a los que pueden acceder) no se otorguen a cuentas en Alemania, o viceversa, para poder cumplir con las regulaciones de soberanía de datos.
Y dado que está utilizando un enfoque moderno para la gestión centralizada de secretos y el acceso no humano, quizá debería considerar el control de acceso granular de sus secretos. De forma similar al control de acceso basado en roles (RBAC), con este tipo de controles es posible configurar políticas de acceso basadas en la ubicación, que garanticen que quienes necesitan acceso a los datos (y solo quienes necesitan acceso, según las leyes y reglamentos de esa región) tendrán acceso. De esa manera, puede satisfacer los requisitos de cumplimiento mientras disfruta de los beneficios de usar una solución centralizada que le otorga visibilidad de sus secretos en todos sus entornos.
Anastasia Sotelsek
Principal sales engineer de CyberArk
