La materia prima de cualquier negocio son sus datos, ya que al interpretarlos llegamos a tener la información. Es así como los datos dependiendo de la geografía en la que se esté hablando, están sujetos a leyes y normas, rigiendo desde donde se generen esos datos hasta donde se almacenan, y cómo se manipulan. Sin embargo, cuando menos en México y Latinoamérica, no percibo que esto represente un sentimiento de “urgencia” cuando en realidad todo puede fracasar por no prestar suficiente importancia a este tema.
La “ilusión”: no tienes el control de los datos como tú crees
Muchas empresas creen que sus datos son totalmente suyos… hasta que descubren que, por temas jurisdiccionales realmente no les pertenecen al 100%. En principio, si los datos están fuera del país de la empresa, los datos (y en cierto nivel tu empresa) también lo están, cuando menos jurisdiccionalmente hablando.
Y con esto en mente, el riesgo no es donde se guardan los datos, sino quien o quienes pueden exigir acceso a ellos, inclusive sin avisarte. La pregunta entonces deja de ser si tus datos están seguros o no sino, más bien ¿quién más puede ver legalmente mis datos además de mí? Puedes profundizar en esto en ejemplos como los siguientes:
- US CLOUD act (2018): Permite a autoridades estadounidenses exigir datos a empresas bajo su jurisdicción, aunque los datos estén físicamente fuera de los Estados Unidos
- USA PATRIOT ACT: Amplia capacidades de acceso a la información por seguridad nacional
- GDPR (responsabiliza a la empresa y no al proveedor demostrando control y legalidad)
- Schrems II (2020) Que invalida acuerdos de transferencia de datos entre la Unión Europea y EE. UU
- LFPDPPP de México: permite transferencia internacional de datos, pero con la responsabilidad fincada en la empresa mexicana.
- LGPD Brasil (Colombia, Chile y Argentina con marcos similares): Se permite transferencia de datos, pero no se transfiere la responsabilidad.
Solo por mencionar algunas bases legales y regulatorias.
El problema real: Arquitectura sin soberanía
La soberanía de datos deja de ser un tema legal para convertirse en un tema de continuidad de negocio.
Así vemos que ciertas iniciativas tecnológicas han avanzado sin actualizarse en el tema de soberanía como lo serían las estrategias multi nube, perdiendo el control de los datos por su esquema distribuido, sin estrategias de gobierno de datos.
De forma inocente la mayoría de las empresas se preocupan mucho por proteger sus aplicaciones, pero no se preocupan por controlar dónde residen ni como fluyen sus datos.
Las APIs son las piezas de software que conectan sistemas entre si, y cada vez que conectas sistemas, también estás abriendo la posibilidad de perder control sobre tus datos.
El simple uso de la nube de internet te permite ganar flexibilidad y expansión, pero por lo mismo aumenta la “superficie” de estar expuestos regulatoriamente. Lo peor es pensar en este aspecto que los proveedores de nube heredan la responsabilidad sobre la soberanía de los datos, cuando en realidad, ellos solo proporcionan la infraestructura, y la responsabilidad sigue siendo de tu empresa exclusivamente.
El choque regulatorio: México, LATAM y el mundo simultáneamente
Es claro que cumplir con las leyes locales ya no es suficiente, y es que todas las regulaciones de todas partes del mundo pueden aplicar simultáneamente.
Esto implica que, aun cumpliendo con el marco regulatorio de tu país de origen, puedes violar leyes y regulaciones extranjeras sin saberlo.
Por ejemplo, GDPR no te va a sancionar por hackeos, te sancionará por no tener control sobre tus datos.
Y es que, el problema no es en si la multa, es la inhabilitación operativa derivada del incumplimiento, lo cual, puede en un tiempo muy corto acabar con todo tu negocio.
3 riesgos principales que afectarán tu negocio
No son los únicos, pero si los más viables:
- Riesgo operativo: Si no sabes donde residen tus datos no puedes garantizar su disponibilidad ni su integridad ni su recuperación.
- Riesgo reputacional: “No hay una segunda oportunidad para dar una primera impresión” y así, la confianza del cliente desaparece cuando descubre que sus datos están residiendo en una jurisdicción que ni eligió ni estuvo de acuerdo en ni siquiera saberlo.
- Riesgo legal: Como lo mencioné antes, puedes cumplir al 100% con regulaciones de tu país y aún así estar expuesto fuera de él.
Ejemplos de mala soberanía de datos por industria
No pretendo ser extensivo en este aspecto, pero es importante entender como puede haber un riesgo sistémico para múltiples clientes y proveedores sin siquiera pensarlo:
- Bancos: si sus datos financieros están fuera del país están expuestos a reguladores extranjeros.
- Tiendas de autoservicio y comercio: Las APIs (conexiones digitales entre sistemas propios y de terceros) que estén “abiertas” o sin control son el camino fácil para filtraciones masivas de datos sin siquiera violar controles tradicionales que generan una falsa percepción de seguridad.
- Sector salud: historiales de pacientes en ambientes globales de nube pueden ser la causa de un conflicto entre privacidad local y acceso internacional.
- Telecom: el tráfico que cruza fronteras entre países puede caer en incumplimiento bajo marcos legales externos.
Solo por mencionar algunos ejemplos de problemas de soberanía de datos.
Analizando la falsa sensación de seguridad
El tema es que ya no es suficiente encriptar los datos, se debe controlar su acceso, su tránsito y su procesamiento, todo en conjunto.
Por igual, no basta con proteger las aplicaciones, se debe de proteger la lógica de negocios expuesta en las conexiones con otros sistemas (APIs).
Zero Trust que es un enfoque donde nadie, ni dentro ni fuera de la empresa, tiene acceso automático a información o sistemas, donde cada acceso se valida continuamente según contexto, riesgo y necesidad, es un tema que gana relevancia para la soberanía de datos, por no tratarse de un tema relacionado únicamente con identidad, es por igual un control contextual del acceso a datos sensibles.
Por lo anterior, lo que no “se ve” no se puede ni gobernar ni defender, haciendo claro que herramientas y estrategias para ganar visibilidad de los datos es uno de los componentes para proteger todo lo que es sensible.
Finalmente, la soberanía de datos no se va a resolver con contratos, se va a resolver con una estrategia basada en la arquitectura de la información.
¿Por qué la soberanía de datos es un problema de negocio y no de tecnología?
Todo empieza con aspectos en los que un porcentaje de los datos críticos de muchos negocios están sujetos a jurisdicciones externas que generalmente son desconocidas.
Basta con un dato que no se sepa donde reside para poder afectar a la totalidad del negocio.
Si a eso agregamos los riesgos inherentes a las conexiones (APIs) entre sistemas que están en posibilidad de exponer a datos sensibles, el riesgo aumenta desproporcionalmente.
Es así como muchas empresas hablan de cuan innovadoras son, pero desconocen que están operando con arquitecturas que desde su diseño violan la soberanía de los datos.
Por lo anterior, lograr eficiencia operativa y grandes velocidades digitales de forma descontrolada en lo referente a sus datos va creando un riesgo que crece de manera invisible.
Conclusión
Debe de quedar claro que la soberanía de los datos no es un “proyecto” es un aspecto estratégico permanente.
Esto no es responsabilidad de las áreas de tecnología, la responsabilidad inicial recae en la dirección general y las áreas estratégicas de la empresa.
Lo relevante es tener control sobre las decisiones sobre los datos, en vez de que alguien más que no sea la misma empresa esté decidiendo arbitrariamente todo esto.
Es así como el verdadero riesgo no es si se invirtió adecuadamente en la soberanía de los datos, es más bien descubrir demasiado tarde que nunca hubo soberanía de los datos.
Mpolishuk's Blog 