تعد سيادة البيانات موضوعًا ساخنًا. بالنسبة لمؤسسات القطاع التجاري والعام، يعد الامتثال لضمان أمان البيانات الشخصية هدفًا أساسيًا. وهذا يعني أنها لا يمكن أن تخضع لقوانين أو تدخلات أجنبية.
تعد سيادة البيانات أيضًا مسألة تتعلق بالعلاقات الدولية، حيث تسعى الدول جاهدة لضمان تأمين بيانات المواطنين والمنظمات من التدخل الأجنبي. وبالنسبة للدول، يعد تحقيق سيادة البيانات أيضًا وسيلة لحماية الاقتصادات الوطنية وتطويرها.
في هذه المقالة، نلقي نظرة على سيادة البيانات، والخطوات الأساسية التي يتعين على مديري تكنولوجيا المعلومات اتخاذها لبناء استراتيجية سيادة البيانات الخاصة بهم. هذا مراكز التدقيقوالتصنيف وبناء الضوابط على موقع البيانات وحركتها.
ما هي سيادة البيانات، ولماذا تعتبر مشكلة؟
على المستوى الأكثر عمومية، سيادة البيانات هو الاحتفاظ بالبيانات داخل نطاق السلطة القضائية – عادة حدود الولاية – التي تحكم قوانينها استخدامها.
لقد تزايد الاهتمام بسيادة البيانات منذ بعض الوقت. من ناحية، يبدو الأمر أشبه بقانون يلحق بركب “الغرب المتوحش” في السنوات الأولى من استخدام السحابة وشعبيتها. وهنا، سارعت المؤسسات إلى هذا الموقع الجديد عالي المرونة لمعالجة البيانات وتخزينها، ثم اكتشفت لاحقًا المخاطر التي تعرضت لها – وبيانات عملائها -.
وفي الآونة الأخيرة، تصاعد التوجه نحو السيادة الرقمية إلى مستوى مستوى الدول. وقد حصل هذا الاتجاه على دفعة كبيرة خلال الولاية الأولى للرئيس الأمريكي دونالد ترامب. وشهد ذلك إدخال البلاد لـ توضيح قانون الاستخدام القانوني الخارجي للبيانات (السحابة).، على سبيل المثال، والذي من المحتمل أن يسمح لسلطات إنفاذ القانون الأمريكية بالوصول إلى البيانات المخزنة بواسطة الشركات الأمريكية في أي مكان. بدأت أجراس الإنذار تدق، خاصة في أوروبا.
تحقق المنظمات السيادة الرقمية في عملياتها من خلال إخضاع البيانات لقوانين وسيطرة الدولة التي تعمل فيها أو منها. ولكننا بعيدون عن تحقيق ذلك، على سبيل المثال، عندما تمتلك شركات Amazon Web Services (AWS) وMicrosoft Azure وGoogle Cloud Platform (GCP) حوالي 70% من السوق السحابية الأوروبية، في حين أن العديد من المؤسسات الحكومية الأوروبية تستحوذ بشكل كامل أو بأغلبية ساحقة على تعتمد على المتوسعين الفائقين في الولايات المتحدة للخدمات السحابية.
ما هي المخاوف المتعلقة بسيادة البيانات، وما الذي يخطط مديرو تكنولوجيا المعلومات للقيام به؟
تجد الدراسات الاستقصائية بانتظام أن صناع القرار في مجال تكنولوجيا المعلومات يشعرون بالقلق إزاء سيادة البيانات. وجد استطلاع أجرته مؤسسة جارتنر بين 241 من صانعي القرار في مجال تكنولوجيا المعلومات على مستوى العالم أن الأغلبية (75%) من خارج الولايات المتحدة يخططون لوضع استراتيجية للسيادة الرقمية بحلول عام 2030. وفي الوقت نفسه، قال 53% إن المخاوف بشأن الجغرافيا السياسية ستقيد الاستخدام المستقبلي لموفري الخدمات السحابية العالميين، وقال 61% إن مثل هذه المخاوف ستزيد من استخدامهم لموفري الخدمات السحابية الإقليميين أو المحليين.
كما أن التعقيد – واحتمال وجود لوائح متناقضة وزيادة التكاليف – يعد أيضًا مصدر قلق كبير، كما يقول سايمون روبنسون، المحلل الرئيسي للبنية التحتية للتخزين والبيانات في Omdia.
ويقول: “وجد بحثنا أن 74% من المؤسسات تقول إن السحابة السيادية أصبحت أكثر أهمية خلال العامين الماضيين”.
“ومع ذلك، فهي منطقة معقدة وسريعة الحركة. والبيئة التنظيمية والامتثالية تتطور بسرعة. ولكن التحدي الذي تواجهه المنظمات العالمية هو أن بعض اللوائح قد تتعارض بالفعل، مما قد يضطرها إلى التفكير فيما إذا كان من الممكن أن تنتهك قانونًا أو لائحة لإرضاء أخرى.”
ويضيف روبنسون: “على أقل تقدير، يؤدي ذلك إلى ارتفاع التكاليف، وقد يؤدي إلى سياسات بيانات غير متسقة حول الاحتفاظ بها، وقد يؤدي إلى إبطاء اعتماد التقنيات المتقدمة، مثل الذكاء الاصطناعي. [artificial intelligence]”.
لذلك، في حين أن المخاطر المتعلقة بوجود البيانات المخزنة في مراكز البيانات في بلد أجنبي، وعلى البنية التحتية الأجنبية وخضوعها لقوانين ذلك البلد تشكل مصدر قلق كبير، فإن حل هذا الموقف يمكن أن يؤدي إلى مشاكل خاصة به أيضًا.
ما هو تدقيق سيادة البيانات، ولماذا هو مهم جدًا؟
إن جوهر استجابات المنظمة لحالة سيادة البيانات غير المعروفة أو غير الخاضعة للرقابة هو مراجعة بياناتها. هذه هي الخطوة الأولى نحو ضمان الاحتفاظ بالبيانات ومعالجتها داخل حدود الولاية المناسبة.
ومن المرجح أن يتخذ ذلك شكل تحديد المخاطر المتعلقة بفئات مختلفة من البيانات، وفقًا لجون كولينز، نائب الرئيس لشؤون المشاركة والرئيس الميداني للتكنولوجيا في GigaOm.
ويقول: “لم يتم إنشاء جميع البيانات على قدم المساواة، ولم يتم إنشاء جميع أجزاء البنية على قدم المساواة”. “الخطوة الأولى هي تصنيف ما لديك. تحديد ما إذا كان يجب أن يقع ضمن نطاق السيادة، وفهم نوع البيانات، والنظر في كيفية تأثرها فيما يتعلق بالخصوصية والتوطين والامتثال.”
تشمل الأجزاء الرئيسية لاستراتيجية السيادة الرقمية رسم خرائط للأصول الرقمية وتدفقات البيانات طوال دورة حياتها والقوانين التي تخضع لها في جميع المراحل. ثم قم بتصنيف البيانات لتقييم مستويات المخاطر لكل فئة.
يمكن أن يشمل ذلك وضع العلامات الجغرافية، ويجب أن يكون جزءًا من عملية مستمرة، كما تقول بيتينا تراتز رايان، نائب الرئيس والمحلل في شركة Gartner. وتضيف: “تساعد أدوات الاكتشاف التلقائية في تحديد البيانات الحساسة ووضع علامات عليها، سواء في وحدة التخزين الفعلية أو المواقع العرضية مثل محركات الأقراص والمجلدات المشتركة”.
“إن عمليات التدقيق المنتظمة وفحوصات الامتثال غير قابلة للتفاوض وتتطلب سياسات حوكمة قوية ومراجعات يدوية دورية.”
كيفية تقليل التعرض لمخاطر تخزين البيانات
تعتمد استراتيجية تخزين البيانات التي تتناول سيادة البيانات على تصنيف البيانات في تدقيق البيانات للحد من البيانات التي يمكن أن تذهب إلى أين.
وكجزء من عملية التصنيف، ستخضع البيانات لسياسة تتجلى في وضع علامات على البيانات الوصفية تشير إلى حساسيتها وتحملها للحركة.
يقول تراتز-ريان: “يجب على المؤسسات أن تتبنى حوكمة البيانات كنهج للتعليمات البرمجية، وأتمتة الامتثال من خلال البنية التحتية كتقنيات للتعليمات البرمجية للتنفيذ المتسق والمعالجة السريعة”.
وهذا يعني أنه يجب تخزين البيانات الحساسة محليًا أو في مراكز البيانات الإقليمية لتلبية متطلبات الإقامة، مع استخدام السحابة لقابلية التوسع بموجب متطلبات الامتثال الصارمة الخاصة بالمنطقة.
ويضيف تراتز-ريان: “إن المراقبة المستمرة والتشفير والسياج الجغرافي أمر ضروري، ويجب أن تكون الحوكمة مدمجة، وليس مثبتة”.
تعالج هذه الأساليب الصعوبات التي قد تنشأ عند نقل البيانات. من خلال القدرة على مراقبة الامتثال وإمكانية التدقيق المضمنة من خلال التصنيف ووضع العلامات، يمكن فصل أعباء العمل المهمة بسهولة أكبر عن البيانات الأقل حساسية أثناء الراحة وأثناء النقل.
يقول تراتز ريان: “إن الحوكمة الصارمة فيما يتعلق بالموقع والحركة هي حجر الزاوية في تخفيف المخاطر”.
التحديات في الحفاظ على المعرفة والسيطرة
هناك العديد من التحديات التي تواجه تدقيق سيادة البيانات. تتحرك البيانات، وتتحرك عبر الحدود. ربما نعتقد أننا نجحنا في حفظ البيانات في بنيتنا التحتية، في حين تجد البيانات طرقًا خلفية أخرى عبر الحدود. وفي الوقت نفسه، تمثل الأنظمة الاحتكارية تحديات كبيرة لعمليات التدقيق ووضع العلامات، ويقوم الموظفون بإنشاء تكنولوجيا المعلومات الظلية، واستخدام رسائل البريد الإلكتروني، وإرفاق الملفات، وما إلى ذلك.
باختصار، يمكن أن تكون حركة البيانات في المؤسسة معقدة للغاية بالفعل. يقول تراتز رايان إنه من المحتمل أن يكون من السهل تدقيق الجزء الأكبر من بياناتنا والتحكم فيها، لكن المشاكل تأتي مع حالات عرضية لنقل البيانات.
“في المؤسسات المتصلة عالميًا، ستحدث مخاطر السيادة حتى لو تم تخزين البيانات في خوادم محلية. يمكن أن يؤدي الوصول عن بعد، والنسخ الاحتياطية، وتكامل البرامج كخدمة إلى تعرض عابر للحدود، مما يؤدي إلى تحديات الامتثال بموجب قوانين مثل قانون السحابة الأمريكي. كما يمكن تجاوز الحوكمة عن طريق نقل البيانات العرضية عبر الشبكات الخاصة الافتراضية أو الأجهزة الشخصية أو البريد الإلكتروني.
“على سبيل المثال، قد تقوم شركة تصنيع السيارات بتخزين ملفات التصميم داخل الشركة في مكان واحد، ولكن يمكن أن تتدفق البيانات الوصفية والنسخ الاحتياطية من خلال أنظمة إدارة دورة حياة المنتج العالمية، مما يؤدي إلى التعرض للسيادة.
“إن نقل البيانات العرضية، مثل رسائل البريد الإلكتروني ومحركات الأقراص المشتركة وأدوات التعاون، غالبًا ما يدفع البيانات إلى مجلدات سحابية غير مصرح بها، خارج نطاق الإدارة السيادية. تعمل تكنولوجيا المعلومات في الظل على تفاقم المشكلة عندما يستخدم الموظفون تطبيقات خارجية دون إشراف تكنولوجيا المعلومات، مما يؤدي إلى إنشاء نقاط عمياء.”
يعتقد كولينز من GigaOm أنه بالنسبة لمعظم الأشخاص، فإن العناصر الأساسية اللازمة لدمج الامتثال لسيادة البيانات موجودة بالفعل في مؤسساتهم.
ويقول: “من العملي النظر في الأمر ضمن إطار الإدارة والمخاطر والامتثال الأوسع لديك”. “الميزة هي، كمنظمة أكبر، أن لديك بالفعل ممارسات وعمليات وأشخاص جاهزين للتدقيق وإعداد التقارير والرقابة. ويمكن دمج متطلبات السيادة في تلك الآليات.”
يقول كولينز إنه لا ينبغي لنا أن نفترض أن جميع احتياجات البيانات تلبي قواعد السيادة، وأنه في كثير من الحالات، ليس من الممكن القيام بذلك.
يقول كولينز: “على سبيل المثال، ليس من الواقعي جعل البريد الإلكتروني تطبيقًا ذو سيادة كاملة ومحتويًا محليًا لأنه موزع بطبيعته”. “ولكن يمكنك منع نقل البيانات السيادية عبر البريد الإلكتروني. وهنا يأتي دور سياسات منع فقدان البيانات وحماية البيانات، للتأكد من عدم إرسال البيانات من مستودعات معينة، أو من تصنيفات معينة، عبر البريد الإلكتروني.”
وبالمثل مع السحابة. بدلاً من محاولة جعل جميع المجلدات السحابية ذات سيادة، يجب علينا بدلاً من ذلك أن نقرر ما هي البيانات التي يمكن وما لا يمكن تخزينها هناك. وإذا كانت هناك حاجة إلى تخزين البيانات محليًا، فسيتم نقلها إلى خدمة سحابية محلية أو منطقة توافر محلية أو محلية.
يقول كولينز: “إن النقاش الأساسي هو تحديد ما إذا كانت مجموعة بيانات معينة ذات سيادة أم لا”. “إذا كنت تعمل في بلد معين وتحتفظ ببيانات العملاء حول الأشخاص في ذلك البلد، فستبقى تلك البيانات في ذلك البلد. ويمنحك هذا قائمة واضحة بما لا يمكن إدخاله إلى المجلدات السحابية، أو إرساله عبر البريد الإلكتروني، أو إدارته بواسطة نظام لا يمكنه ضمان التوطين. وبمجرد تأطيرها بهذه الطريقة، يصبح الأمر برمته أكثر وضوحًا.”
