TPCRM
12/5/2026

Soberania digital e fragmentação: entendo os impactos na gestão de risco cibernético de terceiros

O debate público sobre soberania digital ganhou força recentemente, com muitos países lançando iniciativas para desenvolver tecnologias e incentivar a adoção delas pelas empresas. Nos exemplos mais extremos, governos baniram fornecedores com base na tecnologia envolvida ou no país de sua sede.

É necessário reconhecer os paralelos entre o conceito de soberania digital e as políticas comerciais que podem se desdobrar em riscos geopolíticos para as empresas. Porém, a imposição de restrições comerciais se baseia em desavenças políticas ou comerciais, ao passo que a soberania se concentra em outro objetivo: a manutenção da autonomia sobre políticas nacionais.

Muitas nações hesitam em abrir mão do controle sobre sua infraestrutura crítica, moeda e recursos naturais, o que se traduz em limitações na operação de entidades estrangeiras nesses setores. Não faz muita diferença se é uma empresa de um país aliado ou de um país com um mercado bem regulado, porque este tipo de regra não tem relação com o comércio ou com os mercados.

A partir desta perspectiva, pode-se dizer que tecnologia, assim como recursos naturais e a infraestrutura crítica, podem impactar a capacidade de um país de decidir soberanamente as suas políticas. Nessa linha de raciocínio, a ausência de controle sobre a base tecnológica vai permitir que o comportamento dessa tecnologia atue como um limitador dos efeitos da política nacional.

O efeito da perspectiva de soberana digital

O clima geopolítico desde a pandemia da Covid-19 deu mais peso à ideia de soberania digital e outras preocupações com a cadeia de suprimentos. A transição para a computação em nuvem, a qual consolidou a infraestrutura de TI em alguns grandes nomes do setor, também contribuiu com essa discussão. Em meio ao ruído, um ponto se destacou: seria bem mais difícil se manter competitivo em outros setores com uma base tecnológica dependente de outro país.

Embora pareça conveniente juntar as iniciativas de soberania digital com outras políticas que limitam a escolha de fornecedores de tecnologia, o conceito de soberania tem um peso emocional considerável que o separa de outras restrições. Enquanto os Estados Unidos criam listas de adversários e sanções ancoradas na segurança nacional, a "soberania digital" serve como fundação de medidas semelhantes em lugares como o Brasil e a União Europeia.

Dito de forma mais breve, a soberana digital, como conceito, tem o potencial de levar o controle sobre a cadeia de suprimentos ao "mainstream" da política. Isto não é uma defesa do conceito (não estamos aqui para realizar qualquer juízo sobre isso), mas sim uma análise que explica por que talvez ele seja politicamente bem-sucedido, mesmo em circunstâncias aparentemente desfavoráveis.

A fragmentação tecnológica e seus desafios

A infraestrutura de TI nem sempre se assemelhava a uma "commodity", como hoje. Cada rede corporativa era totalmente diferente da outra.

Fabricantes de software e hardware fizeram um grande esforço para padronizar produtos em todo o mundo. Protocolos abertos definiram a internet desde o seu lançamento e acabaram por dominar as redes corporativas também, mas esta foi apenas uma parte da fundação que teve de ser construída para chegarmos aonde estamos hoje.

A internacionalização (i18n) e a localização (i10n) passaram por melhorias significativas, viabilizando softwares que funcionam com qualquer idioma, formato de dados ou fuso horário. O hardware se consolidou em algumas poucas plataformas compatíveis, às vezes com robustas capacidades de emulação para executar softwares de outras arquiteturas. O Unicode e os padrões web foram impulsionados, substituindo as codificações regionais e extensões proprietárias que eram predominantes até meados dos anos 2000.

Hoje, estamos a uma busca na web de distância de encontrar um repositório do GitHub que resolva algum problema específico, poupando o trabalho de criar uma solução alternativa e incompatível. Por outro lado, isso significa que rapidamente nos apegamos à oportunidade de reutilizar código, dependências, e tudo que os acompanha.

A homogeneidade da infraestrutura de TI tem seus problemas, mas tem uma conveniência inegável. Empresas podem buscar mão de obra em todo o mundo, e é mais fácil iniciar e conectar projetos. Empresas com atuação global construíram data lakes e dashboards, centralizando dados que vêm de sistemas muito similares, por maior que seja a distância entre eles.

Quando as empresas não podem escolher livremente seus fornecedores de tecnologia, o resultado se assemelha ao fenômeno da Balcanização, com cada país ou bloco construindo uma infraestrutura potencialmente incompatível com seus vizinhos. Isso não é o mesmo que voltar ao passado, no entanto, já que muitas das dificuldades de antes estavam enraizadas em limitações de processamento e deficiências de comunicação. Os avanços nessas áreas vão permanecer, mas podem trazer algo diferente.

Em vez de construir algo sobre um repositório, talvez vejamos mais forks, como já tem acontecido em alguns projetos na Europa. Um processamento adicional pode ser necessário para unificar dados incompatíveis quando não for possível utilizá-los localmente. As empresas podem precisar de profissionais dedicados e especializados no software ou no hardware que deve ser utilizado em certas regionais.

Conforme certas bases tecnológicas se tornam menos atraentes por causa dessas limitações, a dispersão tecnológica ("technology sprawl") e a IT escura (shadow IT), em que funcionários buscam suas próprias soluções sem autorização de políticas corporativas, podem se tornar problemas maiores do que são hoje.

Claro, se uma empresa precisa de mais fornecedores regionais, a gestão dessa lista crescente de prestadores menores é um desafio por si só. Há uma probabilidade maior de que esses prestadores de menor porte estejam abaixo da "linha da pobreza de cibersegurança". Embora seja bem possível que as iniciativas de soberania digital não deixem de lado os requisitos de cibersegurança, isso pode variar de uma jurisdição para outra.

Os fundamentos ainda têm muito a dizer

Por mais fragmentada que a infraestrutura de tecnologia se torne, os fundamentos da cibersegurança continuam relevantes.

O uso indevido de credenciais (ou roubo delas) ainda é um problema, sejam elas combinações de usuários e senhas, chaves de MFA ou tokens de OAuth. A segmentação de rede e o princípio de menor privilégio também são muito importantes para isolar a rede corporativa dos diversos fornecedores contratados para a conformidade em regras soberanas.

Na gestão do risco cibernético de terceiros, contar com ótimas tecnologias para obter dados confiáveis sobre a postura de cibersegurança será igualmente relevante nesse cenário, ou até mais relevante.

Conforme a infraestrutura externa se diferencia da infraestrutura interna de IT, o monitoramento inside-out da infraestrutura de terceiros pode trazer grandes resultados.

Esse acompanhamento pode ser combinado com segmentação e "kill switches" para desconectar terceiros de forma dinâmica quando estes estiverem expondo a empresa a riscos inaceitavelmente altos, o que mitiga os perigos decorrentes de uma infraestrutura mais heterogênea ou os efeitos negativos da existência de um número elevado de fornecedores regionais.

Além das fronteiras regionais e de qualquer ilha tecnológica que talvez se forme a partir das iniciativas de soberania digital, uma empresa ainda precisa cuidar de suas questões operacionais, proteger-se de ataques cibernéticos e possuir controles para mitigar riscos que não estão diretamente ligados a normas ou regulamentações.

A busca por maior eficiência e automação na gestão de fornecedores regionais pode distanciar as empresas dos questionários de segurança e de auditorias padronizadas. Aproximar-se desses fornecedores para aprimorar a colaboração vai ajudar a melhorar a média das práticas de segurança com o enfrentamento de problemas no mundo real, não importa onde eles estejam.

Share
Latest Posts
O que "inside-out" significa de verdade em segurança de terceiros
O termo "inside-out" aparece em diversas plataformas de gestão de risco de terceiros, mas descreve realidades técnicas muito diferentes. Este post explica o que é o monitoramento de infraestrutura baseado em API autorizado, como ele se diferencia da correlação de questionários, e o que CISOs precisam verificar antes de contratar.
Read more
Como ir além do formalismo e melhorar métricas reais de cibersegurança dos terceiros
Read more
CISA alerta para hardening do Intune. O que isso significa para seus terceiros
Ataque via Microsoft Intune apagou milhares de dispositivos da Stryker e expôs um risco crítico: falhas de segurança em fornecedores. Entenda as recomendações da CISA e como validar continuamente seus terceiros.
Read more